La Société Générale se dit victime d'utilisation frauduleuse de mots de passe
Jérôme Kerviel aurait tout bêtement pu jouer en Bourse environ 50 Md€ pour le compte de la Société Générale parce qu'il aurait pu déjouer les contrôles « en usurpant les codes d'accès informatiques appartenant à des opérateurs pour annuler certaines opérations ». C'est ce qu'explique la banque dans une note de 5 pages. La Société Générale y détaille la façon dont, selon elle, son trader, actuellement en garde à vue, « a réussi à détourner les contrôles en combinant plusieurs techniques de fraude ».
Au niveau informatique, le trader, qui a reconnu devant les policiers bien connaître les systèmes de contrôle pour avoir travaillé dès l'an 2000 au 'middle office' de la banque, aurait donc simplement contourné les systèmes grâce à de simples mots de passe appartenant à des collègues chargés du contrôle.
En termes de sécurité, il s'agit donc d'un niveau très bas, qui ne coïncide pas avec ce que présente généralement la Société Générale de son système informatique. Sachant en outre que les opérations de M. Kerviel s'étendent sur plusieurs mois, cela soulève plusieurs questions aujourd'hui sans réponse : Ces mots de passe sont-ils changés, et avec quelle régularité ? Des logiciels de supervision des événements (BAM, Business activity monitoring) et de corrélation des événements en temps réel (CEP, Complex event processing) capables de détecter des mouvements frauduleux n'ont-ils pas été mis en place ? De même, ce type de logiciel peut détecter des anomalies en matière de ressources humaines, telles que des intervalles bizarrement longs dans la prise de congés, par exemple, ce qui semble être le cas ici.