Hier, j'ai eu la chance de discuter avec un de mes anciens collègues de la Société Géniale Générale qui est "trader exo". (le trading exotique est une forme de trading qui prend des positions spéculatives sur la volatilité ou sur la corrélation des marchés financiers ...) Toujours est-il que cet ami a pu m'apporter quelques précisions "inside" sur les derniers évènements.
Le trader en question, Jérôme Kerviel, a réussi son coup à partir d'un procédé simple qui consistait à créer dans le système interne de la Société Générale de fausses contreparties, autrement dit de faux clients. Le système en question s'appelle Eliot, c'est le système central du département dérivés actions dans lequel l'ensemble des "deals" sont "bookés". C'est forcément un système très sensible, très contrôlé par différents middle & back offices. Problème, Jérôme Kerviel était issu de ces départements et il a sans doute gardé des logins lui donnant des accès privilégiés à ce système. (j'ai moi-même gardé en tête des codes front de la maîtrise d'ouvrage donnant accès à pas mal de données...) A partir de là, il était facile pour lui de traiter sur les marchés en prenant des positions au nom de la Société Générale, des positions, bien sûr, totalement fictives car sans contreparties....
Puis est venu le temps de la crise, les 15, 16, 17 & 18 janvier, les marchés financiers ont énormément baissé, la position "longue", c'est à dire "acheteuse" a fait perdre énormément d'argent à ce trader qui s'est retrouvé acculé. C'est devenu impossible pour lui de masquer ses opérations frauduleuses en cause du système d'appels de marge des marchés organisés. (à ce niveau, demeure un point obscur, a-t-il traité "OTC" ces futures ou a-t-il traité "listé"...désolé pour ce jargon mais, c'est pas clair à ce niveau là) Bref, le vendredi 18 janvier, les middles offices chargés du contrôle ont finalement découvert la fraude. Pendant tout le week-end, c'est le branle-bat de combat, le trader est "séquestré" à la banque. On arrive finalement à lui faire cracher le morceau. En début de semaine, les plus hauts responsables de la banque & de la partie dérivés actions se chargent de déboucler cette position énorme accumulée depuis plusieurs semaines, de l'ordre de 50 milliards d'€ sur des futures Eurostoxx50. C'est tellement énorme que ça déséquilibre le marché qui prend conscience sans doute qu'un truc ne tourne pas rond à la SG. De là, les spéculations à la baisse sur le titre.
Bref... c'est aujourd'hui que l'ensemble des salariés SG découvre l'ampleur des dégâts. Plusieurs années de travail réduites à néant. Christophe Mianné, emblématique responsable de l'activité dérivés actions, fait un discours ce matin dans la salle de marché dérivés actions. Il parle de Jérôme Kerviel, un trader dont on aurait du se méfier car il n'avait pas pris de vacances depuis 2 ans. (normal...) Il ne termine pas son discours car sa gorge est serrée, il est sur le point de tomber en sanglots. Plusieurs centaines de journalistes sont en bas des deux tours de la Défense. "Impossible de fumer une clope en bas"...
Le trader en question, Jérôme Kerviel, a réussi son coup à partir d'un procédé simple qui consistait à créer dans le système interne de la Société Générale de fausses contreparties, autrement dit de faux clients. Le système en question s'appelle Eliot, c'est le système central du département dérivés actions dans lequel l'ensemble des "deals" sont "bookés". C'est forcément un système très sensible, très contrôlé par différents middle & back offices. Problème, Jérôme Kerviel était issu de ces départements et il a sans doute gardé des logins lui donnant des accès privilégiés à ce système. (j'ai moi-même gardé en tête des codes front de la maîtrise d'ouvrage donnant accès à pas mal de données...) A partir de là, il était facile pour lui de traiter sur les marchés en prenant des positions au nom de la Société Générale, des positions, bien sûr, totalement fictives car sans contreparties....
Puis est venu le temps de la crise, les 15, 16, 17 & 18 janvier, les marchés financiers ont énormément baissé, la position "longue", c'est à dire "acheteuse" a fait perdre énormément d'argent à ce trader qui s'est retrouvé acculé. C'est devenu impossible pour lui de masquer ses opérations frauduleuses en cause du système d'appels de marge des marchés organisés. (à ce niveau, demeure un point obscur, a-t-il traité "OTC" ces futures ou a-t-il traité "listé"...désolé pour ce jargon mais, c'est pas clair à ce niveau là) Bref, le vendredi 18 janvier, les middles offices chargés du contrôle ont finalement découvert la fraude. Pendant tout le week-end, c'est le branle-bat de combat, le trader est "séquestré" à la banque. On arrive finalement à lui faire cracher le morceau. En début de semaine, les plus hauts responsables de la banque & de la partie dérivés actions se chargent de déboucler cette position énorme accumulée depuis plusieurs semaines, de l'ordre de 50 milliards d'€ sur des futures Eurostoxx50. C'est tellement énorme que ça déséquilibre le marché qui prend conscience sans doute qu'un truc ne tourne pas rond à la SG. De là, les spéculations à la baisse sur le titre.
Bref... c'est aujourd'hui que l'ensemble des salariés SG découvre l'ampleur des dégâts. Plusieurs années de travail réduites à néant. Christophe Mianné, emblématique responsable de l'activité dérivés actions, fait un discours ce matin dans la salle de marché dérivés actions. Il parle de Jérôme Kerviel, un trader dont on aurait du se méfier car il n'avait pas pris de vacances depuis 2 ans. (normal...) Il ne termine pas son discours car sa gorge est serrée, il est sur le point de tomber en sanglots. Plusieurs centaines de journalistes sont en bas des deux tours de la Défense. "Impossible de fumer une clope en bas"...
Que penser de tout ça ? Contrairement à ce qu'affirme Elie Cohen dans le Figaro, aussi irréel que cela puisse paraître, cette histoire me paraît tout à fait plausible. Je ne pense pas que ce soit une histoire inventée de toutes pièces par le management pour masquer des pertes liées aux subprimes. Par contre, il est clair que la responsabilité des managers est posée. Et notamment celle de Christophe Mianné qui pour l'instant a réussi à sauver sa peau. Ce centralien a fait fortune à la Société Générale durant les années fastes en développant un leader mondial sur les marchés de dérivés actions. Malheureusement un géant aux pieds d'argile puisque par l'action d'un seul homme plusieurs années de profit sont effacées. Ne fallait il pas renforcer les middles offices risques avant d'envisager toujours plus de croissance ?... Une vraie question de stratégie, pour le salarié le mieux payé de France...
99 &Co
C'est la première fois que je passe sur ton blog, ça fait plaisir de voir que je ne suis pas le seul MOA finance (et ancien de la SGCIB) à trainer dans le monde des blogs. Toute cette histoire me parait tout de même curieuse.
D'après ce que j'ai compris il y avait deux sortes de deals : les vrais deals qui partaient bien au BO et des faux deals qui permettaient de masquer sa position dans Eliot (peut-être en raison de contreparties fictives comme tu le signales). Dans ce cas, cela veut dire que les deals fictifs étaient pris en compte non seulement dans le pricing, mais aussi au niveau des risques. A contrario, ils ne seraient pas envoyés au back et donc non réconciliés broker. Comment serait-il possible d'arriver à une telle incohérence de système ? A te lire, il aurait eu des droits utilisateurs lui permettant d'arriver à ce schéma et ça me semble très curieux.
Ce qui est surtout étonnant, c'est la durée avec laquelle ce procédé s'est déroulé puisqu'on parle de plusieurs mois.
PS: si tu parles de contreparties fictives, c'est de l'OTC, ce qui signifie qu'en plus le risque de contrepartie est lui aussi suivi. A moins bien sûr qu'Eliot permette ce genre de montage.
"D'après ce que j'ai compris il y avait deux sortes de deals : les vrais deals qui partaient bien au BO et des faux deals qui permettaient de masquer sa position dans Eliot (peut-être en raison de contreparties fictives comme tu le signales). "
-----> pour moi, c'est exactement comme ça que ça s'est passé. Les vrais deals suivaient le process classique, normal ils étaient faits avec de vrais clients. Pour les faux deals, il bookait lui-même eliot et validait ensuite les process middle back avec des logins qu'il aurait gardés (tu connais les différents statuts pending pour bloquer l'envoi de conf ou empêcher la redescente dans les applis back) Tout ça, franchement, c'est pas très dur à faire si on a différents logins..
"Dans ce cas, cela veut dire que les deals fictifs étaient pris en compte non seulement dans le pricing, mais aussi au niveau des risques." ------> oui, les contrats de ses deals fictifs étaient pricés mais qu'est ce que ça changeait? il prenait des positions sur des fut SX5E, c'est pricé en continu... Au niveau des risques, c'était indétectable : la somme de ses positions réelles + la somme de ses positions fictives = 0 risques puisque c'était du Delta1. Non, à ce niveau, son boss a déconné de pas connaître mieux le book de son trader. Autre faille, "un mec qui prend pas de vacances pendant 2 ans, faut s'en méfier" comme disait Mianné hier. S'il était parti, son back-up aurait vu la supercherie, c'est sûr.
"Ce qui est surtout étonnant, c'est la durée avec laquelle ce procédé s'est déroulé puisqu'on parle de plusieurs mois." --------> Oui, faudra attendre un peu avant de savoir.
"si tu parles de contreparties fictives, c'est de l'OTC, ce qui signifie qu'en plus le risque de contrepartie est lui aussi suivi. A moins bien sûr qu'Eliot permette ce genre de montage. ----------------> C'est LE COEUR du problème. Là, où il a été fait fort, c'est de faire créer des contreparties fictives. Faut s'accrocher pour faire ça à la SG. Il faut passer par le KYC, des documents juridiques, l'insertion dans BDR puis la création dans Eliot, tout ça par des middles référentiels différents. Enfin, pour pouvoir traiter OTC et éviter le contrôle de risque de contrepartie, il aurait été obligé d'attribuer des lignes de crédit fictives à ce client(iforce), très très chaud à faire.....
On sait tous qu'il y a beaucoup de risque à ce niveau. Les middles auraient du checker sans arrêt cette base de clients, mais peut-être manquait-t-il de ressources... Erreur stratégique : on a construit un géant aux pieds d'argile.
Quel est le mobile ?
Quelle ambition se cache derrière ces manipulations frauduleuses ?
Est-ce que cela lui permettait d'augmenter son P/L ?
On ne parle pas de détournement offshore comme à la Barings ou ailleurs, donc c'était 2 ans de "super" mois à plusieurs dizaines voire centaines de milliers d'euros...
Tu te fais pas chier deux ans pour rien...
Merci l'expert,un kiffe de te lire sur ce sujet que tu maîtrises et tant inside...
quand tu dis...les gens on senti que qulque chose se passait à la SG et ça a fait en sorte que le court du titre est tombé...
je pense qu'il va y avoir des histoires de délit d'initié aussi autour de ça....je dis ça je dis rien....
Le meilleur article de ce qu'il c'est passe!! Un grand merci!
A mon avis il ne pouvait pas etre OTC pour les raisons que tu donnes. Just a though!
Pour le mobile, j'ai poste la dessus hier. A mon avis la frustration d'un "petit". Lisez mon long post et dites moi ce que vous en pensez...
@Mike : oui la question du mobile se pose. Monsieur Glob y répond ici.
En tous les cas, ce qui est sûr, contrairement à ce que laissait entendre Fr2 dans son JT de ce matin, pas de transfert de milliards d'€ sur les comptes offshore persos de Jérôme Kerviel. Totalement impossible, moi-même j'y ai réfléchi à l'époque mais c'est impossible ;) ou alors on parle d'un sur-génie. Les flux de cash réels de compte à compte sont réservés à des BOs lointains, impossible d'avoir la main là-dessus depuis la salle où travaillait Jérôme. Et puis c'est difficile à monter, ce sont des comptes spéciaux, c'est pas un RIB que tu donnes et c'est réglé ;)
@vincil : oui de probables délits d'initiés même si le débouclage de la position de 50milliards par la SG est très visible dans le marché, d'où des rumeurs fondés qui ne sont pas du délit d'initié. D'autre part, apparemment la SG avait mis en place ce qu'il fallait pour éviter les fuites, notamment la sécurisation des boîtes mail. Un mec qui aurait écrit "la SG, c'est fini" à un pote par mail a vu son compte bloqué...
@monsieur Glob : merci beaucoup pour ton post que je viens de lire.
Discuté avec des personnes travaillant dans les salles de marchés d'autres banques : pour elles, c'est soit pas plausible, soit les systèmes de la SG sont gérés et contrôlés par des branquignols. la 2ème solution leur semblant improbable, ces personnes penchent plutôt vers la première.
d'ailleurs dans la presse, on peut notamment lire ceci (trouvé sur 20minutes.fr) :
"De même Alain Crouzat, président de la société de gestion de portefeuilles Montségur Finance, se dit intrigué par «la chronologie» des faits, dans «Le Parisien». «La Société générale s'apprête à publier ses résultats de l'année 2007. Voilà qu'à cette occasion tout le monde découvre qu'elle a été victime d'une fraude inouïe, comme le dit Christian Noyer, le président de la Banque de France, et qu'on annonce sa recapitalisation dans la foulée. Quelle coïncidence, quel timing exemplaire aussi. Le scénario est parfait, trop!» juge-t-il." et "de nombreux éditorialistes de province mettent en doute la sincérité des explications données à l'instar du «Télégramme», dans lequel Alain Joannès remarque que «tout se passe comme si les six jours qui se sont écoulés entre la découverte de la fraude en interne et sa révélation hier avaient été utilisés pour scénariser une histoire "plausible"». «Un scénario trop bien écrit» pour l'éditorialiste".
@David : c'est vrai que la chronologie des faits peut paraître bizarre.
MAIS
1. La SG a une activité phare sur laquelle elle est leader mondiale : les dérivés actions. Si cette histoire était inventée de toutes pièces, pourquoi Bouton aurait décidé de nuir à la réputation de ce service qui lui rapporte énormément d'argent. La perte en terme de réputation est colossal, comme tu dis, on passe pour des branquignols. Sans compter les départs probables des talents. Pourquoi Bouton n'aurait-il pas choisi des activités de marché autres comme les obligations ou les dérivés de crédit ou même les actions simples comme il y en a à la SG. Et puis, plus simple pourquoi ne pas mettre cette perte sur le dos du subprime ? bien plus facile...
2. Si tu as un accès bloomberg, c'est possible de voir l'hitorique des trades sur les futs SX5E. Les volumes traités par la SG pour déboucler la position frauduleuse doivent être visibles... donc ça, ça se vérifie avec tes yeux.
3. ton argument de l'augmentation de capital ne tient pas. Chaque année, la SG propose un plan de souscription d'actions à ses salariés. D'autre part, avec les subprimes, les responsables avaient surement déjà prévu l'augmentation de capital.
Conclusion :
Alain Crouzat, président de la société de gestion de portefeuilles Montségur Finance, peut dire ce qu'il veut, son métier n'a rien à voir avec celui des dérivés à la SG, comme tous les autres d'ailleurs, les éditorialistes etc... qui cherchent juste à faire du buzz en spéculant sur la méconnaissance des faits. Je leur en veux pas, c'est leur job.
As-tu l'impression que je raconte des cracks ? Je n'ai aucun intérêt dans l'affaire. Je dis juste : cette histoire est surement vraie.
soit. je ne te mets absolument pas en doute. j'essaie de croiser des infos et comprendre.
à l'objection n°1, je dis qu'entre déclarer une forte perte liée aux subprimes et une fraude (entre être coupable et victime), y'a pas photo sur l'impact sur les marchés et pour la crédibilité de la banque elle-même ainsi que du pouvoir politique qui, lui, bataille très dur en ce moment pour faire acroire à tout le monde que la crise américaine ne passera pas par la france...
mais la fraude est bien sur plausible. sans doute avec quelques complicités.
Oui, peut-être des complicités, un autre trader, son responsable, des mecs du middle office qui ont donné des codes... Tout ça, c'est possible...
En tous les cas, sur le point 2., tu as un élément de réponse dans le monde & sur 20 min. Les volumes traités par la SG auraient tellement été énormes que ça aurait fossé la décision de la Fed...dit-on...
alors c'est le débouclage qui aurait été mal géré ? et les pertes auraient pu être minimisées en n'effrayant pas les marchés ?
Non, la perte a été constatée dans le week-end donc elle était faite.
Quand tu es responsable et que tu constates une telle perte, tu soldes ta position "à tout prix". Tu cherches pas à spéculer comme le faisait précisément le trader car les marchés peuvent encore baisser. Tu soldes c'est tout. C'est ce qu'ils ont fait. C'est ce qu'ils devaient faire.
Seule petite technique qu'on utilise dans pareils cas, c'est qu'on traite pas d'un coup 50milliards d'€ que le marché ne peut pas absorber mais on fait ça par morceaux. On m'a dit qu'ils en ont chié pendant 3 jours.
Un autre lien intéressant:
http://www.freddestin.com/blog/2008/01/not-buying-the.html
Au final cela fait du bien à pas mal de monde et beaucoup en banque mais ailleurs doivent se demander: Est ce possible chez moi?
pas EUR 4.9mds mais quand même
Merci pour cet article qui apporte un peu de lumière à l'obscurité.
Mais attendez un instant :
"Jérôme Kerviel était issu de ces départements et il a sans doute gardé des logins lui donnant des accès privilégiés à ce système. (j'ai moi-même gardé en tête des codes front de la maîtrise d'ouvrage donnant accès à pas mal de données...)"
Attendez... vous êtes en train de nous dire que les logins des systèmes bancaires ne sont pas modifiés régulièrement ?!?
Sachant que le moindre hôpital change les logins d'accès aux dossiers patients au moins trois fois par an...
Mouai.. pour le délit d'initié, cela me semble assez bien constitué.
La nouvelle trainait sur un forum public dès mercredi AM, je ne doute pas que le bruit courrait dans les couloirs de la SG depuis quelques jours.
Depuis un long moment tout le monde en parlait tout le monde savait que quelque chose ne va pas,???
Je travaille dans le secteur je ne sais pas si c'est vrai ce que vous dites mais meme si on garde les logins ??? Commment on "service informatique" lui installe des bases de données ou outils (celles d'un gestionnaires back-office" dont il n'a pas besoins et il n'est pas toléré pour un trader de les avoir???
Je croix pas du tout aux explication de Daniel Bouton
Aucune banque n'est sécurisée informatiquement de l'intérieur.
Les banques sécurisent les intrusions venant de l'extérieur...
La sécurité informatique emmerde tout le monde !
Récupérer les outils SQL, c'est simple....
Une recherche sur le réseau, une clé USB etc....
De toute façon les programmes de tous les logiciels sont souvent accessible a tout le monde en lecture !
Encore plus dans une salle de marché ou tout doi étre accessible rapidement !
Les mots de passe, cela emmerde aussi tout le monde !
Compter le nombre de mot de passe que vous avez .....
Infernale à gérer !
Les projets SSO (single sign on) arrivent à grand pas mais ce n'est pas encore cela !
Il y'a plusieurs années je me suis fait virer d'une mission dans une banque Asset Managment (la plus grosse en France dont je terrais le nom) parce qu'une utilisatrice me demandait de changer le mot de passe d'une de ses collègue absente !
J'ai refusé, elle s'est plainte auprès du responsable !
Je me suis retrouvé dehors sans autre forme de procès !
Alors la sécurité..... Tant que personne n'est au courant que la catastrophe vient d'un problème de sécurité informatique, personne ne fait rien !
Salut,
Merci pour tous ces éclaircissements (noyés dans le flot des conneries médiatiques de Yahoo et consorts) et qui me semblent plus que crédibles. Je bosse à la SG, dans un secteur tout autre (informatique siège/agences) mais je suis tout de même étonné de l'absence de sécurité informatique dans les salles de marchés, sachant que dans des services nettement moins sensibles, il y a deja pas mal de contraintes sécuritaires (expiration des mots de passe fréquente, gestion d'accès et de droits etc). Certes, la règle chez SGCIB est légèrement différente (du genre "on fait à fond et vite, on réfléchira après") mais tout de même, si cela s'avère exact, quelle négligence de la part de SEC sur ce coup là ... Si les enquêtes bancaires et judiciaires n'apportent pas toute la vérité, je pense qu'il y aura des fuites internes tôt ou tard. La valse des licenciements à commencer, d'autres viendront sûrement d'ici 3 à 6 mois (pour ne pas dépouiller immédiatement le staff managérial).Quelque chose me dit que Mustier finira dans une filiale avant fin 2008 ....
@Anonyme> Il semblerait assez étonnant qu'ne société de cette taille ne soit pas doté d'infrastructure de gestion de clé au moins pour l'authentification et et l'identification. Surtout que la SG a un service dédié à cela : SG TRUST SERVICES pour les téléprocédures.
Hello,
Moi je ne bosse pas à la SG, je bosse chez Wonderbra.
Je trouve vos explications passionantes, mais il me manque quelques notions (forcément).
Notamment, quelqu'un peut m'expliquer : Eliot? BDR? (si vous avez un lien vers un site... j'ai pas trouvé sur wikip.-> ce sont des applications spécifiques à la SG?)
@Jaï
Est-ce que je peux envoyer le lien de ce blog à un ami, journaliste aux Echos?
le schema de ligne reele face a des lignes fictives me semble coherent, mais la question est que les ligne reelles vont generer des flux avec les contre partie et par les lignes fictives. Du coup vue la taille des position prises ces flux serait assez important et deraient se voir quleque part dans la chaine de controle.
@Anonyme,
Eliot c'est je pense le logiciel phare de Equity and derivatives un gros truc certainement aujourd'hui qui gere les deal, price etc ...
Il existe depuis plus de 12 ans ! (si si j'en suis sur).
BDR je pense que ca veut dire Base de Donnee Relationel.
Bien sur qu'il y a du très spécifique a la socgen du taille sur mesure.
Ceci dit de la même manière que les controlleurs d'avions n'arrivent pas se passer de papier pour suivre les vols, les tradeurs aussi ...
Ceci dit Excellent post Jai, je crois que c'est bien la vérité, banal en quelque sorte non ?
J'ai bossé sur Eliot pendant 3 ans, et c'est très simple de prendre un login dans une macro Excel pour insérer une nouvelle contre-partie. La première faille est là. JK a juste récupéré de cette manière des logins car les traders sont toujours attachés à leurs macros, ils ont des équipes de dev dédiés appelés "Commando" qui leur font des macros sur mesure, et les login/password sont en clair dans le code.
Pas besoin d'avoir les droits DBO sur la base de données Eliot pour faire des insertions. Pour l'insertion dans BDR, ca ne doit pas être très difficile non plus.
On a un peu parlé avec des gars de SAS (support Eliot), et ils nous ont confirmé que c'est bien ce qu'il s'est passé.
Personne n'avait pensé qu'un opérateur pourrait monter un truc pareil, les controles servent à encadrer les opérations et à remonter les risques, pas à detecter les spychopathes en salle.
Eliot est le référentiel Deal/Produit/..., il est en fin de vie et pourtant il continue à évoluer en attendant son décommissionnement par les applications du projet IDEA. L'investissement de la SGCIB dans l'informatique est colossal; Eliot lui a donné un avantage sur la concurrence et IDEA est là pour conserver cette avantage.
Il n'y a pas de doute sur ce qui s'est passé, il y a trop de personnes dans le process pour monter une arnaque.
Quand aux journalistes/Politicien/pseudo expert ils racontent des énormités par ce qu'ils ne connaissent pas la finance de marché, le fonctionnement d'une salle. Ils ne faut pas écouter ce qu'ils racontent car ils ne savent rien comme d'habitude. Sur Itele/BFMTV, certains pensait que JK était parti avec l'argent ... MDR ... c'est son banquier qui va être heureux ...
A mon avis, il y a manquement de la SG sur au moins deux points :
1- sécurité informatique : des applis protégées par simple mot de passe, qui ne change pas régulièrement, et qui en plus est dispo dans des macros ... On se croirait en 1994 ...
2- les "assistants" trader du middle office travaillent à 10 mètres de leurs traders. Pire, ils sont notés par ces derniers pour détérminer leur bonus. Dans tous les bouquins de risque opérationnel, on vous dit que le truc le plus basique à faire, est de séparer le front du middle et du back. Ils devraient même pas se connaitre !!!!
"et il a sans doute gardé des logins lui donnant des accès"..... Mais ya des doutes, ou yen a pas ?
Il y a eu des manquements en terme de sécurité informatique, c’est sûr.
Même avec une gestion rigoureuse des logins (renouvellement, attribution, gestion des droits etc…), c’est dur d’être 100% fiable. Petite précision, les logins ne venaient pas de macros-commandos car tous les logins n’ont pas les mêmes droits et notamment les droits d’écriture de nouvelles contreparties. Les logins des macros au Front te permettent au mieux d’intervenir sur les bases de trades, pas les bases de référentiel. Seul le middle office référentiel justement a ce type de logins, précisément celui dont est issu Jérôme… voir cv .
Malgré tout ça, toute la lumière n’a pas encore été faite. Plusieurs inconnus demeurent…Notamment la taille de la position pour le trader qu’il était : c’était trop gros dans son book. Si on comprend comment il a feinté le département des risques, on ignore comment il a fait pour masquer la taille de sa position… Autre problème, comme je le disais, comment a-t-il géré les systèmes d’appels de marge comme ça se fait quand on traite des futures listés.
J’attends de pied ferme les résultats de l’enquête & je vais me renseigner de mon côté.
@Jiel : il y a peut-être eu des délits d’initié. Malheureusement, ce sera très très très dur, voire impossible pour l’AMF de les détecter. En revanche, on peut écarter, je pense, le délit d’initiés des dirigeants & la revente de leurs stocks comme ça s’est fait pour Airbus/EADS. Impossible de vendre des actions si rapidement, (beaucoup de déclarations à faire) en si peu de temps. Par contre, ils ont peut-être pris des produits de couverture.
@ cap : il y a des doutes car je fais une hypothèse et je ne suis pas Jérôme Kerviel ;)
En tant que total ignorant de la finance, je comprends le concept de contre partie fictive pour compenser ses pertes réelles, mais quid des systèmes d’appels de marge???
Merci pour cet article et les commentaires.
Salut
Merci pour ce compte rendu et ses echanges interessants.
N'ayant jamais travaillé a la SG, je ne peut apporter d'info sur ce qui s'est passé.
Par contre j'ai deja bossé dans une banque US en derivés de taux et maintenant en Equity Exos dans une autre banque US.
La premiere obligeait ses traders a partir en vacances une semaine pleine, sans contact avec le desk pdt cette periode.
La seconde oblige toute personne du front a prendre 2 semaines consecutives de vacances sans contact avec le front.
voila pour la petite info.
Le système d'appels de marge est un mécanisme qui est mis en place sur les marchés de futures notamment. L'organisme de marché (ou compensateur) regarde le solde de la position de chaque membre du marché. Si la position perd de l'argent, le compensateur fait un "appel de marges", le membre de marché doit alors apporter des fonds sur un compte pour démontrer qu'il sera capable de payer à l'échéance.
Dsl, je ne sais pas si je suis très clair...
@Yankee Banker : bonne petite info & bon conseil pour la SG...
Ne vous excusez pas. Même si c'est ardu à la comprenette, j'en saisis le concept et cela me suffit.
Merci pour cette précision.
Vu le nombre de mots de passe a gerer (avec chacun son rythme d'expiration, ses regles de securite differentes..) on se retrouve rapidement a avoir un post-it sous un des claviers ou dans son tiroir!!
Les applis SG se superposent et cela rend tout opaque. On peut acceder a un deal de 10 manieres differentes, chacune donnant un resultat different. il faut savoir lequel est le bon, et verifier eventuellement que c'est pas un deal miroir ou fictif (sans envisager ce qui est evoque d'avoir cree une nouvelle contrepartie)
Sur la taille des positions, les gens du middle office charges de fournir les obligations en collat sont incapables de voir s'il y a une augmentation de quelques Mds du collat fourni. Donc tant qu'il n'y a pas de perte...
Et petite info sur le monitoring du boss, son responsable direct etait parti fin 2006. Le temps de trouver son remplacant, et qu'il se forme...
Ce que je ne comprend pas, c'est l'activité rééle de JK au Front. Sur son CV, il est indiqué qu'il était market maker (delta one products), alors que la SG indique qu'il bossait ds la partie compte propore(arbitrage).
Quelqu'un à de l'info ?
Juste une petite question: a la base, quel est l'interet de permettre des positions fictives dans le systeme ?
Merci
@anonyme : tu peux market-maker un produit, c'est à dire donner un bid & une offre (un prix d'achat & de vente) et prendre des positions pour le compte propre de la SG.
@oak : car, au niveau des risques, la somme de ses positions réelles + la somme de ses positions fictives = 0. Ca permet d'éviter les contrôles des risques tout en gardant une position spéculative réelle.
@oak : Pour faire fonctionner le système il lui faut une certaine souplesse : correction des deals mals entrés, migration techniques, phases de tests ; toute une zone grise mal surveillée, apparement.
@Jaï, de Jean Tabel:
Comment un système informatique supposé contrôler que les employés ne font pas de bêtises peut-il se satisfaire de ne contrôler que la somme des positions fictives et de ses positions réelles et de vérifier qu'elle est nulle, au lieu de calculer la somme des positions réelles, la somme des positions fictives, et d'envoyer une alarme si l'une ou l'autre de ces sommes dépasse la moyenne des sommes des positions réelles et fictives d'autres opérateurs ayant la même limite de 20 millions je crois?
D'autre part, les comment se fait-il que les comptes utilisateurs de Jerome Kerviel (" logins qu'il aurait gardés" n'aient pas étés révoqués lors de son départ du département back office, ou bien les privilèges associés à ces comptes abaissés ?
Comment, alors que l'inputabilité se doît d'être une caractéristique d'un système d'information sécurisé, est-il possible sinon que des opérations effectuées avec ces anciens comptes n'aient pas déclenché des alarmes ?
Alors que les banques se servent couramment des données collectés sur les opération effectuées par leur clients afin de détecter des anomalies dans l'utilisation de leurs cartes/comptes, comment ce fait-il que des logiciels de gestion de risque ne comportent pas de dispositifs de ce type compte-tenu des sommes en jeu ?
Pour finir, quelle est la société qui a développé ces logiciels ?
Bonjour,
Je suis trader delta 1, travaillant pour un concurrent de la SocGen.
Ce qui m'effare le plus au dela de la possibilté de rentrer des deals Forwards avec des contreparties fictive dans un systeme de booking est le fait de lever 140,000 contrats DAX (tel que mentionné dans Spiegel) sans déclencher des milliers d'alarmes aussi bien auprés de Deutsche Borse, du BaFin que du département de compliance de la banque.
Le contrat DAX est le future indiciel le plus liquide d'Europe. Le fait que SocGen détienne 70% de l'open interest du DAX Mars 2008, pour une valeur de 25 milliards d'euro est délirant !!
A t'il monté sa pos avec un automate ? Pourquoi ? Voulait-il influencer avec son volume le niveau market du future afin de minimiser le montant des appels de mrge ? Cela expliquerait le niveau délirant de la position et la curieuse surperformance du DAX au 4eme trimestre 2007.
Ce qui est épatant est le fait que la SocGen ait ignoré qu'elle avait plus de 50% de l'open interest du DAX Mars 2008. La Deutsche Borse le leur a forcément signifié. Cela signifie donc que la SocGen a ignoré cette information.
Bonjour Jai,
Je viens de t'écrire une réponse. Tu trouveras mon billet à cette adresse:
http://www.finance-hq.org/viewtopic.php?pid=569#p569
Quelques infos d'époque sur le système Eliot:
http://michal.pasniewski.free.fr/article_about_eliot_software.htm
@trader delta1 : « Ce qui est épatant est le fait que la SocGen ait ignoré qu'elle avait plus de 50% de l'open interest du DAX Mars 2008. La Deutsche Borse le leur a forcément signifié. » Tout à fait d’accord, ça fait partie des points incompréhensibles que je soulevais plus haut. Avec les appels de marge, ça aurait du se voir très rapidement. Faut attendre le rapport…
Sur le site de l’ Eurex, marché de contrats futurs, surlequel il a traité, on a les détails des volumes traités sur les futurs DAX dans les fichiers excel. C’est intéressant mais ça manque de détails.
- Volume Month to date de Décembre (un mois chaud) : 568 milliards d’€
- Volume Month to date de Janvier (et il est pas fini !) : + de 781 milliards d’€
@sempi :
Première partie de ta réponse : je suis d’accord. Toutes les thèses visant à faire croire que la SG a inventé cette histoire pour cacher les pertes liées aux subprimes sont fausses. Comme je le disais plus haut, c’eût été beaucoup plus simple justement de tout mettre sur le compte des subprimes. Beaucoup moins couteux en terme d’image car la SG aurait finalement fait au moins aussi bien que Citigroup avec un résultat toujours bénéficiaire.
Deuxième partie de ta réponse : Le but de mon post n’est pas de demander la tête de responsables. Pas du tout & on a tous beaucoup de respect pour le management DEAI-GEDS (nom du département dérivés actions de la SG). En outre, comme tu dis, cela fragilise sans doute encore plus la SG dans ces moments difficiles. Mais tu dois prendre la mesure du scandale et ce, sans complaisance. L’activité dérivés (2000-3000salariés) de la SG efface presque les profits d’une année des 120 000 autres. Force est de constater que la SG a construit une maison sans fondements, un géant aux pieds d’argile, on peut faire toutes les comparaisons.. ;) Et ça, c’est une erreur de stratégie donc une faute du management.
Soit tu penses que ces pertes sont liées à l’activité intrinsèquement, dans ce cas, tu fermes l’activité car elle fait courir un risque énorme à toute la banque et même au système financier en général. Soit tu penses qu’on aurait pu l’éviter (avec plus de middles de contrôle notamment) et dans ce cas, on sanctionne le management.
Bonjour,
J'ai travaillé comme IT (informaticien) pour la SG et pour d'autres grandes banques..
BDR c'est un logiciel interne de la SG.
Si je ne m'abuse, cela veut tout simplement dire Base de Données de références.
La sécurité est une vaste plaisanterie.
un petit exemple parmi des dizaines : je me souviens d'une appli dont personne n'ose changer les mots de passe admin de certaines applications à cause du grand nombre d'applications externes qui pourrait "perturber le trading" si elles venaient à avoir un retard. Inutile de dire qu'avec le temps, tout le monde le connait.
@Anonyme,
"je me souviens d'une appli dont personne n'ose changer les mots de passe admin de certaines applications"
If It's Not Broken, Don't Fix It!
Est certainement la cause que plus de la moitié des passwords des applis et des accès au base de donné ne sont jamais changé.
Et je parle pas des Tradeurs qui s'échangent leur password emails, de leurs stations etc, c'est tellement plus pratique et rapide.
A ce sujet les post-it sous les claviers...
@Anonyme
Pourrais-tu expliquer en quoi consiste le business d'un desk delta one. Est-ce similaire au basket trading ?
Merci
Relève du delta one tout arbitrage entre un produit dont la couverture est constante et trés proche de un et son sous-jacent.
Les produits en question sont les futures et les forwards.
(contrairement aux options de tout type dont le delta est variable...)
Un desk delta one dérivé actions inclue donc tout business d'arbitrage entre des futures/forward et leur spot cash (actions ou futures).
La notion de basket trading est trés différente d'une banque à une autre. Pour les uns il s'agit de l'arbitrage Future indiciel/ panier d'actions haute fréquence via des automates de trading.
Pour les autres cela consiste à prendre des positions OTCs (par téléphone pour simplifier) sur des EFPs et des swaps.
Grosso modo le basket trading est un sous-ensemble des desk delta one, consacré à l'arbitrage future/forward contre indice, high-freq ou otc selon les établissements.
En éspérant vous avoir éclairé.
Pour continuer, la réponse au problème des appels de marge est trés simple.
Tant qu'il gagnait de l'argent et tant que ses pertes se limitaient à une dizaine de millions d'euro, la trésorerie pouvait se contenter du fait qu'existait en face un deal forward (sans appel de marge) couvrant la perte.
Il a par ailleurs surement découvert qu'en traitant des quantités de boeufs il arrivait à influencer le prix du future et donc à limiter les appels.
Je me mets dans le cas délirant que je suis pret à acheter 50,000 DAX dans la journée. Je peux, vu la quantité maintenir le cours du future dans un environnement de volatilité moyen afin de limiter l'appel de marge. Ca semble délirant mais ça marche. Ca doit avoir en prime l'effet de se prendre pour Dieu le père.
Imaginer vous seul contre tous à manipuler le cours des marchés boursiers.
Soudain le marché s'emballe et meme en traitant 50,000 DAX en une journée je ne peux plus tenir le cours ou attendre un reversal.
Ok... le scénario tient bien la route jusqu'au point ou le marché Eurex (dérivés allemands, filiale de Deutsche Boerse) s'aperçoit que la SocGen détient 70% des futures DAX Mars 2008. (140,000 sur 200,000 début Janvier voir les open interests du DAX sur http://www.eurexchange.com/trading/products/IDX/DAX/FDAX_en.html?mode=statistics )
Là j'imagine qu'Eurex passant un petit coup de fil à nos amis de la direction genre :
Eurex : "Est-il normal que vous ayez 70% des open interest du futur sur indice le plus liquide d'Europe ?"
Gross Ponte de la salle : " Mais enfin savez-vous à qui vous vous adressez ? Nous sommes la société générale mon cher ami, numéro un des dérivés action. "
Eurex : " Euh .. ok ... désolé pour le dérangement "
Gross Ponte de la salle : "Bonne journée et au revoir"
On nous parle de déficit 2007 de x milliards et de liquididation des positions en 2008.
Quelqu'un peut-il expliquer ce décallage de date?
Peut-on dire que le déficit 2007 de la SG était le même le 2/01/2008 et le 23/01/2008, date de l'annonce au public (surtout en voyant la chute des marchés?
Merci pour toute aide à la compréhension
Lorsque la SG a débouclé sa position qui en face avait la capacité financière d'absorber de tel volumes et pourquoi l'avoir fait ?
Cela veut il dire que ceux qui ont acheté au plus bas, ce dont se délestait la SG (le mardi peu après l'ouverture) ont pu faire eux quelques milliards de plus values (sachant peut être que la Fed relèverait ses taux et éteindrait l'incendie)....
@Anonyme1 :
Et si je vulgarise un peu plus pour ceux qui ne connaissent pas le monde des dérivés, le delta1 est un sous-ensemble des produits dérivés dans lequel on met tous les produits dont la couverture se fait par une réplication simple car le delta est de 1. D’où Delta-One. On inclut futures, forwards, mais aussi swaps, trackers certificats.. En fait, je ne sais pas si je vulgarise vraiment ;)… Merci Anonyme 1 pour tes défs.
@Anonyme2 : « Tant qu'il gagnait de l'argent et tant que ses pertes se limitaient à une dizaine de millions d'euro, la trésorerie pouvait se contenter du fait qu'existait en face un deal forward (sans appel de marge) couvrant la perte. » Ce que tu dis, c’est d’après moi, le scénario le plus probable. Les deals forwards qui sont donc des deals OTC, ils les a booké dans Eliot avec une contrepartie fictive. (voir post & commentaires plus haut) Du coup, il pouvait prendre des positions sur les futures dax listés en déjouant le contrôle des risques interne à la SG. Jusqu’au moment où il a eu à faire face aux appels de marge. Le lien sur l’Eurex que tu donnes nous donne juste le niveau de l’open interest. Pour le chiffre de 140 000 au compte de la SG, tu te bases sur les infos du Spiegel qui m’ont l’air plus que sérieuse. Je vais essayer de faire un post récapitulatif avant ce soir de ce qu’on sait et de ce qu’on ne sait pas…
@Anonyme3 : Je ne suis pas un expert comptable (surtout en comptabilité de banque qui est un peu différente) mais si tu constates une perte au tout début 2008, tu dois pouvoir l’imputer sur les résultats de 2007 surtout si ta perte provient d’une opération débutée en 2007… Ca me parait tout à fait concevable. J’espère que je t’apporte un élément de réponse car je ne suis pas sûr d’avoir parfaitement saisi ta question.
@jmp :
1. « Qui en face avait la capacité financière …. ? » Toutes les autres banques membres de l’eurex qui agissent pour leur compte propre ou le compte de tiers non membre, c'est-à-dire beaucoup de monde. Attention, la position n’a pas été débouclée face à une seule entité, elle a été débouclée petit à petit avec en face différentes contreparties.
2. Oui mais qu’est ce que ça change de dire ça ? D’autres membres de marché ont peut-être fait des plus-values mais comme je le disais plus haut, quand la SG découvre qu’elle est en risque sur une position de 50 milliards, bah elle la déboucle au plus vite sans chercher à spéculer.
"Petit à petit" par paquets de 1 milliard !
"quand la SG découvre qu’elle est en risque sur une position de 50 milliards, bah elle la déboucle au plus vite sans chercher à spéculer."
Le rôle de la SG n'est pas de spéculer sur des positions "frauduleuses" mais son rôle n'est pas non plus de faire 5 milliards de perte. Pourquoi ne pas déboucler sa positions sur 2 semaines au lieu de trois jours ? Trois jours est aussi une durée arbitraire...Cela montre en tout cas, qu'a la SG, ils étaient alors dans l'état d'esprit : demain sera pire...
Ils ont débouclé en 3 jours parce que ce n'était pas possible de faire plus vite.
Tarder un jour de trop serait complètement irresponsable. Si une guerre avait éclaté, c'est 120 000 personnes dans le monde qui se seraient retrouvés au chômage !
Et puis, il fallait gérer la crise dans le secret. Plus on tarde, plus on court le risque que ça se sache.
Sans parler de l'intégrité du marché ...
Ah une toute récente dépêche AFP signale que l'agence de presse a reçu de la Société Générale une «note explicative concernant la fraude exceptionnelle» qui «décrit les activités d'arbitrage, le mode opératoire de la fraude, les conditions dans lesquelles elle a été découverte et le débouclage de la position» -et ne semble pas encore en ligne sur le site de la SG.
On devrait donc avoir des infos fraîches d'ici quelques heures, quand ça sera diffusé.
Jaï > Je tiens à te remercier pour ton lien vers finance-hq.org, et aussi pour l'article qui est bien intéressant, cela fait plaisir de voir des infos concrètes, et pas des ramassis d'avis généraux comme on peut en lire sur les journaux traditionnels. On essaie de te rendre la pareille sur notre forum en mettant nous aussi un lien html vers ton blog, à la prochaine et bonne continuation,
Manny - Admin
Ce n’est pas la première fois que cela arrive chez SGCIB donc la leçon n’a pas été apprise.
Je ne sais si Mianné est responsable ou pas, mais je ne pense pas que le rôle du management d’une boîte et plus particulièrement dans ce type d’«industrie » est de ce prendre uniquement pour les rois du monde.
Il faut certes s’assurer que l’objectif est d’être les meilleurs mais aussi de s’assurer que les processus, procédures et les contrôles en interne sont en place et qu’à tous les niveaux une certaine méthodologie est appliquée et de s’assurer qu’elle est utiliser par tous.
SG CIB a t’elle mis en place des processus, procédure lorsque des employés passent d’un département à un autre ? Car si ce n’est pas le cas et si les login/password sont gérés par un annuaire, il n’y a pas à frauder pour avoir accès à un applicatif, tant qu’on est pas dé provisionner d’un système , les login et password par le bien d’un annuaire se renouvelle par soi même.
Il y a t’il un département procédures qui regroupent l’exhaustivités des activités ? Et ce département est-il outillé et dimensionné pour réussir dans ses missions ?
La cartographie des applicatifs est-elle mise en place ? Il y a t’il des points de contrôles de mises en place entre les interfaces sensibles ? etc..
De façon générale avant d’incriminer les contrôles extérieures ( SOX, Bâle II…MIFID) il y a t’il au sein de SG CIB une traçabilité aux niveau des produits ? Tel un référentiel produit ? Il y a t’il une traçabilité au niveau des opportunités saisies ? (D’un bout à l’autre de la chaîne savent- ils tracer un deal ?) Etc.…Le référentiel clients (BDR) au vue des postes ressemble à une passoire…..Il peut y a avoir des processus en place pour permettre d’aller très vite pour saisir une contrepatie par exemple mais en mettant aussi au sein du référentiel et des applicatifs qui y sont connectés des contrôles.
J’ai tendance à penser que tout cela ne fonctionne pas comme cela car mettre une cellule entière dédiée aux processus, procédures, contrôles et s’assurer que le tout fonctionne dans un ensemble cohérent coûte cher (mais moins cher que 5 milliards, ) car se sont des départements non productifs ( en terme de financier..)
Il ne suffit pas d’avoir un département risque, ce département ne peut voir que ce qui est rentré « normalement » dans les applicatifs, si en amont il n’y a pas de traçabilité rien ne peut remonter vers risque.
Est-il normal qu’un développeur soit assis à 2 mètres d’un trader ? Quelle est la méthodologie projet qui préconise cela ? Même en XP ce n’est pas le cas.
Pour conclure tant que les hauts responsables d’une entreprise ne se sentent pas concernés par ce type d’activités au sein de leur entreprise et que leur unique préoccupation est la rentabilité à outrance, oui ils sont coupables car responsables à part entière des dysfonctionnements internes de leur société.
L’affaire Kerviel n’est que le reflet de graves dysfonctionnements de méthodo au sein de SG, un peu d’humilité ne nuit pas.
Ça y est, les explications de la Société Générale sont en ligne.
On se doutait de comment,
Et ce qui est dit est en ligne avec ce qu'on pensait.
Mais ce qui serait intéressant de savoir c'est pourquoi ?
Moi je parie sur mon blog parce qu'un jour il a oublie de roller ses contrats, et qu'il s'est trouvé dans une spirale de malade, pour sauver sa peau et qui n'a fait que dégrader encore plus la situation.
Il y a donc eu au moins deux defauts de controle :
- personne ne semble-t-il ne s'est alarme de l'emprise de la SG sur les echeances des futures en question
- est-il normal que les forward fictifs utilises pour le hedge n'aient jamais ete reconcilies
A propos des développeurs à côté des traders : on les appelle les "commandos", cette mystique guerrière (de mauvais goût, en tout cas pour le mien) vient de ce qu'ils ne sont pas en mode projet mais doivent réaliser des développement très rapides (en une heure ou quelques jours) à la demande directe des traders ; quitte à ce que ces devs soient pérennisés plus tard.
Pour ce qui est de la découverte tardive de la pose abusive, cela peut-il avoir un lien avec les cessions de fins d'années qui ont lieu à cette époque ?
Ce qui n'est pas dit ds le doc SG c'est depuis quand les poses ont été prises.
Certaines sources indiques depuis Fevrier Mars 2007
Autre élément intriguant dans le mobile c'est que d'après ce qui a été dit en conférence de presse jeudi matin, ses positions réelles étaient gagnantes a un moment donné et qu'il bookait des deals fictifs avec un P&L négatif pour pas se faire prendre au niveau du contrôle de résultat.
@ anonyme juste au-dessus
Oui j'ai passé un temps déraisonnable ce week-end à glaner de l'info ; la SG a en effet fait savoir à la conf de presse qu'il était positif fin 2007 (précisément "the most extraordinary part of the story was that he did have the positions in 2007 but they were winning positions. He was cancelling with losing positions….." selon le le compte-rendu du Financial Times). Ses avocats parlent par ailleurs aujourd'hui de positions bénéficiaires à rien moins qu'1 milliard et demi au 31 décembre (dépêche AFP de tout à l'heure).
Je suis intrigué à ce niveau (je n'y connais rien et suis un amateur fasciné par ce cas) : s'il rajeunissait régulièrement ses fausses contreparties, comment pouvaient-elles afficher raisonnablement une perte de 1,5 milliard masquant le gain ?
Pour ceux qui préfèrent lire la note en français :
http://www.socgen.com/sg/upload/comm24012008/fr/notefraude.pdf
@Jean-Philippe : je viens de poster un nouveau billet, comme tu dis, c'est en ligne avec ce qu'on pensait. L'adresse de ton blog ?
@anonyme (en dessous de Jean-Philippe) :
-Q1, oui, c'est pour ça que pour moi, il a opéré vite & pas en une fois.
-Q2 : dans le rapport, ils expliquent qu'il faisait de fausses préconfs. Après, sans doute, bloquait-il l'envoi des confirmations avec un statut particulier dans Eliot.
@Anonyme: "certaines sources indiquent depuis Fevrier Mars 2007".. j'en doute. Pour moi, les poses qui ont fait perdre de l'argent sont des échéances Mars08. Il les aurait pas traité dès Mars2007.
Ceux qui ont travaillé à la SGCIB, et plus particulièrement dans le monde de l'informatisation des processus marché ou financements structurés, ont une vue un peu plus claire de ce qui a pu se passer - au moins sur le modus operandi.
Qu'un individu ait pu contourner les contrôles mis en place dans le système d'information n'a absolument rien de surprenant.
Adepte du consensus mou et des philosophies du management par le non-conflit, la SGCIB n'a jamais réussi à imposer de contrainte au personnel pour les obliger à passer impérativement par les outils issus des programmes Bale 2 ou SOX de la banque.
Le défaut de management est bien la clé qui a permi que de telles choses se produisent avec facilité.
Ainsi, quand on parle de Bale 2, il faut savoir que les workflow mis en place pour répondre aux obligations de traçabilité des transactions n'ONT RIEN D'OBLIGATOIRE ! Ceux qui en ont assuré le déploiement se sont souvent vu entendu des réactions telles que "trop compliqué votre truc je l'utiliserais pas".
Tant que la Société Générale n'imposera pas la sanction des contournements des dispositifs mis en place pour répondre aux contraintes réglementaires, les investissements en système d'information resteront infructueux.
Exemples, preuves et analyses d'impact disponibles sur demande !
Alors dites moi si tout cela est vrai ?
comment se fait il que les accès étaient toujours valides pour ce monsieur alors qu'il avait changé de fonction :
qu'est ce qu'a fait l'Inspection Générale lorsqu'elle a audité
ou fait auditer les profils d'habilitations de ses employés ?
* Le profil de l'utilisateur change selon la fonction qu'il occupe.
Je trouve "trés spécialement dirigée" l'explication du collègue exo inside.
- On serait moins attentif à la SG qu'ailleurs ?
- On peut ouvrir des comptes comme ça sans vérification des données sur les personnes ?
- Quel est le taux de fraude en interne sur les ouvertures de crédits à la SG ,
Comment fonctionne la sécurité du système d'information ?
Les données sont elles fiables, il n'existe pas de redondances, eetc..?...
Qui est responsable de tout ça ?
Il y a du travail pour les cabinets d'organisation et de sécurité interne.
En définitive,qui doit protéger le client dans une banque ?
je parie que le blog de JP en question est :
http://blogandbug.blogspot.com/2008/01/misc-jerome-kerviel-une-explication.html
J'approuve ceux qui sont totalement incrédules devant le fait qu'il soit si facile de récupérer des logins ! Lorsque l'on voit que, dans la moindre entreprise, on change régulièrement les mots de passe, c'est complètement fou.
A quoi cela rime-t-il de se pavaner avec des systèmes de contrôle préten dument très développés, une inspection générale etc, et de laisser des failles pareilles ???
@ Koz: "Lorsque l'on voit que, dans la moindre entreprise, on change régulièrement les mots de passe, c'est complètement fou"
Je ne serais pas aussi catégorique sur "la moindre entreprise". Bon nombre d'entreprises n'envisagent ce genre de chose qu'une fois les premiers soucis arrivés. Et croyez-moi... j'ai eu l'occasion de traiter ce genre de problème sur une plateforme de service en ligne aussi bien pour l'interne que pour des clients. L'accessibilité du mot de passe est souvent sous-estimée.
@Jai & Anonyme,
oui mon blog est bien:
http://blogandbug.blogspot.com
Ca se voit quand tu cliques comments (sur mon nom) mais on voit pas le lien des blog sur le nom dans les comemnts flat (j'imagine que c'est une config des commentaires dans blogspot)
- sur la sécurité et la protection des accès : la situation est suffisament cataclysmique pour que monsieur Bertrand Lemarignier, DSI de la SGCIB, ait fait l'effort d'envoyer un mail à tous les collaborateurs de sa direction en décembre dernier pour les sensibiliser à la confidentialité des mots de passe et des login.
Toute personne ayant eu l'occasion de se promener à Valmy ou Pacific n'aura pas manqué de remarquer les PostIt sur les écrans où sont notés ces informations, dans pratiquement tous les bureaux.
Comme l'a dit un autre intervenant, cette situation est très fréquente en entreprise et surtout dans celles où la coercition est absente (voir mon post précédent). Dans le domaine militaire, ou tout au moins intéressant la Défense Nationale, le respect des règles de sécurité est assuré par la gendarmerie ou la DST. Pas dans les banques, où la sécurité est perçue par les utilisateurs soit comme un moyen de fliquage (ce qui n'est pas contre nature on le voit bien) soit comme une contrainte née dans le cerveau malade de technocrates..
- Sur le contrôle des accès et le maintien des comptes utilisateurs : les actions de vérification des droits sont faits non par les systèmes, mais par le support. Il y a une (charmante d'ailleurs) jeune fille qui s'occupe de valider/vérifier tous les moyens d'accès centraux pour toute la SGCIB.. et ce au niveau de RESS et non de l'informatique, qui plus est.
Au niveau de chaque application, c'est la maîtrise d'ouvrage de chaque outil qui en gère droits et profils. il n'y a aucune gestion centralisée des droits d'accès dans la SGCIB. Les mouvements de personnel ne sont pas automatiquement répercutés sur les accès informatiques .
Dès lors on comprend bien qu'une personne puisse continuer à avoir accès à des outils plusieurs mois après son départ du poste qui justifiait ces droits.
La seule contrainte est qu'elle soit toujours dans le fichier central de RSRH qui gère tout le personnel SG.
- Sur les systèmes de contrôles développés : j'ai déjà eu l'occasion de dire ici qu'un système d'information n'est rien sans la mise en oeuvre et l'encadrement des processus métiers qu'il doit servir. Or, à la SGCIB comme dans le reste de la SG (dans une bien moindre mesure il est vrai), ces processus ne sont pas documentés !
Dès lors, beaucoup d'acteurs peuvent contourner les systèmes ou à tout le moins les faire dévier dans un processus anormal comme celui qui nous occupe..
- sur l'inspection générale : j'ai eu l'occasion de vivre plusieurs descentes de l'inspection de la SG sur des sujets comme la lutte contre le blanchiment ou la conformité SOX et LSF.
Ce n'est pas drôle.
Mais cette police interne des banques agit principalement sur connaissance de faits frauduleux ou suspects. En l'occurence, pour rester dans le domaine du contrôle d'accès, rien ne permettait de dire qu'il y avait déviance de nature à intéresser l'inspection.
En effet, contrairement à ce qu'on pourrait croire il n'existe pas de réglementation en matière de protection des systèmes d'information spécifiquement pour les accès et la protection des outils (il y en a pour la protection des données personnelles, c'est tout). C'est donc à chaque entreprise de déterminer sa politique de sécurité, en fonction de la déontologie, des bonnes pratiques, des accords de branche (ex : association française des banques).
Ainsi, il existe à la Société Générale un département SEGL/DEO (Secrétariat Général / Déontologie). Mais sa fonction n'est pas d'édicter des règles, mais de veiller au "respect de la déontologie". Nébuleux, comme définition...
Donc en résumé, le système d'information de la SG est..compatible avec la SG.
Surtout n'allez pas croire que la SG soit à part dans le monde des systèmes d'informations bancaires.. C'est bien pourquoi il est stupéfiant que ce soit le premier scandale de cette ampleur.
A bientôt petits amis, si vous souhaitez des précisions qui permettent de comprendre que tout ce qu'on nous raconte est ..discutable, je me ferais une joie de vous l'expliquer :)
@Le Schlopsseur : J'approuve. Je travaille aussi sur les SI d'institutions financières, et la situation décrite concernant la SG me semble la norme bien plus que l'exception.
Passionnant mais je vais oser : un peu vague.
Pour avoir bossé dans cet environnement dans d'autres maisons je ne comprend toujours pas comment on peux avoir de telles positions sur les marchés à terme sans que personne ne voit rien.
Sur la sécurité des mots de passe et autres c'est une situation habituelle dans les entreprises. Si vous vous doutiez que le type qui fait le ménage chez vous est ingénieur réseau, vous feriez un peu plus attention (situation vécue !).
Les inspections générales dans les banques sont toutes aussi peu drole mais leur niveau de compétence réelle rste à prouver.
La commission bancaire serait passée 17 fois en un an à la Gégène et n'aurait rien vu. Il me semblait pourtant qu'elle devait approuver le système de controle des banques.
Ca fait beaucoup d'incompétences.
Quant on lit que Monsieur Bouton a trité son ex-collaborateur de terroriste, si on parlait de ses complices en imncompétence.
Pendant ce temps là ce sont les clients qui à coup de quelques euros par ci par là vont payer.
Merci encore pour les explications des uns et des autres. Une synthèse d'ici quelques jours ?
Jai,
A la SG, chez DEAI, du moins chez OPER/GED, il ya le middle OPS (pour les exos) et le middle OPI (pour les vanilles) que je connais.
Mais, en ce qui concerne le Middle Reférentiel, comment se situe-t-il par classe de produits (vanille, exo) et quelles en sont les prérogatives exactes, pour que cette expérience particulière lui permette de tromper le "système" comme il l'a fait ?
Pour moi, son expérience d'assistant trader (middle opi) me parait bien plus pertinente pour comprendre les subtilités d'Eliot.
Lumière svp...
@Kiproko :
Dans le grand ensemble qu'est OPER, il y a aussi les middle réfs qui s'occupent de rentrer les données dans les bases client (eliot counterpart) ou les bases produits/sous-jacents.
Si Jérôme a bien couvert sa position de futures par des forwards OTC fictifs, il a du booker sa position face à une fausse contrepartie qui l'avait crée grâce à ses connaissances.
ENSUITE, il a aussi profité de sa connaissance d'eliot (la même que la tienne) pour booker le deal, sans forcément passer par ses assistants, et enfin, il a corrigé les statuts eliot pour empêcher la génération des confs par le back. (comme ça se fait quand on traite otc)
Dis moi ce que tu en penses...
@Kiproko : pour info, il y a un deuxième post qui se base sur le rapport de la SG, car celui-ci a été fait à chaud le jeudi soir.
@Jaï
Je vois, ça me semble plausible. J'avais jamais compris le boulot concret du middle ref.
Et d'ailleurs, tous les points que tu as soulevés "à chaud" me semblent dans la mesure où il y a un vrai pbm de gestion des droits sur les appli et de passwords. Les mecs changent d'équipe ou passent du middle au front ou de middle a middle en gardant des accès à des applis qu'ils ne devraient plus avoir le droit d'utiliser, ou en restant dans les mailing listes de leurs anciennes équipes. Sans compter les mots de pass admin sur certaines applis, que les gens se partagent entreux.
La responsabilité de ce genre de chose incombe à mon avis aux managers d'équipes, puisque ce sotn eux qui doivent à priori signaler à ITEC les départs, ou enlever les droits sur certaines applis quand ils en ont directement la compétence et qu'il ya changement dans l'équipe.
Je pense qu'il y a un certain laxisme avec les passwords à la société générale, alors que le management semble avoir pris des mesures pour palier à cela (chgt de passe à période répétée, mails de mise en garde sur la sécu informatique, etc)
Bref, ya des choses à revoir chez le leader mondial des dérivés actions.
On continue cette discussion sur le nouveau fil...
A+
Comment dans une structure qui gére des millions d'euros voir des milliards, les codes d'accès pour certaines actions ne sont pas mise à jour réguliérement. Dans certaines structures on change de mots de passe tous les 40 jours. C'est étrange dene pas assurrer une meilleur sécurité informatique
Un article de ZDNet.fr conclu qu'il n'avait rien d'un génie de l'informatique et Duo&Co est cité : http://www.zdnet.fr/actualites/informatique/0,39040745,39377868,00.htm
je pige pas : si tu perds de l 'argent, tu es appelé en marge. Si tu en gagnes, ta contrepaartie te crédite ( ie ta contrepartie paye et toi tu reçois . ) c est normal, c est bijectif. Alors La Soc Gen a forcemment vu les énormes gains liés à ses positions longues indices en 2007.
Par ailleurs, qd tu traites, même avec une contrepartie fictive, ton BO reçoit ou doit recevoir des Fax de confirmation...
Toute cette histoire met en lumière deux problèmes :
1) la gestion de l'identité numérique chez les employés d'une des plus grandes banques mondiales pourtant contrainte à divers contrôles, dont Sarbanes Oaxley pour son pendant informatique. Cette gestion ne marche pas, une personne qui passe d'un service à un autre ne devrait plus avoir accès aux de son ancien service.
2) le mode de rémunération par primes extravagantes des traders qui les obligent à prendre de plus en plus de risques pour toucher le pactole annuel.
Le télétravailleur
D'autres pensées sur mon blog:
http://teletravailleur.blog.com
@Anonyme1 : Il y a des systèmes de renouvellement de logins à la SG mais c’est quand même faillible..
@Anonyme2 : j’avais pas vu l’article ZDNet, merci pour l’info
@Chandler :
Pour ton point 1., les appels de marge ne se font pas avec la contrepartie qui a traité avec toi sur le marché. Ils sont faits par la chambre de compensation qui fait la somme de tes gains&pertes sur les différentes positions de la Banque (pas seulement celles de JK) et ensuite il t’appelle en marge... sans doute pour ça que ça n’a pas été visible par le back qui répond aux appels.
Pour ton point 2., effectivement quand tu traites OTC (pas listé, je précise), tu dois envoyer ou recevoir des confs papiers. A ce niveau, JK a pu bloquer un statut de redescente vers les applis BO, empêchant la génération des confs. (on en parlait avec Kiproko)
@tous : si possible, commentez le nouveau post, car celui-ci a été écrit le jeudi soir..
A propos de coincidence, qu'est-ce que vous pensez de :
La Société Générale au coeur d'une nouvelle affaire de blanchiment 08-04-2002
Blanchiment La mise en en examen du PDG de la Société Générale pour blanchiment met en cause le système bancaire
http://www.novethic.fr/novethic/site/recherche/rech_resultat.jsp?thesaurus=28
et du fait que le procès devrait débuter le 4 février 2008 ?
@Anonyme :
Les faits remontent à 2000. Les premières mises en examen à 2002. La date du procès doit être prévu depuis longtemps. C'est un pur hasard de calendrier.
Je n'en déduis donc rien à moins que vous m'apportiez d'autres éléments qui prouveraient que ça a un rapport avec Jérôme Kerviel. Bon courage ;)
Par contre, ça ne m'empêchera pas d'être très attentif à cette histoire. (que, pour ma part, je ne maîtrise pas...)
Vous comprendrez bien qu'il serait trop long d'expliciter par le détail un sujet aussi complexe que la protection du système d'information.
Je pense qu'il faut retenir les points suivants :
- La SG n'est ni plus ni moins négligente dans la gestion des accès que les autres banques (à la possible exception des banques américaines qui ont très tôt pris des dispositions plus efficaces).
- Le problème mis en lumière par l'affaire JK ne porte pas tant sur le SI lui-même que sur les processus et procédures métiers associés, qui sont soit mal documentés, soit mal appliqués, soit les deux. Il ne s'agit pas de piratage informatique, mais d'exploitation de dysfonctionnements organisationnels.
- Sur ce sujet, étant incompétent sur l'aspect bancaire des choses, je pense que le mode de management est à mettre en cause, et non la simple organisation. La recherche du consensus permanent fait que, pour ne pas aller sur les plates-bandes des baronnies internes, le management de la SG ne sanctionne ni ne combat les comportements déviants. Il en résulte que l'ensemble du SI manque d'homogénéité, chaque direction/implantation/branche mettant en oeuvre sa partie de SI. C'est ainsi qu'on en arrive à une absence de vision d'ensemble de la gestion des droits d'accès, et donc que des gens gardent des droits qu'ils ne devraient plus avoir suite à mobilité.
- Les contraintes réglementaires existent ; elles ne sont pas appliquées pour garantir la bonne marche des affaires, mais la simple conformité aux exigences légales. SOX, Bale 2 et LSF ont tout ce qu'il faut pour garantir une traçabilité et un contrôle permanent. Mais les réticences des métiers font que ces dispositifs sont inopérants.
- La SG est une féodalité morcelée en baronnies. C'est beaucoup moins le cas chez BNPP ou LCL ( et même la Banque Postale, c'est tout dire!). La défaillance du commandement dans l'application des ordres est un sujet certes très militaire, mais qui ici prend toute sa dimension dans la gouvernance d'une entité aussi large que SGCIB.
Bonjour
Je suis journaliste TV et suis de près cette histoire.
Pour une émission plutot ludique, je recherche un jeune trader.
Pour plus d'info vous pouvez me contacter sur ma ligne directe au
01 55 93 20 54
ou par mail a.andreollo@le103.com
Alexia