Réagissant à l’article "Ces alertes que la Société Générale a ignorées" [1], tardif raconte la réaction de spécialistes d’informatique militaire aux déboires de la Société Générale.

Tiens, ce soir j’ai dîné avec mon frère, informaticien dans un domaine réputé assez à cheval sur la sécurité (je l’espère en tout cas)  : les programmes classés confidentiels défense de l’armée. Je ne sais rien du détail, puisque c’est confidentiel et que mon frère, lui, ne transige pas avec la sécurité  ! Et puis je n’ai aucune intention qu’il se retrouve demain en garde à vue. C’est que ça rigole pas chez eux ; -)

Voilà quelques unes des réflexions et commentaires qui courent dans ces salles, très sécurisées, mais qui ne sont pas "de marché", au sujet de la Société Générale  :

• Le monde de l’informatique militaire aurait plutôt tendance à estimer que l’on accorde généralement plus d’importance à la sécurité dans le monde de l’informatique bancaire, car l’argent c’est plus précieux que les armes, et ce qu’on peut faire avec est bien plus dangereux ; -) En tout cas, la banque y consacrerait plus d’argent…
• Pourtant, les échos qui reviennent à ce petit monde de la part ceux qui ont "trempé" dans les deux domaines paraissent étrangement incohérents  : une énorme demande en sécurisation d’un côté dans le monde bancaire (et de très lourds investissements en technologie), et d’étranges légèretés avec les règles de base par ailleurs.

  Ces légèretés ouvrant des brèches béantes dans l’ensemble de l’édifice, car en matière de sécurité, la règle d’or est la cohérence.

• Par exemple, il parait d’une inconséquence proprement incroyable et totalement déraisonnable à un informaticien du domaine militaire, que l’on puise gérer le mots de passe comme il est indiqué dans le cas de Jérôme Kerviel et la Société Générale (si cela est vrai bien sûr, mais par là-bas… on doute avec stupéfaction).

  Même pas un tout petit système automatisé de changement obligatoire de tous les mots de passe à date fixe (au moins tous les trois mois), imposé sans échappatoire par le système lui même. Ce qui parait pourtant le B.A.-BA et ce qui est vraiment le moins partout ailleurs où on traite sérieusement la sécurité. Ne parlons même pas de la mise à jour systématique des autorisations d’accès, on discute des bases de la sécurité, ou pas  ?

• Mais on apprend aussi qu’il arrive qu’on accepte, dans la banque, de suspendre totalement et momentanément le fonctionnement de pans entiers du système de sécurité, car il faut aller très très vite et qu’il y a énormément d’argent à se faire, là tout de suite maintenant, et pas dans une heure  ! Chaque seconde de gagnée à ce moment-là, c’est du gain en plus à la clé.

  La possibilité même de lever ces systèmes, ce qui ne devrait jamais être toléré, ne laisse pas de plonger ces informaticiens dans un abîme de perplexité. Et la conception de ce qu’est réellement un risque dans l’esprit de ces manieurs d’argent, qui se disent "les rois du risque", laisse les manieurs d’armes très songeurs…

Bref, on estime que la thèse présentée au sujet de Kerviel est plausible, mais on se demande en même temps comment les banques peuvent à la fois consacrer autant d’argent à la sécurité et être si négligentes au quotidien. Mais ça c’est bien plus de la responsabilité de Bouton [le PDG de la banque, ndlr] que de celle de Kerviel…

Les informaticiens du monde militaire nous assurent qu’ils font beaucoup mieux pour bien moins cher. Soyons donc rassurés ce soir sur ce plan ; -), même si on ne l’est vraiment pas sur l’autre…

► Lire aussi  : Ces alertes que la Société Générale a ignorées [2]