Après l'affaire Kerviel, la Société Générale confrontée à un vol de code source confidentiel 

Le 10 mai 2010 (09:44) - par Searchsecurity.com

Imprimer Envoyer par e-mail

Rubriques : Sécurité - Menaces informatiques Tags : securite - kerviel - vol-donnees - societe-generale - code source - trading

Un employé new-yorkais de la banque a tenté de s'emparer du code source d'une application de trading à haute performance, avant de démissionner. Une opération finalement détectée par la banque. Il fait aujourd'hui l'objet de poursuites aux Etats-Unis pour vol de secrets commerciaux.

C'est un scénario de cauchemar pour toute entreprise : un employé de confiance, un initié, qui vole les données les plus sensibles de l'entreprise, ses secrets commerciaux. Pour la Société Générale, le cauchemar est sans doute devenu une réalité. La banque a découvert que le code source de ses applications de trading à haute performance a fait l'objet d'un vol. Un trader qui travaillait dans ses bureaux new-yorkais aurait ainsi dérobé l'année dernière le code des applications les plus sensibles de la banque, avant de quitter l'entreprise.

Samarth Agrawal a été arrêté le 19 avril et accusé de vol de secrets commerciaux. Selon les procureurs, il a copié une partie du code source du système de trading de la Société Générale en juin 2009, après avoir été promu au sein de la banque. Il aurait imprimé des centaines de pages de code source dans son bureau un samedi, les caméras de sécurité de la banque l'ayant surpris en train d'empiler ces listings dans son sac à dos. Quelques semaines plus tard, il aurait aussi copié et imprimé une autre portion du code, à laquelle il n'avait officiellement pas accès, avant de démissionner en novembre.

La sécurité à la SG mise en doute

Selon les autorités américaines, la Société Générale a dépensé des millions de dollars pour le développement d'un système informatique sophistiqué de trading à haute vitesse. Heureusement, la banque a découvert le forfait de son employé. Mais plusieurs experts notent de multiples failles dans la sécurité de la banque, ainsi que des manques dans la protection de sa propriété intellectuelle.

"Si le suspect n'avait pas été aussi maladroit, il aurait probablement pu prendre la fuite avec le code", explique Jonathan Gossels, le Pdg de SystemExperts Corp, une société de conseil en sécurité. L'affaire Société Générale n'est pas la première du genre et intervient plusieurs mois après une affaire similaire de vol de secrets commerciaux chez Goldman Sachs.

Contrôles d'accès et provisionning des droits utilisateurs

Selon les procureurs, la Société Générale a pris de nombreuses mesures pour protéger son code propriétaire, notamment en limitant l'accès aux employés qui en ont besoin pour leur travail. Elle a aussi mis en place un processus de suivi de ses systèmes afin de limiter les transferts électroniques vers l'extérieur. Dans un communiqué par e-mail, la Société Générale explique qu'elle "protège vigoureusement" ses informations exclusives et sa propriété intellectuelle.

Toutefois, nombre d'experts en sécurité se demandent pourquoi un opérateur de marché a pu avoir accès au code. "Pourquoi quelqu'un qui n'est pas un développeur a-t-il pu avoir accès au code du programme ?", s'interroge Jodi Pratt, un consultant du cabinet Jodi Pratt and Associates, qui se spécialise dans la fraude et la gestion des risques d'exploitation pour les services financiers. Bien que certains traders personalisent leurs programmes, cela ne semble pas avoir été le cas dans l'affaire Société Générale, abonde Jonathan Gossels. "La plupart des utilisateurs ne devraient pas avoir accès au code source", note-t-il.

En outre, la façon dont le voleur présumé a mis la main sur une partie du code, auquel il était censé ne pas avoir accès, indique un problème dans la gestion des droits utilisateurs, explique Pratt. "Habituellement, dans les institutions financières, l'accès est strictement limité en fonction du rôle et du compte utilisateur", ajoute Gossels.

Les technologies DLP auraient été utiles...

La propriété intellectuelle et notamment les codes sources informatiques se prêtent parfaitement à l'usage de technologies de prévention de pertes de données (DLP) ajoute Gossels. "Il est difficile et coûteux de déployer des outils de DLP à l'échelle de l'entreprise, mais quand vous avez affaire à un environnement précis et ciblé, le contrôler avec le DLP et mettre en œuvre un contrôle très granulaire des accès deviennent tout à fait possibles". Un outil DLP peut restreindre les possibilités d'un utilisateur, y compris empêcher la copie de données dans un fichier Word.

Un système d'analyse comportementale aurait aussi détecté la présence suspecte de l'employé un samedi, indique Pratt. "Vous pouvez déterminer si quelqu'un est présent à un endroit où il ne devrait pas être", explique-t-il. Gossels note toutefois que la Société Générale a pu détecter le vol apparent de secrets commerciaux et a des preuves des actions de l'employé. "Clairement ils avaient au moins une bonne gestion de leurs logs", conclut-il.

En France, la sécurité et les procédures de contrôle de la Société Générale seront également sous les feux de l'actualité à partir du 8 juin, date à laquelle débute le procès de Jérôme Kerviel, accusé de "faux et usage de faux, abus de confiance et introduction frauduleuse de données dans un système de traitement automatisé". Suite à la révélation de l'affaire, la SG avait mis en avant ses investissements dans la sécurité informatique - notamment dans la biométrie - pour montrer sa volonté d'améliorer ses processus de contrôle, et, ainsi, retrouver la confiance des marchés.

Par Marcia Savage, SearchSecurity.com

livres blancs avec LesSourcesIT.fr

Guide en 10 étapes pour l’achat d’une solution CRM adaptée

Le processus d'acquisition d'une solution CRM est différent de la procédure classique suivie pour les achats informati…


Démystifier les mythes sur le 10Gigabit Ethernet

Alors que le 10Gigabit Ethernet (GbE) est largement disponible depuis plusieurs, la technologie et encore nouvelle pour …

vues 3133 lectures commentaire 0 commentaire(s) recommandation notez cet article
2
Les commentaires

Réagissez à cet article

Votre Pseudo

Commentaire

Justifier la sécurité informatique - Gérer les risques et garantir la sécurité de votre réseau


L'objectif d'un programme de sécurité est de choisir et de déployer des contre-mesures performantes pour atténuer les vulnérabilités qui risquent très probablement de causer…

Security Connected : Optimisez votre entreprise - Les dix grands thèmes de la sécurité que doit maîtriser tout dirigeant d'entreprise


Les entreprises sont en perpétuelle évolution. Selon une étude récente de Gartner, le rôle des directeurs informatiques évolue lui aussi : jusque-là gestionnaires des ressou…
livres blancs avec LesSourcesIT.fr
publicité
Les dossiers du MagIT
Tous les dossiers du MagIT...
 

 Projet Nice du Crédit Agricole : un chantier trop vaste dans un calendrier…

La fédération nationale du Crédit Agricole a présenté à la presse le côté pile de l’avancée de son projet Nice, fin janvier. Des…

 Cour des comptes : la gestion informatique de l’Assistance publique -…

Surprise dans le rapport annuel 2012 de la Cour des comptes : les magistrats se sont penchés d’un peu plus près sur les chantiers des…

 TechDays 2012 : Renault parie sur Sharepoint 2010 pour innover…

Renault se repose sur SharePoint 2010 pour proposer un service de gestion de l’innovation susceptible de favoriser l’émergence…

 Comment le missilier MBDA soigne la sécurité de son système d’information…

Second missilier au monde, MBDA manipule des données sensibles et doit s’appuyer, pour garantir leur sécurité, sur des outils…

 Europcar sélectionne TCS pour le développement de services IT en France…

Toutes les projets IT ...
Les dernières offres d'emploi

 Technicien hotline Niveau 0/1 H/F

Kelly IT Resources, division du groupe Kelly Services spécialisée dans la sélection et le recrutement de profils informatiques de niveau Bac+2 à Ingénieur, recrute pour un de ses clients, une SSII...

 INGÉNIEUR TEST LOGICIEL EMBARQUÉ (H/F)

Au sein de l'équipe Recherche & Développement embarquée, vous êtes chargé de :Rédiger les plans de tests, Dérouler les tests, Reporter les anomalies, Automatiser les tests, Fournir le rapport de...

 LEAD DEVELOPER WEB (H/F)

Au sein d?une équipe, vous assurez la conception et la réalisation d?applications Web. Vous participez aux phases d?avant-vente et pilotez la conception technique (validation des choix...

Toutes les offres d'emploi ...
publicité
Recevez les newsletters du MagIT
L'essentiel IT : L'actu IT au quotidien
événements

Etat du monde IT 2011

1 2 3 4 5   
Les blogs de la rédaction
Valery Marchive

Casualtek

Free : et si la rentabilité naissait de la simplicité ?

Free Mobile a semé le chaos sur le marché français de la téléphonie mobile…

Valery Marchive

Indi@

L’Inde vers un blocage du Web à la mode chinoise ?

Rien ne va plus entre Delhi et les grands du Web que sont notamment Facebook et…

Start-up IT

Quel volontarisme politique pour l’industrie des hautes technologies

Sur fond de crise économique l’industrie des hautes technologies française…

Tous les posts sur blogs.lemagit.fr ...
Sans frontière

Presse IT

Evénements

blogs

Presse

Click Here