La SG obligée de confirmer l'apathie de son contrôle des risques
Cernée par les enquêtes au sujet du scandale Kerviel (du nom du trader ayant, suite à des manipulations frauduleuses, causé une perte de près de 5 milliards d'euros), la Société Générale publie un rapport d'étape.
Cernée par les enquêtes au sujet du scandale Kerviel (du nom du trader ayant, suite à des manipulations frauduleuses, causé une perte de près de 5 milliards d'euros), la Société Générale publie un rapport d'étape. Le document détaille les techniques employées dans cette affaire et les raisons pour lesquelles le jeune trader, qui a commencé à prendre des positions non autorisées « en 2005 et 2006 pour des montants faibles » avant d'accentuer le risque qu'il faisait courir à l'établissement « à compter de mars 2007 », n'a été identifié par les services de contrôle interne qu'entre le 18 et le 20 janvier 2008.
Rappelons que Jérôme Kerviel travaillait dans un service spécialisé dans l'arbitrage. Autrement dit, il devait prendre des positions par paires (une à l'achat, l'autre à la vente) en jouant sur des écarts de valorisation très faibles. Pour atteindre des gains significatifs, les traders spécialisés dans l'arbitrage mettent donc en jeu des valeurs nominales élevées. Tout le principe de la fraude Kerviel consistait à couvrir des positions à la hausse ou à la baisse par de fausses opérations en sens inverse. Malgré tout, la communauté financière s'interroge : comment une fraude aussi longue (rappelons que l'opération qui fut fatale à Jérôme Kerviel résulte de son besoin de couvrir de précédentes manipulations, ayant abouti à un gain d'environ 1,5 milliards qu'il ne pouvait avouer à sa hiérarchie), sur des montants aussi significatifs, a-t-elle pu passer inaperçue aux yeux des services de contrôle interne ?
Kerviel : tout sauf un génie du piratage
C'est à cette question que tente de répondre le document publié hier par le Comité spécial de la SG. Ce dernier, sorte de cellule de crise nommée par le conseil d'administration le 30 janvier et présidée par Jean-Martin Folz (ex patron de PSA Peugeot Citroën), y rend compte les conclusions actuelles de l'audit interne de la banque. Il ne s'agit là que d'une des enquêtes autour de ce scandale ébranlant la place financière de Paris ; la Commission bancaire et la brigade financière de Paris menant leurs propres investigations.
L'intérêt de ce document - 27 pages, souvent très techniques – consiste à démonter les manipulations du jeune trader telles que les présentent aujourd'hui les services d'audit interne. D'abord un mythe est définitivement balayé. Jérôme Kerviel est tout sauf un hacker génial. Comme l'expliquait déjà, après ses conversations avec le trader, l'expert judiciaire près de la cour d'appel de Versailles, Jean-Raymond Lemaire, à Paris Match. Le rapport du comité précise même que « les sept accès indus initialement identifiés par la task force de SGCIB (la filiale victime de la fraude, dont le siège est en photo ci-contre) n’ont pas in fine été avérés ». En l'état actuel des investigations, Jérôme Kerviel s'est donc contenté de produire de faux e-mails, sept au total. Pas de quoi rentrer au panthéon des hackers ! S'y ajoute une connaissance visiblement assez pointue des procédures de contrôle et de leurs failles.
Contrôles un peu laxistes
Car, et c'est bien là le principal enseignement du rapport, les contrôles ont fonctionné... normalement. En fonction des procédures en place ! Jérôme Kerviel déjouant la vigilance de ces services par des techniques diversifiées (lui permettant d'avoir affaire à des contrôleurs différents) et par sa capacité à fournir aux agents qui l'interrogeaient des réponses rapides. « L’absence d’identification de la fraude jusqu’à cette date (janvier 2008, ndlr) peut s’expliquer d’une part par l’efficacité et la variété des techniques de dissimulation utilisées par le fraudeur, d’autre part par le fait que les opérateurs n’approfondissent pas systématiquement leurs vérifications, enfin par l’absence de certains contrôles qui n’étaient pas prévus et qui auraient été susceptibles d’identifier la fraude », précise le rapport.
C'est bien sur ces points que le comité Folz, certes en termes aimables, se fait incisif. « Il n’existe pas de contrôle sur les transactions annulées ou modifiées, ni sur les transactions à départ différé, ni sur les transactions avec des contreparties techniques, ni sur les nominaux élevés en position, ni sur les flux non transactionnels en cours de mois, autant d’analyses qui auraient probablement permis d’identifier la fraude », souligne-t-il. Autant de lacunes exploitées par Jérôme Kerviel. Quant aux fameux services de contrôle censés surveiller les risques pris par les salles de marché, ils respectent certes les procédures, mais paraissent bien apathiques. Se satisfaisant souvent des déclarations d'un trader ayant pourtant suscité une alerte.
75 alertes entre juin 2006 et janvier 2008
Les opérateurs de ces services n'ont pas « le réflexe d’informer leur hiérarchie ou celle du front office (la salle de marché, ndlr) de l’apparition d’anomalies même de montants élevés si cela ne figure pas précisément dans les procédures concernées », poursuit le rapport. Qu'en termes polis ces choses-là sont dites... L'inspection interne identifie ainsi, entre juin 2006 et janvier 2008, pas moins de 75 alertes parvenues aux différents services de contrôle sur le périmètre géré par Jérôme Kerviel. A la question : « Pourquoi le contrôle n'a-t-il pas permis de détecter la fraude ? », le rapport, basé sur des entretiens avec les contrôleurs, se passe de commentaires. « Attribue l’origine des anomalies à des problèmes récurrents d’enregistrement des opérations dans les systèmes informatiques. Il se contente de notifier le dépassement de limite à JK (Jérôme Kerviel, ndlr) et à sa hiérarchie proche et de s’assurer de sa résorption ». Ou encore : « n'a pas pris la peine de transmettre l’information à la hiérarchie proche, même lorsque les montants sont élevés ». Quant à la découverte de la fraude, notamment les premiers doutes sérieux le 16 janvier, elle résulte pour partie de l'insistance d'un agent, qui qualifie lui-même son comportement « d'excès de zèle » ! Plus que la faillite d'un service ou de quelques agents, c'est donc tout un système, basé sur l'autorégulation du secteur financier (via les accords dits de Bâle II), qui montre ici ses limites (voir l'interview d'un ex-responsable sécurité de la SGCIB que nous publions en exclusivité). La réputation du contrôle des risques de la SG – pourtant solide avant cette affaire – est aujourd'hui en miettes.
La SG promet l'usage de la biométrie
Bref, même si le rapport ne révèle ni fraude organisée, ni défaillance à proprement parler, on tombe de haut quant à la fiabilité de ce système censé s'autocontrôler. De même que les enquêteurs qui ont mis à jour la relation amicale qu'entretenait Jérôme Kerviel avec un autre trader Moussa Bakir, 32 ans, courtier à la Fimat (filiale de la Société Générale), via SMS ou messagerie interne de la base de données financières Reuters. Selon le Nouvel Observateur, qui a publié quelques uns des échanges de SMS entre les deux hommes, les portables n'étaient pas interdits dans les salles de marché de la Société Générale, contrairement à ce qui avait été affirmé. Et aucun brouillage ne venait perturber les communications. « Or l'usage exclusif des téléphones fixes, tous écoutés et enregistrés, était présenté comme une mesure de base pour la sécurité des transactions et pour réparer les éventuelles erreurs », rappelle l'hebdomadaire.
Pour balayer devant sa porte, la Société Générale indique avoir engagé un plan d'action. Le rapport cite trois chantiers prioritaires, sans en détailler toutefois l'état d'avancement : « le renforcement de la sécurité informatique, par le développement de solutions d’identification forte (biométrie), l’accélération de projets structurels en cours en matière de gestion de la sécurité des accès ainsi que des audits de sécurité ciblés » ; une révision des procédures d'alerte afin de s'assurer que l'information circule bien entre les différents services de contrôle et au bon niveau hiérarchique ainsi que de nouveaux contrôles ; enfin, une nouvelle organisation de gestion des risques opérationnels. Une façon – implicite – de reconnaître l'inefficacité d'un système décrit jusqu'à récemment comme quasi infaillible, mais qu'un jeune trader de 31 ans a déjoué pendant plus de 18 mois avec une facilité déconcertante.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Comment Euroclear sécurise ses flux Web et ses accès distants
-
Trois ans de prison pour Jérôme Kerviel, les carences de la SG montrées du doigt
-
Kerviel accusé, l'informatique de la Société Générale déjà coupable
-
Après l'affaire Kerviel, la Société Générale confrontée à un vol de code source confidentiel