2,5 To de données bancaires volées, des clients célèbres (acteurs, sportifs, hommes politiques ou d’affaires), des sociétés offshores, des prête-noms et des paradis fiscaux… Au-delà des considérations géopolitiques, fiscales ou morales, quelques rappels sont nécessaires afin d’envisager les impacts opérationnels en matière de sécurité financière  pour le secteur bancaire.

En effet, les banques sont doublement exposées face à ce type de révélation :

  • Elles doivent se conformer aux exigences réglementaires en matière de lutte contre le blanchiment, notamment à travers l’identification des bénéficiaires effectifs de personnes morales. La 4ème Directive Européenne renforce d’ailleurs les exigences sur ce sujet.
  • Elles doivent aujourd’hui renforcer leur dispositif de sécurité des données sensibles pour faire face au risque de fuite des données sensibles.

 11,5 millions : c’est le nombre de fichiers qui ont été exfiltrés du cabinet Mossack Fonseca lors du dernier scandale d’évasion fiscale « Panama Papers ». Ces fichiers renferment des données clients sensibles, telles que des passeports, e-mails ou courriers scannées (internes et externes), mais aussi des dates de création/dissolution de structure offshores, l’identité d’actionnaires/administrateurs de sociétés (prête-noms), l’identité d’intermédiaires financiers (banques, avocats, fiscalistes), ou encore les activités et bénéficiaires réels des sociétés.

Paradis fiscal, sociétés offshore et trusts

Il n’existe pas à proprement parler de définition juridique ou bancaire de la notion de paradis fiscal. En effet, un paradis fiscal est toujours identifié à partir de là où le sujet se trouve. Par exemple, la Belgique est considérée comme un paradis fiscal en France en raison d’un taux d’imposition inférieur sur certains patrimoines, mais ne l’est pas pour les citoyens belges.

Un paradis fiscal n’est pas seulement un territoire ou la fiscalité est plus douce, c’est aussi un territoire qui garantit la confidentialité des informations fiscales, comme c’est le cas pour les territoires autorisant les sociétés offshore ou les trusts. En France, le Ministère des Finances a publié une liste d’Etats et Territoires non-coopératifs (ETNC) inscrite au code général des impôts. 6 pays sont depuis le 21 décembre 2015 listés comme ETNC : Botswana, Bruneï, Guatemala, Iles Marshall, Nauru, Niue. D’autres pays ont été inscrits (Panama justement, Iles Vierges Britanniques, Montserrat) mais ont été retirés en raison des efforts fournis en matière de coopération fiscale. Panama va être réinscrit sur la liste avec le scandale « Panama Papers »….

Le terme « offshore » signifie « hors du territoire ». Même si elle est souvent synonyme d’opacité, la création d’une société offshore est légale : elle dispose d’un numéro d’agrément dans le pays où elle est domiciliée et doit exercer une activité commerciale. En pratique, le pays d’enregistrement est généralement doté d’une faible réglementation bancaire ou une fiscalité avantageuse, ce qui permet l’optimisation fiscale (exemple : Panama, les îles vierges britanniques, Jersey, les îles Seychelles). En revanche, si la société créée ne dispose pas d’activité commerciale licite, on parle alors de société écran ou coquille vide. La seule condition permettant de rester dans la légalité est de demeurer transparent vis-à-vis des autorités fiscales.

Cependant, des cabinets d’avocats utilisent la création de société offshore afin de dissimuler les fonds de leurs clients issus de fraude fiscale, ainsi que l’identité des propriétaires réels, appelés les bénéficiaires effectifs.

Le « trust » est une structure juridique qui permet à des personnes physiques ou des sociétés de transférer des capitaux à une personne de confiance (prête-noms) qui sera alors en charge de les gérer selon des consignes.

Comprendre le système offshore

Ce nouveau scandale met en lumière les failles du cabinet Mossack Fonseca en matière de sécurité financière. Il rappelle aussi à tous les établissements financiers que la protection des données sensibles concernant leurs clients demeure un enjeu crucial aujourd’hui.

Connaitre les bénéficiaires effectifs : un enjeu d’efficacité opérationnelle

Les notions de trust et de société offshore sont clairement identifiées par le GAFI (Groupe d’Action Financière) comme étant les plus efficaces véhicules de blanchiment, car ils permettent aux propriétaires de ne pas se déclarer.

La 4ème Directive européenne, lors de sa conception, a envisagé de mettre en place un registre européen des bénéficiaires effectifs de sociétés. Les qualités d’opacité des trusts allaient être remises en cause. Mais l’influence de divers lobbys, notamment des cabinets avocats anglo-saxons, a bloqué cette exigence au motif que cela remettrait en cause la liberté des individus à utiliser leur patrimoine comme ils l’entendent, sans en référer à l’état (une fois les impôts payés, bien entendu). En complément, il faut savoir que l’immobilier londonien est actuellement considéré comme une des principaux vecteurs de blanchiment au monde : environ 40 000  sociétés immatriculées dans des territoires non-coopératifs  (Jersey, Man, Guernesey, Panama,…) possèdent de 5 à 10% du patrimoine immobilier des quartiers les plus chers de la capitale.

Néanmoins, une des évolutions majeures de la 4ème Directive Européenne est le renforcement de la connaissance des bénéficiaires effectifs de sociétés. Les établissements assujettis doivent considérer les bénéficiaires effectifs au même titre que les clients directs, et donc effectuer les diligences  de connaissance client (Know Your Customer – KYC) nécessaires.

Ces registres internes de bénéficiaires effectifs peuvent prendre une véritable dimension d’efficacité opérationnelle pour les établissements assujettis : compte-tenu de la difficulté et du temps passé à identifier les bénéficiaires effectifs, il peut être intéressant d’établir des registres de dimension groupe afin d’éviter de refaire les diligences à chaque entrée en relation dans un filiale ou une succursale.

Comment lutter contre la fuite des données au sein des banques ?

A la une des divers scandales liés aux fuites d’informations bancaires, la gestion des données sensibles prend une véritable dimension stratégique pour la pérennité d’un établissement.

Plusieurs actions peuvent être mises en œuvre pour lutter contre ce phénomène.

Identifier, cartographier et classifier les informations sensibles

Concernant les documents papiers, les banques ont déjà mis en œuvre des dispositions permettant de lutter contre les fuites (politique de clean desk, destruction des documents, poubelles sécurisées,…).

Les informations sensibles sont présentes aussi sur les répertoires partagés, sur les disques locaux, dans les référentiels internes et dans les applications informatiques. Si des dispositifs ont été mis en place depuis plusieurs années, nous pouvons constater encore des défauts d’identification ou de méconnaissance de ce qu’est une information confidentielle.

Au-delà de sensibilisations, des contrôles automatisés, par exemple par mots-clés, peuvent permettre d’identifier ce type d’informations.

Contrôler les accès et l’utilisation des données sensibles

Tout salarié d’une banque ne doit avoir accès qu’aux informations qui sont nécessaires à son activité professionnelle. Un chargé de clientèle doit pouvoir consulter les données concernant les clients de son portefeuille mais ne doit pas pouvoir consulter des données de clients n’appartenant pas à son portefeuille. C’est pourquoi il convient de mettre en place un système d’habilitations adapté (gestion des identités et des accès), mais aussi de le contrôler très régulièrement.

De plus, l’utilisation des outils informatiques de la banque doit être contrôlée :

  • Les accès aux informations sensibles en-dehors des heures de service doivent être détectés. Si un collaborateur accède au référentiel clients après 20h ou avant 8h par exemple, il doit être détecté et doit pouvoir le justifier.
  • L’extraction de données clients dans un datacenter doit être rigoureusement contrôlée, il est plus facile d’exploiter un fichier client sur Excel que sur un listing papier.
  • L’utilisation de clés USB est aussi à contrôler, voire à bloquer.
  • Les accès internet doivent être surveillés. L’utilisation par un salarié de son adresse personnelle depuis son poste de travail peut être bloquée, tout comme l’accès à certains sites internet qui pourraient lui permettre de transférer des données, ou le blocage des mails contenant des pièces jointes trop importantes. Les banques conseillent également à leurs salariés d’être vigilants quant aux informations diffusées sur les réseaux sociaux.
  • Au-delà des métiers, les DSI, et plus particulièrement les administrateurs doivent faire l’objet de contrôles sur les accès aux informations sensibles. M. Hervé Falciani travaillait au Service Informatique de la banque HSBC en Suisse, précédant le scandale helvétique.

Dans le cas de Panama Papers, le lanceur d’alerte a réussi à exfiltrer plus de 2,5 To de données sensibles sur plusieurs mois (juin à décembre 2015). La manipulation de tant de données sensibles sur un axe de temps si court ne peut passer inaperçu. Ce genre de comportement aurait dû être détecté par l’administrateur réseau.

IT security practitioner pressing DATA BREACH onscreen. With concerned, but focused look across his glasses, the corporate professional is facing the challenge with lock icons emanating from a book.

 

Enfin, il convient aussi pour une banque de dissuader en interne tout salarié qui serait tenté d’exfiltrer des données. Instaurer un climat de confiance et de responsabilité au sein de la banque permet d’éviter de créer un décalage entre les valeurs personnelles du salarié et les valeurs de la banque : si le décalage est trop grand, le salarié sera incité à dénoncer certaines informations.

La protection des données sensibles est donc un enjeu opérationnel pour les banques. Il existe des dispositifs et des outils suffisamment sophistiqués afin de protéger les données sensibles. Certains permettent aussi d’analyser le comportement des salariés, à travers des « scanning » en temps réel : tout comportement anormal peut ainsi être détecté avant la fuite des données.