La lutte contre la fraude par ingénierie sociale, enjeu majeur aujourd'hui pour les banques et leurs clients entreprises

1.4.4. Rapport Lagarde

Ce rapport a été rédigé par Christine Lagarde, Ministre des finances, suite à la fraude interne de Jérôme Kerviel, trader en 2008 à la Société Générale.^26(*)Plusieurs préconisations ont été formulées pour renforcer les procédures internes de contrôle des établissements :

· renforcer les procédures de contrôle relatives aux opérations de marchés ;

· mieux identifier la fraude interne comme un élément à part entière du contrôle interne et créer ainsi un département dédié à cette tâche ;

· sécuriser les systèmes d'information et protéger les codes d'accès ;

· surveiller les comportements atypiques des salariés notamment ceux qui ne prennent pas de congés.

1.4.5. Arrêté du 03 novembre 2014

Cet arrêté qui remplace le Règlement CRBF 97-02 abrogé^27(*). Il s'applique aux établissements de crédit, aux sociétés de financement, aux établissements de paiement et aux établissements de monnaie électronique. Il sert à limiter le risque de fraude en cas de bonne application. Il précise les objectifs et les obligations à respecter en matière de contrôle interne. Cet arrêté suggère :

· une mise en place d'un dispositif de contrôle des opérations et des procédures internes : un dispositif de contrôle permanent et un dispositif de contrôle périodique. La bonne application permet ainsi de limiter le risque de fraude interne et de fraude externe de l'entreprise ;

· une séparation des tâches pour mieux limiter le risque de fraude interne notamment par l'indépendance entre les unités chargé de l'engagement des opérations et ceux de la validation ;

· la création d'une cellule anti-fraude indépendante ;

· une mise à disposition de moyens matériels et humains suffisant : un nombre suffisant et une qualification des personnes affectées au contrôle permanent et périodique avec des moyens mises à leur disposition qui sont adaptés à leur activité ;

· de mettre en place un dispositif de contrôle de conformité destiné à limiter le risque de fraude car une opération frauduleuse est une opération non conforme ;

· la sensibilisation du personnel au risque de fraude ;

· la mise en place d'un plan d'urgence et d'un plan de continuité d'activité permettant à la banque de poursuivre ses activités en cas de malveillance ;

· de décrire les procédures mises en place en cas de cyber-attaque. Le terme cyber-attaque signifie « un ou plusieurs évènements inattendus ou indésirables fortement susceptibles de compromettre la sécurité des informations et d'affaiblir ou de nuire à l'activité de l'établissement, notamment pour les impacts majeurs c'est-à-dire ceux dont l'impact financier est soit supérieur à 25 millions d'euros soit 0,5% du CET1 de l'établissement ».^28(*)

* ²⁶ Rapport du 4 février 2008 au Premier ministre, concernant les enseignements à tirer des événements récemment intervenus à la Société Générale, dit « Rapport Lagarde », disponible sur http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/084000062.pdf

* ²⁷ Arrêté du 03 novembre 2014, op. cit., p.5.

* ²⁸ Arrêté du 03 novembre 2014, op. cit., p.5