Les développements logiciels étroitement surveillés

le 22/04/2010 L'AGEFI Hebdo

Les établissements financiers ont renforcé leur arsenal technologique, notamment avec des outils de traçabilité des actions des informaticiens.

On ressent les traumatismes de ces deux dernières années qui ne sont pas neutres en termes de sécurisation, aussi bien sur les données que sur les codes sources. Il y a, par exemple, un niveau de défiance beaucoup plus important vis-à-vis des prestataires externes, notamment au Luxembourg ou en Suisse», reconnaît Florent Skrabacz, directeur des activités en Ile-de-France de Lexsi, un cabinet spécialisé dans la sécurité. Pour les établissements financiers, la sécurité informatique est depuis toujours une priorité. Mais elle se posait essentiellement en termes de protection des données et de prévention des intrusions dans le système d’information. La récente affaires de vols de données clients chez HSBC ayant atterri dans les mains de certains services fiscaux est le cauchemar de toutes les grandes banques. Désormais, ce sont également les lignes de codes qui sont au centre de toutes les attentions. Là aussi, la mésaventure des banques d’affaires Goldman Sachs et UBS est symptomatique des risques encourus. Au cours de l’été 2009, la première a révélé le vol, par un ancien responsable du trading actions, de plus de 30 giga-octets de développements applicatifs transférés depuis un «serveur sécurisé» sur un ordinateur personnel. UBS, de son côté, a avoué le vol de 25.000 lignes de codes concernant des programmes de trading algorithmique haute fréquence par trois anciens employés qui les auraient utilisés pour leur compte. Dans les deux cas, outre une image écornée sur le plan de la sécurité, ce sont des pans entiers de la stratégie de trading traduit en informatique qui partent à la concurrence.

Cloisonner les développements

Aussi, dans les établissements financiers, les différentes personnes intervenant dans le développement de codes ayant trait au trading, à la gestion d’actifs, sont très isolées fonctionnellement et avec une réelle volonté de contrôler leurs échanges. Elles travaillent sur des postes dédiés et les réseaux informatiques entre deux plates-formes de développement critiques sont disjoints. En outre, un développeur travaillera sur un réseau informatique qui ne sera pas en mesure d’accéder à l’extérieur pour prévenir toute fuite de code, par exemple. C’est notamment le cas chez ABC Arbitrage : «Nous interdisons tous les sites de réseaux sociaux ainsi que les webmails personnels, explique Dominique Ceolin, président du directoire. Il y a des postes de travail dédiés pour cela. Mais cela devient de plus en plus compliqué car beaucoup de savoir est présent sur des bases de données ou des forums en ligne. Internet est indispensable mais c’est également une faille.»Autre protection, seuls quelques dirigeants chez ABC Arbitrage peuvent envoyer des e-mails avec fichiers joints et ceux-ci sont analysés à l’aide de mots clés pour un éventuel blocage si leur contenu contrevient à la politique de sécurité. «Maisla sécurité d’une société de 75 personnes ne se gère pas de la même façon qu’un groupe de plusieurs milliers», nuance Dominique Ceolin. Sans compter le coût des mesures de protection à cette échelle.

Ainsi, selon Christophe Auberger, ingénieur système senior chez Fortinet, une société spécialisée dans la sécurité informatique, «il existe des outils d’audit de bases de données permettant de contrôler certains comportements douteux comme des accès trop ouverts ou des lectures de tables entières. Avec un équipement de 30.000 euros, il est possible de surveiller une dizaine de bases de données, sans parler des coûts induits de mises en place de processus. Et un groupe bancaire peut compter jusqu’à 15.000 bases de données». Mais ce gigantisme peut être en soit une protection. «Les systèmes d’information des banques sont tellement complexes qu’en détenir une partie d'un code source n’a pas vraiment d’intérêt», déclare Jean-Michel Laprevotte, responsable commercial de l’activité banque d’investissement et brockerage au sein du groupe informatique Objectware. Ses consultants opèrent dans les salles de marché pour développer très rapidement, en une heure parfois, des composants logiciels nécessaires aux traders. «Les banques ont adopté des techniques militaires : tout un chacun n’a pas une vision globale de l’ensemble d’un projet. Conséquence de la crise financière, le nombre important de réorganisation dans les banques de financement et les changements de postes induits entraînent une dilution des savoirs. C’est aussi un moyen de se protéger.»

Renforcer la traçabilité

Mais plus que la crise, l’affaire Kerviel a été le signal d’un renforcement de la sécurité, au niveau de la traçabilité. «Les banques ont beaucoup investi depuis deux ans et cela commence à porter ses fruits, souligne Jean-Michel Laprevotte. On ne peut pas forcément empêcher les transferts de données informatiques mais on peut désormais les tracer et remonter à la source de l’infraction.» «Certaines banques ont renforcé leurs équipes de surveillance et ont élargi leurs champs d’investigation : au-delà des tentatives d’intrusion dans les systèmes, elles tentent de détecter désormais des comportements anormaux pouvant déboucher sur des utilisations frauduleuses», confirme Florent Skrabacz. C’est la même analyse qui prévaut chez ABC Arbitrage : «Nous enregistrons l’ensemble des actions de nos collaborateurs, qui a fait quoi, quand. Nous ne pouvons observer les actions en temps réel, ce n’est pas autorisé par la Cnil (Commission nationale de l'informatique et des libertés, NDLR), mais, en cas de fraude, nous pouvons enquêter a posteriori», affirme Dominique Ceolin. ABC Arbitrage enregistre également les conversations ainsi que les échanges d’e-mails. «Les conversations en interne ne sont pas enregistrées car cela stresse nos collaborateurs», précise Dominique Ceolin. En termes de stockage de données, cela représente tout de même un coût d’un peu moins de 100.000 euros tous les trois ans.

Durcir les conditions contractuelles

En parallèle de l’arsenal technologique, les conditions juridiques ont été durcies. «C’est très net depuis l’affaire Kerviel, les clauses contractuelles ont été renforcées, relate Jean-Michel Laprevotte.L’objectif pour les banques est de se protéger mais aussi d’informer sur les risques encourus. Jusque-là, les conséquences pénales n’étaient pas clairement explicitées. C’est désormais en clair dans les contrats.» «En cas de vol de code par exemple, il faut frapper très fort, au niveau pénal, pour dissuader d’autres tentatives», renchérit Dominique Ceolin. Mais partant du principe qu’aucun système de contrôle des risques n’est efficace avec un contrôle absolu, ABC Arbitrage a choisi d’axer sa politique de sécurité sur la confiance en ses collaborateurs et leur fidélisation. «Notre politique de rémunération recouvre un enjeu patrimonial suffisamment important à horizon 5 à 8 ans, pour dissuader les gens de partir avec notre code et en tirer quelque bénéfice.» Une méthode certainement plus à même de gérer le facteur humain que la technologie pure.

A lire aussi