Customer Security Programme : quel impact sur les clients du réseau SWIFT ?

Article co-écrit avec Maxime Bretagnon et Mehdi Hakki, consultants Cyber Risk.

Mai 2015 : des pirates accèdent au système informatique de la banque nationale du Bangladesh. Au total, c’est plus de 80 millions de dollars qui seront dérobés, au cours d’une intrusion complexe et de grande envergure qui aura duré près de neuf mois. La faille ? Les transactions interbancaires et le réseau SWIFT. Ce dernier multiplie depuis les efforts pour renforcer le niveau de sécurité de ses clients et a notamment lancé le « Customer Security Programme » (CSP). En quoi consiste ce programme ? Quels avantages et quels challenges présente-t-il pour les clients SWIFT ? Eléments de réponse.

Le Customer Security Programme

Face à la recrudescence des attaques cyber, les clients SWIFT doivent prendre les mesures de sécurité nécessaires en se dotant de politiques de sécurité, de procédures et d’outils performants.

Le CSP vise à les aider à sécuriser la chaine de transaction de bout en bout et à prévenir la fraude. Le programme s’articule en 3 objectifs regroupant 8 grands principes, pour lesquels 27 points de contrôles (dont 16 obligatoires) ont été définis.

Ainsi, depuis octobre 2017, chaque client SWIFT est tenu de publier une auto-attestation annuelle faisant état du respect des points de contrôle dans son propre environnement. Ces attestations peuvent être consultées par tous les membres du réseau, qui peuvent ainsi s’assurer des mesures de sécurité mises en place par leurs partenaires.

Principales échéances du programme :

3 objectifs à atteindre

À travers son programme, SWIFT vise à partager un ensemble de bonnes pratiques concernant la détection des fraudes et ainsi améliorer la vision globale du niveau de sécurité des différentes parties prenantes du réseau. De leur côté, les clients SWIFT doivent tendre vers 3 objectifs :

• Sécuriser l’environnement : Prendre toutes les mesures nécessaires pour restreindre l’exposition à internet et mettre en place une ségrégation entre les systèmes critiques et le système d’information global. Ces mesures permettront de réduire la surface d’attaque et de limiter les possibilités de déplacement latéral à partir d’un système compromis. En effet, une fois qu’une machine est infectée, les attaquants essaient habituellement de se déplacer de machine en machine pour trouver celle qui a des droits d’administration sur le système ciblé.
• Connaître et limiter les accès : Mettre en place des systèmes d’authentification et de gestion des identités et des accès, permettant notamment la mise en œuvre des principes de moindre privilège, de séparation des pouvoirs, d’authentification multi-facteurs, et la protection des identifiants.
• Détecter et répondre : Implémenter les outils et procédures nécessaires pour une détection efficace des activités malveillantes sur les systèmes de transaction SWIFT, et une réponse à incident rapide. Par ailleurs, en cas d’attaque avérée, un plan de continuité d’activité et une procédure de gestion de crise doivent avoir été préparés et testés régulièrement.

Le partage d’information au service de la communauté SWIFT

SWIFT souhaite améliorer la diffusion des informations au sein de la communauté et créer une synergie entre ses différents clients cherchant à atteindre les mêmes objectifs.

Pour les clients, le travail commence en assurant une parfaite conformité aux 16 contrôles obligatoires. Idéalement, il faudra également dresser un plan d’actions pour les contrôles optionnels en réfléchissant aux délais et budgets nécessaires. Il s’agit aussi de sécuriser les échanges avec les différents acteurs concernés. En effet, les clients doivent d’une part posséder de solides moyens de détection d’événements sur leur propre environnement, et d’autre part avoir la possibilité de surveiller les interfaces et les canaux de communication avec les tiers. Puisque les institutions opèrent dans un vaste écosystème composé de milliers de membres, le partage de l’information devient primordial. Aujourd’hui, une attaque réalisée chez un des clients SWIFT pourrait être répliquée chez un autre. C’est pourquoi un partage rapide des informations de sécurité est essentiel pour permettre de prendre des mesures correctives et éviter la propagation ou la réplication des attaques sur le réseau.

Quels impacts et quels challenges pour les clients ?

Les clients SWIFT sont tenus d’être en conformité avec les 16 contrôles obligatoires depuis fin 2017.

Depuis janvier 2018, les résultats de l’auto-attestation sont publiés, et des audits indépendants peuvent être menés par l’organisation SWIFT. Un résultat insatisfaisant lors de l’auto-attestation ou lors d’un audit peut venir ternir l’image de l’institution concernée et dégrader la confiance que ses partenaires lui accordent. En revanche, la possibilité de consulter les résultats des autres clients du réseau permet de favoriser la transparence, et donne la possibilité à chaque client d’évaluer son niveau de maturité par rapport à celui des autres membres.

Les projets de conformité CSP ne doivent pas être traités de manière indépendante et isolée des autres projets de sécurité en cours. Le CSP vient consolider et renforcer certains standards déjà en place tels que NIST CSF, PCI-DSS et ISO 27002. Par conséquent, il est important d’intégrer les projets CSP dans la stratégie globale de sécurité, et de traduire chaque objectif en un plan d’actions détaillé.

Dans un contexte où la menace cyber est de plus en plus présente et ne cesse d’évoluer, il convient de ne pas uniquement considérer le CSP comme un programme de conformité, mais plutôt comme une prise de conscience nécessaire des différents risques et des mesures à mettre en place pour les traiter. Par conséquent, il est primordial pour les clients du réseau SWIFT de dresser un état des lieux et d’entamer au plus tôt les travaux de conformité CSP en s’appuyant sur une expertise cyber interne ou externe.

Pour en savoir plus sur le sujet, n’hésitez pas à me contacter.