Patrons défaillants

Le premier maillon de la protection en informatique s’obtient en n’autorisant l’accès qu’à des entités parfaitement habilitées. L’utilisateur s’identifie en fournissant le nom ou le code sous lequel il est connu. Il indique ainsi qui il prétend être, et il prouve l’exactitude de ses dires en donnant ensuite un mot de passe. Innombrables sont les sites où ces mots de passe ne sont pas régulièrement changés. Ainsi un employé ayant quitté une entreprise a toujours la possibilité d’accéder à ses ressources informatiques grâce aux mots de passe obtenus quelque temps auparavant. Et combien de fois a-t-on pu voir des postes de travail informatique arborant fièrement sur un post-it le mot de passe nécessaire à leur utilisation. Il est parfaitement inutile de s’équiper de verrous lorsque leurs clés sont offertes à tous.

Ce que je viens d’exposer sommairement est en réalité beaucoup plus élaboré, restreignant très finement l’accès à telle ou telle donnée et le type d’usage autorisé pour telle ou telle fonction. Bien qu’il soit difficile de mettre sur pied un système de protection étanche à 100%, on peut malgré tout s’en approcher et surtout en évaluer la pertinence. A-t-on procédé à un audit de ce système à la Générale ? Et, si oui, a-t-on pris les mesures propres à remédier à d’éventuelles déficiences ? J’en doute, ayant lu, dans une lettre adressée aux clients de la banque quelques jours après la révélation du scandale, ces paroles naïves ou mensongères : "Les failles des procédures de contrôle ont été identifiées et corrigées pour éviter tout nouveau risque de nature comparable". Je serais tenté d’y reconnaître la patte arrogante de l’ineffable Le Bret, Directeur de la communication de la banque à l’époque, tellement obsédé alors par la crainte du suicide de M. Bouton, mais aujourd’hui beaucoup moins par le sort de M. Kerviel, le tricheur.

Si les nécessités d’instantanéité propres à l’activité des traders peuvent rendre plus difficile leur contrôle, le suivi a posteriori de leurs actions devrait permettre de détecter tout comportement anormal. Une banque s’entoure de mille précautions pour accorder un prêt, suit scrupuleusement le solde de ses clients, enregistre les conversations téléphoniques avec ceux-ci et serait incapable de détecter le dépassement des limites attribuées à ses traders ? J’ai entendu hier quelqu’un déclarer qu’une entreprise n’avait pas à faire les poches de ses employés. Comme si elle s’en privait ! Est-ce que le service compétent n’épluche pas soigneusement les notes de frais de ses cadres, attentif  au moindre trajet de métro dépourvu de justificatif ? Enfin, partout, sauf au gouvernement ! Est-ce que, lorsque quelque vol est signalé, on ne fouille pas ces mêmes employés ?

Je devine la réponse : les traders constituent une race à part. C’est bien là le fond du problème. Je me trompe peut-être, mais leur activité ne me semble pas correspondre à une création de valeur. Il s’agit de gens que l’on pilote uniquement par l'appât du gain. La morale n’a pas de place dans cet univers. Une banque ne se prive pas, par un certain nombre de pratiques hélas tout à fait légales, de mentir à ses clients, voire de les abuser. Un seul exemple : un des arguments majeurs pour la vente de contrats d’assurance-vie est leur régime fiscal. Examinez un de ces contrats, vous n’y trouverez aucune mention de ce régime, ce qui permet à l’Etat, qui ne s’en prive pas, de le modifier à sa guise. Au nom de quoi un trader, pour améliorer sa situation, éviterait-il de tricher en contournant les contrôles et risquant les fonds de son employeur ?

Si Jérôme Kerviel mérite une sanction, il est scandaleux de voir la Générale bénéficier d’une absolution complète. Dans cette affaire, Daniel Bouton s’est révélé soit insouciant, soit incompétent. Dans les deux cas, il a volé sa rémunération si conséquente.