Société Générale : sept faux emails forgés par Jérôme Kerviel pour tromper les contrôles
Selon un rapport d'étape du comité spécial de la Société Générale, Jérôme Kerviel se serait justifié sept fois auprès des contrôleurs en créant de faux emails. La dextérité du trader et l'inadéquation des procédures de contrôle métier sont mises en évidence. La banque doit durcir sa sécurité informatique.
Le Mercredi 20 février 2008, en soirée, le Comité spécial du Conseil d'administration de la Société Générale a publié un rapport d'étape de 27 pages sur ses investigations à la suite de la découverte d'une fraude qui aura coûté près de 5 milliards d'euros à la banque. Pour résumer, à la lecture de ce document, c'est à la fois la faiblesse des contrôles métiers de la banque et l'astuce de Jérôme Kerviel qui auraient permis la fraude. Jérôme Kerviel semble avoir démontré une capacité impressionnante à jongler avec les outils financiers de la banque et à manipuler leur logique interne. De même, on note une absence d'initiative des responsables du contrôle à procéder à des examens plus poussés et non explicitement prévus dans les procédures. Une certaine crédulité et le manque de confiance en soi des agents de contrôle ont également pu contribuer à la poursuite des manipulations. Usage de faux emails à sept reprises Par ailleurs, il avait été évoqué par la banque le fait que Jérôme Kerviel aurait usurpé des droits d'accès. Cela ne paraît plus aussi évident. Selon le rapport, l'investigation d'éventuelles usurpations informatiques commises par JK se poursuit. En effet, « Les sept accès indus initialement identifiés par la task force de SGCIB [NDLR : Société Générale Corporate Investment and Banking] n'ont pas in fine été avérés (la task force avait mal interprété les informations recueillies à ce sujet) ». En revanche, on note dans les causes de l'absence de détection des actions frauduleuses, l'usage semble-t-il de faux emails forgés à sept reprises par Jérôme Kerviel afin de se justifier. Ces emails apparaissaient comme ayant été émis par d'autres établissements bancaires servant de contre partie. Entre le 12 avril 2007 et le 18 Janvier 2008, sept emails frauduleux ont ainsi été détectés: - en vérifiant qu'ils concernaient des transactions fictives ou à d'autres conditions que celles évoquées dans les emails, - en vérifiant dans l'outil Zantaz (archivage des emails) que Jérôme Kerviel, n'avait reçu aucun message de l'émetteur indiqué ces jours-là, - en identifiant d'éventuelles anomalies dans les emails (signature modifiée par rapport aux autres emails du même émetteur) En outre, la banalisation des erreurs de certains programmes informatiques a pu entraîné une absence de réaction : « [Le département ] RISQ/RDM/EQY attribue l'origine des anomalies à des problèmes récurrents d'enregistrement des opérations dans les systèmes informatiques. Il se contente de notifier le dépassement de limite à JK et à sa hiérarchie proche et de s'assurer de sa résorption ». Le comité spécial estime donc que des faiblesses ont été identifiées dans le dispositif de supervision et de contrôle auxquelles il convient d'apporter sans délai des remèdes. Trois chantiers prioritaires doivent être enclenchés afin de renforcer le dispositif de contrôle en vue de prévenir la survenance de nouvelles fraudes : - le renforcement de la sécurité informatique, par le développement de solutions d'identification forte (biométrie), l'accélération de projets structurels en cours en matière de gestion de la sécurité des accès ainsi que des audits de sécurité ciblés. - Le renforcement des contrôles et des procédures d'alerte ; celles-ci sont revues notamment pour s'assurer d'une circulation appropriée des informations pertinentes entre les différentes unités et au bon niveau hiérarchique - Le renforcement de l'organisation et de la gouvernance du dispositif de prévention des risques opérationnels pour en développer la transversalité et mieux prendre en compte le risque de fraude, y compris sous l'angle des ressources humaines. Encore des travaux en cours L'essentiel des travaux a été engagé, toutefois, un certain nombre d'entre eux n'a pas pu être achevé à ce jour qui comprennent des analyses de la sécurité informatique : Principalement, selon le comité il leur reste à mener à leur terme les travaux suivants :"(...) l'approfondissement de nos analyses sur les possibilités d'intrusion dans le système front office, l'étude exhaustive des messageries électroniques et des bandes téléphoniques de JK et de son entourage professionnel". Affaire à suivre.