| Conformité 2025
SWIFT CSP : Conformité n’est pas sécurité !
SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une société coopérative de droit belge fondée en 1973, avec pour idée de fournir des standards d’échange de données entre institutions financières. Elle appartient à ses adhérents, et compte parmi ses plus gros clients les plus grandes banques mondes.
SWIFT fournit aujourd’hui un réseau interbancaire mondial de messagerie à l’usage des institutions financières (banques, salles de marchés, grandes entreprises). En raison de l’extrême sensibilité des messages transitant par ce réseau et des menaces grandissantes qui pèsent sur l’organisation et ses clients, l’entreprise SWIFT a mis en place en 2017 le Customer Security Programme (CSP), qui impose à ses clients un certain nombre de points de contrôle garantissant la sécurité de leur réseau informatique.
Par ailleurs, SWIFT propose des services tels que l’analyse des risques et la gestion de la conformité, et offre à ses utilisateurs une plateforme de communication sécurisée pour échanger des informations financières.
L'incident du Bangladesh : un tournant dans la sécurité SWIFT
En 2016, avant la mise en place du CSP, la banque centrale du Bangladesh, membre des services SWIFT, avait été victime d’une intrusion et d’une tentative de détournement de fonds. Les pirates visaient initialement un détournement d’un milliard de dollars. Cependant, ils ont éveillé les soupçons de l’équipe de la Deutsche Bank ce qui avait permis de limiter l’impact de la fraude à seulement 81 millions de dollars.
Pour les services SWIFT, l’application des mesures de sécurité chez l’ensemble de ses utilisateurs est cruciale dans la mesure où la compromission d’un seul utilisateur peut conduire à des réactions en chaîne à travers le réseau.
Enjeux du CSP
Le Customer Security Programme de SWIFT exige une auto-évaluation annuelle rigoureuse de ses membres, complétée par des audits externes, pouvant être menés par un prestataire externe comme Synetis. Cette démarche, bien que nécessaire, ne garantit pas une sécurité infaillible vis-à-vis des menaces.
En fonction des besoins de chaque utilisateur du réseau SWIFT, plusieurs types de services sont proposés par l’entreprise qui ont plus ou moins d’emprise sur le réseau du client (du simple accès VPN au réseau SWIFT à l’hébergement de services SWIFT).
Si l’on prend pour exemple le cas d’une banque classique : sa zone SWIFT fait office de pont crucial entre son backoffice (gérant les opérations quotidiennes) et l’environnement externe. Cette configuration exige une organisation rigoureuse et un cadre de sécurité robuste, minutieusement contrôlé.
Dans ce cas, le CSP impose 32 mesures de sécurité (19 points de contrôle obligatoires et 13 conseillés) qui visent principalement à :
Réduire la surface d’attaque et les vulnérabilités : cela passe par le cloisonnement d’un réseau fort, une forte restriction des flux à Internet, la mise à jour et le durcissement d’accès au système, la séparation des moyens d’authentification du réseau corporate.
Gérer les identités et séparer les privilèges : le réseau SWIFT d’une entité étant très sensible, il est demandé de gérer strictement les identités et les accès des opérateurs de la zone (notamment en recourant à des procédures de contrôle du personnel) et de mettre en place des moyens d’authentification forte pour se prémunir contre la fraude.
Détecter les comportements anormaux sur les systèmes : la traçabilité de toutes les actions est le point de départ du dispositif de surveillance exigé par le CSP. En outre, des mécanismes d’intégrité sur les applicatifs et les bases de données sont réclamés. En cas d’incident, la conduite à tenir devra être préalablement contrôlée.
Ces mesures de protection, essentielles dans le programme SWIFT, ne sont finalement qu’une expression des bonnes pratiques actuelles en matière de sécurisation des systèmes d’information. Elles visent à empêcher et/ou détecter les actions d’un attaquant, dont l’intérêt premier serait de générer ou manipuler des transactions bancaires frauduleusement, compromettant ainsi la conformité du système.
En pratique, pour les équipes opérationnelles du programme SWIFT, les guides de recommandations édités par l’Agence Nationale de la Sécurité des Systèmes d’Information constituent une très bonne source pour la mise en œuvre de ces mesures.
Parmi les mesures conseillées mais non obligatoires, il y a la réalisation par un prestataire externe de tests d’intrusion internes. Cela permet de confirmer que les mesures mises en place permettent de prévenir les risques d’intrusion et maintenir la conformité aux standards de sécurité.
Maîtriser les risques : tests d'intrusion et audits pour une conformité durable
L’expérience a montré aux auditeurs de Synetis que, bien que les « zones SWIFT » fassent l’objet d’une attention particulière par la mise en place des mesures de sécurité réclamées par le CSP, les équipements réseaux et moyens d’administration entre le réseau interne et le réseau SWIFT peuvent, parfois, être insuffisamment cloisonnés. De sorte qu’il est possible de prendre le contrôle de la zone SWIFT via le réseau « classique » de l’entreprise. Ainsi, une zone SWIFT qui apparaissait conforme sur le papier se retrouve finalement compromise en quelques jours, en raison de négligences sur le réseau auquel elle est reliée.
Il en ressort que les principes inspirés par le CSP devraient être suivis pour l’ensemble des systèmes d’information qui sont d’une manière ou d’une autre reliés à la zone SWIFT, notamment dans le cadre du programme SWIFT CSP.
Fort de son expérience du milieu bancaire, Synetis peut vous accompagner dans l’établissement de votre conformité vis-à-vis du CSP, notamment en matière de tests d’intrusion et d’analyse de risques. En outre, tout le savoir-faire de l’équipe audit pourra être mis à votre service pour valider les mesures mises en œuvre sur votre emprise SWIFT ainsi que tous les réseaux qui y accèdent.
Practice Audit
