Les mathématiques au secours des banques

L'UdeS et la Financière Banque Nationale font équipe pour déjouer les fraudes financières massives du type de celle qui a secoué la Société générale en France

Mario Richard, directeur du développement à la Financière Banque Nationale, poursuit un projet de doctorat avec le professeur Marc Frappier, ainsi qu'une équipe internationale de quatre professeurs et sept étudiants, afin de mieux outiller les institutions financières pour faire face aux fraudes majeures.

Photo : Michel Caron

12 juin 2008

Janvier 2008 : la Société générale, l'une des plus importantes institutions financières de France, révèle avoir été victime de la plus grande fraude financière de l'histoire de la finance. La perte frôle les cinq milliards d'euros. L'enquête qui s'ensuivra établira que la fraude découle des faiblesses de la supervision du courtier Jérôme Kerviel et du dispositif de contrôle des activités de marché. Parmi les causes de la faille, des moyens affectés aux fonctions de contrôle insuffisants et un dispositif informatique dépassé…

Des informaticiens de la Faculté des sciences de l'UdeS, en collaboration avec des chercheurs de l'Université Paris XII, travaillent étroitement avec une équipe de la Financière Banque Nationale pour mettre au point un cœur de sécurité informatique de nouvelle génération afin de déjouer les défaillances des systèmes actuels.

«À la Financière Banque Nationale, nous avons vérifié qu'une fraude comme celle de la Société générale n'aurait pu se produire», précise d'emblée Mario Richard, directeur au développement de l'entreprise. Ce dernier porte deux chapeaux, puisqu'en plus de ses fonctions dans le milieu financier, il fait un doctorat au Département d'informatique de l'UdeS, en cotutelle avec l'université parisienne. Attablé à un café jouxtant le vénérable édifice Sun Life où sont situés ses bureaux montréalais, Mario Richard dévoile quelques éléments clefs du projet. Depuis 2001, le scandale Enron et les mesures antiblanchiment d'argent liées au 11 Septembre ont forcé les institutions financières nord-américaines à s'adapter rapidement à l'évolution des règles de sécurité. Ce sont maintenant les marchés européens qui font aussi face à cette réalité.

Limites des systèmes commerciaux

En principe, les opérations financières d'un employé doivent être autorisées selon des critères stricts par une personne au niveau administratif supérieur. Toutefois, avec des centaines de systèmes de contrôles et plus d'une dizaine de niveaux administratifs dans l'organisation, Mario Richard avoue qu'il n'existe actuellement pas de solutions commerciales satisfaisantes pour gérer globalement la sécurité dans cet univers en perpétuel changement. «Le problème est d'une telle complexité que seuls les scientifiques des laboratoires universitaires peuvent y répondre», concède-t-il. D'après lui, même les solutions développées par les grands laboratoires comme ceux d'IBM ont une portée rapidement limitée par la logique de rentabilité du secteur privé. D'où l'intérêt de collaborer avec des chercheurs universitaires.

Des tests de sécurité encore faits à la main…

L'équipe de chercheurs constituée des professeurs Marc Frappier et Richard St-Denis à l'UdeS vient d'obtenir un financement du Conseil de recherches en sciences naturelles et en génie de 200 000 $ pour ce projet international auquel travaillent quatre professeurs et sept étudiants pour les deux prochaines années. «Le cœur de sécurité informatique que nous développons s'appuie sur une description mathématique de la gestion de la sécurité, précise le professeur Frappier. Comme ce langage mathématique formel est indépendant des langages utilisés dans les applications informatiques, il permettra de mener automatiquement des tests de défaillance de grande ampleur, alors qu'actuellement ceux-ci sont presque faits à la main», constate le chercheur. Dans son bureau, l'informaticien trace deux colonnes sur un tableau. Dans la première, il écrit en français un processus d'ouverture de compte bancaire, alors que dans la seconde, il en dessine la traduction mathématique par une série de ronds, de barres et d'autres signes géométriques. «Une réponse mathématique n'a qu'un seul sens possible alors qu'un informaticien qui programme une politique de sécurité peut lui en donner plusieurs, explique ce spécialiste de la synthèse automatisée de logiciel. Malheureusement, l'intelligence des programmeurs n'est pas infaillible», remarque-t-il.

Le projet se nourrit de cas réels vécus par la Financière Banque Nationale. Les chercheurs bâtissent donc le langage mathématique formel pour générer automatiquement les codes quelles que soient les applications informatiques. Par la suite, ils testeront automatiquement toutes les combinaisons de paramètres possibles pour tenter de déceler les failles des politiques de sécurité.

Un cœur à toute épreuve

«Un tel cœur de sécurité sera plus efficace et plus dynamique pour faire face aux évolutions rapides des normes de sécurité financières et de plus, profitera à toute l'industrie», dit Mario Richard. Ce directeur du développement dont le groupe d'une quarantaine d'employés travaille étroitement avec l'UdeS ne tarit pas d'éloges sur cette collaboration. Il la considère comme un atout québécois et même une nécessité pour rapprocher les entreprises des universités. Même si la logique commerciale reprend le dessus lorsque Mario Richard remonte au 4^e étage de l'édifice Sun Life, son esprit de chercheur le distingue de ses collègues en complet du quartier des affaires. Ses fréquents allers-retours entre Montréal et Sherbrooke n'y sont peut-être pas étrangers…