La sécurité des transactions financières n'est pas négociable - et les institutions financières opérant au sein de SWIFT et de SNB SIC doivent continuellement renforcer leurs mesures de cybersécurité pour répondre à l'évolution des normes de conformité. Alors qu'aucune mise à jour majeure du CSP de SWIFT n'a été annoncée pour 2025, certains ajustements au cadre EPS de SIC, y compris un nouveau contrôle obligatoire, ont été annoncés. Comment les organisations peuvent-elles garder une longueur d'avance et rationaliser leur processus d'attestation ?
Dans un paysage de cybermenaces de plus en plus complexe et évolutif, la sécurité des transactions financières reste une priorité absolue pour les institutions financières du monde entier. La Society for Worldwide Interbank Financial Telecommunication (SWIFT) joue un rôle crucial dans la sécurisation des services de paiement mondiaux, et son programme de sécurité des clients (SWIFT CSP) est une mesure clé dans la lutte contre les cybermenaces. Au cours des dernières années, SWIFT a continuellement renforcé son cadre de sécurité en ajoutant davantage de contrôles obligatoires, renforçant ainsi les exigences de conformité pour les participants à SWIFT. Les institutions financières doivent donc régulièrement mettre à jour leurs mesures de cybersécurité.
En Suisse, la Banque nationale suisse (BNS) a pris des mesures supplémentaires pour renforcer la cybersécurité au sein du système Swiss Interbank Clearing (SIC). En 2022, la BNS a introduit l'Endpoint Security Framework (EPS), qui vise à établir une base de contrôle de la cybersécurité pour tous les participants au système SIC. Ce cadre garantit que les institutions financières opérant au sein de l'infrastructure de paiement suisse satisfont aux exigences fondamentales en matière de sécurité, réduisant ainsi les vulnérabilités et augmentant la résilience globale de l'écosystème financier. Dans le cadre de cette initiative, la première attestation indépendante de la conformité du SIC EPS a eu lieu en 2024, marquant une étape importante dans l'adoption de mesures de sécurité renforcées.
Quels sont les changements attendus pour 2025 ?
En ce qui concerne le cycle d'évaluation 2025, la préparation reste essentielle. Toutefois, contrairement aux années précédentes, aucun changement majeur n'est attendu pour le CSP SWIFT, car aucun nouveau contrôle obligatoire n'a été annoncé. Cela offre un certain niveau de stabilité aux institutions qui se sont déjà alignées sur les dernières exigences en matière de sécurité. Toutefois, certains ajustements ont été apportés à l'évaluation du type d'architecture SWIFT, en particulier en ce qui concerne le type d'architecture B. Par conséquent, les institutions pourraient devoir réévaluer leur type et éventuellement passer du type d'architecture B au type A4, avec les conséquences qui en découlent.
Entre-temps, la Banque nationale suisse a publié en novembre 2024 ses mises à jour du cadre SIC EPS pour 2025. Il n'y a pas eu de changements significatifs dans le catalogue des exigences de 2024, à part des clarifications et des réarrangements. Toutefois, les établissements doivent prendre note du changement de statut du contrôle 7.3.2 "Gestion des risques de tiers", qui passe de "recommandé" à "obligatoire", avec toutes les conséquences qui en découlent ( ). Les établissements doivent donc évaluer soigneusement ces nouvelles exigences et prendre des mesures proactives pour assurer leur conformité.
Garantir la conformité : comment nous vous aidons
Naviguer entre les exigences de SWIFT CSP et SIC EPS peut être un processus complexe, d'autant plus que les institutions financières doivent assurer une conformité continue tout en s'adaptant à l'évolution des menaces de cybersécurité. Depuis 2019, nous soutenons les clients en tant qu'évaluateur indépendant pour SWIFT CSP, et en 2024, nous avons élargi nos services pour inclure les évaluations SIC EPS. Notre expertise couvre diverses industries, avec un fort accent sur le secteur financier, en veillant à ce que les organisations respectent les normes de sécurité nécessaires de manière efficace et efficiente.
Nos services comprennent les rapports de contrôle ISAE 3000, qui fournissent aux organisations une évaluation structurée et indépendante de leurs contrôles de sécurité. Ces rapports servent de base pour démontrer la conformité aux exigences de SWIFT CSP et de SIC EPS. En outre, nous émettons des lettres d'achèvement qui peuvent être soumises directement à SWIFT et à la BNS en tant que preuve officielle des évaluations externes effectuées.
Pour rationaliser davantage le processus de conformité, SWIFT CSP et SIC EPS offrent tous deux la possibilité d'effectuer des évaluations delta tous les deux ans. Cette approche permet aux institutions de s'appuyer sur les résultats de l'évaluation de l'année précédente, ce qui réduit considérablement les coûts et les efforts, tout en maintenant la conformité avec les normes de sécurité.
Calendrier pour les attestations 2025 et les prochaines étapes
Pour garantir un processus d'attestation sans heurts, les organisations doivent connaître les étapes clés du calendrier d'évaluation. Le processus d'attestation pour SWIFT CSP et SIC EPS commence généralement en juillet, les premiers résultats de l'évaluation étant disponibles début septembre. Bien que l'attestation SIC EPS puisse déjà être lancée au début de l'année, nous recommandons vivement de mener les deux attestations en même temps, en tirant parti du travail d'attestation effectué.
Les institutions ont ensuite la possibilité de mettre en œuvre toutes les mesures correctives nécessaires avant de soumettre leur attestation finale. L'échéance finale étant fixée à la fin du mois de décembre, il est essentiel que les organisations planifient et exécutent leurs évaluations dans les délais impartis.
Compte tenu de l'importance de la cybersécurité et de la nécessité de répondre aux exigences de SWIFT et de SIC, il est essentiel de donner la priorité à ce sujet. Un tiers de confiance peut garantir un processus d'attestation transparent et efficace, permettant aux organisations de se concentrer sur le renforcement de la cybersécurité plutôt que de faire face à des obstacles de conformité de dernière minute. Cela améliore l'assurance, l'analyse comparative et l'efficacité globale de la conformité - aidant les entreprises à rester en tête dans un paysage de cybersécurité de plus en plus complexe.
