SWIFT Customer Security Programme : quels changements pour 2022 ?

Au cœur de la quasi-totalité des transactions bancaires, le réseau SWIFT est un organe fondamental de l’économie mondiale. Dans le contexte actuel de conflit armé en Ukraine, les puissances européennes ont décidé d’exclure certaines banques russes du réseau SWIFT. Cette sanction coupe court à une partie significative des échanges russes et s’apparente à une véritable mise à l’écart de la Russie du système bancaire mondial. Cette décision qui illustre le rôle stratégique majeur joué par SWIFT a par ailleurs catalysé la crainte d’une cyberattaque d’ampleur sur cette brique systémique par mesure de représailles et renforcé l’importance de garantir un niveau de sécurité à la hauteur des enjeux.

Lancé en 2016 par SWIFT à la suite de plusieurs cyberattaques d’ampleur, le « Customer Security Programme » (CSP) a pour vocation de sécuriser l’infrastructure de l’ensemble de ses membres à travers la mise en place d’un framework de contrôles obligatoires. Si ses principaux enjeux n’ont pas évolué depuis sa création, le programme a été enrichi plusieurs fois afin de s’adapter à un risque cyber en constante évolution. Retour sur les changements introduits par la version 2022 du CSP.

Enjeux et enjeux du CSP

La réussite des cyberattaques les plus notables dont le réseau Swift a fait l’objet ces dernières années s’explique à la fois par une haute technicité et la mise en œuvre de stratégies complexes ciblant la chaîne de services en amont du réseau SWIFT. C’est dans ce cadre que le CSP prend tout son sens, en imposant non seulement la sécurisation des infrastructures SWIFT, mais aussi celles de ses annexes, dépendances et flux amont, afin d’étendre la zone de confiance du réseau (Secure Zone).

Tout l’enjeu du CSP est d’améliorer la sécurité du réseau SWIFT dans son ensemble, en capitalisant sur le partage d’information intra-réseau et l’amélioration continue de toutes ses parties prenantes individuellement.

Le programme repose sur trois piliers : la sécurisation de l’environnement, la maîtrise des accès, et la détection et réponse à incident. Le CSP s’applique aussi bien aux infrastructures de grande envergure qu’à celles de taille plus restreinte, en proposant des contrôles adaptés aux différents typologies d’architectures. Ainsi, la délimitation du périmètre devient un enjeu majeur dès les premières phases d’évaluation.

Par ailleurs, certaines architectures reposent en partie sur des services fournis par un tiers ; ainsi, des entreprises choisissent d’externaliser une partie de leur infrastructure SWIFT, comme l’interface de messagerie, l’interface de communication, ou encore le serveur middleware. Ces architectures posent la question supplémentaire de la répartition des responsabilités entre chaque acteur vis-à-vis des contrôles et de la mise en conformité, chacun ayant des capacités techniques propres et complémentaires. La définition claire des rôles et responsabilités de chacune des parties devient primordiale.

Des changements liés à l’Independent Assessment Framework (IAF)

En raison de la pandémie de COVID-19, le lancement officiel de l’IAF donnant le cadre pour les évaluations SWIFT conduites par des tiers indépendants a été reporté de 2020 à 2021. La nouvelle version de l’IAF vise à apporter des éclaircissements supplémentaires sur les sujets suivants :

• La durée de validité d’une évaluation indépendante et les conditions dans lesquelles une évaluation « Delta » (c’est-à-dire différentielle) doit être réalisée pour compléter une évaluation antérieure. En effet, il est possible sous certaines conditions de conduire une évaluation ne couvrant que les changements apportés à l’architecture ou aux contrôles ayant été modifiés ou ajoutés,
• Pour les utilisateurs de SWIFT soumettant leur attestation, les conditions pour la soutenir sans évaluation indépendante ont été clarifiées ainsi que et les conséquences d’une telle démarche,
• Les certifications et qualifications requises pour les évaluateurs indépendants pour réaliser l’évaluation ont été précisées, apportant ainsi plus de visibilité aux utilisateurs SWIFT qui sollicitent ces expertises,
• La confirmation de la possibilité de combiner le personnel interne et externe en tant qu’évaluateurs facilitant ainsi les travaux et permettant au personnel interne de temporairement bénéficier de l’expertise d’un cabinet spécialisé pour acquérir les compétences nécessaires et réaliser l’évaluation en autonomie pour les années suivantes,
• L’importance de clarifier dès les premières étapes les rôles et les responsabilités de chaque acteur lors de l’engagement avec un tiers par exemple un fournisseur de services Software as a Service.

Une mise à jour des contrôles du programme

Dans le cadre de l’adaptation du programme aux menaces cyber et à l’extension du périmètre du CSP, le cadre d’évaluation est enrichi de plusieurs contrôles, portant leur nombre total à 32 (23 obligatoires et 9 recommandés).

Un contrôle recommandé, introduit en 2021, devient obligatoire :

• 2.9 – Transaction Business Controls – afin de réduire le risque de fraude lié à la sécurité des terminaux de paiement.

Par ailleurs, un nouveau contrôle vient enrichir la liste des contrôles recommandés :

• 1.5A – Customer Environment Protection – ce contrôle a été créé pour assurer la protection du « customer connector » contre les potentielles compromissions provenant de l’environnement externe ou interne, notamment pour les infrastructures en architecture A4 (environnement géré par un fournisseur de service sans empreinte locale SWIFT).

Enfin, les contrôles 6.2 – Software Integrity et 6.3 – Database Integrity évoluent en recommandés pour les architectures de type A4. Le périmètre d’application du contrôle 1.2 – Operating System Privileged Account Control est quant à lui étendu à titre recommandé aux opérateurs PC à usage général et aux architectures de type B.

La sécurité d’une chaîne de confiance telle que SWIFT est égale à la sécurité de son maillon le plus faible: l’interdépendance entre ses membres doit créer un cercle vertueux de sécurité et de confiance. Si la notion d’immunité collective est particulièrement pertinente pour le réseau SWIFT, c’est que le rôle de chacun de ses membres n’est pas anodin : se protéger soi, pour mieux protéger les autres, et surtout bénéficier d’une protection optimale au sein de l’écosystème. Avec sa version 2022 du CSP, SWIFT accentue la sécurité au sein de l’environnement client à travers des contrôles supplémentaires autour des transactions de messages et du « customer connector ». Le CSP 2022 met également en place les mesures initialement prises pour 2020 et mise sur l’objectivité de ses membres tout en soulignant l’importance des revues indépendantes réalisées par des experts de la cybersécurité.