Stupéfaction à la lecture d'un article sur l'affaire HSBC / Falciani : avant que je monte ma boîte spécialisée dans l'expatriation en Suisse et que j'écrive mon livre, il semblerait qu'Hervé Falciani et moi avions en commun le même métier (spécialiste en datamining dans le secteur bancaire en Suisse, un profil assez rare). Je reste en général assez discret sur cet ancien job, non pas qu'il y ait des choses à cacher, mais le secteur bancaire en Suisse est (était) très discret et je ne souhaitais pas en parler. Mais rien n'est secret puisque vous pouvez même trouver sur le net un article "commercial" qui parle de ce métier, de mon ancien employeur et de mon expérience.
Le data mining, ou comment fouiller les bases de données pour améliorer l'efficacité du marketing ou le risque
En deux mots, le data mining consiste à utiliser les données pour construire des modèles mathématiques ayant deux applications principales, l'analyse du risque, et l'aide à la décision des actions marketing (en identifiant "statistiquement" les critères qui influencent l'acte d'achat de tel ou tel produit). Les modèles mathématiques développés, pour être élaborés, doivent s'appuyer sur de très nombreuses données, et doivent s'appuyer sur des données précises pour être efficaces. Le dataminer manipule ainsi très souvent des centaines de milliers de données (parfois plus), chacune ayant plusieurs centaines de variables, parfois plus.
HSBC : victime, négligente, ou les deux ?
Du coup, je connais plutôt bien les dessous du métier, et quand je vois le parcours d'Hervé Falciani, voici mes réflexions :
1/ Il devait quelques problèmes de sécurité dans le système d'information de HSBC pour que Falciani puisse partir avec les noms. En général, les clients "sensibles" de la banque privée ne devraient pas être identifiables à partir des tables, mais seulement identifiés avec des numéros de compte. Souvent, les outils de datamining viennent s'alimenter non pas directement dans les bases de données "sensibles" de la banque, mais dans un datawarehouse (base de données marketing) ou une base de données déjà épurée des données sensibles. Par ailleurs, les données sensibles ne sont jamais toutes au même endroit, dans les mêmes bases de données.
2/ Ou alors il s'agissait d'une véritable volonté de nuire, et Falciani a dû mettre en place un véritable dispositif pour aller chercher ces informations (probablement par recoupement de tables de natures différentes), parce que dans la plupart des banques, ces informations sont plus protégées que Fort Knox. Ce qui est étonnant, c'est que le simple fait de faire des recherches sur des tables contenant des données sensibles est souvent automatiquement enregistré et transmis aux responsables de la sécurité informatique.
Dans cette affaire, il y a probablement conjonction de ces deux facteurs.
La liste de Falciani est-elle crédible ?
Maintenant que je sais que faisions le même métier, je peux me positionner sur la faisabilité technique de rassembler une liste de 130 000 noms, même si je ne connais pas le système d'information de HSBC à Genève.
1/ Tout d'abord, je refuse de croire que la banque HSBC, un des plus gros établissements bancaires, ait laissé de telles failles de sécurité : il est très probable Falciani est profité de quelques failles, mais il semble pratiquement impossible qu'un data miner puisse accéder à toutes ces informations sensibles en ayant la bénédiction de la banque.
2/ 130 000 noms "sensibles" provenant d'une seule banque, cela me paraît beaucoup. Soit il y a à boire et à manger dans cette liste (avec de gros poissons et d'autres plus modestes), soit cette liste est une agrégation de noms en provenance d'autres banques.
Mais HSBC n'a vraiment pas eu de chance, car des profils comme Falciani, il y en a très peu en Suisse, et il a fallu que la banque tombe en plus sur un qui ne semblait pas très honnête.
J'aimerais, par mon témoignage, pouvoir rétablir un peu la vérité sur le métier, même s'il est certain qu'il sera désormais difficile de travailler dans ce secteur pour un Français. D'ailleurs, je me dis que j'ai bien fait de changer de métier il y a 3 ans...
Recevez par mail directement tous les nouveaux billets du blog de Travailler en Suisse ou abonnez-vous au flux RSS