[ Pour la version anglaise, cliquer ici ]
Par:
Darius Champion, correspondent spécial de Project Counsel
et
Gregory P. Bufithis, fondateur et président de Project Counsel
23 juin 2010 – Nous avons eu la chance ces deux dernières semaines de suivre le procès Société Générale/Jérôme Kerviel à la Chambre Criminelle de la Cour de Paris qui est saisie de l’affaire. Nous suivons cette affaire depuis septembre dernier (cliquez ici pour notre première publication).
Daniel Bouton, ancien PDG de la Société Générale (SocGen), qui a fini par démissionner en raison des critiques concernant sa façon de gérer le scandale, a témoigné hier. Il était le dernier témoin à comparaître avant le réquisitoire final. M. Bouton s’est déchaîné contre Kerviel devant le tribunal et a répété sa litanie habituelle, à savoir que Kerviel était un « génie du mal ». Il a insisté sur le fait qu’aucun de ses supérieurs hiérarchiques n’était au courant de ses activités. Il a reconnu des défaillances dans le système de contrôle des risques de SocGen, mais a déclaré que l’ingéniosité de Kerviel serait venue à bout de n’importe quel mécanisme.
Le procès prendra fin vendredi. Kerviel risque cinq années de prison et 375 000 euros d’amende s’il est déclaré coupable.
Note sur la procédure : SocGen a déposé une plainte le jour même où la banque a annoncé la perte, entraînant l’ouverture d’une enquête. La banque participera au procès en tant que partie civile, un statut que lui permet de réclamer des dommages-intérêts conformément à la loi française. En France, les poursuites pénales ont préséance sur les poursuites civiles, ce qui fait que si Kerviel est blanchi, la banque ne pourra plus demander de dédommagements. Il est important pour la banque de gagner, car cela prouverait que Kerviel a agi isolément en tant que trader malhonnête et qu’il ne s’agissait pas d’une défaillance institutionnelle ou du système. Par contre, s’il est blanchi, la gestion et les systèmes de contrôle interne de SocGen seraient réellement mis en cause.
Cette affaire a été aussi passionnante que complexe à suivre, mais nous avons eu la chance de bénéficier de l’aide de notre ami Alain Renoir (sans lien de parenté avec le peintre ou le réalisateur), ancien trader spécialisé dans les dérivés, qui nous a expliqué les concepts les plus obscurs. Kerviel a mené une campagne média soigneusement orchestrée pour gagner la sympathie du public – évoquant ses origines modeste en Bretagne et son ascension dans l’une des salles de marché les plus prestigieuses de Paris pour finir par n’être « qu’un pion dans un système financier pourri ».
L’affaire, l’histoire
En 2008, SocGen a annoncé avoir découvert une perte de 5 Md$ que les responsables attribuaient aux actions d’un « trader malhonnête » de 31 ans. Ce dernier, Jérôme Kerviel, était « parvenu à échapper à de multiples niveaux de contrôles informatique et d’audit pendant une année entière et avait accumulé 4,9 milliards d’euros de pertes pour la banque. » SocGen a qualifié les actions de Kerviel comme de la « fraude pure ». On estime que cette perte est la plus importante jamais enregistrée par un trader. La direction de SocGen a déclaré que Kerviel avait une connaissance « intime et perverse » des capacités d’audit et des opérations de back-office de la banque qui lui ont permis de camoufler ses agissements non-autorisées. Un gouverneur de la Banque de France a déclaré que Kerviel était un « génie de l’informatique » et qu’il avait été capable de violer « cinq niveaux de contrôle » au sein de la banque.
Cela dit, comment a-t-il pu échapper à la vigilance des autres employés de SocGen et du système de trading et d’audit ? Si des mécanismes de contrôle étaient bien en place, comment était-il possible qu’il ait agi seul comme l’affirme la banque ? Et pourquoi cette dernière a mis autant de temps à découvrir la fraude ?
Suite à cette révélation, Kerviel est devenu d’un jour à l’autre une célébrité internationale, à l’instar du trader britannique Nick Leeson dont les pertes ont provoqué la chute d’une banque d’affaires au pedigree irréprochable comme Barings en 1995. La photo de Kerviel est apparue partout sur Internet et des fanpages Facebook lui ont été consacrées. Il a même publié un livre intitulé L’engrenage, mémoires d’un trader qui est devenu un best-seller en France. Dans la phrase du livre la plus fréquemment citée, il compare le trading financier à la prostitution : « Au sein de la grande orgie bancaire, les traders ont juste droit à la même considération que n’importe quelle prostituée de base : la reconnaissance rapide que la recette du jour a été bonne ».
L’affaire est d’ailleurs pleine d’ironie. Lorsque le scandale Kerviel a éclaté en janvier 2008, la crise des subprimes, avec toutes les conséquences qu’elle a entraînées, n’en était qu’à ses débuts. D’ailleurs, la révélation d’une perte de 5 Md$ a fait passer au second plan l’annonce parallèle de SocGen d’une dépréciation de 2 Md€ liée à la crise des prêts hypothécaires aux États-Unis. Plus ironique encore, ce scandale de trading a permis à SocGen de se recapitaliser rapidement, avec une importante émission de droits réalisée en urgence, avant que la crise ne rende ce type d’opération plus difficile. En outre, le magazine Risk venait de décerner au mois de janvier à SocGen un prix en reconnaissance de sa capacité à gérer les risques financiers.
L’essentiel de l’affaire Kerviel : la défense « Delta One » et SocGen « qui savait »
Kerviel n’a jamais nié avoir été l’unique architecte de plus de 1 000 opérations frauduleuses, mais il affirme que ses supérieurs hiérarchiques fermaient les yeux. La défense a fait son possible pour prouver que les supérieurs hiérarchiques directs de Kerviel étaient au courant d’un grand nombre de ses positions non couvertes. Les enquêteurs internes ont également affirmé que les patrons de Kerviel ont fermé les yeux sur des niveaux de trésorerie disponibles inhabituels, des anomalies comptables, le niveau élevé des frais de courtage, le fait que Kerviel ne prenne jamais de vacances et la progression phénoménale de ses revenu en 2007, lorsqu’il a déclaré des gains de 25 millions d’euros générés par des activités de négociation pour compte propre. Le rapport indique que seuls 3,1 millions de ses revenus pouvaient être justifiés par des opérations légitimes. Le trader aurait également gagné 500 000 € en une seule opération non spécifiée de « pari unilatéral ». Cette opération violait la limite de risque de l’équipe Delta One (nous reviendrons au Delta One un peu plus loin) et ses patrons n’ont pas pris en compte ce montant dans son bonus de fin d’année.
Sans oublier le fait que Kerviel travaillait pour l’équipe « Delta One » de SocGen. Les équipes Delta One sont monnaie courante dans un grand nombre d’institutions financières et s’occupent effectivement, comme leur nom l’indique, des produits « delta one ». Ces produits sont liés aux dérivés dont le delta est de 1 – à savoir les dérivés dont le prix dépend des variations de cours des titres sous-jacents. Cela peut inclure les fonds négociés en Bourse, les swaps sur actions, les contrats à termes, de gré à gré, etc.
Au cours des dernières années, ces salles de marché ont été de plus en plus fréquemment fusionnées avec les activités de négociation pour compte propre des banques. Pour résumer, comme dans le Financial Times l’a souligné récemment : « la position de Kerviel n’était pas celle d’un trader exclusif pour compte propre, mais plutôt d’un teneur de marché qui avait la possibilité, si nécessaire, de réaliser des opérations directionnelles pour compte propre – en utilisant parfois la position consolidée de la banque pour le bénéfice de ses propres opérations ». Pour une analyse approfondie de ce que font les équipes Delta One et l’impact de leur activité sur SocGen, consultez l’analyse complète du Financial Times en cliquant ici.
De plus, comme l’a déclaré sous serment Kerviel, ce dernier envoyait des rapports de trésorerie hebdomadaires à ses patrons de SocGen, étayant ses affirmations selon lesquelles la banque connaissait l’ampleur de ses opérations. Il a même déclaré que ses supérieurs hiérarchiques étaient au courant de ses activités et les encourageaient. Ces rapports de trésorerie « étaient pour moi un reflet de mes activités » a dit Kerviel au juge. « Chaque semaine, je rédigeais un rapport et l’envoyait à [mes supérieurs hiérarchiques] ». La fonction trésorerie fonctionnait comme une petite banque pour les traders, a déclaré Kerviel. Il a emprunté des milliards pour compléter les 20 millions d’euros qui lui étaient attribués, sur la base de la limite d’engagement de 125 millions d’euros pour l’ensemble de son équipe, et remboursait des intérêts sur les prêts. « C’était comme un prêt interne » explique-t-il. Au cours de l’été 2007, Kerviel a déclaré avoir emprunté un milliard alors qu’il se trouvait en position de perte, mais qu’au mois de juillet il était de nouveau bénéficiaire. « Aucun de mes supérieurs n’a posé de questions » a-t-il déclaré. « Ils pouvaient voir exactement de quoi était composée la trésorerie de chaque trader ».
D’ailleurs, selon le témoignage d’Eric Cordelle, le superviseur immédiat de Kerviel à la SocGen, la division Delta One dépassait les limites de trading « assez fréquemment ».
Mais un élément intéressant du point de vue risque/conformité a été le témoignage apporté la semaine dernière par Taoufik Zizi, un trader junior qui était assis à côté de Kerviel à la division Delta One. Il affirme que Kerviel lui a demandé plusieurs fois d’enregistrer des opérations sur son ordinateur, comme il le faisait avec d’autres traders, en utilisant leurs données de connexion. « Kerviel était un trader star », dit-il, « Tout le monde ne fait pas un million d’euros en une journée » (nous traiterons les aspects risque/conformité un peu plus loin).
De plus, Benoît Thaillieu (qui a quitté SocGen en 2006 et qui supervisait la division Delta One avant que Kerviel ne rejoigne l’unité et se familiarise avec ses systèmes internes) a déclaré qu’une série d’alertes et de procédures de comptabilité et de trading aurait prévenu les supérieurs hiérarchiques de Kerviel des risques qu’ils prenaient. « Pour moi, c’est une certitude », a-t-il dit. Les gains de trading de Kerviel étaient extraordinairement élevés, indiquant qu’il effectuait des opérations au-delà de la limite financière autorisée, et il aurait dû être repéré. Autre indice révélateur, Thaillieu avait constaté une multiplication des prises de risque au cours de ses sept ans à SocGen – « les gains augmentaient parallèlement aux risques ».
Plus tôt au cours du procès, Valérie Rolland (une ancienne responsable conformité de SocGen) avait déclaré que plusieurs bases de données devaient être à la disposition des supérieurs de Kerviel, permettant de suivre toutes les opérations de trading, et que ses supérieurs devaient pouvoir suivre les changements opérés dans le système d’entrée des données pour masquer les positions.
Les problématiques de l’e-discovery
L’e-discovery est un concept relativement nouveau en France et dans la plupart des pays d’Europe. Mais la mondialisation fait que les longs tentacules des tribunaux américains finissent par atteindre le monde entier. En conséquence, à la fois les entreprises et les tribunaux non américains commencent à prêter attention à ce phénomène. Comme plusieurs autres secteurs technologiques qui sont impliqués dans la gouvernance, l’e-discovery est devenu un enjeu de plus en plus important, qui est rapidement en train de devenir un instrument de défense standard contre les machinations des administrations, des agences de règlementation et autres organismes grands consommateurs d’informations.
SocGen a fait appel à un logiciel développé par Autonomy (le spécialiste britannique de l’exploration des données) pour essayer de tirer au clair ce qui se passait avec Kerviel, ses opérations, ainsi que ses communications – avec une technologie identique à celle utilisée pour les évaluations en début de procédure, les logiciels d’évaluation de documents et l’analyse des médias sociaux. D’ailleurs, Autonomy a récemment lancé un produit qui contrôle ce qui se dit sur les réseaux sociaux en ligne comme Facebook et Twitter. Les médias sociaux ayant un impact toujours plus important sur les entreprises, elles ont besoin de repérer les blogs, les tweets ou les commentaires en ligne compromettants. La gouvernance des médias sociaux aide également les organisations à mettre en application leurs propres politiques internes ainsi que les nouvelles règlementations spécifiques à chaque secteur qui règlementent ce domaine. Ce sujet sera approfondi dans un blog à paraître demain.
Note : suite aux scandales comme l’affaire Kerviel ou aux rumeurs diffamatoires qui sapent la réputation de banques comme HBOS et Bear Stearns, les banques sont en train d’envisager l’utilisation d’une nouvelle gamme de « logiciels espions », capables de surveiller les dialogues des messageries instantanées, ainsi que de puissants ordinateurs qui peuvent lire les e-mails, écouter des conversations téléphoniques et analyser des chats par type de participant. Ces logiciels qui permettent d’enregistrer et de surveiller les activités des employés, peuvent aider les entreprises à collecter des quantités considérables d’informations internes – dont ils risquent d’avoir besoin de plus en plus fréquemment dans le cadre d’actions en justice dérivant de la crise des subprimes ou pour répondre à des règlementations toujours plus sévères. Exemple assez parlant d’initiative contre-intuitive, la société de logiciel et conseil informatique LCA a embauché Kerviel fin avril (qui avait obtenu une liberté conditionnelle dans l’attente de son procès), probablement pour qu’il aide à mettre au point des systèmes permettant de repérer des traders malhonnêtes.
La presse et les commentateurs ont fait grand cas de l’impact de la Directive EU sur la protection des données (Directive sur les données) qui a fixé le cadre règlementaire pour les données personnelles. Les lois adoptées dans le cadre de cette directive varient, de sorte que chaque pays de l’UE a ses propres particularités en termes de protection de la vie privée. L’UE traite la protection de la vie privée comme un droit fondamental, alors qu’aux États-Unis, il n’y a pas de règlementation stricte en la matière. Nous connaissons également les difficultés que Google rencontre en France concernant les données sensibles qu’il a recueillies, comme les mots de passe, en mettant au point son service Street View (pour plus d’informations, cliquez ici). Cette enquête a été menée par la Commission nationale de l’informatique et des libertés (CNIL) qui décidera si le moteur de recherche doit être poursuivi en justice en raison de sa collecte de données.
En fait, dans le cas de SocGen, comme la presse l’a fait remarquer à maintes reprises, la direction de la banque avait des réticences à faire des recherches dans les e-mails de Kerviel. Alors même que ce dernier était sur le point de faire tomber la banque entière, les dirigeants avaient toujours peur de la loi sur la protection de la vie privée française. Mais si l’on en croit les rapports des enquêteurs et les preuves présentées au procès, ils ont assez vite ravalé leurs scrupules.
Dans l’affaire Kerviel/Société Générale, les e-mails et les messages instantanés des employés et de la direction ont joué un rôle critique dans la découverte de la vérité. Comme il a été indiqué lors du procès, un faux e-mail, prétendument émis par Deutsche Bank, a alerté SocGen qui a commencé à se douter que les transactions de Kerviel avaient quelque chose de douteux. Lorsque la banque a commencé à réaliser qu’il l’avait exposée à plus de 50 milliards d’euros de passif potentiel, elle s’est précipitée pour étudier tous les messages électroniques en sa possession.
Comme l’ont fait remarquer Le Monde et le New York Times, Kerviel utilisait rarement son e-mail professionnel et n’a pas envoyé plus de 60 messages pendant la période concernée. Par contre, il utilisait beaucoup les messageries instantanées. En s’appuyant sur tous les enregistrements disponibles, la banque a rapidement agi pour neutraliser les positions existantes de Kerviel. Elle a examiné des milliers de messages enregistrés dans le système interne de messagerie instantanée de la banque, dont certains entre Kerviel et un complice présumé.
Cela démontre bien que SocGen avait stocké les enregistrements de messages.
Note : Il existe d’autres problématiques liées à l’e-discovery et au contentieux. Si les actions collectives américaines se poursuivent après le procès de Kerviel et que les explorations de données de type e-discovery sont effectuées en France, on est en droit de se poser des questions sur les lois de blocage françaises (ces lois sont promulguées, entre autres, dans les pays qui souhaitent faire obstacles aux obligations américaines en matière de communication des documents électroniques). On peut également s’interroger sur le rôle de la campagne de relations publiques en France – qui s’inscrit dans un mouvement visant à multiplier le nombre de plaignants potentiels dans les recours collectifs américains relatifs aux valeurs mobilières engagés contre des multinationales – qui a été fait l’objet d’une étude par notre collègue Paul Karlsgodtat dans son Class Action Blawg (cliquez ici).
Quelques mots supplémentaires sur les droits en matière de communication des documents électroniques (e-discovery) et de protection de la vie privée
A l’occasion de notre couverture du procès, nous avons découvert un livre brillant rédigé par Matthew Sorell et intitulé Forensics in Telecommunications, Information and Multimedia qui comporte des discussions et des analyses sur les implications juridiques et techniques de la collecte de données électroniques comme source de preuves. Ce livre aborde également les questions de conflit entre les droits de communication des documents électroniques (e-discovery) et les droits de protection de la vie privée. Les actions collectives contre SocGen et autres litiges privés dépassent le cadre des frontières internationales. Le conflit entre les droits liés à l’e-discovery et les droits portant sur la vie privée dans les différentes juridictions internationales peut présenter des défis de taille pour les plaideurs. Il existe un conflit inhérent entre ces deux types de droits et la façon dont cet aspect est traité par les différents pays du monde.
On retrouve au cœur de ce conflit les différentes priorités que les différentes nations donnent au droit de l’individu à engager des poursuites et au droit de l’individu à défendre sa vie privée. Les pays qui accordent une plus grande priorité au droit pour les individus à obtenir entière satisfaction de leurs réclamations à l’encontre d’autres parties, plutôt qu’au droit à la protection de la vie privée, ont tendance à accorder des droits d’e-discovery beaucoup plus généreux que les pays qui accordent une plus grande importance aux droits de l’individu à protéger sa vie privée. Par contre, les pays qui donnent plus de valeur au respect de la vie privée qu’aux droits d’e-discovery ont tendance à restreindre et à limiter considérablement la possibilité pour les parties à un litige de rechercher des informations qui pourraient se révéler essentielles pour faire entendre leurs plaintes devant un tribunal.
Pour simplifier, on peut dire que les affaires et la règlementation sur l’e-discovery américaine sont peut-être en train de changer et continuent de faire l’objet d’interprétations, mais il existe un principe constant dans ce domaine : si un fait existe, il doit pouvoir être communiqué si l’information ainsi obtenue permet de révéler quelque chose de pertinent. Cette approche de l’e-discovery dans le domaine du contentieux accorde la plus haute importance à la résolution des litiges à la lumière de tous les faits possibles qui peuvent avoir un impact sur les questions faisant l’objet d’un litige.
En dehors des États-Unis, les droits dans le domaine de l’e-discovery sont généralement limités par la loi et les coutumes des pays qui donnent la suprématie aux droits sur la protection de la vie privée par rapport à ceux sur l’e-discovery. En Europe, les pays appartenant à l’Union européenne ont créé une Directive sur la vie privée de l’Union européenne valable dans 25 pays. Dans le cadre de ces directives, les données personnelles (c’est-à-dire les données qui identifient ou concernent une personne spécifiquement nommée) ne peuvent être transmises en dehors de la zone économique européenne (pays de l’UE plus Islande, Norvège et Lichtenstein) vers un pays dont la loi nationale n’accorde par le même niveau de protection que l’UE.
La directive sur les données de l’UE spécifie que toutes les données personnelles ayant fait l’objet d’un traitement informatique doivent garantir à l’individu un droit absolu d’accès aux données le concernant, prouver que l’individu a donné librement son consentement, que l’utilisation des données est légale, juste, adéquate, pertinente et précise et que ces données ne peuvent être utilisées qu’aussi longtemps que nécessaire en assurant une sécurité suffisante. De plus, certains pays comme la France disposent de lois de blocage, si les informations fournies ne répondent pas à ces obligations.
La principale raison de ces différences dans le domaine des pratiques d’e-discovery est la divergence de points de vue entre les différents pays concernant la protection de la vie privée. La protection de la vie privée n’a jamais été une garantie dans la constitution américaine, de sorte que les droits dans ce domaine se sont développés de façon sporadique et désordonnée. Il n’existe pas de loi globale sur la protection de la vie privée aux États-Unis, mais plutôt une myriade de cas, de statuts et de règles administratives qui règlementent la notion de vie privée. Les lois américaines sur la protection de la vie privée sont générales et décentralisées. Pour déterminer la législation américaine dans domaine, il faut examiner les règles de la commission fédérale du commerce, toute une variété de règlementations fédérales, les lois des différents États sur la protection des consommateurs et la fraude, ainsi que les lois spécifiques à certains secteurs (FERPA, Gramm Leach Bliley Act, HIPAA et autres).
Comme le fait remarquer Sorell dans son livre : « aux États-Unis, les données électroniques étaient partout avant que quiconque ne pense aux implications de leur libre circulation. Personne n’a anticipé l’apparition des hackers, des usurpateurs d’identité, des phishers ou des pharmers. Une fois que ces problèmes ont fait surface, il y avait déjà un trop grand nombre d’institutions bien établies, ayant des intérêts en jeu et bénéficiant de lobbies importants, pour rendre envisageable le blocage de ce flux d’informations. Les Lobbies [ont pris] directement contact avec des membres du congrès pour influencer leur points de vue ».
Une autre raison qui explique les différences de règlementation est le point de vue des pays au sujet de la collecte d’informations. Aux Etats-Unis, les activités d’e-discovery sont entièrement prises en charge par les plaideurs et en dehors des tribunaux à moins qu’un conflit se survienne. En fait, selon les lois fédérales, un plaideur « doit, sans attendre une demande de communication de documents électroniques, fournir aux autres parties… une description par catégorie et emplacement de tous les documents, des informations enregistrées sur support électronique et des faits tangibles que la partie divulgatrice a en sa possession, sous sa garde ou sous son contrôle et peut utiliser pour étayer ses plaintes ou ses défenses ». Dans la plupart des pays de droit civil, la collecte d’informations est une fonction judiciaire. Le système de tribunaux de droit civil est davantage fondé sur l’investigation que le système contradictoire de common law. Habituellement, le juge pose des questions aux témoins et fait une synthèse des informations. Le système d’e-discovery américain est différent de la plupart de ceux des autres pays de common law.
Mais revenons à l’affaire Kerviel.
Les aspects de gouvernance, de risque et de conformité dans l’affaire Kerviel
La connaissance approfondie de Kerviel des fonctions informatiques de back-office lui ont permis de dissimuler certains de ses paris en compensant les opérations avec des contreparties fictives. Il a déclaré lui-même dans son livre : « J’avais pris des risques excessifs, mes positions étaient trop fortes, et j’avais d’autant plus succombé à la griserie des chiffres et à la passion de mon métier qu’aucun garde-fou n’était venu me freiner dans mon mouvement ».
Comme cela été révélé lors du procès, Fimat était au centre des enquêtes (Fimat fait partie du groupe SocGen, en tant que filiale de Société Générale Securities Services. Le groupe Fimat compte plus de 1 900 employés répartis sur 26 places de marché et est membre de 44 marchés de dérivés et de 19 Bourses internationales). Eurex (la Bourse des dérivés ; pour en savoir plus cliquez ici) a alerté SocGen au sujet des opérations douteuses de Kerviel. Kerviel utilisait de nom de Fimat pour couvrir ses opérations supposément fictives. Eurex a découvert qu’une opération supposée de Fimat avait en fait été lancée par Kerviel à partir de l’équipe de trading propriétaire Delta One de SocGen. SocGen a affirmé par la suite que Fimat, bien que détenue par la banque, était une société de courtage indépendante et a invoqué cette raison pour consolider son argument central, à savoir que Kerviel avait utilisé des techniques extrêmement sophistiquées pour échapper aux contrôles internes.
Y a-t-il eu un dysfonctionnement apparent des contrôles internes financiers et informatiques ou bien ont-ils été dévoyés par un employé jouissant d’une expertise informatique et d’un accès officiel aux systèmes ? Ou est-ce plutôt un cas d’accord tacite ? Comme nous l’a expliqué Alain Renoir, ce n’est un secret pour personne que les institutions de tous types allègent les procédures de gestion des risques en période faste et lorsque les flux de profit s’accélèrent. Lorsqu’il travaillait pour sa banque, il y avait toujours un « jeu » en cours, qui consistait à équilibrer les gains potentiels d’une opération risquée par rapport à ses pertes potentielles. Prendre avantage des opportunités plutôt que de privilégier la gestion des risques.
Dans un domaine aussi complexe que celui des dérivés (qui est d’ailleurs la principale branche d’activité de SocGen ; SocGen avait depuis longtemps investi à grande échelle dans les obligations adossées à des prêts hypothécaires et était devenu un leader du marché des dérivés). Lorsqu’elle fonctionnait, cette stratégie permettait à SocGen de gagner beaucoup d’argent et de doper sa capitalisation de marché. Le concept est qu’un instrument financier permet à un trader de négocier des contrats sur une large gamme d’actifs (comme les actions, les obligations et les matières premières) et essaie de réduire (ou de couvrir) les risques financiers pour l’une des parties de l’opération. Le fait est que cela nécessite une certaine agressivité et peut comporter beaucoup de risque.
Mais si SocGen n’était réellement pas aussi au courant du degré d’exposition réel qu’elle aurait dû l’être, quelle en était la raison ? Ce que les gestionnaires de risques et les responsables informatiques invoquent habituellement : les interactions limitées entre les gestionnaires de risques opérationnels et les gestionnaires de risques informatiques. La vieille rengaine selon laquelle « les gestionnaires de risques opérationnels ont l’impression que les responsables IT parlent une autre langue ». Et inversement que « les responsables IT ont l’impression que les responsables opérationnels ne comprennent pas vraiment le degré d’exposition informatique ». C’est ce qui est ressorti de la dernière enquête sponsorisée par Recommind sur les responsables informatiques (cliquez ici).
Dans l’affaire SocGen, Kerviel aurait manipulé les contrôles informatiques des systèmes opérationnels en faisant appel à son expérience du mid-office ainsi qu’à son expertise informatique de back-office (IT). Selon un article du New York Times, l’enquête interne de la SocGen sur l’incident aurait révélé au moins 75 mises en garde émises par les comptables et les responsables du contrôle des risques et de la conformité sur une période de deux ans. Ces alertes signalaient entre autres « des transactions qui semblaient avoir été réglées un samedi ou des opérations pour lesquelles la contrepartie n’était soit pas nommée, soit indiquée comme « en attente », entre juin 2006 et janvier 2008. Ces transactions auraient dû alerter les supérieurs hiérarchiques au sujet des activités de M. Kerviel » (pour l’intégralité de l’article du NYT cliquez ici).
Un fournisseur de solutions de gestion des risques, SailPoint Technologies, a fait une excellente représentation graphique détaillée des exploits de Kerviel et des manquements de la SocGen, qui montre comment et à quels niveaux les contrôles auraient dû stopper les activités de Kerviel (ce document est intitulé Avoiding a Billion-Dollar Blind Spot et peut être consulté en cliquant ici).
Ainsi, selon ce document SailPoint, Kerviel a pu détourner les accès aux systèmes et les contrôles de privilèges, ce qui lui a permis de s’approprier les noms et mots de passe de ses collègues et de camoufler ses opérations frauduleuses. Pour citer les créateurs de ce graphique : « Si, au sommet d’une entreprise, il n’y a pas de séparation adéquate entre ceux qui gèrent et utilisent les contrôles IT et ceux qui sont responsables de les superviser et de s’assurer qu’ils ne sont pas utilisés de manière abusive, alors ces contrôles peuvent perdre leur efficacité ».
En conséquence, indique le document SailPoint, en raison de « la faiblesse des contrôle d’accès et de la supervision des activités, [SocGen] a dû s’en remettre à des évènements extérieurs pour révéler les fraudes en cours plutôt qu’à ses propres systèmes de contrôle ».
Et donc que doivent/peuvent faire les fonctions IT/Risque/Conformité ?
Si quelque chose de positif ressort des agissements supposément frauduleux de Kerviel et de l’aveuglement (manifeste ? feint ?) de SocGen, ce serait que cette affaire incite les responsables à discuter de la gestion des risques et des contrôles IT au sein de l’entreprise. Scott Crawford (Research Director and Security & Risk Management Practice Manager à Salient ; pour en savoir plus sur Salient, cliquez ici), qui est un peu un expert de cette affaire, suggère d’engager une simple « conversation » en commençant tout simplement par des questions de type « et si », comme par exemple :
• Seriez-vous capables de repérer des anomalies indiquant que vous êtes peut-être davantage exposé au risque que vous ne le pensez ? Existe-il des évènements décelables au sein des systèmes IT qui pourraient indiquer que vous êtes victimes d’un incident de cette nature ? Si c’est le cas, quels types d’anomalies recherchez-vous ?
• Les autorisations et les privilèges pour les employés de haut niveau pouvant prendre des risques importants sont-ils trop généreusement distribués ? Y a-t-il des fonctions ou des utilisateurs individuels disposant d’autorisations qui annulent littéralement la séparation adéquate des tâches ? Y a-t-il une supervision adéquate de ce type d’activités ? Et dans quelle mesure les contrôles sont-ils suffisamment efficaces pour permettre une séparation effective des tâches ?
• Quelles sont les anomalies de comportement qui pourraient indiquer que votre degré d’exposition est accru ? Quel est le risque que vos systèmes et alertes de contrôle fassent eux-mêmes l’objet d’un détournement ? Et de quelle manière pouvez-vous mettre en œuvre des contrôles plus efficaces, tout en étant capable de capitaliser sur de nouvelles opportunités d’affaires ?
Crawford affirme que l’un des plus grands problèmes est le partage de privilèges d’accès par les employés de haut niveau. « La question des professionnels extrêmement qualifiés qui connaissent parfaitement l’architecture du système et en particulier les moyens de l’infiltrer est l’un des plus grands risques révélés par l’affaire Société Générale ».
Le secteur des services financiers n’est d’ailleurs pas le seul à connaître des problèmes de sécurité des informatisations et de gestion des risques (sachant qu’avec des milliards en jeu, ce secteur est destiné à attirer les escrocs les plus talentueux et les plus brillants). Dans le monde interconnecté d’aujourd’hui, peu importe si le coupable se trouve à l’intérieur ou à l’extérieur, ou si la société a un niveau de contrôles maximum et minimum, les individus sont trop retors ou trop malins et trop ingénieux et ils trouveront toujours un moyen de doubler leurs collègues informaticiens. Dans son ouvrage brillant, Bruce Schneier (Secrets and Lies: Digital Security in a Networked World) parle des lacunes des mécanismes de sécurité numérique tels que l’encryptage. Il explique que même si les principes et les algorithmes mathématiques qui se trouvent derrière les clés chiffrées de 128 bits et les programmes d’infrastructure à clé publique sont indiscutablement parfaits, ces outils « ne se flottent pas dans le vide ». Ils existent dans le monde réel. Et dans le domaine de la sécurité, les points faibles « n’ont rien à voir avec les mathématiques » écrit-il, « Ils se trouvent dans le matériel, les logiciels, les réseaux et les individus. De magnifiques raisonnements mathématiques sont rendus caduques par la faute d’une mauvaise programmation, d’un système d’exploitation défaillant ou du choix d’un mauvais mot de passe par un individu ».
Et le procès continue
Comme nous l’avons indiqué, Daniel Bouton a été le dernier à témoigner. Le procès se termine vendredi. Les trois derniers jours sont réservés aux plaidoiries finales par le procureur, les plaignants de la partie civile et la défense de Kerviel. Nous publierons une synthèse post-procès la semaine prochaine.
