SWIFT CSCF : Tous unis au service de la sécurité des opérations bancaires
La résistance d’une chaîne se mesure à la solidité du plus faible de ses maillons. Fort de ce constat, les experts de Verizon accompagnent les entreprises dans leur démarche d’audit annuel liés au Customer Security Program développé par le réseau SWIFT. Décryptage
Le réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication) est un système de messagerie financière internationale qui permet aux institutions financières du monde entier d’échanger des informations financières et de transférer des fonds de manière sécurisée. Utilisé par plus de 11 000 institutions financières dans plus de 200 pays pour envoyer et recevoir des informations financières, le réseau SWIFT est un élément crucial du système financier mondial. Paiements internationaux, confirmations de transactions, avis de crédit et des relevés de compte, les transactions effectuées via le réseau SWIFT sont sécurisées par des standards de sécurité élevées et sont traitées en temps réel. Ce faisant, SWIFT est devenu indispensable pour le commerce international, les investissements et les transactions financières transfrontalières. « Dès qu’une institution financière souhaite opérer un transfert interbancaire, les ordres de virement passent par le réseau SWIFT », indique Loïc Bréat, Regional Lead EMEA – Payment Security Programs pour Verizon. Un rôle qui repose sur une sécurisation maximale de l’ensemble des opérations.
Renforcer la sécurité de chaque maillon de la chaîne SWIFT
« En 2015 et en 2016 cependant, une série de cyber attaques ont été portées, non sur le réseau SWIFT en lui-même mais sur les entités qui s’y connectaient, les points d’entrée du réseau SWIFT, du côté des clients étant plus vulnérables », continue Loïc Bréat. Les préjudices liés à cette attaque ont été significatifs. Les pertes financières ont été estimées à plusieurs centaines de millions de dollars. Les banques touchées ont dû fermer leurs systèmes pendant plusieurs jours, entraînant des perturbations pour leurs clients et des coûts élevés pour réparer les dégâts. L’attaque a également mis en évidence les vulnérabilités du système SWIFT, qui a depuis mis en place des mesures de sécurité renforcées pour empêcher de telles attaques à l’avenir. Les autorités de réglementation financière ont également renforcé leur surveillance des pratiques de sécurité des institutions financières et ont exigé que celles-ci prennent des mesures supplémentaires pour protéger leurs systèmes. En réaction, SWIFT a développé le Customer Security Program (ou CSP) qui a été créé pour aider les institutions financières à renforcer leur sécurité et à protéger leur infrastructure client SWIFT contre les cyberattaques. « Le CSP de SWIFT est un programme de sécurité comprenant un ensemble de mesures que les institutions financières doivent suivre pour protéger leurs systèmes et leurs données. Les mesures comprennent des exigences de sécurité telles que l’authentification, la gestion des identités, la surveillance des activités suspectes ou encore la protection des applications », précise Loïc Bréat.
CSP : Mode d’emploi
Le CSP de SWIFT repose sur une approche en plusieurs couches qui comprend des mesures de sécurité techniques, organisationnelles et humaines. Les institutions financières doivent également effectuer des auto-évaluations régulières pour s’assurer qu’elles sont conformes aux attentes du CSP. « Cet ensemble de contrôles de sécurité commun qui s’applique à chaque membre du réseau SWIFT est réuni au sein d’un framework appelé CSCF pour Customer Security Control Framework. » Les contrôles de sécurité couverts par le CSCF de SWIFT incluent la gestion des identités et des accès, la protection des applications, la surveillance des activités suspectes, la protection des données, la résilience et la reprise après sinistre, ainsi que les politiques et les procédures de sécurité. « Dans le cadre du CSP de SWIFT, devenu obligatoire en 2021, chaque membre doit se conformer au contenu du CSCF et ainsi garantir un certain niveau de sécurité qui contribue à protéger l’intégrité de l’ensemble du réseau. Pour cela, les entreprises doivent passer un audit indépendant qui vérifie que l’ensemble des conditions requises soient bien réunies ».
Audit de sécurité CSCF : une affaire de spécialistes
Un acteur de l’envergure de Verizon, avec son statut PCI QSA Company, fait partie des entreprises qui disposent de l’expérience nécessaire pour réaliser les évaluations de sécurité exigées par le CSP de SWIFT. « Le CSCF fixe trois objectifs de sécurité, précise Loïc Bréat. Le premier consiste à sécuriser l’environnement en adressant des enjeux de segmentation réseau. Vient ensuite le contrôle des accès (en prévenant le vol de credentials, ou en gérant les habilitations logiques et physiques) et enfin la détection et la réponse aux incidents de sécurité. Le CSCF repose sur 80% de contrôles techniques et 20 % de contrôle plutôt orientés métier. » Intégrant 32 contrôles de sécurité, 24 sont obligatoires et 8 sont recommandés mais optionnels. « Chaque année, le framework publié par SWIFT évolue. Il est actualisé en fonction de l’évolution de la menace », précise Loïc Bréat qui rappelle que si une entreprise est déjà certifiée PCI DSS, il peut être assez simple et rapide d’être conforme au CSCF car les deux dispositifs partagent un important tronc commun. Créer une boucle vertueuse entre les membres du réseau SWIFT. C’est l’idée du CSP qui permet à toute ses entreprises membres de connaître le niveau de conformité de ses pairs et ainsi contribue à l’amélioration continue de chacun. « Face à l’enjeu de la sécurité, le véritable danger, c’est de demeurer statique, conclut Loïc Bréat. Par son approche, SWIFT propose une remise en question régulière propice à l’adaptation permanente des dispositifs et des stratégies de sécurisation. »
Bon à savoir
Le statut PCI QSA Company est délivré par le PCI Security Standards Council (PCI SSC), une organisation créée pour élaborer et promouvoir des standards de sécurité pour les paiements par carte de crédit et de débit. QSA signifie Qualified Security Assessor (évaluateur de sécurité qualifié). Les sociétés QSA sont des entreprises de services professionnels qui sont autorisées par le PCI SSC à effectuer des évaluations de conformité PCI (Payment Card Industry) pour les marchands, les prestataires de services de paiement et les banques qui acceptent les paiements par carte de crédit et de débit. Les entreprises QSA doivent disposer d’un personnel qualifié en matière de sécurité, d’expérience et de connaissances techniques, ainsi que d’une formation appropriée pour effectuer des évaluations de conformité PCI.
Envie d’aller plus loin et de comprendre comment Verizon accompagne les entreprises dans le cadre du CSP de SWIFT, lisez le témoignage du Crédit Mutuel Arkéa.
Pour connaître en détail l’approche de Verizon par rapport au triple enjeu de gouvernance, risque et sécurité, consultez notre page dédiée.
Sur le même thème
Voir tous les articles Workspace