Kerviel accusé, l'informatique de la Société Générale déjà coupable
Hier, s'est ouvert à Paris le procès de Jérôme Kerviel, l'ex-trader de la Société Générale accusé d'avoir organisé une fraude ayant fait perdre 4,9 milliards d'euros à son employeur. Même si la banque parvient à démontrer que l'homme a agi à l'insu de tous - ce que Kerviel conteste -, la toute puissance de ses systèmes informatiques, notamment en matière de contrôle des risques, sort sévèrement écornée de cette affaire.
Le procès de Jérôme Kerviel vient de s’ouvrir. L’occasion, pour sa défense, de présenter l’ancien trader de la Société Générale (SG) comme un « pion », celui d’un système qui serait défaillant. Et si les avocats de Kerviel ont décidé de jouer, d’emblée, la carte de l’offensive sur la banque, celle-ci ne devrait pas manquer de riposter.
Justement, pour la Société Générale, ce procès est loin de s’annoncer comme une partie de plaisir. Rappels. En novembre 2008, la défense de Jérôme Kerviel mettait en doute « l’intégrité » des relevés d’opérations transmis par la banque à la justice. Des listings qui ne seraient « pas complets », selon Thomas Mougard, ancien assistant du trader de la Société Générale. Les juges Renaud van Ruymbeke et Françoise Desset, chargés du dossier, ont d’ailleurs dû se rendre au siège de la SG en compagnie d’un expert pour auditer la base Eliot sur laquelle les traders du desk Delta One (où travaillait Kerviel) enregistrent leurs opérations.
Il faut dire que, compte tenu de la stratégie de défense adoptée par Jérôme Kerviel dès septembre 2008, ces documents apparaissent comme clés dans le dossier. Selon l’ex-trader et ses avocats, la direction de la banque a non seulement fermé les yeux sur ses agissements, mais a également introduit des éléments fictifs dans la comptabilité. Des affirmations qui consistent à déplacer la loupe des enquêteurs du contrôle des risques - un domaine ou Jérôme Kerviel a su exploiter les failles d’un système qu’il connaissait bien, comme l’a révélé l’audit interne de la banque - vers la comptabilité. Un observateur, très proche du dossier, notait alors que, ce faisant, Jérôme Kerviel attaquait « là où ça fait mal. »
Un contrôle des risques peu efficace
Reste que le contrôle des risques de la SG, une des fiertés de la banque jusqu'alors, sort sévérement écorné de cette affaire. Dès février 2008, la banque n’avait d’autre choix - dans un rapport d’étape suite à un audit interne - que de reconnaître un certain laxisme dans ses contrôles : « l’absence d’identification de la fraude jusqu’à cette date (janvier 2008, ndlr) peut s’expliquer d’une part par l’efficacité et la variété des techniques de dissimulation utilisées par le fraudeur et, d’autre part, par le fait que les opérateurs n’approfondissent pas systématiquement leurs vérifications, enfin par l’absence de certains contrôles qui n’étaient pas prévus et qui auraient été susceptibles d’identifier la fraude. » 75 alertes seraient parvenues aux différents services de contrôle sur le périmètre géré par Jérôme Kerviel, entre juin 2006 et janvier 2008. Sans effet apparent. Le rapport d’étape, basé sur des entretiens avec les contrôleurs, contenait ainsi quelques perles ; ainsi, confronté à une alerte, tel contrôleur attribuait « l’origine des anomalies à des problèmes récurrents d’enregistrement des opérations dans les systèmes informatiques. » Tel autre « n’a pas pris la peine de transmettre l’information à la hiérarchie proche même lorsque les montants sont élevés. »
Disséqué par la suite dans nos colonnes, le rapport de la SG mettait notamment en évidence des « bizarreries », à commencer par l’absence de contrôle interne des prix sur les opérations de gré à gré, en dehors d’une place boursière.
Les dépenses IT pour rassurer
Pour rassurer ses actionnaires et les marchés, la SG a dégainé des investissements IT avec, en particulier, la promesse de l’introduction de la biométrie au sein de la salle de marché Delta One, ou encore l’évolution du poste de travail de la banque d’investissement, couplée à l’enregistrement de tous les flux numériques des traders. En tout, une enveloppe de 100 M€ d’actions correctrices. Mais si, pour la SG, Kerviel a, depuis le début, tous les traits d’un « petit génie » du piratage informatique (rappelons que l'ex-trader est poursuivi notamment pour introduction frauduleuse de données dans un système informatique), l’ex-responsable de la sécurité du système d’information de la banque soulignait, dans nos colonnes, en février 2008, le décalage entre ce qui était affiché jusque là, en matière de sécurité du SI, et la réalité : pour l’essentiel, faute de moyens, la communication des donneurs d’ordres primait terriblement sur leurs projets « délivrés ». Et de parler sans ambages du « docte verbiage » des RSSI... Les choses ont-elles réellement changées depuis ? Cette question, à laquelle le procès en cours n’a pas vocation à répondre, mérite toutefois d’être posée : de fait, début mai, la SG s’est trouvée confrontée au vol du code source confidentiel d’une application de trading à haute fréquence.
Pour approfondir sur Réglementations et Souveraineté
-
Projet IT : La Société Générale s’appuie sur Sybase IQ pour le calcul des risques
-
Spécial sécurité : UBS, la preuve indiscutable du principe de Murphy
-
Trois ans de prison pour Jérôme Kerviel, les carences de la SG montrées du doigt
-
Après l'affaire Kerviel, la Société Générale confrontée à un vol de code source confidentiel