{"id":63085,"date":"2014-03-14T23:56:37","date_gmt":"2014-03-14T22:56:37","guid":{"rendered":"http:\/\/www.pauljorion.com\/blog\/?p=63085"},"modified":"2014-03-15T00:13:36","modified_gmt":"2014-03-14T23:13:36","slug":"reparer-_bugs_logiciel_societe_generale-par-pierre-lalo","status":"publish","type":"post","link":"https:\/\/www.pauljorion.com\/blog\/2014\/03\/14\/reparer-_bugs_logiciel_societe_generale-par-pierre-lalo\/","title":{"rendered":"#include \/* Param\u00e9trage Eliot *\/ #include \/* Pour la cour de justice *\/ #define dire(x) mensonge(x) #define utilisateurdordinateur #REPARER _BUGS_LOGICIEL_SOCIETE_GENERALE<\/b>, par Pierre Lalo"},"content":{"rendered":"

Billet invit\u00e9.<\/p><\/blockquote>\n

Que d\u2019\u00e9lucubrations, que de mots savants et d\u2019exag\u00e9rations ont \u00e9t\u00e9 racont\u00e9s par l\u2019avocat de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale \u00e0 l\u2019audience de la cour de Cassation, le 13 f\u00e9vrier 2014, lors de l\u2019examen du pourvoi de J\u00e9r\u00f4me Kerviel pour faire annuler la d\u00e9cision de la cour d\u2019appel du 26 octobre 2012.<\/p>\n

Entre autres curiosit\u00e9s lexicales, il a fait observer \u00e0 l\u2019assembl\u00e9e des magistrats que J\u00e9r\u00f4me Kerviel, op\u00e9rateur de march\u00e9 de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale, \u00ab\u00a0param\u00e9trait les logiciels\u00a0\u00bb pour dissimuler des op\u00e9rations de trading. Puisque cette question \u00e9pineuse est source de causerie diverse, je reprends ma plume pour mon plus grand plaisir afin de compl\u00e9ter mes propos.<\/p>\n

La question qui est pos\u00e9e par certains lecteurs est de savoir si, les salari\u00e9s de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale, utilisateurs lambda des syst\u00e8mes informatiques, sont autoris\u00e9s \u00e0 pratiquer de la configuration standard comme par exemple, la possibilit\u00e9 de configurer la langue ou alors la taille de police d\u2019un logiciel, ou bien s\u2019ils peuvent mettre les mains dans la m\u00e9canique des param\u00e8tres comme un administrateur de progiciel\u00a0?<\/p>\n

Alan J. Perlis, pionnier dans les langages de programmation, nous informe que\u00a0: \u00ab\u00a0Tout programme a (au moins) deux buts : celui pour lequel il a \u00e9t\u00e9 \u00e9crit, et celui pour lequel il ne l’a pas \u00e9t\u00e9\u00a0\u00bb.<\/p>\n

Qu\u2019en est-il de ces deux objectifs \u00e0 la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale\u00a0? L\u2019utilisateur informatique peut-il utiliser seulement les fonctionnalit\u00e9s d\u2019un programme qui ont \u00e9t\u00e9 \u00e9crites pour lui\u00a0ou bien franchir le pas de l\u2019utilisation primaire et pratiquer des param\u00e9trages pour rem\u00e9dier aux absences de fonctionnalit\u00e9s du programme ?<\/p>\n

Des fonctionnalit\u00e9s d\u2019un programme qui ont \u00e9t\u00e9 \u00e9crites pour l\u2019utilisateur<\/b><\/p>\n

Selon une d\u00e9finition simple de Wikip\u00e9dia du syst\u00e8me d’information, <\/i>celui-ci \u00ab\u00a0est le v\u00e9hicule des entit\u00e9s de l’organisation. Sa structure est constitu\u00e9e de l’ensemble des ressources (les personnels, le mat\u00e9riel, les logiciels, les proc\u00e9dures) organis\u00e9es pour\u00a0: collecter, stocker, traiter et communiquer les informations. Le syst\u00e8me d’information coordonne, gr\u00e2ce \u00e0 la structuration des \u00e9changes, les activit\u00e9s de l’organisation et lui permet ainsi d’atteindre ses objectifs.\u00a0\u00bb<\/i><\/p>\n

Ainsi, l\u2019organisation informatique d\u2019une entreprise est cens\u00e9e \u00eatre la copie conforme de l\u2019organisation interne des services et la reproduction \u00e0 l\u2019identique de la structure pyramidale de la hi\u00e9rarchie.<\/p>\n

\"Lelo<\/a><\/p>\n

Par cons\u00e9quent, si beaucoup de logiciels donnent aujourd\u2019hui une grande souplesse d\u2019application et permettent aux utilisateurs de base de les configurer de fa\u00e7on \u00e0 les adapter \u00e0 leur utilisation, cette ouverture \u00e0 la configuration reste n\u00e9anmoins restreinte.<\/p>\n

Dans l\u2019exemple ci-dessous de param\u00e9trage des acc\u00e8s \u00e0 un progiciel, le niveau sup\u00e9rieur et le niveau le plus ouvert est 0, le niveau d’acc\u00e8s le plus restreint est 9. Si l’acc\u00e8s \u00e0 un menu est bloqu\u00e9, la lettre N est pour Non, si l’acc\u00e8s est ouvert, il est indiqu\u00e9 O pour Oui. Si l’acc\u00e8s est bloqu\u00e9, l’utilisateur aura une ligne de menu gris\u00e9e. Le clic de la souris ne permet pas l’acc\u00e8s \u00e0 l’\u00e9cran du menu.<\/p>\n

\"Lelo<\/a><\/p>\n

La configuration des acc\u00e8s se mat\u00e9rialise ainsi pour les graphes dynamiques de Boursorama. L\u2019administration de l\u2019interface est ferm\u00e9e. Les artefacts de \u00ab\u00a0param\u00e9trage utilisateurs\u00a0\u00bb propos\u00e9s sont des gadgets pour les clients utilisateurs de cette application.<\/p>\n

S\u2019il est certes possible de \u00ab\u00a0param\u00e9trer des courbes indiquant les volumes, le RSI, le Fibonacci, etc.\u00a0\u00bb, ce \u00ab\u00a0param\u00e9trage de l’utilisateur\u00a0\u00bb (si on ose dire) n’a pas d’impact sur le fonctionnement global du logiciel. Ce n’est pas parce que j’utilise un param\u00e8tre RSI que je vais changer son mode de calcul. Je vais pouvoir choisir entre le mode RSI 14 ou autre RSI dans l’application Boursorama pour tenter d’anticiper la tendance du march\u00e9, mais si je souhaitais par exemple, installer la tr\u00e8s utile fourchette d\u2019Andrews, je ne peux pas car je n’ai pas les droits d’acc\u00e8s. De la m\u00eame mani\u00e8re, si sur Boursorama, je souhaite obtenir une courbe du CAC 40 en dollars am\u00e9ricains ou en devise du Zimbabwe, je ne peux pas.<\/p>\n

\"Lelo<\/a><\/p>\n

Et encore, m\u00eame si je pouvais le faire, cela n’est pas du param\u00e9trage v\u00e9ritable. La limite entre l’utilisation et l’administration d’un progiciel, c’est que l’administration d\u2019un progiciel permet de changer son fonctionnement de mani\u00e8re totalement personnalis\u00e9e, \u00e0 tel point que la production d’un service bancaire pourrait \u00eatre totalement bloqu\u00e9e ou alors modifi\u00e9e.<\/p>\n

Si ce gadget utilisateur est ouvert aux clients, il n’a pas d’impact sur les op\u00e9rations de trading. Comme dans l’exemple de Boursorama, lorsque j’envoie un ordre d’achat ou de vente d’un actif quelconque, je n’ai aucune influence sur le march\u00e9 financier, je ne peux pas manipuler le prix ou truquer d\u2019une mani\u00e8re ou d\u2019une autre. Pour un v\u00e9ritable param\u00e9trage, il faudrait avoir les droits administrateurs, l\u2019acc\u00e8s client \u00e0 l\u2019application Boursorama n\u2019est qu\u2019une aide \u00e0 la d\u00e9cision.
\nCeci dit, le logiciel Eliot du Desk Delta One de la SGCIB \u00e9tait plut\u00f4t plus complexe que ce qui est propos\u00e9 par Boursorama, m\u00eame si c’est peut-\u00eatre un bon exemple. Un programme tel que le logiciel Eliot, affubl\u00e9 d\u2019un patch pour ins\u00e9rer des lignes d\u2019\u00e9critures fictives non comptables, peut nous conduire \u00e0 nous interroger sur la nature exacte de l\u2019int\u00e9grit\u00e9 d\u2019un tel programme.<\/p>\n

Des fonctionnalit\u00e9s d\u2019un programme qui n\u2019ont pas \u00e9t\u00e9 \u00e9crites pour l\u2019utilisateur<\/b><\/p>\n

Dans le cadre de ce \u00ab\u00a0param\u00e9trage utilisateur\u00a0\u00bb, l’avocat de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale disait des gros mots en arguant, le doigt accusateur, que J\u00e9r\u00f4me Kerviel param\u00e9trait des \u00e9critures fictives pour ensuite les effacer alors qu\u2019il est bien \u00e9vident en r\u00e9alit\u00e9 que tout \u00e9tait parfaitement contr\u00f4l\u00e9 par la banque.<\/p>\n

Les mots \u00ab\u00a0op\u00e9ration fictive\u00a0\u00bb sont devenus l\u2019injure supr\u00eame, l\u2019acte r\u00e9pr\u00e9hensible commis par le trader alors que ces op\u00e9rations \u00e9taient autoris\u00e9es sans l\u2019\u00eatre officiellement en fait.
\nPourtant, au sens de l’administration pure et simple d’un syst\u00e8me informatique normal, cela n’est pas du \u00ab\u00a0param\u00e9trage\u00a0\u00bb \u00e0 proprement dit, mais simplement une utilisation du progiciel.<\/p>\n

Il est tr\u00e8s contestable de dire que d\u2019introduire une ligne d\u2019\u00e9criture non-comptable dans le syst\u00e8me et de la masquer, est du param\u00e9trage. Masquer une colonne dans le logiciel Excel est d\u2019utilisation assez simple par exemple.<\/p>\n

Certes le programme avait \u00e9t\u00e9 ouvert pour inscrire des lignes d\u2019\u00e9critures fictives car elles \u00e9taient une sorte de \u00ab\u00a0patch\u00a0\u00bb pour rem\u00e9dier aux \u00ab\u00a0dysfonctionnements\u00a0\u00bb du syst\u00e8me fait maison, le syst\u00e8me Eliot. Mais, c\u2019\u00e9tait un patch \u00e0 un programme qui n\u2019avait pas \u00e9t\u00e9 pr\u00e9vu pour de telles fonctionnalit\u00e9s. Si ce programme n\u2019avait pas con\u00e7u les op\u00e9rations fictives, \u00e0 la base, la fonctionnalit\u00e9 avait \u00e9t\u00e9 ajout\u00e9e en addendum au progiciel. Pourtant, le but d\u2019un programme informatique, c\u2019est justement d\u2019\u00e9crire un langage qui va, non seulement, fournir un syst\u00e8me pour faciliter et acc\u00e9l\u00e9rer les t\u00e2ches, mais aussi, refuser l\u2019acc\u00e8s \u00e0 certaines fonctionnalit\u00e9s aux utilisateurs pour des raisons \u00e9videntes du maintien de l\u2019int\u00e9grit\u00e9 des donn\u00e9es et de la fiabilit\u00e9 du syst\u00e8me.<\/p>\n

Or, tous les op\u00e9rateurs du desk Delta One de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale utilisaient ce pansement pour bander la plaie de la faille informatique. Le plus surprenant c\u2019est que ce correctif appliqu\u00e9 par les utilisateurs n’\u00e9tait pas officiellement admis. Cela se savait pourtant parfaitement bien \u00e0 la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale, en commen\u00e7ant par Eric Cordelle le N+1 et Marine Auclair,\u00a0 charg\u00e9e du contr\u00f4le des comptes du trading \u00e0 la SocGen, qui l’ont expliqu\u00e9 aux juges du fond.<\/p>\n

De surcroit, un trader avait \u00e9t\u00e9 coinc\u00e9 \u00e0 utiliser les op\u00e9rations fictives 10 ans auparavant et s’\u00e9tait suicid\u00e9. Rien n’avait \u00e9t\u00e9 fait pour y rem\u00e9dier par la suite. La hi\u00e9rarchie savait tr\u00e8s bien que cet art\u00e9fact de param\u00e9trage d’utilisateur \u00e9tait un secret de polichinelle.<\/p>\n

La configuration du logiciel permettait d\u2019introduire des op\u00e9rations fictives mais elles ne passaient pas en comptabilit\u00e9. C’\u00e9tait des op\u00e9rations latentes. Peut-on alors consid\u00e9rer que le programme \u00e9tait pr\u00e9vu pour des utilisateurs \u00e0 la base de la pyramide, devenus administrateurs de progiciels sans crier gare, sans respect pour l\u2019organisation intrins\u00e8que des syst\u00e8mes\u00a0d\u2019information\u00a0?<\/p>\n

En r\u00e9alit\u00e9, tout \u00e9tait parfaitement contr\u00f4l\u00e9.<\/p>\n

La banque savait que J\u00e9r\u00f4me Kerviel naviguait dans ce syst\u00e8me et qu\u2019il ne pouvait donc pas d\u00e9tourner d’argent et de ce fait, ne peut \u00eatre accus\u00e9 pour autant d’abus de confiance.<\/p>\n

La banque savait parfaitement que depuis 2000\/2001, il fallait appliquer l’\u00e9quivalent de la loi am\u00e9ricaine Sox <\/a>: mise en conformit\u00e9 qui concerne pour l\u2019essentiel la section 404,\u00a0 dont la mise sous contr\u00f4le des r\u00f4les op\u00e9rationnels, avec le respect strict des r\u00e8gles de s\u00e9paration des t\u00e2ches.<\/p>\n

Ces contr\u00f4les portent notamment sur :
\n– La gestion des mots de passe : niveau de s\u00e9curit\u00e9, changement \u00e0 intervalle r\u00e9gulier ;
\n–\u00a0 Le r\u00e9seau informatique : v\u00e9rification de l’authentification des acc\u00e8s, protection du r\u00e9seau par deux pare-feux, contr\u00f4le des acc\u00e8s \u00e0 internet et bon usage d’internet, r\u00e9vocation des acc\u00e8s en cas de d\u00e9part de l’employ\u00e9 ;
\n– La s\u00e9curit\u00e9 des ERP : contr\u00f4le des acc\u00e8s, longs mots de passe, restriction de l’acc\u00e8s des donn\u00e9es aux utilisateurs ;
\n– Les sauvegardes : r\u00e9guli\u00e8res, tests de restauration\u00a0\u00bb<\/p>\n

Ne pas changer les accr\u00e9ditations au logiciel, c’est une goutte d’eau dans la mer de pratiques ostensibles, inad\u00e9quates et excessives dans cette banque ! Suivies d’\u00e9tranges pratiques de la part de la justice.<\/p>\n

Il convient en principe de laisser aux professionnels concern\u00e9s la\u00a0 gestion des failles logicielles et d\u2019y rem\u00e9dier, non par des \u00ab\u00a0bidouilles d\u2019amateur\u00a0\u00bb mais par une consolidation nette et pr\u00e9cise de l\u2019int\u00e9grit\u00e9 du syst\u00e8me avec la rigueur aff\u00e9rente et n\u00e9cessaire \u00e0 la gestion des acc\u00e8s et au management des ERP.<\/p>\n

Un cadre r\u00e8glementaire tr\u00e8s strict au sein de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale lui \u00e9viterait de faire porter le fardeau insurmontable de ses manquements intentionnels, sur les \u00e9paules tr\u00e8s \u00e9troites de ses salari\u00e9s.<\/p>\n","protected":false},"excerpt":{"rendered":"

\n

Billet invit\u00e9.<\/p>\n<\/blockquote>\n

Que d\u2019\u00e9lucubrations, que de mots savants et d\u2019exag\u00e9rations ont \u00e9t\u00e9 racont\u00e9s par l\u2019avocat de la Soci\u00e9t\u00e9 G\u00e9n\u00e9rale \u00e0 l\u2019audience de la cour de Cassation, le 13 f\u00e9vrier 2014, lors de l\u2019examen du pourvoi de J\u00e9r\u00f4me Kerviel pour faire annuler la d\u00e9cision de la cour d\u2019appel du 26 octobre 2012.<\/p>\n

Entre autres curiosit\u00e9s lexicales, […]<\/p>\n","protected":false},"author":38,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[18],"tags":[581,296],"class_list":["post-63085","post","type-post","status-publish","format-standard","hentry","category-monde-financier","tag-kerviel","tag-societe-generale"],"_links":{"self":[{"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/posts\/63085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/comments?post=63085"}],"version-history":[{"count":5,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/posts\/63085\/revisions"}],"predecessor-version":[{"id":63093,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/posts\/63085\/revisions\/63093"}],"wp:attachment":[{"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/media?parent=63085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/categories?post=63085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pauljorion.com\/blog\/wp-json\/wp\/v2\/tags?post=63085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}