De la société en général et de la Société Générale en particulier
Ce qu'il est désormais convenu d'appeler « l'affaire de la SG » ou « l'affaire Kerviel » se transforme en un formidable marathon médiatique. Les éléments à charge ou à décharge passant par un filtre à informations relativement serré, les interprétations de chaque expert demeurent réservées. Mais tous tombent d'accord sur un point : les responsabilités -ou du moins les absences d'initiatives- impliquent largement d'autres personnes que le présumé coupable. Et cela va du CSO à la direction générale, en passant par les ressources humaines... Après avoir effectué une analyse rapide de la situation, voici que Bruno Kerouanton revient sur l'affaire et précise certains points importants. Notamment sur le fait que le ou les présumés coupables avaient apparemment à disposition trop d'informations leur permettant de contourner les alarmes mises en place. Il existe une sérieuse marge, dit en substance B. Kerouanton, entre la « sécurité par l'obscurantisme » et la « divulgation débridée » touchant aux mécanismes intimes d'une politique de sécurité. Qu'un RSSI ou CSO mette en oeuvre une sécurité normée, reposant sur des outils contemporains est une bonne chose. Qu'il sache anticiper un sinistre en « imaginant » les actes probables d'un intrus, voilà qui est bien meilleur. La sécurité ne peut se résumer en un audit serré des procédures techniques. Il faut savoir envisager « ce qui ne devrait jamais arriver »... et qui arrive malgré tout. Cette connaissance intime des mécanismes de sécurité et des barrières, Steve Bellovin en parle également, en insistant sur le fait que même face à un adversaire parfaitement renseigné, un périmètre de défense doit fonctionner. C'est le principe du verrou physique à la Montalembert. Mais en informatique, il est élevé, le nombre de portes dérobées, de duperies possibles, de poternes béantes. Bellovin revient également sur certaines techniques de fraudes révélées par le Wall Street Journal, notamment l'usage d'e-mails soi-disant émis par des entreprises fictives, ou sur le fait que bon nombre d'alertes auraient été ignorées car justifiées par des « erreurs de manipulation ». Un détail révélateur au moins d'une chose : c'est que l'excuse invoquée était plausible. Et si elle était plausible, c'est qu'il survenait déjà un nombre assez important de faux-positifs pour que personne ne s'en émeuve. Reste que toutes ces « preuves » ne sont que des informations très difficilement vérifiables, et échafauder la moindre théorie à l'heure actuelle semble relativement risqué. La seule chose qui soit certaine, c'est que certaines sécurité n'ont pas fonctionné, et qu'il a fallu que le montant des pertes devienne astronomique pour que l'affaire éclate. Question corollaire, peut-on craindre que d'autres « affaires » semblables, portant sur des volumes de transaction nettement moins élevés, passent actuellement sous le faisceau des radars ? Et qui pourra dire la différence entre un général victorieux et un traitre à la patrie, entre un golden boy à qui souris la fortune et un trader-maudit ? Le patron de la SG l'avoue lui-même : « Si le marché avait été à la hausse entre lundi et mercredi, ces pertes se seraient transformées en gain », propos rapportés par nos confrères du Guardian.
