Accueil > articles, radio > UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

21 février 2009, RSR, Forum: Interview de Stéphane Koch, président de l’Internet Society Geneva: Une autre question s’ajoute à cette affaire UBS: elle est plus technique et concerne ces fameux 52’000 comptes secrets de l’UBS réclamé par le fisc américain. Comment et par quel procédé le gouvernement Obama a-t-il pu les identifier ?


UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

La situation économique et les coûts des divers plans de relances poussent les gouvernements à essayer de récupérer des capitaux par tous les moyens. C’est donc en toute logique, que l’on assiste à un renforcement global des contrôles au niveau de la défiscalisation. Mais sous le couvert de ces mesures, il ne faut pas uniquement voir la volonté des états de reprendre contrôle sur une partie de la masse fiscale qui leur échappe. C’est aussi une guerre économique sans merci qui est en train de se livrer.

Il ne faut pas oublier que le fisc allemand via son service de contre-espionnage a obtenu les comptes de 3000 de clients de la banque LGT au Liechtenstein. Suite à cette affaire, LGT a vu ses entrées d’argent (Net New Money) chuter à 335 millions au cours des six premiers mois de l’année 2008, alors qu’ils se montaient à 6,2 milliards un an plus tôt…

La conjoncture économique actuelle offre un contexte idéal pour exercer des pressions fortes sur la place financière suisse, et ceci part des pays dont les systèmes bancaires et fiscaux sont loin d’être des exemples. Il est en effet plus facile de diriger l’attention sur la Suisse, que de mettre en oeuvre les réformes nécessaires au niveau de leurs propres systèmes. Comme le martèle l’ONG anglaise « Tax Justice Network (TJN) » l’Angleterre, avec ses paradis fiscaux, comme les British Virgin Islands (B.V.I), Jersey, Guernesey, etc. et son système bancaire permissif et peu coopératif en matière d’entraide au niveau européen, devrait balayer devant sa porte avant de se poser en donneur de leçons. L’Amérique, quant à elle, n’a pas de leçons à donner, avec ses propres paradis fiscaux (Delaware, Wyoming, Nevada), elle aussi maintes fois refusé de réformer son système comptable et financier, qui est un des éléments constitutif de l’instabilité économique actuelle. Les États-Unis ont eux aussi leur système « légal » de défiscalisation, le « Leaseback, » (sale-and-leaseback : opération financière, où l’on vend un actif et le loue pour un retour à long terme). En bref, chaque pays possède son propre système, et la régulation du système bancaire et fiscal mondial doit être pensée au niveau international. Il est donc indispensable de prendre en considération que dans la conjoncture actuelle chaque état a un intérêt économique et stratégique dans les différentes prises de positions auxquelles on assiste aujourd’hui.

La sécurité interne des banques est devenu un enjeu primordial.

En plus des aspects traditionnels de la sécurité de l’information relatifs aux infrastructures (sécurité des systèmes d’information, stockage des données, gestion et sécurisation des supports électromagnétique – disques durs, clés USB, laptops, droits d’accès), la sécurité des flux d’information (les données transportées par le réseau informatique, et celles auxquelles les employés accèdent) et la sécurité humaine représentent un risque dont un certain nombre de banques et d’entreprises ne semblent pas avoir saisi la portée.

La sécurité des flux d’information est basée sur la maîtrise du patrimoine informationnel de l’entreprise. Cette maîtrise se base sur la capacité à identifier en temps réel et de manière dynamique, la nature et le type de données qui sont traitées au sein de l’entreprise par ses employés. Tout comme si la nature et le type de données correspond aux droits de gestion attribués à la personne qui les manipule, et si le volume traité correspond à l’usage qui en est attendu.

L’incertitude économique fragilise la sécurité de l’information au niveau humain.

La sécurité au niveau humain doit prendre en compte l’employé comme une personne multiple et complexe, en prise avec les problèmes et les contraintes de notre société. Que cela soit au niveau affectif, social ou économique. De plus, l’employé, qu’il soit cadre, manager ou exécutant, développe une « relation » avec « son » entreprise, au même titre qu’une relation avec un conjoint. Bien que dans le cas de l’entreprise les éléments constitutifs de cette relation soient en majeur partie rationnels, lors d’une « rupture » de la relation professionnelle, le ressenti humain est identique à celui d’une rupture avec un conjoint : émotionnel et irrationnel. Les vagues de licenciements dans le secteur bancaire vont d’autant plus exacerber les pulsions émotionnelles (représentations de soi, sentiment d’injustice, frustration, incertitudes économiques), et de facto créer une situation favorable à des agissements irrationnels ou délictueux. C’est d’ailleurs ce que démontre une étude récente menée par le «Ponemon Institute» aux États-Unis sur 945 employés : 60 % des personnes interrogées seraient prêtes à subtiliser des données appartenant à leur entreprise si elles venaient à être licenciées. En suisse, plusieurs banques ont déjà été victimes de chantage, menacées ou mises en cause par des employés en poste ou licenciés. Les « anciens employés » fraîchement licenciés représentent une mine d’information considérable pour des concurrents ou pour des services fiscaux étrangers – dont il n’est plus nécessaire de prouver, après l’affaire LGT, qu’ils sont prêts à recourir à tous les moyens pour arriver à leurs fins. Il serait en effet facile de monter un cabinet de conseil en ressources humaines et d’auditer des candidats puisés dans les « dommages collatéraux » de la crise économique actuelle.

Une parenthèse sur les réseaux sociaux.

Les réseaux sociaux, tels que LinkedIn, Viadeo, Plaxo ou encore Facebook, permettent d’identifier facilement des cibles potentielles. Par exemple, si on utilise l’outil publicitaire de Facebook qui permet un ciblage par mots-clés (âge, sexe, entreprise, situation amoureuse), avec le terme UBS on peut savoir qu’il y a 2120 personnes qui mentionnent l’établissement au niveau professionnel, suite à cette démarche on peut utiliser l’outil de recherches avancées pour les identifier nommément. Autre exemple : sur le réseau professionnel LinkedIn, on obtient un résultat non exhaustif de 28 541 personnes mentionnant l’UBS comme référence (actuelle ou passée), et peux accéder sur la « page UBS » (crée par LinkedIn) avoir accès à des catégories telles que « Nouvelles embauches ; Promotions récentes et mouvements ; Profils les plus consultés ; Anciens employés ».

Les risques de fuites informationnelles indirectes.

Les banques sont obligées de vérifier la qualité de leurs clients et autres ayant droits économiques dans le cadre de la loi sur le blanchiment d’argent. Pour effectuer ces vérifications elles (les banques) utilisent des services spécialisés (bases de données) sur les "personnes politiquement exposées" telle que Worldcheck. Ces bases de données peuvent être consultées soit par abonnement ou bien le téléchargement complet de sa base de données. Dans le cas d’un abonnement toutes informations sur les personnes recherchées sont autant d’informations données au détenteur du service, et dans la plupart des cas les détenteurs sont anglo-saxons. Mais les recherche effectuées par les employés avec Google ou avec d’autres services en lignes sont autant d’informations qui peuvent être collectées…

La sécurité de l’information englobe la maîtrise du périmètre informationnel.

La notion de périmètre informationnel prendra en compte tous les éléments et aspects liés à l’identité et l’image de l’entreprise et sa présence virtuelle ou réelle. L’évolution des technologies a permis le traitement en masse d’informations hétérogènes (datamining). Le Web tel que l’on le connaît et on l’utilise aujourd’hui, prédispose à la collecte d’informations. Ce Web collaboratif a permis de vulgariser la création de contenu. La prolifération des services accessibles par un navigateur, le fait que ceux-ci reposent sur des bases de données, a créé des liens forts entre les personnes et les informations publiées.  Ces liens et la qualité du profilage qui en résulte ont encore été renforcés par la multiplication des bases de données comportementales des sites d’e-commerce et des réseaux sociaux.

1.Par exemple à l’extérieur de la banque :

Aux États-Unis, le "Patriote Act" (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) permet de surveiller tous les accès aux données numériques – comme les connexions aux sites web des banques, à ceux de services financiers auxquels leurs clients pourraient accéder, aux emails échangés par les brokers et autres contacts avec leurs clients. Il serait naïf de penser que la mise en place de codes « humains » visant à anonymiser les échanges d’emails entre les banques et leurs clients puisse en garantir la confidentialité, seul un cryptage fort permettrait de le faire.  Les appels des téléphones mobiles et fixes sont aussi interceptables (grâce aussi au système Echelon entre autres). Les réseaux sociaux (précédemment cités) sont aussi de précieuses sources d’information. Tout comme les informations collectées au niveau des personnes, survolant ou transitant par les États-Unis (Accord PNR, Passager Name Record) et à ceux qui y séjournent (US Visit, collecte des donnés biométriques obligatoires à la douane). La mise en relation de ces différents types d’informations par le biais d’outils de profilage, permet d’identifier avec beaucoup de pertinence des informations ciblées. À ce titre les clients qui changeront de banque vont créer du « bruit » en termes d’information, ce qui permettra d’en identifier un certain nombre qui étaient restés discrets jusqu’à ce jour.

Une parenthèse sur SWIFT.

Swift est un réseau mondial d’échange interbancaire créé en 1977, sert d’intermédiaire entre plus de 8 330 institutions bancaires dans 209 pays, dont le siège est en Belgique. Swift dispose de deux bases de données identiques pour éviter toute perte d’information en cas d’incident. L’une de ces bases de données est en Belgique tandis que l’autre est hébergée aux États-Unis. Depuis 2002, le renseignement américain a eu accès aux informations stockées par Swift-USA (dans le cadre de la lutte contre le terrorisme). On ne peut pas garantir que certaines données n’ont pas été utilisées dans un spectre plus large que celui de la lutte contre le terrorisme.

La création d’un Think Tank.

Il est primordial non seulement d’avoir une capacité d’anticipation dans le contexte globalisé de l’information. Mais le contexte économique et concurrentiel impose aussi d’avoir une capacité offensive en termes de gestion de l’information. Développer cette capacité repose non seulement sur une analyse stratégique performante, mais aussi sur une capacité de détection des signaux d’alertes inhérents aux changements en cours et à venir et à l’identification des risques informationnels et concurrentiels qu’ils génèrent. La Suisse, sa place financière, doivent dorénavant être gérés comme des marques. Et à ce titre être capable de défendre les valeurs qu’elles véhiculent. Il est évident que les structures actuelles, que cela soit celle de la FINMA ou celle du Conseil Fédéral, ne correspondent pas à la compétence nécessaire pour gérer des crises telles que celle que la place financière Suisse est en train de traverser. Il faut créer une entité indépendante de la sphère politique et du décisionnel bancaire. Un « Think Tank » dont la mission serait l’évaluation des risques présents et à venir pour la place financière suisse, ses secteurs économiques et stratégiques, ou pour sa réputation. Ce « Think Tank » devrait produire des recommandations sur les risques détectés et les meilleures manières de les appréhender pour les acteurs concernés. Être en mesure d’agir de manière offensive et indépendante que cela soit par le biais d’Internet, des médias traditionnels ou d’action en justice en dehors des frontières nationale.

Stéphane Koch