Société Générale : le témoignage clef de l'ex-responsable de la sécurité
Toujours à la SG dans les équipes sécurité de l'information, notre interlocuteur (qui préfère ne pas dévoiler son nom) est aujourd'hui en charge du respect des préconisations de la CNIL au sein du groupe.
Toujours à la SG dans les équipes sécurité de l'information, notre interlocuteur (qui préfère ne pas dévoiler son nom) est aujourd'hui en charge du respect des préconisations de la CNIL au sein du groupe. Il fut précédemment, dès février 2001, le responsable de la sécurité des systèmes d'information pour l'Europe, le Moyen-Orient et l'Afrique (EMEA) de la banque d'investissement du groupe, la Société Générale Corporate & Investment Banking (SG CIB). Un établissement aujourd'hui secoué par le scandale Kerviel.
Il exerce par ailleurs des mandats syndicaux au sein des instances représentatives du personnel de cette banque sur Paris, où l'on compte environ 20 000 salariés dont 5 000 prestataires et où il intervient sur les questions relatives aux lois « informatique et libertés».
En exclusivité pour LeMagIT, il confirme aujourd'hui les propos qu'il tenait déjà il y plusieurs années dans le magazine CSO, concernant la culture de la sécurité dans le secteur banque / assurance. Un témoignage crucial pour comprendre comment une grande banque française a pu laisser commettre par un de ses traders les agissements ayant, entre autre, conduit ce dernier en détention préventive, sans que pendant deux ans aucune alerte ne retentisse suffisamment pour empêcher la catastrophe pourtant annoncée.
Un témoignage qui va en partie dans le sens des déclarations de Jérôme Kerviel aux enquêteurs, selon les procès-verbaux de ses auditions publiées dans la presse. Et qui n'est pas pour redorer le blason du contrôle des risques de la communauté financière française.
1) La culture de la sécurité
"Ces dernières années, en rendant visite à mes collègues (dans des banques et des compagnies d'assurance) pour leur demander de bien vouloir m'éclairer sur leurs "messages idéologiques" et leurs "stratégies sécurité" à destination de leurs propres donneurs d'ordre (leurs directions informatiques et/ou "métiers"), deux points m'avaient particulièrement frappé:
- Pour la (très grande) majorité d'entre eux, leurs communications primaient terriblement sur leurs projets "délivrés", principalement par manque de budgets, très légers face à ceux d'établissements comparables à l'étranger. Avec l'aide de PowerPoint – ou plutôt "PauvrePoint" - et d'un "docte verbiage" de RSSI (Responsable de la Sécurité des Systèmes d'Information, ndlr) sans guère de moyens, le verbe était roi, mais les caisses restaient vides. Un exemple : faire imprimer des tapis de souris "La sécurité, c'est l'affaire de tous", en tachant de mettre sur le dos de la légendaire pingrerie du DAF ce qui est surtout une façon d'avouer que "la sécurité, cela consiste à distribuer des gadgets pas chers, et çà, personne ne pourra me le reprocher, au vu des lignes budgétaires qui me sont allouées".
- Les "vrais" mécanismes de contrôle ne font très souvent pas - doux euphémisme - l'objet de procédures écrites. Celles qui sont écrites sont devenues pour le moins obsolètes : à dire vrai, elles ne sont plus depuis des lustres celles qui sont de facto appliquées. Une sacrée différence avec ce que j'avais connu précédemment dans l'industrie (DCAN, Aérospatiale, Areva, CAT, Glaxo, Sagem...).
Un autre fait troublant : mon patron de l'époque ne disposait pas d'un référentiel documentaire. C'est pourtant la base du PAQ (Plan d'Assurance Qualité, ndlr), permettant de définir ne serait-ce que les documents qui sont ou non révisables. En fait, et surtout, il n'en voulait pas ! Trop cher, pas obligatoire dans ce secteur d'activité et sous nos latitudes... Et si je menaçais de partir, lors des négociations de budgets sécurité par exemple, mon patron me faisait comprendre, avec philosophie, que je devais pas gâcher la fête, et m'invitait à me retirer du banquet si l'ivresse du risque à prendre m'indisposait."
2) Le rôle du responsable sécurité
"Le RSSI a depuis quelques années le pouvoir (et le devoir) de (faire) pénétrer de façon "intrusive" les systèmes (et les "organisations" liées à ces systèmes) qu'il a pour mission de protéger. Il peut donc facilement "solliciter" les VIP de l'encadrement pour les mettre devant leurs responsabilités : de la découverte d'éventuelles failles applicatives (et surtout "organisationnelles") à l'obligation faite aux sous-traitants (par l'encadrement en question) d'utiliser le compte et le mot de passe de leur donneur d'ordre (de leur "client" pour parler clairement).
Mais, dans la pratique, malgré ces alertes, rien ne bouge rapidement et facilement, principalement car les compétiteurs n'investissent pas plus dans la sécurité que nous.
Mon travail consistait donc à vérifier que les problèmes avaient bien été évoqués en interne, de façon "traçable" : qui a dit quoi, avec quelle légitimité, pourquoi et quand. J'étais donc le (jeune) patron de la sécurité de nombreuses entités géographiques dans les pays "EMEA", presque sans budget "projet" la première année (consacrée à faire du "législatif") et avec pour unique ressource une équipe de trois prestataires (forts expérimentés, et bon rédacteurs de "policies"). Tous mes homologues au sein d'autres établissements m'ont avoué - et prouvé parfois à leur détriment - vivre des situations similaires."