Afin de renforcer l'efficacité de la lutte contre le blanchiment et le financement du terrorisme, quelques régulateurs ont élaboré des protocoles de partage de données entre institutions. La MAS singapourienne franchira bientôt un pas supplémentaire avec la création d'une plate-forme centralisée… qui soulève quelques questions.Au premier abord, l'idée coule de source : l'accès à l'information sur les malversations précédemment détectées dans les établissements concurrents représente un puissant levier d'amélioration des dispositifs de protection. Elle est d'autant plus pertinente que, de plus en plus, les criminels essaient d'éviter d'attirer l'attention justement en répartissant leurs activités sur un maximum d'opérateurs distincts. Chacun n'en observant qu'une partie a moins de chances de mesurer la gravité des actes auxquels il participe.
Forte de cette observation, l'Autorité Monétaire Singapourienne a donc initié le projet COSMIC (pour « Collaborative Sharing of ML/TF Information & Cases ») qui verra, en 2023, la naissance d'une sorte de base de données de place des transactions et des acteurs suspects. Conçue et développée conjointement avec les 6 plus grandes banques du pays (DBS, OCBC, UOB, SCB, Citibank et HSBC), elle a vocation à s'ouvrir au reste du marché, son usage devenant progressivement obligatoire sur certains aspects.
Son fonctionnement repose sur le travail existant, strictement réglementé, de dépistage et de signalement des opérations répréhensibles, susceptibles d'être impliquées dans des circuits de blanchiment, de financement du terrorisme ou de développement d'armes de destruction massive. Celles-ci devront simplement être transmises à COSMIC, soit sous forme de déclaration, si le risque est sérieux, soit en consultation, pour confirmation (ou non), si quelques indices engendrent un doute, tout en restant sous le seuil d'alerte.
Derrière le principe apparemment évident, il existe pourtant un danger qui explique pourquoi, en dépit de ses immenses bénéfices potentiels, aucun autre régulateur dans le monde n'a à ce jour envisagé de créer un tel dispositif : la centralisation de données hautement sensibles, concernant des individus, des organisations et des transactions, dont la moindre fuite pourrait avoir de lourdes conséquences, non seulement en cas de cyberattaque mais également dans une hypothèse d'espionnage entre concurrents.
Bien entendu, la MAS n'ignore par la menace. Elle insiste sur les mécanismes de sécurité qui seront mis en place en vue d'interdire les intrusions et sur les précautions légales qui seront prises afin de limiter l'exploitation des informations aux seules fins de la lutte contre la criminalité et de prévenir toute diffusion indue. Il faut cependant être un peu naïf pour imaginer que ces bonnes intentions suffiront à empêcher un incident.
En réalité, la démarche engagée est peut-être légèrement prématurée. En effet, les récentes avancées technologiques devraient permettre bientôt (?) de proposer une solution au problème posé, sans les risques inhérents. Entre chiffrement homomorphique et calcul sécurisé multi-partie, il devient possible d'envisager l'équivalent de la base de données de COSMIC sans requérir le déplacement des informations, sans nécessiter leur décryptage avant traitement et sans jamais avoir à exposer les éléments sensibles.
Jeu de briques
Snake
Pacman
Bubble