SWIFT CSP : SWIFT renforce son programme de sécurité pour lutter contre les cyberattaques

La Society for Worldwide Interbank Financial Telecommunication (plus connue sous l’acronyme « SWIFT ») fournit un réseau sécurisé de services de paiements à l’échelle mondiale. L’année 2017 a vu le lancement du Customer Security Programme (CSP) afin de faire progresser activement la lutte contre les cyberattaques. Le programme CSP a été optimisé pour 2019 ; le processus de justification de la conformité SWIFT sera également amélioré en cours d’année.

Nouvelles fonctionnalités majeures pour le SWIFT Customer Security Programme 2019

L’union des forces dans la lutte contre les menaces du cyberespace

SWIFT gère aujourd’hui le trafic des messages et les transactions de plus de 10 000 banques à travers le monde via un réseau de télécommunication sécurisé et standardisé. La hausse du nombre de cyberattaques sur ce réseau SWIFT et sur les différentes infrastructures des acteurs du réseau a poussé les spécialistes en transactions de SWIFT à développer un programme dédié à la sécurité de ses acteurs. CSP a pour but d’unir les forces des acteurs du réseau et de faire front face aux menaces du cyberespace.

Le programme CSP a été lancé en 2017. Il définit les exigences vis-à-vis de tous les participants et vise une amélioration de l’échange d’informations au sein de la communauté SWIFT et le maintien à un niveau adapté de la sécurité de l’infrastructure SWIFT des acteurs du réseau. Ce concept-cadre d’assurance de qualité homogène permettra à SWIFT de faire face à la recrudescence de cyber-risques et de renforcer les défenses des acteurs du réseau SWIFT contre les cyberattaques.

Resserrer l’étau

Chaque année, SWIFT adapte son programme de sécurité au contexte actuel. Pour 2019, l’entreprise a rendu obligatoires (« Mandatory ») trois contrôles jusqu’alors facultatifs (« Advisory ») et intégré deux nouveaux contrôles facultatifs dans son programme (cf. Illustration 1). Le 10 août 2018, SWIFT a dévoilé la nouvelle version du programme CSP. Les instituts financiers participants devront prouver auprès de SWIFT le bon respect des contrôles obligatoires au plus tard fin 2019.

Une implémentation aux vastes conséquences

L’expérience des différents cycles de certification a montré que l’implémentation du programme de sécurité ainsi que le respect constant des exigences du programme CSP représentent une charge colossale pour les acteurs du réseau SWIFT. En effet, ces dernières sont extrêmement vastes et s’appliquent jusqu’au cœur des infrastructures informatiques locales des participants. En outre, certaines exigences vont parfois bien au-delà des exigences internes aux entreprises en termes de niveau de sécurité de base.

Changements substantiels annoncés dans le processus de justification de la conformité

Confirmation de la conformité SWIFT : un passage obligé

Depuis fin 2017, tous les participants doivent confirmer annuellement le bon respect des contrôles CSP. Ils sont libres de choisir une justification de type « attestation autonome » (Self-Attestation), via un audit interne (Self-Inspection) ou via un audit externe (Third-Party-Inspection).

Afin de garantir la qualité du réseau et des services, SWIFT se réserve le droit d’exiger un audit externe indépendant à certains participants, une pratique déjà mise en œuvre si l’on s’en réfère à la « Customer Security Programme Newsletter:  Q4 2018 » diffusée auprès des instituts SWIFT à l’automne 2018.

L’entreprise a profité du « SWIFT International Banking Operations Seminar » (SIBOS), événement majeur de la branche organisé en octobre 2018 à Sydney, pour annoncer une série d’ajustements portant sur le processus de justification, notamment via le renforcement des exigences liées à la confirmation. Les premières informations distillées plaident en faveur d’une suppression de l’option d’attestation autonome. SWIFT envisage une introduction des nouveautés à l’horizon 2020. Des informations plus détaillées devraient être publiées au cours des prochains mois.

Les participants à SWIFT sollicités et appelés à agir

Pour les instituts financiers du réseau SWIFT, les récentes modifications et nouveautés au sein du programme CSP représentent bien davantage que de légères retouches au sein du dispositif de sécurité. En effet, ils sont désormais tenus de garantir l’efficacité opérationnelle des contrôles implémentés et ainsi, de prouver leur conformité vis-à-vis de SWIFT. Plus concrètement, ces instituts devront se pencher de manière précoce et détaillée sur les nouveaux contrôles désormais labélisés obligatoires (« Mandatory ») par SWIFT. Une lecture de la page Description détaillée des contenus CSP de SWIFT permet d’obtenir des informations très utiles. Notons que les nouveautés ne sont potentiellement pas encore intégrées dans les architectures de sécurité locales. Cela signifie que les participants à SWIFT devront éventuellement implémenter des mesures de contrôle supplémentaires et contrôler (ou faire contrôler) leur efficacité – le tout dans un délai qui s’annonce déjà très court.

Dans une perspective d’avenir, les participants à SWIFT seraient bien inspirés de se préparer au plus tôt aux modifications du processus de justification. En particulier, si l’option d’attestation autonome était bel et bien supprimée au profit d’un mandat auprès d’un auditeur externe, trouver et intégrer un partenaire adapté au plus tôt relèverait d’un caractère essentiel.

L’audit externe, une solution à long terme

Une approche structurée permet de prouver plus facilement la mise en œuvre correcte des exigences de SWIFT. PwC assiste de nombreux acteurs du réseau SWIFT en assurant différents rôles (cf. Illustration 2). Nous accompagnons par exemple certaines organisations dans la structuration de leur sécurité en matière d’information et de cybersécurité, conformément aux règles applicables - même en cas de forte pression - et le perfectionnement de leur conformité à SWIFT de manière ciblée.