SWIFT Customer Security Programme : quels changements pour 2022 ?

Article co-écrit avec Sasha Becker, Manager Cybersécurité.

Au cœur de la quasi-totalité des transactions bancaires, le réseau SWIFT est un organe fondamental de l’économie mondiale. Dans le contexte actuel de conflit armé en Ukraine, les puissances européennes ont décidé d’exclure certaines banques russes du réseau SWIFT. Cette sanction coupe court à une partie significative des échanges russes et s’apparente à une véritable mise à l’écart de la Russie du système bancaire mondial. Cette décision qui illustre le rôle stratégique majeur joué par SWIFT a par ailleurs catalysé la crainte d’une cyberattaque d’ampleur sur cette brique systémique par mesure de représailles et renforcé l’importance de garantir un niveau de sécurité à la hauteur des enjeux.

Lancé en 2016 par SWIFT à la suite de plusieurs cyberattaques d’ampleur, le « Customer Security Programme » (CSP) a pour vocation de sécuriser l’infrastructure de l’ensemble de ses membres à travers la mise en place d’un framework de contrôles obligatoires. Si ses principaux enjeux n’ont pas évolué depuis sa création, le programme a été enrichi plusieurs fois afin de s’adapter à un risque cyber en constante évolution. Retour sur les changements introduits par la version 2022 du CSP.

Qu’est-ce que le réseau SWIFT ?

Créé en 1977, le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication) a pour vocation de fournir un service de messagerie standardisée utilisé lors des transferts interbancaires, et de gérer l’ensemble des transactions financières impliquant ses institutions membres de par le monde. Il connecte aujourd’hui plus de 11 000 institutions dans plus de 200 pays, et gère environ 46.2 millions de messages par jour.

 

Enjeux et enjeux du CSP

La réussite des cyberattaques les plus notables dont le réseau Swift a fait l’objet ces dernières années s’explique à la fois par une haute technicité et la mise en œuvre de stratégies complexes ciblant la chaîne de services en amont du réseau SWIFT. C’est dans ce cadre que le CSP prend tout son sens, en imposant non seulement la sécurisation des infrastructures SWIFT, mais aussi celles de ses annexesdépendances et flux amont, afin d’étendre la zone de confiance du réseau (Secure Zone).

Tout l’enjeu du CSP est d’améliorer la sécurité du réseau SWIFT dans son ensemble, en capitalisant sur le partage d’information intra-réseau et l’amélioration continue de toutes ses parties prenantes individuellement.

Le programme repose sur trois piliers : la sécurisation de l’environnement, la maîtrise des accès, et la détection et réponse à incident. Le CSP s’applique aussi bien aux infrastructures de grande envergure qu’à celles de taille plus restreinte, en proposant des contrôles adaptés aux différents typologies d’architectures. Ainsi, la délimitation du périmètre devient un enjeu majeur dès les premières phases d’évaluation.

Par ailleurs, certaines architectures reposent en partie sur des services fournis par un tiers ; ainsi, des entreprises choisissent d’externaliser une partie de leur infrastructure SWIFT, comme l’interface de messagerie, l’interface de communication, ou encore le serveur middleware. Ces architectures posent la question supplémentaire de la répartition des responsabilités entre chaque acteur vis-à-vis des contrôles et de la mise en conformité, chacun ayant des capacités techniques propres et complémentaires. La définition claire des rôles et responsabilités de chacune des parties devient primordiale.

 

Des changements liés à l’Independent Assessment Framework (IAF)

En raison de la pandémie de COVID-19, le lancement officiel de l’IAF donnant le cadre pour les évaluations SWIFT conduites par des tiers indépendants a été reporté de 2020 à 2021. La nouvelle version de l’IAF vise à apporter des éclaircissements supplémentaires sur les sujets suivants :

  • La durée de validité d’une évaluation indépendante et les conditions dans lesquelles une évaluation « Delta » (c’est-à-dire différentielle) doit être réalisée pour compléter une évaluation antérieure. En effet, il est possible sous certaines conditions de conduire une évaluation ne couvrant que les changements apportés à l’architecture ou aux contrôles ayant été modifiés ou ajoutés,
  • Pour les utilisateurs de SWIFT soumettant leur attestation, les conditions pour la soutenir sans évaluation indépendante ont été clarifiées ainsi que et les conséquences d’une telle démarche,
  • Les certifications et qualifications requises pour les évaluateurs indépendants pour réaliser l’évaluation ont été précisées, apportant ainsi plus de visibilité aux utilisateurs SWIFT qui sollicitent ces expertises,
  • La confirmation de la possibilité de combiner le personnel interne et externe en tant qu’évaluateurs facilitant ainsi les travaux et permettant au personnel interne de temporairement bénéficier de l’expertise d’un cabinet spécialisé pour acquérir les compétences nécessaires et réaliser l’évaluation en autonomie pour les années suivantes,
  • L’importance de clarifier dès les premières étapes les rôles et les responsabilités de chaque acteur lors de l’engagement avec un tiers par exemple un fournisseur de services Software as a Service.

 

Une mise à jour des contrôles du programme

Dans le cadre de l’adaptation du programme aux menaces cyber et à l’extension du périmètre du CSP, le cadre d’évaluation est enrichi de plusieurs contrôles, portant leur nombre total à 32 (23 obligatoires et 9 recommandés).

Un contrôle recommandé, introduit en 2021, devient obligatoire :

  • 2.9 – Transaction Business Controls – afin de réduire le risque de fraude lié à la sécurité des terminaux de paiement.

Par ailleurs, un nouveau contrôle vient enrichir la liste des contrôles recommandés :

  • 1.5A – Customer Environment Protection – ce contrôle a été créé pour assurer la protection du « customer connector » contre les potentielles compromissions provenant de l’environnement externe ou interne, notamment pour les infrastructures en architecture A4 (environnement géré par un fournisseur de service sans empreinte locale SWIFT).

Enfin, les contrôles 6.2 – Software Integrity et 6.3 – Database Integrity évoluent en recommandés pour les architectures de type A4. Le périmètre d’application du contrôle 1.2 – Operating System Privileged Account Control est quant à lui étendu à titre recommandé aux opérateurs PC à usage général et aux architectures de type B.

 

La sécurité d’une chaîne de confiance telle que SWIFT est égale à la sécurité de son maillon le plus faible: l’interdépendance entre ses membres doit créer un cercle vertueux de sécurité et de confiance. Si la notion d’immunité collective est particulièrement pertinente pour le réseau SWIFT, c’est que le rôle de chacun de ses membres n’est pas anodin : se protéger soi, pour mieux protéger les autres, et surtout bénéficier d’une protection optimale au sein de l’écosystème. Avec sa version 2022 du CSP, SWIFT accentue la sécurité au sein de l’environnement client à travers des contrôles supplémentaires autour des transactions de messages et du « customer connector ». Le CSP 2022 met également en place les mesures initialement prises pour 2020 et mise sur l’objectivité de ses membres tout en soulignant l’importance des revues indépendantes réalisées par des experts de la cybersécurité.

 

Mohamed possède plus de 12 ans d’expérience dans le domaine de la cybersécurité, se concentrant sur la définition de stratégies cybersécurité et la direction de programmes de transformation de services de cybersécurité. Les deux années passées au sein de Deloitte Hong Kong lui ont permis d’intervenir sur les problématiques de cybersécurité en milieu bancaire. Il contribue aujourd’hui au développement des offres au sein de l’industrie financière. Il est par ailleurs responsable de l’offre Cyber Strategy & Transformation au sein du département.

Published by

Recent Posts

Cas d’usage des captives de réassurance, entre gestion du risque corporate et opportunité financière

Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…

1 an ago

Talent Acquisition et compétences face au changement organisationnel

Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…

1 an ago

Refonte du questionnaire lutte anti-blanchiment : une approche qui évolue avec des impacts forts pour les entités assujetties

Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…

1 an ago

Future of luxury travel

Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…

2 ans ago

E-Euro : l’interview de Frédéric Faure, Head of Blockchain chez Banque de France

Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…

2 ans ago

La prise en compte de sujets fonctionnels résultant de la réforme de la demande et des attributions, une opportunité pour les acteurs de la réforme

Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…

2 ans ago