De toute évidence, la nouvelle déroute le monde bancaire. Selon les révélations faites au Guardian par Edward Snowden – ancien technicien de la CIA devenu lanceur d’alerte – l’agence de renseignement américaine aurait piégé un banquier suisse en 2007, pour le recruter et obtenir des «informations bancaires secrètes» (lire ci-dessus).

Après les affaires successives de vol de données, les banques suisses doivent-elles désormais craindre l’espionnage étatique, orchestré par des agences de renseignement? La plupart des professionnels consultés restent très prudents. «Cette affaire est particulièrement déroutante», hésite un banquier de la place. «Attendons de voir s’il s’agit d’une rumeur ou d’un fait avéré», ajoute un de ses confrères. «Pousser un banquier à boire pour le piéger, pour le recruter? Je suis sceptique, résume l’avocat Carlo Lombardini. Comme je le suis quant à la fiabilité de ces whistleblowers et autre justiciers improvisés qui surgissent de l’ombre.»

Passé le scepticisme sur le cas particulier, et malgré un précédent retentissant au Liechtenstein – en 2008, les services secrets allemands avaient payé un informateur pour s’approprier des données volées à la banque Liechtenstein Global Trust, à des fins de lutte contre l’évasion fiscale –, nos interlocuteurs doutent que l’opération de la CIA, si elle a bien eu lieu, ait été motivée par des raisons fiscales. «Je vois mal comment on pourrait utiliser la CIA pour obtenir des renseignements à des fins fiscales, résume un des banquiers déjà cités. Si l’information est confirmée, il doit plutôt s’agir de quelque chose de ciblé, dans le cadre de la lutte contre le terrorisme, par exemple.» Selon un enquêteur de l’agence de renseignement privée Diligence Global Business Intelligence, les dates évoquées dans l’affaire Snowden laissent entendre que le banquier en question devait «probablement travailler pour une banque potentiellement active avec l’Iran, ou soupçonnée par Washington de financement du terrorisme».

Quoi qu’il en soit, l’espionnage étatique ne semble pas être identifié par les banques comme un risque spécifique. Selon un banquier genevois, il n’y a pas de procédure particulière contre des espions. Cela s’inscrit dans la lutte contre le vol de données, où l’accent est mis sur la sécurité informatique et le contrôle de qui, à l’interne, a accès aux données les plus sensibles.

Identifier le risque humain

Les banques ont ainsi des procédures très strictes à l’embauche, et disposent de systèmes d’alerte si un employé fait des opérations suspectes, indiquent-elles. Mais à les entendre, les collaborateurs ne sont pas véritablement «profilés» pour repérer les espions potentiels.

Pourtant, selon Claudio Foglini, dirigeant de la ­division Economic Crime Intelligence chez Scalaris, le risque humain est à prendre très au sérieux. «L’idée est de se demander comment fonctionnent les services de renseignement, explique-t-il. Les agences profilent les cibles potentielles pendant des mois pour identifier leurs faiblesses. Faiblesses dans la vie privée – par exemple un adultère – ou d’ordre psycho-pathologique, comme une dépendance.»

L’expert insiste sur l’importance, pour les entreprises, d’identifier le profil de risque de ses employés: «On peut esquisser une sorte d’équation du risque humain. Lequel est fonction de la personnalité de l’employé – souvent un esprit compétitif, manipulateur et narcissique –, de la pression qu’il subit au travail, des opportunités qu’il a de trahir, ou encore du contexte dans lequel il pourrait être activé.»

Mais gare aux idées reçues, prévient l’enquêteur de l’agence Diligence, «dans la quasi-totalité des cas, les services étrangers se contentent de créer un sentiment de gratitude, il n’y a pas de chantage».

Reste que, selon lui, l’attitude des banques «fait peur à voir», le sujet de l’espionnage étant «rarement abordé» dans les établissements. «Si des mesures sont prises, elles ne seront jamais communiquées, tempère un cadre d’une banque. Mais il est raisonnable de penser que les responsables de la sécurité observent quand même les changements de comportement des employés.»