SWIFT et les exigences de Sécurité SI

SWIFT et les exigences de Sécurité SI
SWIFT et les exigences de Sécurité SI

Programme de sécurité client


SWIFT, fournisseur mondial de services de messagerie financières, connecte plus de 11 000 institutions financières, industries et entreprises dans différents secteurs d’activité de par le monde. Avec plusieurs types de standards financiers développés et mis en place, les clients SWIFT s’échangent quotidiennement des milliers de messages suivants des protocoles et des solutions en interne et en Cloud.

En réponse à l’augmentation des fraudes financières dues aux cyberattaques qui deviennent de plus en plus sophistiquées et global, SWIFT a introduit un programme de sécurité « Customer Security Program » (CSP) dès 2017 autour d’un cadre de contrôles de sécurité « Customer Security Controls Framework (CSSF) ». Le but étant d’inciter les clients à démontrer qu’ils ont mis en place les mesures nécessaires en termes de sécurité des systèmes d’information pour la protection du réseau SWIFT auquel ils sont connectés.

Architectures types et Approche Protiviti

Selon l’architecture SWIFT en place, l’approche d’audit diffère en termes de périmètre et de contrôles à effectuer. Ci-dessous 2 types d’architectures SWIFT couramment rencontrés:

 
Architecture SWIFT types A1 & A3:
 
Les architectures SWIFT de types A1 et A3 montrent respectivement les composants SWIFT hébergés dans l’environnement interne du client d’une part et totalement à l’extérieur hormis le “connecteur” d’autre part.
 
Cela implique, plus de risques côté client vis-à-vis de la sécurité, de la confidentialité et l’intégrité des données et de ce fait plus de contrôles CSCF v2020 à appliquer sur l’architecture A1.

Enjeux et Risques

  • L’histoire a malheureusement montré que certaines entreprises ou institutions financières qui ont négligé la sécurisation de l’intégration, de l’interfaçage avec SWIFT ou de leur infrastructure, ont été victimes de détournement de fonds (ex. vol de 81 M$ à Banque de Bangladesh en 2016).
  • Evaluer sa conformité aux contrôles prescrits par le cadre « Customer Security Controls Framework » (CSCF) de SWIFT vous permettra de rassurer SWIFT et ses clients quant à votre capacité à lutter contre les cybermenaces.
  • Par ailleurs, SWIFT déclare que pour les entités qui ne fourniront pas d’attestation ou ne respecterons pas pleinement l’ensemble des contrôles obligatoires, SWIFT pourra aviser les régulateurs locaux ou prendre d’autres actions de remédiation.

Approche Protiviti

L’objectif n’étant pas d’auditer l’ensemble du système d’information du client, mais de vérifier les éléments de bonnes pratiques au regard de l’architecture en place, des configurations des systèmes, de l’isolation des environnements SWIFT en interne pouvant impacter le réseau monétaire au travers du cadre SWIFT CSP.

Périmètre : Selon le CSCF v2020, le client a besoin d’auditer son environnement SWIFT et certains des éléments impactant sa sécurité. Le périmètre d’audit dépendra fortement de l’architecture mise en place par le client.

Le périmètre d’audit de la sécurité SWIFT inclut, l’environnement SWIFT local, les postes de travail des opérateurs, la couche d’échange de données, le serveur middleware et exclut le back office du client et son environnement SI général.

Approche Protiviti

 

  1. Identifier le type l’architecture SWIFT en place et définir le périmètre des contrôles.

     
  2. Réaliser les contrôles obligatoires et optionnellement les contrôles recommandés par SWIFT.

     
  3. Analyser les réponses et preuves collectées et évaluer les risques éventuellement identifiés.

     
  4. Proposer un plan de remédiation des vulnérabilités identifiées.

     
  5. Assister les clients dans la mise en place des recommandations proposées afin de pallier aux vulnérabilités identifiées.

     
  6. Réaliser une veille continue pour surveiller l’état de conformité.

Pourquoi Protiviti pour vous accompagner dans la démarche de conformité ?

  • Protiviti fait partie des cabinets approuvés par SWIFT pour délivrer des missions d’évaluation selon le cadre CSP et CSCF.
  • Les équipes Protiviti ont une large expérience dans la réalisation des missions d’audit des environnements SWIFT sur des architectures hétérogènes.
  • Les consultants Protiviti disposent de plusieurs certifications dans les domaines de la sécurité SI, de l’organisation des systèmes d’information et des infrastructures SI.

Contacts

Managing Director
Andrew Retrum (US & Autres régions)
Managing Director
Raymond Ntigulirwa
Senior Manager
Anis Hammami
Senior Manager

Ready to work with us?

Nuvin Goonmeter
Nuvin Goonmeter
Managing Director
+33.1.42.96.22.77
Linked