Article

Qu’en est-il de votre conformité au programme CSP SWIFT ?

Nicolas Guillaume
By:
Qu’en est-il de votre conformité au programme CSP SWIFT ?

SWIFT fournit un réseau mondial (SWIFTnet) qui permet aux différentes institutions financières d’envoyer et de recevoir des informations relatives aux transactions financières de manière sécurisée, standardisée et fiable.

Afin de relever le niveau de sécurité des différents utilisateurs du réseau SWIFTnet et ainsi de préserver la sécurité du réseau, SWIFT a défini un programme de sécurisation (CSP).

Lancé en 2016 en réponse aux cyberattaques sophistiquées menées à l’encontre des utilisateurs de SWIFT, le programme de sécurité client (CSP) vise à « élever la barre » de manière pragmatique en matière d’hygiène de cybersécurité pour tous les utilisateurs, à réduire le risque de cyberattaques et à minimiser l’impact financier de opérations frauduleuses.

Alors que les utilisateurs sont responsables de la protection de leurs propres environnements et accès à SWIFT, le CSP a été introduit pour soutenir les clients et favoriser la collaboration à l’échelle de l’industrie dans la lutte contre la cyberfraude. Le CSP établit un ensemble commun de contrôles de sécurité connu sous le nom de Customer Security Controls Framework (CSCF) qui est conçu pour aider les clients à sécuriser les environnements locaux et à favoriser un écosystème financier plus sûr.

Le SWIFT CSCF comprend des contrôles de sécurité obligatoires et optionnels basés sur des standards de l’industrie, tels que NIST, ISO 27000 et PCI-DSS.

Les contrôles de sécurité obligatoires établissent une ligne de base de sécurité pour l’ensemble de la communauté et doivent être mis en œuvre par tous les utilisateurs sur l’infrastructure SWIFT locale.

SWIFT donne la priorité aux contrôles obligatoires pour fixer un objectif réaliste de gains de sécurité tangibles à court terme, ainsi que de réduction des risques.

Les contrôles optionnels sont basés sur les meilleures pratiques que SWIFT recommande aux utilisateurs de mettre en œuvre. Au fil du temps, les contrôles obligatoires peuvent évoluer en fonction du paysage des menaces, et certains contrôles optionnels peuvent devenir obligatoires.

Pour soutenir l’adoption des contrôles de sécurité, SWIFT a développé un processus qui demande aux utilisateurs d'attester la conformité aux contrôles de sécurité obligatoires (et optionnels). SWIFT demande aux utilisateurs de soumettre une attestation dans l’application KYC Security Attestation (KYC-SA). À la fin de chaque année, les utilisateurs doivent attester de la conformité aux contrôles de sécurité obligatoires (et facultatifs) tels que documentés dans le CSCF en vigueur à ce moment-là.

Les utilisateurs doivent attester entre juillet 2022 et décembre 2022 des contrôles de sécurité répertoriés dans le CSCF v2022 publié à la mi-2021. Depuis 2021, l’évaluation de la conformité au framework CSCF doit être faite par une équipe indépendante. Ces évaluations et les contrôles qui les composent permettent d'atténuer les risques de cybersécurité spécifiques auxquels les utilisateurs de SWIFT sont confrontés en raison du paysage des cybermenaces.

Dans chaque contrôle de sécurité, il a été documenté les facteurs de risque les plus courants pour lesquels le contrôle est conçu pour aider à les atténuer. La gestion de ces risques vise à prévenir ou à minimiser les conséquences commerciales indésirables et potentiellement frauduleuses, telles que :

  • L’envoi ou la modification non autorisés de transactions financières,
  • Le traitement des transactions entrantes SWIFT modifiées ou non autorisées
    (c’est-à-dire les transactions reçues),
  • Les affaires menées avec une contrepartie non autorisée,
  • La violation de la confidentialité (des données commerciales, des systèmes informatiques ou des détails de l’opérateur),
  • L’atteinte à l’intégrité (des données commerciales, des systèmes informatiques ou des détails de l’opérateur).

En fin de compte, ces conséquences représentent des risques au niveau de l’entreprise, notamment :

  • Risque financier,
  • Risque juridique,
  • Risque réglementaire,
  • Le risque réputationnel.

Nous constatons une demande soutenue d’entreprises pour réaliser cette analyse d’écart entre leur existant et les attendus du framework CSCF composé de 32 règles (dont 23 obligatoires).

Cet exercice étant récurrent, nous avons outillé notre démarche afin de capitaliser sur les enseignements des analyses précédentes et ainsi permettre aux directions financières et/ou direction de l’audit interne de réaliser de manière plus efficace ces évaluations.