mardi 17 juillet 2007

Les conséquences de l'affaire Sulzer pour la BCZ





Rappel des faits

En avril dernier, La BCZ s'est trouvée sous le feu de la critique pour avoir aidé l'oligarque russe Viktor Vekselberg et les investisseurs autrichiens Ronny Pecik et Georg Stumpf à prendre une participation dans Sulzer, alors même que la BCZ est la banque principale du groupe industriel de Winterthour (ZH).

Comment est-ce arrivé ? Par le biais d'un négoce d'options émises par la BCZ permettant d'acquérir des actions Sulzer. Ces investisseurs (via leur société Everest) ont ainsi pu acquérir des options en «cash», autrement dit des produits financiers qui ne nécessitent aucune annonce publique, à hauteur de 32 % du capital de Sulzer. Émoi dans la classe politique qui s'indigne du rôle joué par l'établissement cantonal dans cette affaire. En effet, la mission d'une banque cantonale vise à promouvoir l'économie régionale et non pas à permettre le rachat des entreprises par des sociétés étrangères.

La Commission fédérale des banques a, quant à elle, immédiatement ouvert une enquête afin de déterminer si une violation du devoir d'annonce des participations a été commise.

La BCZ figure parmi les leaders suisses des dérivés. Elle a tout d'abord cherché à se défendre contre ces accusations en argumentant sur la légalité de ses activités et en minimisant la responsabilité sociale de la banque dans ce genre d'opération. Mais suite aux nombreuses critiques, elle a licencié avec effet immédiat Hans Fischer, le responsable de la division Investment Banking. Un premier fusible saute... ce ne sera pas le seul.


Une situation embarrassante

La banque cantonale se retrouve alors dans une situation très délicate. A trop vouloir gagner de l'argent et annoncer des résultats certes excellents, elle s'est mise dans une situation de conflit d'intérêts. D'une main, elle prête de l'argent à un de ses plus gros client commercial depuis des décennies et, de l'autre, elle vend des options permettant à des investisseurs étrangers d'obtenir une minorité bloquante dans son capital. En matière d'éthique, on a vu mieux !

Au mois de mai, elle réagit en reconnaissant une "claire violation de ses règles internes" et s'impose de nouveaux garde-fous. Si elle n'entend pas supprimer son activité en matière de produits dérivés (ce qui reste discutable pour un établissement cantonal bénéficiant de la garantie d'Etat), elle renoncera désormais à émettre des options sur une société qui est sa cliente.

Cette annonce ne sera toutefois pas suffisante. La presse alémanique se déchaîne sur ce qu'elle appelle désormais "la débâcle de la BCZ". Le mois de juin va voir se succéder de nouvelles révélations. Tout d'abord, c'est la CFB qui met en évidence qu'elle avait attiré l'attention de la direction de la BCZ, en janvier déjà, quant à la position difficile dans laquelle elle s'était placée dans la transaction Sulzer. Hans Vögeli, le directeur de la banque, n'aurait pas cherché à corriger le tir.

Ensuite, c'est le "Tages Anzeiger" qui relaie les propos virulants du Conseiller fédéral Blocher: "Que la BCZ participe à l'escamotage de l'obligation d'annonce, comme cela a été le cas dans l'affaire Sulzer, est inacceptable".

Mais le pire reste à venir... En effet, l'enquête de la CFB va mettre en lumière que Hans Vögeli avait lui même acheté, à titre privé, des options et, ce faisant, aurait empoché entre 50'000 et 100'000.- francs. De plus, il a réalisé cette transaction en parfaite violation de ses propres directives puisqu'il avait demandé à sa banque de ne pas procéder à des opérations concernant Sulzer ! Hans Vögeli, dont le départ était planifié pour la fin de l'année, est dès lors forcé à la démission.

Comme un malheur n'arrive jamais seul, on apprend, le 18 juin dernier, que la BCZ aurait perdu 130 millions de francs après que le fisc ait mis un terme à une brèche légale qui lui permettait d'aider de gros clients étrangers à échapper à l'impôt. La banque cantonale, exonérée d'impôt, rachetait à des investisseurs des actions juste avant le versement des dividendes, normalement imposables. Ensuite, elle leur reversait les actions et le dividende ayant échappé à l'impôt. Là également, en matière d'éthique, une telle pratique provenant d'un organisme au bénéfice de la garantie d'Etat est pour le moins sujette à caution.


Conséquences

Elles sont nombreuses et de plusieurs ordres. Dans un premier temps, et sans échelle de valeur, on constatera que cette affaire a eu d'énormes conséquences politiques. Pendant des semaines, tout ce que la Suisse allemande (voire la Suisse dans son ensemble) compte de politiques a eu l'occasion d'exprimer son point de vue sur l'affaire et d'appeler à des réformes. Le thème qui revient le plus souvent est celui de la garantie d'Etat accordée à une banque cantonale qui n'a manifestement plus aucune différence avec ses concurrentes dites "universelles". La garantie d'Etat doit être considérée comme un privilège et doit permettre à son titulaire d'échapper aux trop fortes contraintes de rentabilité imposées par le marché. Or, dans cette affaire, on constate que la BCZ a profité de son statut privilégié pour prendre des risques financiers importants, qui plus est au mépris des intérêts économiques régionaux qu'elle est sensé défendre.
Sur le plan économique, et sans vouloir faire du protectionnisme à outrance, on ne peut que regretter que de tels produits financiers couplés à une politique d'affaires douteuse puissent mener à des changements si importants dans le capital de l'un des fleurons de l'économie helvétique. S'ils ne détiennent pas la majorité du capital, les nouveaux investisseurs étrangers disposent néanmoins d'une minorité bloquante et peuvent de ce fait influencer considérablement la stratégie de Sulzer. Qu'adviendra-t'il des emplois dans notre pays si le nouvel actionnariat exige une rentabilité plus forte et préconise des délocalisations de postes ?Au niveau commercial, une telle affaire est tout simplement catastrophique pour un établissement bancaire, fut-il le troisième plus grand du pays. On peut aisément comprendre que la relation avec son client Sulzer soit désormais fortement compromise. Du reste, la Caisse de pensions de Sulzer a d'ores et déjà communiqué son intention de rompre avec la BCZ et d'attribuer la gestion de ces quelques 4,3 milliards de francs à d'autres partenaires ! Mais au delà de la perte de ce client, le dommage causé à la réputation et à l'image de la banque est colossal, mais évidemment difficilement chiffrable.

Sur un plan plus personnel, les risques encourus par les auteurs de cette triste affaire sont assez limités. D'un point de vue pénal, il ne sera pas possible d'instruire un quelconque chef d'accusation. D'un point de vue civil, ce serait aux actionnaires de la BCZ ou à l'entreprise Sulzer d'intenter une action contre les dirigeants de la banque. Peu probable si l'on considère que l'actionnaire de la BCZ est le canton de Zürich. Pour Sulzer, si l'on analyse froidement la situation actuelle de son actionnariat, ce n'est en fait que le résultat d'une structure de financement qu'elle a délibérément choisie en décidant d'ouvrir son capital et être ainsi cotée en bourse. Vouloir accuser les dirigeants de la BCZ de mauvaise gestion reviendrait à remettre en cause le fonctionnement même des marchés boursiers.

Impunité donc ? Pas tout à fait... La Commission fédérale des banques songe à interdire à l'ancien patron de la BCZ de siéger dans des conseils d'administration de banques et les transactions personnelles de Hans Vögeli ont fait les choux gras de la presse dominicale pendant quelques semaines.


Et maintenant...


L'affaire n'est pas terminée pour autant. La CFB doit rendre les résulats de son enquête et les réformes internes s'organisent au sein de la BCZ. Elle a annoncé le 16 juillet dernier vouloir mettre en place des mesures stratégiques et organisationnelles afin de renforcer ses contrôles internes. Première mesure concrète, la banque va se doter d'un "chief risk officer" qui pourra intervenir dans tous les secteurs. Par ailleurs, des spécialistes se chargeront d'examiner les activités de l'institut. Un instrument pour contrôler la réputation de l'établissement sera élaboré en collaboration avec des experts externes. Celui-ci devra permettre de détecter à temps les risques encourus. La BCZ dit vouloir également se mettre d'avantage à l'écoute des attentes du public et analyser régulièrement les articles des médias. En matière d'activités privées de négoce effectuées par les collaborateurs, les réglementations se verront également renforcées.

Une fois de plus, il aura fallu que le risque se soit matérialisé pour que l'entreprise en question se décide à mettre en place des mesures permettant d'éviter ce genre d'implication. Dommage ! Ce d'autant plus que, à agir dans la précipitation, le risque du retour de balancier est très élevé et ne manquera pas de pénaliser fortement l'activité opérationnelle de la BCZ

mardi 10 juillet 2007

Pharming vs phishing ?

Dans le jeu du chat et de la souris opposant les pirates aux utilisateurs Internet, le pharming représente la plus grande menace après le phishing. Ce genre de menace est plus difficile à détecter et potentiellement plus dangereux. Cependant, l'objectif est identique : à l'instar des pirates spécialisés dans les activités de phishing, les auteurs de pharming renvoient les utilisateurs vers de faux sites Web qui ressemblent trait pour trait aux originaux. Innocemment, les utilisateurs révèlent leur identité, leurs noms d'utilisateur, leurs mots de passe et d'autres informations personnelles. La façon dont ces pirates induisent les utilisateurs en erreur est cependant complètement différente et bien plus efficace.

Pharming ? Phishing ? Quelle est la différence ? Beaucoup d'entre nous sont désormais au courant des techniques de phishing. Les phishers attirent leur proie à l'aide d'un appât : un message électronique apparemment légitime provenant d'une institution financière, d'une banque ou d'un site d'achats en ligne. Le message affirme que l'institution a été victime d'une faille de sécurité ou d'un autre problème technique quelconque. L'utilisateur est alors invité à envoyer immédiatement les informations perdues ou à cliquer sur un lien frauduleux vers un faux site qui copie le site original . Une fois l'utilisateur sur le site frauduleux, le pirate n'a plus qu'à récolter les informations personnelles dont il a besoin.

Bien entendu, toutes les personnes recevant un faux message électronique ne sont pas clients de ce site en ligne, mais il suffit d'une poignée de victimes parmi les millions de messages envoyés pour que l'affaire soit rentable. Résultat : ces criminels peuvent voler des milliers d'identités, infester des millions d'ordinateurs de logiciels publicitaires ou espions, et en attaquer d'autres à l'aide de codes malveillants dangereux.

Mais heureusement, le phishing commence à s'épuiser. Les utilisateurs ont compris qu'il ne fallait pas envoyer d'informations personnelles par courrier électronique. Ils sont au courant de ces méthodes et , en cas de doute, préfèrent contacter leur banque. Des utilisateurs sensibilisés réduisent les efforts des pirates à néant. Ceux-ci doivent alors trouver de nouvelles méthodes. C'est à ce moment-là que le pharming entre en jeu .

Les attaques de pharming sont plus pernicieuses. Le principe est simple : au lieu de vous induire en erreur pour cacher la véritable destination du lien, les criminels piratent le processus qui envoie votre ordinateur vers les sites. C'est effectivement très vicieux. Pour résumer, les pirates ne se préoccupent pas de savoir si vous cliquez sur le faux lien : même si vous saisissez vous-même l'adresse correcte dans le navigateur, vous pouvez vous retrouver sur un faux site, trahi par votre propre ordinateur ! Il existe néanmoins des moyens d'éviter d'être pris au piège. Informez-vous et faites preuve de très grande prudence. Vous pourrez alors vous protéger contre ces attaques.

Comment marche le pharming ?Il existe deux sortes de pharming. La première sorte, connue sous le nom de « pharming local », renvoie les utilisateurs Internet vers des sites fantômes à l'aide d'une méthode dite d'empoisonnement de mémoire cache DNS. Pour y parvenir, il faut pouvoir modifier la partie de votre système déterminant quel site Web appartient à quelle adresse avant qu'il ne commence la recherche sur Internet. Ainsi, même si vous saisissez l'URL correcte, l'adresse IP correspondante où vous êtes renvoyé est fausse. La deuxième sorte de pharming vise les serveurs DNS des sociétés ou des fournisseurs d'accès à Internet. Ces serveurs dirigent le trafic sur Internet. En exposant ces serveurs, les pirates peuvent tranquillement rediriger tous les utilisateurs d'une société sans même s'introduire dans leurs ordinateurs.

Dans le premier genre d'attaque, tout le monde court un risque. Cependant, les pirates doivent tout d'abord infecter ou s'introduire dans votre ordinateur pour pouvoir modifier les fichiers de résolution DNS locaux. Dans le cas de la deuxième attaque, les pirates doivent s'introduire dans le serveur DNS que votre ordinateur utilise. Vous n'y pouvez rien : c'est au service informatique ou au fournisseur d'accès à Internet de votre société de sécuriser le serveur correctement.
Comment empêcher ces attaques ?Les fournisseurs d'accès à Internet mettent tout en œuvre pour filtrer et supprimer les sites de pharming. De votre côté, pour assurer votre protection, vérifiez que le site Web est authentique. Vous devez cependant faire preuve de grande imagination pour contrer les attaques de pharming. N'oubliez pas, la plupart des méthodes d'authentification fonctionnent uniquement sur les pages où vous êtes invité à saisir des informations personnelles. Choisissez un fournisseur d'accès à Internet reconnu et légitime. Une sécurité maximale au niveau de votre FAI constitue la première ligne de défense contre le pharming.Le pirate dissimule la véritable URL en recouvrant l'adresse légitime ou en utilisant une URL s'écrivant de manière similaire. Vérifiez la barre d'adresse du navigateur pour vous assurer que l'orthographe est la bonne. Par exemple, lorsque vous saisissez http://www.google.fr, vous devez voir cette adresse. L'adresse d'un site de pharming pourrait être http://www.nsgoogle.fr. Vérifiez l'adresse http. Lorsque vous vous connectez à une page où vous êtes invité à saisir des informations personnelles, le http devrait se transformer en https. Le « s » signifie « sécurisé ».Vérifiez le certificat du site. Cela prend seulement quelques secondes, le temps de s'assurer que le site Web que vous visitez est légitime. Sur la toute dernière version d'Internet Explorer (et sur la plupart des navigateurs Web), cliquez sur « Fichier » dans le menu principal, puis sélectionnez « Propriétés ». Ou bien, cliquez sur le bouton droit de la souris n'importe où sur l'écran du navigateur et dans le menu contextuel, cliquez sur « Propriétés ». Lorsque la boîte de dialogue « Propriétés » s'affiche, cliquez sur « Certificats » et vérifiez que le site est lié à un certificat sécurisé appartenant à son propriétaire légitime. Le certificat doit indiquer le nom correct de la société et l' adresse à laquelle vous pensez être connecté. Assurez-vous de la présence d'un verrou ou d'une clé dans la partie inférieure de votre navigateur ou de la barre des tâches de votre ordinateur. Un verrou fermé ou une clé indique que la connexion est sécurisée et chiffrée ; un verrou ouvert ou une clé cassée indique que la connexion n'est pas sécurisée. Bien sûr, s'il s'agit du mauvais site Web, le fait que la connexion soit sécurisée ou non n'a aucune importance. Par conséquent, assurez-vous tout d'abord que le certificat prouve bien que vous vous trouvez sur le bon site Web.Installez un programme antivirus que vous aurez obtenu auprès d'un fournisseur de logiciels de sécurité de confiance afin de réduire le risque d'être exposé aux problèmes de pharming. Utilisez un pare-feu personnel pour protéger vos données des pirates, virus, vers et chevaux de Troie. Téléchargez les toutes dernières mises à jour de sécurité (ou correctifs) pour votre navigateur Web et système d'exploitation.


Source: Articles ClubSymantec - Sécurité Internet - Le pharming

jeudi 5 juillet 2007

Le musée Girard-Perregaux cambriolé


Selon une dépêche de ce jour, le musée Girard-Perregaux de La Chaux-de-Fonds a été cambriolé. Les voleurs ont emporté presque la totalité des montres exposées. Le butin se monte à plusieurs millions de francs, a annoncé une juge d'instruction.
Les auteurs du forfait étaient au moins trois, a indiqué la juge en charge du dossier. Vers 08h30, deux d'entre eux ont pénétré dans le musée en se faisant passer pour des livreurs. Ils ont séquestré la femme de ménage dès l'ouverture de la porte. Elle a été ligotée et bâillonnée.
Après avoir brisé les cloches qui contenaient les montres exposées, les malfaiteurs se sont enfui à bord d'une voiture. L'employée a pu se libérer seule et donner l'alarme. Selon la juge d'instruction, les auteurs pourraient s'être dirigés vers la France. Il n'est pas exclu que d'autres véhicules aient été utilisés.
Toutes les pièces dérobées sont répertoriées. Le butin est ainsi difficilement négociable.
Pour avoir visité cette collection à plusieurs reprises, je ressens une profonde tristesse à l'idée de penser que ces magnifiques pièces soient dans les mains de malfrats. La manufacture Girard-Perregaux avait créé ce petit musée avec un soin de l'esthétique très poussé. La rénovation du bâtiment a déjà en soi constitué une magnifique carte de visite pour la ville de la Chaux-de-Fonds. Les pièces, exposées dans un décor sobre mais raffiné, retracaient la vie de la manufacture au rythme des années et des avancées technologiques.
Plus que la valeur pécuniaire, certes très importante mais probablement bien assurée, c'est la perte de la mémoire de la manufacture qui est le plus déplorable dans cette affaire. Reste l'espoir que la police retrouve rapidement cette collection et, si possible, en bon état...

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?