Le cabinet d’audit PricewaterhouseCoopers a rendu son rapport sur « l’affaire Kerviel » à un comité spécial de la Société Générale. Résumé: pas de complicités internes mais des négligences. Présentés au conseil d’administration de la banque le 20 février, les résultats de cet audit interne soulignent que « les contrôles prévus par les fonctions de support et de contrôle ont dans l’ensemble été effectués et menés conformément aux procédures, mais n’ont pas permis d’identifier la fraude avant le 18 janvier 2008 ». Si « l’efficacité et la variété des techniques de dissimulation utilisées » par Jérôme Kerviel sont mises en avant, la mission d’audit pointent du doigt la simple absence de contrôles qui auraient pu identifier la fraude. Cela ne signifie pas que des contrôles n’aient pas été effectués. Seulement, ceux menés conformément aux procédures été insuffisants et n’ont simplement pas été utiles à l’identification de la fraude avant le 18 janvier 2008.

En outre, l’audit a démontré que « les opérateurs n’approfondissent pas systématiquement leurs contrôles au-delà de ce que prévoient les procédures ». A plusieurs reprises, le contrôle des saisies auraient dû s’apercevoir d’incohérences, de légères erreurs, lesquelles auraient dû déclencher des actions de vérifications des affirmations de Jérôme Kerviel. Mais les procédures ne le prévoyant pas expressément, les contrôleurs s’en passent… A plusieurs reprises, le back office se satisfait d’un email du middle office opérationnel pour justifier un écart sur une transaction. Les alertes retentissent, mais personne n’y prête vraiment attention. La hiérarchie des opérateurs n’est pas plus informée que celle du front office. Les systèmes d’information de la Société Générale Investment Bank semblent aussi en cause. Ainsi des anomalies sont attribuées à « des problèmes récurrents d’enregistrement des opérations dans les systèmes informatiques ». Ces problèmes ne sont pas détaillés dans le rapport.

Au chapitre des consolations, rares, la thèse de l’action isolée du trader est confirmée par le rapport (en attendant les conclusions de la Justice), car aucune complicité interne ou externe n’aurait permis à Jérôme Kerviel de couvrir ses agissements. Le rapport s’interroge toutefois et demande d’approfondir l’investigation sur « le réseau interne étendu de relations personnelles que Jérôme Kerviel entretenait en particulier avec des opérateurs des fonctions de support et de contrôle ». Si aucune complicité n’est avérée, il apparaît que le contrôle semble très perméable et les procédures internes trop réduites. Il est en revanche à noter que l’audit s’est interdit d’émettre des conclusions quant à la responsabilité de la hiérarchie de Jérôme Kerviel, n’ayant pu rencontrer les intéressés du fait de l’enquête judiciaire en cours.

Le rapport d’étape du Comité spécial du Conseil d’administration de la Société Générale rappelle à toutes fins utile les trois chantiers prioritaires à mener, déjà énoncées :

     renforcement de la sécurité par le recours à l’authentification forte, la biométrie semblant être le choix prioritaire, projets de gestion de la sécurité des accès, et audits de sécurité ciblés

     renforcement des contrôles et des procédures d’alerte

     renforcement du dispositif de prévention des risques opérationnels en prenant en compte l’angle des ressources humaines

A la lecture de ces chantiers prioritaires, on s’étonne juste qu’il ait fallu attendre une fraude de cette ampleur pour mesurer la porosité de ces différents éléments de la sécurité des systèmes d’information. A ces préconisations, nous ajoutons celles d’un RSSI d’expérience du monde bancaire.