Article co-écrit avec Maxime Bretagnon et Pierre Lemarquand, consultants Cybersécurité.
En 2016, l’organe de gouvernance du réseau SWIFT lance le « Customer Security Programme » (CSP), en réponse à la série d’attaques de grande ampleur dont il fait l’objet entre 2015 et 2017. Certains de ses membres, notamment les banques du Bangladesh, du Vietnam, et de l’Equateur, subissent alors des pertes se chiffrant à plusieurs dizaines de millions d’euros. L’objectif du CSP est donc de sécuriser les infrastructures des membres du réseau. Si ses principaux enjeux n’ont pas évolué depuis sa création, le programme a été enrichi plusieurs fois au cours de son cycle de vie, afin de s’adapter à un risque cyber en constante évolution. Nouveaux contrôles et nouvelles exigences : voici toutes les clés pour comprendre la version 2020 du CSP.
Qu’est-ce que le réseau SWIFT ?
Créé en 1977, le réseau SWIFT a pour vocation de fournir un service de messagerie standardisée utilisé lors des transferts interbancaires, et de gérer l’ensemble des transactions financières impliquant ses institutions membres de par le monde. Il connecte aujourd’hui plus de 11 000 institutions dans plus de 200 pays, et gère environ 6,5 milliards de messages par jour.
La réussite des attaques cyber les plus notables dont le réseaux Swift a fait l’objet s’explique à la fois par une haute technicité et la mise en œuvre de stratégies complexes ciblant la chaîne de services en amont du réseau SWIFT – notamment les administrateurs disposant de hauts privilèges. C’est là que le CSP prend tout son sens, en imposant non seulement la sécurisation des infrastructures SWIFT, mais aussi celles de ses annexes, dépendances et flux amont, afin d’étendre la zone de confiance du réseau (Secure Zone).
Tout l’enjeu du CSP est d’améliorer la sécurité de l’ensemble du réseau SWIFT, en capitalisant sur le partage d’information intra-réseau et l’amélioration continue de toutes ses parties prenantes individuellement.
Le programme repose sur trois piliers : sécurisation de l’environnement, maîtrise des accès, détection et réponse à incident. Le CSP s’applique aussi bien aux architectures de grande envergure qu’à celles de taille plus restreinte (respectivement de type A et B). Ainsi, la maîtrise de l’intégralité du périmètre devient un enjeu majeur et une source de complexité pour les infrastructures de grande taille.
Jusqu’à présent, une auto-évaluation des membres du réseau SWIFT était suffisante, avec quelques revues indépendantes mandatées par SWIFT de manière épisodique.
Afin d’améliorer le niveau de garantie fourni actuellement, un cadre d’évaluation indépendant (Independant Assessment Framework ou IAF) a été conçu par SWIFT : chaque attestation de conformité doit désormais s’appuyer sur une évaluation indépendante du CSP. L’auto-attestation n’est donc plus suffisante et doit être associée à des constats d’audit indépendants, réalisés par un tiers – qu’il soit interne ou externe. Pour être valide, cet audit doit être mené par des équipes ayant des compétences prouvées en cybersécurité et indépendantes de l’audité, afin d’éviter les conflits d’intérêts. Cette évaluation via l’IAF doit être basée sur des constats formels portant sur le design et l’implémentation des contrôles du CSP.
Dans le cadre de l’adaptation des contrôles aux menaces cyber et à l’extension du périmètre du CSP, le cadre d’évaluation est également enrichi de plusieurs contrôles, portant leur nombre total à 31 (21 obligatoires et 10 recommandés).
Deux contrôles recommandés, introduits en 2019, deviennent obligatoires :
Par ailleurs, deux nouveaux contrôles viennent enrichir la liste des contrôles recommandés :
Finalement, la plupart des contrôles existants sont étendus, afin d’inclure les composants middleware (type IBM MQ) dans le périmètre du CSP.
La sécurité d’une chaîne de confiance telle que SWIFT est égale à la sécurité de son maillon le plus faible : l’interdépendance entre ses membres doit créer un cercle vertueux de sécurité et de confiance. Si la notion d’immunité collective est particulièrement pertinente pour le réseau SWIFT, c’est que le rôle de chacun de ses membres n’est pas anodin : se protéger soi, pour mieux protéger les autres, mais surtout pour bénéficier d’une protection optimale au sein de l’écosystème. Avec sa version 2020 du CSP, SWIFT met l’accent sur l’objectivité et la transparence attendues de ses membres vis-à-vis de leur maturité, et souligne l’importance de l’expertise requise à sa sécurisation.
Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…
Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…
Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…
Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…
Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…
Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…