L'affaire Kerviel

Publié le par Bernard Sady

Un excellent article de 01Informatique du 07 février 2008 (pages 30 à 32) explique que « l'affaire de la Société Générale apparaît finalement comme un banal problème de sécurité informatique... »

 

Cet article résume les faits en trois actes :

« La combine. Durant plus d'un an, un courtier maquille des opérations fictives pour couvrir les risques financiers qu'il prend.

« L'astuce. Informé des procédures de contrôle, il utilise un mot de passe de contrôleur pour produire de faux courriels et couvrir ses agissements.

« L'incident. La banque solde les opérations du courtier découvert. Elle perd 4,9 Md€ sur un marché en chute. »

 

La faille dans le système de sécurité de la Société Générale ? « Des collègues qui s'échangent des mots de passe autour d'un café. Une procédure de promotion interne qui "oublie" de réinitialiser certains droits d'accès. Et des contrôles davantage fondés sur la confiance collective que sur la coercition. »

 

Les leçons à tirer de cette affaire et quelques conseils donnés par les experts questionnés par 01Informatique :

«  Malgré tous les outils informatiques et les procédures, il est impossible de garantir à 100% que personne ne passera à travers les mailles du filet. » Un RSSI d'une grande banque.

« Dans tout système informatique, les maillons faibles sont la mise en oeuvre et le facteur humain. Deux sources d'écueils souvent minimisés par les entreprises. » Mark Chald - Spécialiste du risque bancaire au cabinet Jefferson Wells

« La sécurité est une dynamique. Même si l'on se croit à un bon niveau, il faut sans cesse se remettre en cause, car les hommes et les techniques changent. Il est aussi important d'adapter sa politique au contexte et d'appliquer une authentification durcie sur les opérations les plus critiques. » Pascal Lointier - Président du Clusif.

« Bien séparer ceux qui contrôlent de ceux qui sont contrôlés. Quand celui qui est contrôlé connaît les procédures, il peut les contourner. Il suffit d'avoir une motivation : celle de vouloir cacher ses erreurs. » Axel Pierron - Analyste chez Celent.

« Se doter de véritables spécialistes du risque. Un juriste est pertinent pour évaluer les risques juridiques, mais reste forcément vague pour ce qui est informatique. » David Morrey - Directeur des Practices d'audit du cabinet Jefferson Wells.

 

Et la conclusion de l'article n'est pas rassurante : « La situation décrite à la Société Générale ressemble donc plus à la norme qu'à l'exception. Le plus surprenant est peut être que ce soit le premier scandale de cette ampleur. Car une authentification forte coûte cher, et peut obliger à revoir des pans entiers de son informatique. Tout est donc affaire de dosage entre risque et sécurité. Même s'il est toujours difficile de savoir où arrêter le curseur... »

 

Tout est dit dans cet article. A chaque entreprise de définir le niveau de sécurité nécessaire en fonction du risque encouru.

Publié dans Sécurité informatique

Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
L’ingénierie sociale
L’ingénierie sociale
Droits et devoirs concernant Internet au bureau
Droits et devoirs concernant Internet au bureau
Méfiez-vous de vos “amis”…
Méfiez-vous de vos “amis”…
Sécurité informatique : une préoccupation permanente pour les entreprises
Sécurité informatique : une préoccupation permanente pour les entreprises
Le ch'timi ch'est fachile
Conseil du jour : Le Malvertising (2)
Commenter cet article