Le point sur l'affaire SG. 3 QUESTIONS à Victor Lebreton, chef de projet IT chez BNP Paribas BFI

Comment les professionnels des systèmes d'information (SI) des BFI ont-ils réagi à l'annonce de l'affaire Jérôme Kerviel ?

C'était un peu la panique... D'importantes pertes peuvent se produire surtout quand le marché est très volatil. Il n'est pas rare que plusieurs traders sur la place de Paris perdent chacun plusieurs dizaines de millions d'euros en une journée. Mais là nous avons été surpris par l'ampleur de la perte.
Nous avons essayé de comprendre ce qu'il avait pu se passer. Nous avons émis l'hypothèse d'une séparation trop perméable entre les fonctions de front et de middle-office. Tous les responsables des SI des banques ont probablement ce jour-là vérifié que les accès aux applications du middle-office par les traders étaient bien verrouillés de façon à s'assurer que ces derniers ne puissent pas valider leurs propres ordres.
Toutefois, il est impossible de contrôler toutes les opérations. Les nouveaux marchés électroniques, par exemple, représentent des centaines de milliers d'opérations à la minute ! Quant aux opérations des traders, les banques contrôlent en priorité les grands montants et les opérations spéciales.

Jugez-vous la sécurité des systèmes informatiques des banques suffisante ?

Le risque d'une "faillite technique" est quasi impossible. De manière générale, les systèmes ne sont pas en cause. Ils sont efficaces et conformes aux réglementations internationales. Celles-ci ont été encore renforcées l'an passé avec la mise en place de Bâle II, qui oblige notamment les banques à des contrôles systématiques.
C'est la politique de sécurité qui est souvent mal appliquée. L'organisation, la répartition des pouvoirs au sein des banques et les relations humaines constituent la principale faille. Les traders sont certes très surveillés. Leurs appels téléphoniques sont, par exemple, enregistrés pour prévenir les délits d'initiés et il est difficile d'aller plus loin dans la surveillance car la réglementation de la CNIL en la matière est très stricte. Toutefois, ces professionnels, dotés de très grandes compétences techniques et qui font gagner beaucoup d'argent aux banques, se comportent quelquefois comme des enfants gâtés. Et il existe un certain laisser-faire à leur égard lorsqu'ils prennent des libertés avec les règles.
Par ailleurs, les règles de sécurité sont très nombreuses (cf. norme ISO 17799) et il est difficile de les faire appliquer tout le temps par tout le monde. Prenons l'exemple de la clé USB : elle n'est pas autorisée et pourtant couramment utilisée par ceux qui ne disposent pas de portable et qui sont en déplacement par exemple.
Enfin, le risque zéro n'existe pas. L'erreur est humaine. D'autre part, aucun système, aussi sophistiqué soit-il, ne pourra empêcher une fraude en interne ou un hacker d'attaquer les systèmes. Rappelons que la principale menace pour les banques est aujourd'hui la fraude sur les cartes bleues, qui représentent en France 270 millions d'euros chaque année.

Quelles sont les mesures à mettre en place par les banques pour réduire les risques ?

La "ségrégation" des informations est cruciale. C'est la fameuse muraille de Chine. Elle fonctionne bien entre les différents secteurs de la banque (ex. : le trading et les fusions/acquisitions) pour éviter les délits d'initiés. En revanche, elle doit être érigée de manière plus systématique entre le front et les fonctions supports. L'affaire Calyon de l'été dernier avait déjà pointé le problème puisqu'il s'est avéré que le trader "fou" avait en réalité convaincu des opérationnels du middle et du back de le couvrir.
La mobilité en interne accentue ce risque. Et cela constitue un vrai défi en matière de monitoring et de suivi. Une personne qui travaille sur 5 applications différentes par exemple, quand elle change de poste (ex. : du middle vers le front, de la gestion des risques vers le management...), ou travaille sur de nouveaux marchés/produits, il faudrait théoriquement contacter toutes les administrations desquelles elle dépend pour changer systématiquement les identifiants.
Le système du single sign-on (SSO) (un seul identifiant pour différentes applications) est à l'étude dans les banques. Mais 1- il n'est pas sans risque et 2- il est complexe et coûteux à mettre en place dans des institutions qui possèdent 20 ans d'histoire informatique, des centaines de logiciels bancaires et des dizaines de milliers de mouvements de personnels avec des gestions des droits disparates.
Aujourd'hui, les banques sont dans un long processus de rationalisation de l'ensemble des systèmes et des procédures. La gestion des risques en BFI est une priorité absolue. On recherche d'ailleurs des risk managers partout pour réformer le credit risk à la suite de la crise des subprimes. Il y a également un marché croissant pour l'audit de la security policy. Reste les arbitrages budgétaires, qui ne profitent pas toujours aux fonctions supports. Rappelons que la banque est avant tout business driven !