Journal De l'opacité de la gestion de vos données bancaires

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
-8
27
avr.
2018

Bonjour,
je viens d'apprendre par une source interne (qui tient bien évidemment à garder l'anonymat) qu'une grande Banque française (dont je tairais le nom pour des raisons évidentes, mais qui, à mon humble avis aurait mieux fait de continuer à ne s'occuper que de la distribution du courrier…) allait incessamment passer toute sa bureautique interne… Sous Office365 !

Autrement dit toutes les coordonnées bancaires ainsi que toutes les transactions de ses clients (Sans compter bien évidemment, tous les documents internes du Système d'Information) vont désormais être stockés… Sur des serveurs Microsoft…
Cela bien sûr (du moins à ma connaissance) dans la plus complète opacité pour lesdits clients…
Cette même source interne s'est renseignée et les responsables informatique de cette banque ont parait-il reçu des garanties quant à la confidentialité de ces données (Ah ! Ah ! Ah ! ) et au fait qu'elles seront hébergées en France (Ah ! Ah ! Ah ! ).

Avez vous, chers amis, un avis sur ce type de migration qui me semble, à moi, problématique, surtout avec l'arrivée du RGPD.
Il me semble qu'au minimum, ils pourraient informer leurs clients (mais peut-être ce le cas ? Avez vous reçu ces derniers jours des avis concernant une migration interne de la bureautique interne de votre banque ? ).

  • # Bureautique != données clients

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Est-ce que ta source interne a aussi dit que les transactions et les informations des comptes sont enregistrées dans des grandes feuilles Excel ?
    Si tu as déjà essayé d’ouvrir un fichier CSV d’un million de lignes (ce qui n’est pas beaucoup si on parle de transactions bancaires) avec Excel, tu ne peux que conclure qu’ils n’utilisent probablement pas Office pour traiter les données bancaires proprement dites.

    J’ai l’impression que tu t’inquiètes trop. Certes, ce n’est jamais agréable d’apprendre que des entreprises françaises se rendent de plus en plus dépendantes de Microsoft, mais ce n’est pas une grande surprise : quasiment toutes les entreprises ont toujours utilisé Office, et ce dont tu parles ici n’est qu’une mise à jour logique d’une de ces entreprises.

    • [^] # Re: Bureautique != données clients

      Posté par  . Évalué à 3.

      Je pense que de ton coté tu exagères dans l'autre sens.
      Il me semble évident que les données techniques confidentielles ne seront pas partagées de cette manière (code carte bleue,…), mais tous les échanges internes entre commerciaux, par exemple (genre étude de prêts, dossiers de sur-endettement, risques dans le cadre de découverts, etc.) en disent déjà beaucoup sur la clientèle et doivent sans doute être partagés par des fichiers bureautique sans que ça semble poser de problèmes.
      En ce qui concerne les mouvements de compte, il est possible dans certaines banques d'obtenir un extrait de tes opérations en "format xls", il est donc possible que cela "passe" par des outils hébergés chez Microsoft (une copie "à la volée" est donc techniquement possible).

      • [^] # Re: Bureautique != données clients

        Posté par  (site web personnel, Mastodon) . Évalué à 6.

        En ce qui concerne les mouvements de compte, il est possible dans certaines banques d'obtenir un extrait de tes opérations en "format xls", il est donc possible que cela "passe" par des outils hébergés chez Microsoft (une copie "à la volée" est donc techniquement possible).

        Il dit qu'il ne voit pas le rapport. Par exemple, si ton application est en Java (ce qui semble être le cas de celle de ma banque par exemple, vu qu'à une époque je pouvais tomber sur une erreur Tomcat) elle utilise probablement Apache POI qui n'a rien à voir avec Microsoft. Et je ne serais pas surpris que ça soit la même chose pour les autres langages : pourquoi se faire chier à passer par des outils tiers hébergés par Microsoft quand tu peux générer directement ton fichier, et ce d'autant plus facilement que les format « .trucx » sont des collections de XML zippés décrits par une norme ?

        La connaissance libre : https://zestedesavoir.com

        • [^] # Re: Bureautique != données clients

          Posté par  . Évalué à -3.

          pourquoi se faire chier à passer par des outils tiers hébergés par Microsoft quand tu peux générer directement ton fichier

          Parce que tout simplement ce n'est plus toi qui gère l'application, et donc autant de problèmes en moins (croient-ils).

          Pourquoi se faire chier à utiliser Office365 et payer des "tuyaux" pour se connecter en permanence à l'infrastructure Microsoft ? Parce que tu ne gères plus les mises à jour bureautique, l'espace disque, etc.

          • [^] # Re: Bureautique != données clients

            Posté par  (site web personnel, Mastodon) . Évalué à 10.

            Toujours aucun rapport. Office 365, c'est la bureautique ; les opérations bancaires c'est des serveurs de données bancaires. Et d'ailleurs, le serveur qui te donne ton extrait de compte au format Excel, c'est normalement une troisième application, qui va chercher les données dans système bancaire, et qui est complètement décorrélé des applications bureautiques.

            Je me demande si tu comprends bien ce que ça implique d'avoir un système bancaire et ce que ça implique d'avoir une suite bureautique, quand bien même celle-ci serait « dans les nuages ». C'est une vraie question et non un jugement de valeur : c'est des choses dont on a pas spécialement conscience si on ne travaille pas dans ce domaine.

            La connaissance libre : https://zestedesavoir.com

            • [^] # Re: Bureautique != données clients

              Posté par  . Évalué à 0.

              Ton lien est très intéressant, merci :-)
              Ceci dit, je pense que tu passes à coté de ce que j'essaye de dire (sans doute par manque de clarté de ma part).
              Je ne doute pas un instant que les normes de sécurité soient drastiques, je doute par contre que tous les employés soient pleinement informés de ces normes (et même qu'ils se sentent concernés, d'ailleurs, si ça les empêche de faire ce qu'ils veulent pour leurs clients).

              Qui n'a jamais vu de mots de passe "collés" sur un écran parce qu'il est "trop compliqué" ?

              N'a-t-on pas aussi vu récemment des responsables politiques diffuser des informations confidentielles par 'gmail' ? :-)

              J'ai même vu des personnes utiliser des VPN russes pour contourner le proxy de leur propre entreprise…

              • [^] # Re: Bureautique != données clients

                Posté par  (site web personnel, Mastodon) . Évalué à 4.

                Ma remarque ne porte pas sur ça mais sur le passage que j'ai cité.

                Ce que j'essaie de t'expliquer, c'est que tu n'as pas à avoir peur que la génération d'un extrait de compte au format Excel implique de passer par des serveur de chez Microsoft, et ce y compris si ta banque utilise exclusivement la version en ligne d'Office 365. Parce que le système bureautique et le système bancaire sont découplés. Ton extrait de compte est généré par un serveur totalement indépendant du système bureautique, et quelle que soit la technologie utilisée par ce serveur, je ne vois pas de cas où générer ce fichier Excel nécessiterait d'aller communiquer avec des serveurs de chez Microsoft.

                Note aussi que le mot de passe sur un post-it sur l'écran peut être une pratique tout à fait valable, selon qui a accès à ton écran et qui est censé ne pas pouvoir accéder à l'application en question – mais c'est rare.

                D'une manière générale, avoir peur à priori sur des présupposés est rarement une bonne chose. Une meilleure réaction serait d'analyser la situation, de collecter des informations et de regarder, factuellement, quelles en sont les implications.

                J'ai l'impression que la réaction de terreur avant analyse est très à la mode, y compris sur LinuxFR ces derniers temps (ce journal, celui sur le filtrage de code, une bonne partie des arguments (quel que soit le camp) des commentaires du journal de la ZAD de NNDL…).

                La connaissance libre : https://zestedesavoir.com

            • [^] # Re: Bureautique != données clients

              Posté par  (site web personnel, Mastodon) . Évalué à -1.

              Il est clair que cela ne donne pas tous mais on ne peux nier que ce sont des informations de premier choix qui ont peux de chance de rester cloisonner avec la CIA et l'IA qui se développe. Il est assez facile de tous analyser pour avoir un état assez clair de la situation bancaire de beaucoup de monde. Surtout si l'on ajoute a cela la messagerie Gmail, Yahoo, Skype ou autre. Le problème est réel même si certes les USA ne sont pas de ennemis et qu'en soit on en a pas grand chose à faire dans la vie réel que Trump puisse savoir combien j'ai sur mon compte en banque.

              Partant de là le gouvernement français a un état des lieux personnel de chaque français beaucoup plus détaillé (banque, santé, judiciaire, position par téléphone…).

              Fondamentalement ça ne va pas nous impacté outre mesure, mais il faut le savoir notre vie privée est de plus en plus public qu'on le veuille ou non.

              Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

              • [^] # Re: Bureautique != données clients

                Posté par  . Évalué à 7. Dernière modification le 03 mai 2018 à 20:21.

                les USA ne sont pas de ennemis

                Ah ben mince, on ne me dit jamais rien moi.
                J'en étais resté aux USA qui espionnent tout le monde, dont le gouvernement mène des opérations d'espionnage industriel, qui font la guerre militaire contre les vilains et la guerre économique contre leurs alliés (aka vasseaux), qui utilisent leurs entreprises pour pomper les données de la terre entière. Bon bref c'est du passé tout ça, ouf.

                • [^] # Re: Bureautique != données clients

                  Posté par  (site web personnel, Mastodon) . Évalué à 1.

                  J'en étais resté aux USA qui espionnent tout le monde
                  Oui mais les USA n'ont pas beaucoup de pouvoir sur toi, ils ne te censurent pas, ne te mettent pas en prison, sauf si tu va aux USA (ou que tu t’appelle Édouard Snowden). La France, elle, te réclame plus d'impôts, peux te mettre en prison ou plus couramment te censurer, t'assigner à résidence… Et là avec les lois, entre autre, RGPD, anti "fausse informations" ou "état d'urgence permanent" ils ont les moyens qu'il faut et le procès deviens expéditif et presque facultatif.

                  Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

              • [^] # Re: Bureautique != données clients

                Posté par  . Évalué à 1.

                sont des informations de premier choix qui ont peux de chance de rester cloisonner avec la CIA et l'IA qui se développe
                Lol… Le rapport avec la choucroute ?

                Partant de là le gouvernement français a un état des lieux personnel de chaque français beaucoup plus détaillé (banque, santé, judiciaire, position par téléphone…).

                Avec ou sans Office365, l'Etat a déjà l'accès total aux données bancaires qui te concernent et ce depuis bien longtemps.
                Et oui, je ne sais pas si tu es au courant, mais le "secret bancaire" n'existe que dans les paradis fiscaux tels que la Suisse, le Luxembourg & co …
                Si tu en doutes: https://fr.wikipedia.org/wiki/Secret_bancaire#Secret_bancaire_en_France

                Fondamentalement ça ne va pas nous impacté outre mesure, mais il faut le savoir notre vie privée est de plus en plus public qu'on le veuille ou non.

                Il faut savoir aussi que, lorsque tu portes de grandes idées comme cela semble être ton cas, la forme est au moins aussi importante que le fond: avec les fautes d'orthographe que tu fais, il faut vraiment que tu te remettes au bescherelle si tu souhaites être un minimum crédible …

          • [^] # Re: Bureautique != données clients

            Posté par  . Évalué à 5.

            Ce que SpaceFox essaye de t’expliquer c’est que l’existence d’un fichier .xlsx (et autres formats MS-Office) n’implique pas l’utilisation d’un outil (même une bibliothèque) Microsoft dans l’application.

            Exemple, une bibliothèque Perl : http://search.cpan.org/~mikeb/Spreadsheet-XLSX/lib/Spreadsheet/XLSX.pm

            Le format est dans le domaine public : https://www.iso.org/fr/news/2008/11/Ref1181.html

            Le seul truc c’est qu’évidemment, en fournissant à l’utilisateur final un fichier dans ce format tu l’incites à utiliser MS-Office plutôt que LibreOffice, c’est sûr. Alors qu’en l’occurrence, pour une liste d’opérations bancaires il n’y a aucun risque à utiliser LibreOffice (pas de macro-commande ou de fonctions exotiques…).

    • [^] # Re: Bureautique != données clients

      Posté par  . Évalué à 6.

      Quand tu reçois un courrier de ta banque, il y a bien des informations personnelles dedans ? Lorsque c'est un courrier personnalisé, il a bien été créé avec un outil de bureautique ?

      • [^] # Re: Bureautique != données clients

        Posté par  . Évalué à 2.

        Non, il a été crée avec un soft de publipostage, probablement intégré à un CRM ou Backoffice plus "global" qui implémente tout les process et workflow de la banque.

        Comme d'autres l'ont dit de façon très juste, la bureautique est outil comme un autre dans le métier de la banque. Que la banque en question est fait le choix de migrer vers office 360 ne veut rien dire quant au données métiers.

        J'ai connu des boites de développement informatique qui s'appuyaient intégralement sur les services de google: gmail, gdocs, hangout, etc… Cependant, le code restait sur des serveurs git hébergés en interne, tout comme le système de bugtracking et de documentation "métier".

        Faire l'amalgame entre "bureautique" et "informatique métier" dénote d'une certaine méconnaissance du monde du travail qui est inquiétante ….

        • [^] # Re: Bureautique != données clients

          Posté par  . Évalué à 2.

          Non ce n'est pas inquiétant, dans la mesure où tu apporte une réponse.
          Est-ce que c'est inquiétant que les gens pensent que Leclerc vend à perte avec ses promos sur le Nutella ?
          Le monde du travail ne résume pas aux métiers liés à l'informatique.

  • # Nawak

    Posté par  . Évalué à 2. Dernière modification le 27 avril 2018 à 14:50.

    L’informatique bureautique n’a rien à voir avec le SI métier. Si ça peut te rassurer. Pas les mêmes outils, pas les mêmes plateformes, pas les mêmes machines.

    Les ordinateurs en agence sont des terminaux qui n’ont aucune donnée et qui ne font aucun traitement. Les conseillers ont des accès restreints, que le strict nécessaire.

    • [^] # Re: Nawak

      Posté par  (site web personnel, Mastodon) . Évalué à 9.

      Les conseillers ont des accès restreints, que le strict nécessaire.

      D'expérience, c'est même plutôt le problème inverse : ils ont des accès tellement restreints que parfois ils ne peuvent pas faire un truc qui te serait utile :)

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: Nawak

        Posté par  . Évalué à -3.

        Du coup, ça doit d'autant plus les inciter à contourner les procédures :-)
        S'ils ont des problèmes réguliers d'accès, ils auront plus tendance à "recopier" les données utiles là où ils ont accès, probablement en oubliant en toute innocence les mesures de sécurité… Qui n'a jamais vu des informations confidentielles "naviguer" par gmail parce que la messagerie interne est trop restrictive? :-|

      • [^] # Re: Nawak

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        Sauf que quand on gère la bureautique, on gère aussi la bureautique des chefs… et qu'ensuite par simplicité/sécurité/efficacité, beaucoup de dossiers en cours seront directement stocké chez Microsoft même s'il ne sont pas consultés.

        Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

  • # Le RGPD est très GAFAM-friendly

    Posté par  . Évalué à 8.

    un avis sur ce type de migration qui me semble, à moi, problématique, surtout avec l'arrivée du RGPD.

    Dans un cas que je connais, c'est même au contraire l'arrivée du RGPD qui incite certaines boîtes à se jeter dans les bras des GAFAM ! Car oui, Amazon a toutes les certifications qu'il faut pour être RGPD-compliant, alors que le service informatique interne, non…

    Du coup, de ce que j'observe, le RGPD va encore plus favoriser le stockage « danse les nuages », au grand dam des citoyens européens soucieux de leur vie privée.

    • [^] # Re: Le RGPD est très GAFAM-friendly

      Posté par  . Évalué à -5.

      Je ne vois pas comment Amazon&Co peut deviner ce qui doit être effacé dans les données que tu lui donnes.

      Ça sent l’embrouille…

      • [^] # Re: Le RGPD est très GAFAM-friendly

        Posté par  (site web personnel) . Évalué à 3.

        C'est à toi de dire ce que tu veux effacer. Mais après ils fournissent les garanties compliquées: que c'est effacé de partout, les backups (problème bien galère puisque le but d'un backup c'est justement de te protéger d'un effacement accidentel), les caches, les indexes et autres structures internes (par exemple si la donnée effacée est une borne d'un noeud dans l'arbre d'un index) …

        • [^] # Re: Le RGPD est très GAFAM-friendly

          Posté par  . Évalué à 5.

          je n'ai pas lu qu'il fallait supprimer les données des sauvegarde,
          mais, à chaque chargement d'une sauvegarde, il est demandé de supprimer à nouveau les données "oubliées"

          ce qui oblige donc à stocker les identifiants des données à oublier

          (tiens, ça me fait penser au stockage dans un cookie du refus des cookies par un utilisateur :-) :-) :-)

          Envoyé depuis mon Archlinux

  • # hebergé en france par une boite US

    Posté par  . Évalué à 5.

    Cette même source interne s'est renseignée et les responsables informatique de cette banque ont parait-il reçu des garanties quant à la confidentialité de ces données (Ah ! Ah ! Ah ! ) et au fait qu'elles seront hébergées en France (Ah ! Ah ! Ah ! ).

    Le fait qu'elles soient hébergées en France ne change strictement rien : le droit américain impose à toutes les boites américaines de laisser accès aux données au gouvernement fédéral américain, peu importe où sont stockées les données, et peu importe qui elles concernent, et ça depuis un moment (patriot act). A la limite on peut se dire que ca fera un peu plus de boulot en France, c'est déjà ca de pris

    • [^] # Re: hebergé en france par une boite US

      Posté par  (site web personnel) . Évalué à 1.

      Hébergées en France seulement ? Microsoft a plusieurs datacenters en France ? Ou alors les données ne seront pas répliquées ?

      • [^] # Re: hebergé en france par une boite US

        Posté par  (site web personnel, Mastodon) . Évalué à 1.

        Hébergé en France mais sauvegardé partout dans le monde, respectant le RGPD simplement en Europe…

        Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

      • [^] # Re: hebergé en france par une boite US

        Posté par  . Évalué à 1.

        Microsoft a plusieurs datacenters en France. Ou est en train de les construire.

        Pour le moment, les données sont du côté de Dublin, mais il sera possible de migrer ses données sur les datacenters français.

        Par contre, office365 est peut-être séduisant, mais dès que tu as quelques choses de non-basique dans ton document, il te faudra l'ouvrir avec la suite bureautique installée sur ton poste.

        Exemple : avec word online, pas possible de mettre à jour l'index (menu) automatique. Ou avec excel, j'imagine que si tu as fait des trucs compliqués avec tes cellules, tu es bon pour l'ouvrir en local.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.