Actu
Le I de IAM aurait-il pu sauver la Société Générale du cataclysme ?
février 2008 par Marc Jacob
L’affaire de la Société Générale pourrait provenir d’un problème de sécurité interne des SI au sens non seulement de la technique mais aussi de l’organisation. Côté technique, il semblerait que le I du mot Identification serait une des parties du problème, l’organisation serait le second, sans oublier bien sûr le facteur humain dont on à l’habitude de dire qu’il est le véritable maillon faible de tout système de sécurité. Bien sûr, les arguments que nous allons évoquer ici ne sont que des suppositions.
Concernant, l’Identification, il se pourrait que tout ait commencé il y a environ 18 mois. En effet, un projet d’IAM (Identity and Access Management) aurait été reporté sine die pour ce que l’on pourrait appeler des « querelles de clochers » entre les différents services qui auraient dû en avoir la charge et le financement. Ainsi, une première société d’intégration aurait été sollicitée pour un maquettage, puis une seconde pour aboutir au final à ne rien mettre en place. Ainsi, le trader a sans doute pu, en faisant quelques manipulations informatiques somme toute assez basiques, s’authentifier en tant qu’administrateur de tel ou tel logiciel ou domaine, et donc couvrir ses actions en créant des comptes et des mouvements fictifs.
Au niveau de l’organisation, il semble que le licenciement de son ancien chef de service démontre qu’il y a eu là aussi un problème de gestion des habilitations. En effet, il se pourrait que lors de son changement de fonction, les droits inhérents à son ancien poste ne lui aient pas été retirés. Ainsi, il aurait pu avoir accès à toutes les applications à la fois de son ancien et de son nouveau poste. Ce problème aurait pu être évité avec un système d’IAM qui permet, une fois déployé de gérer les habilitations en quelques cliques de souris, et surtout permet d’identifier, par exemple biométriquement, l’opérateur et non pas se fier à son login.
De plus, le fait d’accéder dans un local réservé aux traders entraine de fait l’accès aux systèmes d’information qui y sont situés… La vitesse d’exécution des opérations des traders dans toutes les salles de marché fait que les verrous de sécurité logiciels sont réduits à leur plus simple expression : par exemple la mise en veille des ordinateurs est désactivée de manière à pouvoir agir sans perdre le temps de rentrer le mot de passe de l’utilisateur. Quelquefois, les mots de passe sont même affichés sur l’écran…
Enfin, côté humain, une observation de l’état psychologique du trader aurait pu peut-être déceler sa fragilité et ainsi permettre de l’arrêter un peu plus tôt….
Tous ces arguments ne sont que des suppositions, l’enquête est ouverte et devrait prendre un certain temps avant de mettre en lumière l’intégralité de l’histoire.
Articles connexes:
