Article co-écrit avec Maxime Bretagnon et Pierre Lemarquand, consultants Cybersécurité.

En 2016, l’organe de gouvernance du réseau SWIFT lance le « Customer Security Programme » (CSP), en réponse à la série d’attaques de grande ampleur dont il fait l’objet entre 2015 et 2017. Certains de ses membres, notamment les banques du Bangladesh, du Vietnam, et de l’Equateur, subissent alors des pertes se chiffrant à plusieurs dizaines de millions d’euros. L’objectif du CSP est donc de sécuriser les infrastructures des membres du réseau. Si ses principaux enjeux n’ont pas évolué depuis sa création, le programme a été enrichi plusieurs fois au cours de son cycle de vie, afin de s’adapter à un risque cyber en constante évolution. Nouveaux contrôles et nouvelles exigences : voici toutes les clés pour comprendre la version 2020 du CSP.

Qu’est-ce que le réseau SWIFT ?

Créé en 1977, le réseau SWIFT a pour vocation de fournir un service de messagerie standardisée utilisé lors des transferts interbancaires, et de gérer l’ensemble des transactions financières impliquant ses institutions membres de par le monde. Il connecte aujourd’hui plus de 11 000 institutions dans plus de 200 pays, et gère environ 6,5 milliards de messages par jour.

Enjeux et challenges du CSP

La réussite des attaques cyber les plus notables dont le réseaux Swift a fait l’objet s’explique à la fois par une haute technicité et la mise en œuvre de stratégies complexes ciblant la chaîne de services en amont du réseau SWIFT – notamment les administrateurs disposant de hauts privilèges. C’est là que le CSP prend tout son sens, en imposant non seulement la sécurisation des infrastructures SWIFT, mais aussi celles de ses annexes, dépendances et flux amont, afin d’étendre la zone de confiance du réseau (Secure Zone).

Tout l’enjeu du CSP est d’améliorer la sécurité de l’ensemble du réseau SWIFT, en capitalisant sur le partage d’information intra-réseau et l’amélioration continue de toutes ses parties prenantes individuellement.

Le programme repose sur trois piliers : sécurisation de l’environnement, maîtrise des accès, détection et réponse à incident. Le CSP s’applique aussi bien aux architectures de grande envergure qu’à celles de taille plus restreinte (respectivement de type A et B). Ainsi, la maîtrise de l’intégralité du périmètre devient un enjeu majeur et une source de complexité pour les infrastructures de grande taille.

Une nouvelle exigence d’évaluation indépendante

Jusqu’à présent, une auto-évaluation des membres du réseau SWIFT était suffisante, avec quelques revues indépendantes mandatées par SWIFT de manière épisodique.

Afin d’améliorer le niveau de garantie fourni actuellement, un cadre d’évaluation indépendant (Independant Assessment Framework ou IAF) a été conçu par SWIFT :  chaque attestation de conformité doit désormais s’appuyer sur une évaluation indépendante du CSP. L’auto-attestation n’est donc plus suffisante et doit être associée à des constats d’audit indépendants, réalisés par un tiers – qu’il soit interne ou externe. Pour être valide, cet audit doit être mené par des équipes ayant des compétences prouvées en cybersécurité et indépendantes de l’audité, afin d’éviter les conflits d’intérêts. Cette évaluation via l’IAF doit être basée sur des constats formels portant sur le design et l’implémentation des contrôles du CSP.

Une mise à jour des contrôles du programme

Dans le cadre de l’adaptation des contrôles aux menaces cyber et à l’extension du périmètre du CSP, le cadre d’évaluation est également enrichi de plusieurs contrôles, portant leur nombre total à 31 (21 obligatoires et 10 recommandés).

Deux contrôles recommandés, introduits en 2019, deviennent obligatoires :

  • 1.3 : Protection des plateformes de virtualisation – afin d’amener les hyperviseurs des instances virtuelles des services du réseau SWIFT à un niveau de sécurité similaire à leurs équivalents physiques.
  • 2.10 : Durcissement applicatif – afin de réduire la surface d’attaque des composants applicatifs liés à SWIFT. Ce durcissement se base sur le respect des standards de marché et des guides de configuration, ainsi que quelques principes minimaux à vérifier.

Par ailleurs, deux nouveaux contrôles viennent enrichir la liste des contrôles recommandés :

  • 1.4A : Restriction des accès Internet – extrait du contrôle 1.1 version 2019 afin de centraliser la gouvernance des accès Internet.
  • 2.11A : Contrôles métiers RMA – extrait du contrôle 2.9A version 2019 afin de séparer les transactions et les contrôles métiers RMA (Relationship Management Application)

Finalement, la plupart des contrôles existants sont étendus, afin d’inclure les composants middleware (type IBM MQ) dans le périmètre du CSP.

La sécurité d’une chaîne de confiance telle que SWIFT est égale à la sécurité de son maillon le plus faible : l’interdépendance entre ses membres doit créer un cercle vertueux de sécurité et de confiance. Si la notion d’immunité collective est particulièrement pertinente pour le réseau SWIFT, c’est que le rôle de chacun de ses membres n’est pas anodin : se protéger soi, pour mieux protéger les autres, mais surtout pour bénéficier d’une protection optimale au sein de l’écosystème. Avec sa version 2020 du CSP, SWIFT met l’accent sur l’objectivité et la transparence attendues de ses membres vis-à-vis de leur maturité, et souligne l’importance de l’expertise requise à sa sécurisation.