Après l'affaire Kerviel, la Société Générale confrontée à un vol de code source confidentiel

Un employé new-yorkais de la banque a tenté de s'emparer du code source d'une application de trading à haute performance, avant de démissionner. Une opération finalement détectée par la banque. Il fait aujourd'hui l'objet de poursuites aux Etats-Unis pour vol de secrets commerciaux.

C'est un scénario de cauchemar pour toute entreprise : un employé de confiance, un initié, qui vole les données les plus sensibles de l'entreprise, ses secrets commerciaux. Pour la Société Générale, le cauchemar est sans doute devenu une réalité. La banque a découvert que le code source de ses applications de trading à haute performance a fait l’objet d’un vol. Un trader qui travaillait dans ses bureaux new-yorkais aurait ainsi dérobé l’année dernière le code des applications les plus sensibles de la banque, avant de quitter l’entreprise. Samarth Agrawal a été arrêté le 19 avril et accusé de vol de secrets commerciaux. Selon les procureurs, il a copié une partie du code source du système de trading de la Société Générale en juin 2009, après avoir été promu au sein de la banque. Il aurait imprimé des centaines de pages de code source dans son bureau un samedi, les caméras de sécurité de la banque l’ayant surpris en train d’empiler ces listings dans son sac à dos. Quelques semaines plus tard, il aurait aussi copié et imprimé une autre portion du code, à laquelle il n’avait officiellement pas accès, avant de démissionner en novembre.

La sécurité à la SG mise en doute Selon les autorités américaines, la Société Générale a dépensé des millions de dollars pour le développement d’un système informatique sophistiqué de trading à haute vitesse. Heureusement, la banque a découvert le forfait de son employé. Mais plusieurs experts notent de multiples failles dans la sécurité de la banque, ainsi que des manques dans la protection de sa propriété intellectuelle. « Si le suspect n’avait pas été aussi maladroit, il aurait probablement pu prendre la fuite avec le code, » explique Jonathan Gossels, le Pdg de SystemExperts Corp, une société de conseil en sécurité. L’affaire Société Générale n’est pas la première du genre et intervient plusieurs mois après une affaire similaire de vol de secrets commerciaux chez Goldman Sachs.

Contrôles d’accès et provisionning des droits utilisateurs Selon les procureurs, la Société Générale a pris de nombreuses mesures pour protéger son code propriétaire, notamment en limitant l’accès aux employés qui en ont besoin pour leur travail. Elle a aussi mis en place un processus de suivi de ses systèmes afin de limiter les transferts électroniques vers l’extérieur. Dans un communiqué par e-mail, la Société Générale explique qu’elle « protège vigoureusement » ses informations exclusives et sa propriété intellectuelle. Toutefois, nombre d’experts en sécurité se demandent pourquoi un opérateur de marché a pu avoir accès au code. « Pourquoi quelqu’un qui n’est pas un développeur a-t-il pu avoir accès au code du programme ? », s’interroge Jodi Pratt, un consultant du cabinet Jodi Pratt and Associates, qui se spécialise dans la fraude et la gestion des risques d’exploitation pour les services financiers. Bien que certains traders personalisent leurs programmes, cela ne semble pas avoir été le cas dans l’affaire Société Générale, abonde Jonathan Gossels. « La plupart des utilisateurs ne devraient pas avoir accès au code source », note-t-il. En outre, la façon dont le voleur présumé a mis la main sur une partie du code, auquel il était censé ne pas avoir accès, indique un problème dans la gestion des droits utilisateurs, explique Pratt. « Habituellement, dans les institutions financières, l’accès est strictement limité en fonction du rôle et du compte utilisateur », ajoute Gossels.

Les technologies DLP auraient été utiles… La propriété intellectuelle et notamment les codes sources informatiques se prêtent parfaitement à l’usage de technologies de prévention de pertes de données (DLP) ajoute Gossels. « Il est difficile et coûteux de déployer des outils de DLP à l’échelle de l’entreprise, mais quand vous avez affaire à un environnement précis et ciblé, le contrôler avec le DLP et mettre en œuvre un contrôle très granulaire des accès deviennent tout à fait possibles ». Un outil DLP peut restreindre les possibilités d’un utilisateur, y compris empêcher la copie de données dans un fichier Word. Un système d’analyse comportementale aurait aussi détecté la présence suspecte de l’employé un samedi, indique Pratt. « Vous pouvez déterminer si quelqu’un est présent à un endroit où il ne devrait pas être », explique-t-il. Gossels note toutefois que la Société Générale a pu détecter le vol apparent de secrets commerciaux et a des preuves des actions de l’employé. « Clairement ils avaient au moins une bonne gestion de leurs logs », conclut-il. En France, la sécurité et les procédures de contrôle de la Société Générale seront également sous les feux de l’actualité à partir du 8 juin, date à laquelle débute le procès de Jérôme Kerviel, accusé de « faux et usage de faux, abus de confiance et introduction frauduleuse de données dans un système de traitement automatisé ». Suite à la révélation de l’affaire, la SG avait mis en avant ses investissements dans la sécurité informatique –

notamment dans la biométrie – pour montrer sa volonté d’améliorer ses processus de contrôle, et, ainsi, retrouver la confiance des marchés.

Par Marcia Savage, SearchSecurity.com

Pour approfondir sur Menaces, Ransomwares, DDoS

Close