☰ Menu eFinancialCareers

3 QUESTIONS à… Victor Lebreton

Consultant, chef de projet IT dans une grande BFI française, Victor Lebreton* analyse l’affaire SG. Pour lui, les failles sont plus humaines que techniques.

Comment les professionnels des systèmes d’information (SI) des BFI ont-ils réagi à l’annonce de l’affaire Jérôme Kerviel ?

C’était un peu la panique… D’importantes pertes peuvent se produire surtout quand le marché est très volatil. Il n’est pas rare que plusieurs traders sur la place de Paris perdent chacun plusieurs dizaines de millions d’euros en une journée. Mais là nous avons été surpris par l’ampleur de la perte.

Nous avons essayé de comprendre ce qu’il avait pu se passer. Nous avons émis l’hypothèse d’une séparation trop perméable entre les fonctions de front et de middle-office. Tous les responsables des SI des banques ont probablement ce jour-là vérifié que les accès aux applications du middle-office par les traders étaient bien verrouillés de façon à s’assurer que ces derniers ne puissent pas valider leurs propres ordres.

Toutefois, il est impossible de contrôler toutes les opérations. Les nouveaux marchés électroniques, par exemple, représentent des centaines de milliers d’opérations à la minute ! Quant aux opérations des traders, les banques contrôlent en priorité les grands montants et les opérations spéciales.

Jugez-vous la sécurité des systèmes informatiques des banques suffisante ?

Le risque d’une faillite technique est quasi impossible. De manière générale, les systèmes ne sont pas en cause. Ils sont efficaces et conformes aux réglementations internationales. Celles-ci ont été encore renforcées l’an passé avec la mise en place de Bâle II, qui oblige notamment les banques à des contrôles systématiques.

C’est la politique de sécurité qui est souvent mal appliquée. L’organisation, la répartition des pouvoirs au sein des banques et les relations humaines constituent la principale faille. Les traders sont certes très surveillés. Leurs appels téléphoniques sont, par exemple, enregistrés pour prévenir les délits d’initiés et il est difficile d’aller plus loin dans la surveillance car la réglementation de la CNIL en la matière est très stricte. Toutefois, ces professionnels, dotés de très grandes compétences techniques et qui font gagner beaucoup d’argent aux banques, se comportent quelquefois comme des enfants gâtés. Et il existe un certain laisser-faire à leur égard lorsqu’ils prennent des libertés avec les règles.

Par ailleurs, les règles de sécurité sont très nombreuses (cf. norme ISO 17799) et il est difficile de les faire appliquer tout le temps par tout le monde. Prenons l’exemple de la clé USB : elle n’est pas autorisée et pourtant couramment utilisée par ceux qui ne disposent pas de portable et qui sont en déplacement par exemple.

Enfin, le risque zéro n’existe pas. L’erreur est humaine. D’autre part, aucun système, aussi sophistiqué soit-il, ne pourra empêcher une fraude en interne ou un hacker d’attaquer les systèmes. Rappelons que la principale menace pour les banques est aujourd’hui la fraude sur les cartes bleues, qui représentent en France 270 millions d’euros chaque année.

Quelles sont les mesures à mettre en place par les banques pour réduire les risques ?

La ségrégation des informations est cruciale. C’est la fameuse muraille de Chine. Elle fonctionne bien entre les différents secteurs de la banque (ex. : le trading et les fusions/acquisitions) pour éviter les délits d’initiés. En revanche, elle doit être érigée de manière plus systématique entre le front et les fonctions supports. L’affaire Calyon de l’été dernier avait déjà pointé le problème puisqu’il s’est avéré que le trader fou avait en réalité convaincu des opérationnels du middle et du back de le couvrir.

La mobilité en interne accentue ce risque. Et cela constitue un vrai défi en matière de monitoring et de suivi. Une personne qui travaille sur 5 applications différentes par exemple, quand elle change de poste (ex. : du middle vers le front, de la gestion des risques vers le management…), ou travaille sur de nouveaux marchés/produits, il faudrait théoriquement contacter toutes les administrations desquelles elle dépend pour changer systématiquement les identifiants.

Le système du single sign-on (SSO) (un seul identifiant pour différentes applications) est à l’étude dans les banques. Mais 1- il n’est pas sans risque et 2- il est complexe et coûteux à mettre en place dans des institutions qui possèdent 20 ans d’histoire informatique, des centaines de logiciels bancaires et des dizaines de milliers de mouvements de personnels avec des gestions des droits disparates.

Aujourd’hui, les banques sont dans un long processus de rationalisation de l’ensemble des systèmes et des procédures. La gestion des risques en BFI est une priorité absolue. On recherche d’ailleurs des risk managers partout pour réformer le credit risk à la suite de la crise des subprimes. Il y a également un marché croissant pour l’audit de la security policy. Reste les arbitrages budgétaires, qui ne profitent pas toujours aux fonctions supports. Rappelons que la banque est avant tout business driven !

* Victor Lebreton est membre du Club des Jeunes Financiers (www.jeunesfinanciers.com)

commentaires (4)

Comments
  1. De ce que j’ai pu voir lors de mon poste de gestionnaire des appels de marge sur dérivés de taux / dérivés de change à la BRED, le partage des tâches sur le papier est pertinent, mais souffre du manque éventuel de compétences ou d’effectifs qui peuvent amener une personne à cumuler les fonctions. Il m’est ainsi arrivé, en période estivale, d’initier les opérations de back-office (confirmations, saisie des opérations comptables et gestion de la trésorerie) de mes propres appels de marge.

    En matière de sécurisation des systèmes, HSBC Assurances, pour qui je travaille aujourd’hui, a pris des mesures afin de respecter les recommandations d’un audit SOX, notamment l’interdiction de cumul de certaines habilitations informatiques au sein de sa direction financière, de sa direction des investissements et de son back-office, pour une personne propre, ou pour une personne et un de ses collaborateurs N-1 (afin d’éviter tout rapport de subordination)…

    François CARON, directeur de projet chez HSBC Assurances pour le compte d’ALTEN Répondre
     
  2. Je souhaitais également ajouter que le recours à des prestataires n’est pas de nature à mettre en danger la sécurité des systèmes, contrairement à ce que certains peuvent dire. Chez HSBC, l’ensemble des prestataires est intégré en apparence comme des internes et aucune distinction “culturelle” n’est faite. Les consultants se doivent même d’exceller davantage que les internes, assurant une prestation de service qui pourrait être interrompue à tout moment par le client. D’où une culture du résultat très forte.

    François CARON, directeur de projet chez HSBC Assurances pour le compte d’ALTEN Répondre
     
  3. 1- L’apport de prestataires est plutôt un atout dans une mise en oeuvre efficace de la sécurité, ce sont surtout des expériences et des connaissances venant d’autres environnement qui permettent juste de prévoir et d’anticiper des choses qui ne se sont pas encore produits ou connus par les personnes uniquement internes aux banques. De plus les produits et systèmes financiers évoluant en permanence, la mise à jour des connaissances doit être permanente et les prestataires apportent réellement leurs savoirs.

    2- Tout comme le risque zéro n’existe pas, un système ne peut pas garantir une sécurité à 100%. Néanmoins les banques de financement et d’investissement ont besoin de systèmes très complexes, qui évoluent en permanence, mais dont la sécurité des données et des process est au coeur de leurs conceptions. La sécurité de ces systèmes informatiques est déjà très forte, mais elle ne peut pas et ne pourra pas empêcher des fraudes.
    Les équipes en place doivent travailler conjointement avec toutes les personnes amenées à les utiliser pour définir et construire un système efficace, qui puisse garantir un maximum de sécurité.

    Bruno SAHOK, Président du Club des Jeunes Financiers Répondre
     
  4. Dans le cas de la Société Générale, le défaut a avant tout été humain : le management ne s’est pas préoccupé du comportement transgressif de JK et surtout, de son énorme P&L officiel.
    La technologie ne palira jamais à l’absence de bon sens.

Votre commentaire est en attente de modération. Il apparaîtra sur le site une fois validé

Réagissez

Pseudo

Adresse e-mail

Consultez notre règlement concernant notre communauté ici