SWIFT CSP : Conformité n’est pas sécurité !

– Audit de (Cyber)sécurité –

| Qu’est-ce que SWIFT CSP ?

SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une société coopérative de droit belge fondée en 1973, avec pour idée de fournir des standards d’échange de données entre institutions financières. Elle appartient à ses adhérents, parmi lesquels on peut compter les plus grandes banques mondiales.

SWIFT fournit aujourd’hui un réseau interbancaire mondial de messagerie à l’usage des institutions financières (banques, salles de marchés, grandes entreprises). De par l’extrême sensibilité des messages transitant par ce réseau et des menaces de plus en plus élevées qui pèsent sur l’organisation et ses clients, SWIFT a mis en place en 2017 le Customer Security Programme, qui impose à ses clients un certain nombre de points de contrôle (obligatoires ou conseillés) concernant la sécurité de leur réseau informatique.

En 2016, avant la mise en place du CSP, la banque centrale du Bangladesh, membre du réseau SWIFT, avait été victime d’une intrusion et d’une tentative de détournement de fonds. Les pirates visaient initialement un détournement d’un milliard de dollars. Cependant, ils ont éveillé les soupçons de la Deutsche Bank ce qui avait permis de limiter l’impact de la fraude à seulement 81 millions de dollars.

Pour SWIFT, l’application des mesures de sécurité chez l’ensemble de ses utilisateurs est cruciale dans la mesure où la compromission d’un seul client peut conduire à des réactions en chaîne à travers le réseau.

| Enjeux du CSP

Ces points de contrôle doivent faire l’objet d’une auto-évaluation annuelle par le client, doublée d’un audit pouvant être mené par un prestataire externe comme Synetis.

En fonction des besoins de chaque utilisateur du réseau SWIFT, plusieurs types de services sont proposés par SWIFT qui ont plus ou moins d’emprise sur le réseau du client (du simple accès VPN au réseau SWIFT à l’hébergement de services SWIFT).

Si l’on prend pour exemple le cas d’une banque, celle-ci peut avoir une zone SWIFT sur son réseau qui va faire le lien entre son backoffice (qui gère les opérations courantes de la banque) et le reste du monde.

Dans ce cas, le CSP impose de nombreuses mesures (19 points de contrôle obligatoires, 13 conseillés) qui visent principalement à :

  • Réduire la surface d’attaque et les vulnérabilités : cela passe par un cloisonnement réseau fort, une forte restriction des flux à Internet, la mise à jour et le durcissement des systèmes, la séparation des moyens d’authentification vis-à-vis du réseau corporate.
  • Gérer les identités et séparer les privilèges : le réseau SWIFT d’une entité étant très sensible, il est demandé de gérer strictement les identités et les accès des opérateurs de la zone (notamment en recourant à des procédures de contrôle du personnel) et de mettre en place des moyens d’authentification forte.
  • Détecter les comportements anormaux sur les systèmes : la traçabilité de toutes les actions (systèmes de même que celles liées au métier) est le point de départ du dispositif de surveillance exigé par le CSP. En outre, des mécanismes d’intégrité sur les applicatifs et les bases de données sont réclamés. En cas d’incident, la conduite à tenir devra être préalablement écrite.

Ces mesures de protection, qui ne sont finalement qu’une expression des bonnes pratiques actuelles en matière de sécurisation des systèmes d’information, visent à empêcher et/ou détecter les actions d’un attaquant, dont l’intérêt premier serait de générer ou manipuler des transactions bancaires frauduleusement.

En pratique, pour les équipes opérationnelles, les guides de recommandations édités par l’Agence Nationale de la Sécurité des Systèmes d’Information (que nous vous invitons à appliquer quel que soit le système d’information concerné) constituent une très bonne source pour la mise en œuvre pratique de ces mesures.

Parmi les mesures conseillées mais non obligatoires, il y a la réalisation par un prestataire externe de tests d’intrusion interne. Cela permet de confirmer que les mesures mises en place permettent de prévenir les risques d’intrusion.

L’expérience a montré aux auditeurs de Synetis que, bien que les « zones SWIFT » fassent l’objet d’une attention particulière par la mise en place des mesures de sécurité réclamées par le CSP, les équipements réseaux et moyens d’administration entre le réseau interne et le réseau SWIFT peuvent, parfois, être insuffisamment cloisonnés. De sorte qu’il est possible de prendre le contrôle de la zone SWIFT via le réseau « classique » de l’entreprise. Ainsi, une zone SWIFT qui apparaissait conforme sur le papier se retrouve finalement compromise en quelques jours, en raison de négligences sur le réseau auquel elle est reliée.

Il en ressort que les principes inspirés par le CSP devraient être suivis pour l’ensemble des systèmes d’information qui sont d’une manière ou d’une autre reliés à la zone SWIFT.

Synetis, fort de son expérience du milieu bancaire, peut vous accompagner dans l’établissement de votre conformité vis-à-vis du CSP. En outre, tout le savoir-faire de l’équipe audit, en particulier au travers de tests d’intrusion, pourra être mis à votre service pour valider les mesures mises en œuvre sur votre emprise SWIFT ainsi que tous les réseaux qui y accèdent.


| Sources