/j.svg){kind=small}
/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une coopérative mondiale détenue et contrôlée par ses adhérents qui fournit des services de messagerie financière sécurisée aux institutions financières du monde entier. Elle facilite une communication rapide, précise et sécurisée pour les transactions, incluant les paiements, les titres et les opérations de trésorerie.
Le customer security program (CSP), lancé par SWIFT en réponse à une vague de cyberattaques sophistiquées avant 2016, visait à améliorer la position de cybersécurité des utilisateurs dans le monde entier. Ces cybermenaces complexes et diverses ont mis en évidence le besoin critique d'une approche unifiée de la sécurité dans l'ensemble du secteur financier.
Le CSP a introduit le Customer Security Controls Framework (CSCF) afin d'établir des mesures de sécurité obligatoires et préconisées pour tous les utilisateurs de SWIFT. Cette initiative marque l'engagement de SWIFT à renforcer la sécurité et la résilience de l'écosystème financier mondial contre les cybermenaces, en garantissant l'intégrité et la fiabilité des transactions financières internationales.
Un regard plus attentif sur le CSCF
Le CSCF décrit les contrôles de sécurité obligatoires et préconisés pour les utilisateurs de SWIFT, fondés sur des cadres normalisés tels que NIST, ISO 27000 et PCI-DSS. Les contrôles obligatoires établissent une base de sécurité, tandis que les contrôles préconisés, basés sur les meilleures pratiques, sont recommandés pour une protection supplémentaire.
La conception de la CSCF reflète une approche proactive de la cybersécurité, comme le montre l'image ci-dessous. Les mesures de sécurité sont fondées sur trois objectifs principaux du cadre :
Objectif 1: Sécuriser votre environnement :
- Principe 1 : Restreindre l'accès à internet et protéger les systèmes critiques de l'environnement informatique général.
- Principe 2 : Réduire la surface d'attaque et les vulnérabilités.
- Principe 3 : Sécuriser physiquement l'environnement.
Objectif 2: Connaître et limiter les accès :
- Principe 4 : Prévenir le risque de compromission des informations d'identification.
- Principe 5 : Gérer les identités et séparer les privilèges.
Objectif 3 : Détecter et réagir :
- Principe 6 : Détecter les activités anormales dans les systèmes ou les enregistrements de transactions.
- Principe 7 : Planifier la réponse aux incidents et le partage des informations.
Le CSCF spécifie cinq types d'architecture principaux qui déterminent les contrôles de sécurité applicables en fonction des composants et de l'infrastructure SWIFT utilisés par une organisation. Ces types d'architecture, définis par la propriété et le déploiement des composants d'infrastructure spécifiques à SWIFT, aident les organisations à identifier l'étendue des mesures de cybersécurité requises dans le cadre du CSP. Voici les types d'architecture décrits :
- Architecture A1: pour les utilisateurs possédant à la fois l'interface de messagerie et de communication. Dans cette configuration, les licences de l'interface de messagerie et de l'interface de communication appartiennent à l'utilisateur et résident dans son environnement.
- Architecture A2: pour les utilisateurs qui possèdent l'interface de messagerie mais pas l'interface de communication. Dans ce cas, l'interface de messagerie appartient à l'utilisateur, mais l'interface de communication appartient à un fournisseur de services.
- Architecture A3 (connecteur SWIFT): Elle implique l'utilisation d'un connecteur SWIFT dans l'environnement de l'utilisateur pour faciliter la communication d'application à application avec une interface chez un fournisseur de services, ou avec des services SWIFT, sans interface du côté de l'utilisateur.
- Architecture A4 (connecteur client): Pour les utilisateurs qui n'ont pas d'empreinte SWIFT mais qui utilisent un serveur exécutant une application logicielle dans leur environnement pour faciliter une connexion externe avec une interface chez un prestataire de services ou directement avec les services SWIFT.
- Architecture B (pas d'empreinte locale de l'utilisateur): Pour les utilisateurs qui n'utilisent aucun composant d'infrastructure spécifique à SWIFT dans leur environnement. Cela inclut les utilisateurs qui accèdent aux services de messagerie SWIFT par l'intermédiaire d'une application d'interface utilisateur graphique (GUI) chez le prestataire de services, ou dont les applications d'arrière-guichet communiquent directement avec le prestataire de services à l'aide d'API, de clients middleware ou de clients de transfert de fichiers sécurisés, sans se connecter aux services SWIFT ni leur transmettre de manière indépendante des transactions commerciales.
Mise en œuvre et conformité
Les utilisateurs de SWIFT sont tenus d'attester le respect des contrôles de la CSCF via l'application KYC Security Attestation (KYC-SA). Ce processus souligne la responsabilité partagée de SWIFT et de ses utilisateurs dans le maintien d'un réseau sécurisé. Malgré les difficultés, la communauté financière a réussi à mettre en œuvre ces contrôles, le dialogue et le retour d'information continus permettant d'affiner et d'améliorer la CSP.
Le tableau suivant présente un résumé complet de tous les contrôles de sécurité obligatoires et recommandés (32 au total), organisés selon le principe directeur auquel ils adhèrent et liés au modèle d'architecture spécifique auquel ils s'appliquent :
|
Contrôles de sécurité obligatoires et recommandés |
Type d'architecture |
||||
|
A1 |
A2 |
A3 |
A4 |
B |
|
| 1. Restreindre l'accès à internet et protéger les systèmes critiques de l'environnement informatique général | |||||
|
1.1 Protection de l'environnement SWIFT |
X |
X |
X |
|
|
|
1.2 Contrôle des comptes privilégiés du système d'exploitation |
X |
X |
X |
X |
X |
|
1.3 Protection de la plateforme de virtualisation |
X |
X |
X |
X |
|
|
1.4 Restriction de l'accès à internet |
X |
X |
X |
X |
X |
|
1.5 Protection de l'environnement du client |
|
|
|
X |
|
|
2. Réduire la surface d'attaque et les vulnérabilités |
|||||
|
2.1 Sécurité des flux de données internes |
X |
X |
X |
|
|
|
2.2 Mises à jour de sécurité |
X |
X |
X |
X |
X |
|
2.3 Renforcement des systèmes |
X |
X |
X |
X |
X |
|
2.4A Sécurité du flux de données du back-office |
X |
X |
X |
X |
X |
|
2.5A Protection des données de transmission externe |
X |
X |
X |
X |
|
|
2.6 Confidentialité et intégrité des sessions des opérateurs |
X |
X |
X |
X |
X |
|
2.7 Analyse des vulnérabilités |
X |
X |
X |
X |
X |
|
2.8A Externalisation des activités critiques |
X |
X |
X |
X |
X |
|
2.9 Contrôle des transactions |
X |
X |
X |
X |
X |
|
2.10 Renforcement des applications |
X |
X |
X |
|
|
|
2.11A Contrôles des activités RMA |
X |
X |
X |
X |
X |
|
3. Sécuriser physiquement l'environnement |
|||||
|
3.1 Sécurité physique |
X |
X |
X |
X |
X |
|
4. Prévenir le risque de compromission des données d'identification |
|||||
|
4.1 Politique en matière de mots de passe |
X |
X |
X |
X |
X |
|
4.2 Authentification multifactorielle |
X |
X |
X |
X |
X |
|
5. Gérer les identités et séparer les privilèges |
|||||
|
5.1 Contrôle d'accès logique |
X |
X |
X |
X |
X |
|
5.2 Gestion des clés |
X |
X |
X |
X |
X |
|
5.3A Processus de sélection du personnel |
X |
X |
X |
X |
X |
|
5.4 Stockage physique et logique des mots de passe |
X |
X |
X |
X |
X |
|
6. Détecter les activités anormales dans les systèmes ou les enregistrements de transactions |
|||||
|
6.1 Protection contre les logiciels malveillants |
X |
X |
X |
X |
X |
|
6.2 Intégrité des logiciels |
X |
X |
X |
X |
|
|
6.3 Intégrité de la base de données |
X |
X |
|
X |
|
|
6.4 Logging et monitoring |
X |
X |
X |
X |
X |
|
6.5A Détection d'intrusion |
X |
X |
X |
X |
|
|
7. Planifier la réponse aux incidents et le partage d'informations |
|||||
|
7.1 Planification de la réponse aux incidents cybernétiques |
X |
X |
X |
X |
X |
|
7.2 Formation et sensibilisation à la sécurité |
X |
X |
X |
X |
X |
|
7.3A Tests d'intrusion |
X |
X |
X |
X |
X |
|
7.4A Évaluation des risques liés à un scénario |
X |
X |
X |
X |
X |
L'impact du CSP sur l'industrie financière
Le CSP a considérablement renforcé la sécurité des institutions individuelles et de l'écosystème financier au sens large. Les risques de transactions frauduleuses ont été réduits et une culture de la transparence a été encouragée.
Malgré ces améliorations, quelques incidents de sécurité se sont encore produits au sein du système SWIFT :
-
Hanoi-based Tien Phong Bank (TPBank) a indiqué qu'elle avait interrompu la tentative de vol d'environ 1,1 million de dollars par le biais de messages SWIFT frauduleux. Pour plus de détails, voir ici : La banque vietnamienne Tien Phong victime d'une attaque basée sur SWIFT..
-
Des attaquants ont utilisé des logiciels malveillants pour voler 81 millions de dollars à la banque du Bangladesh : selon BAE Systems, des attaquants ont installé des logiciels malveillants pour compromettre les communications SWIFT et transférer illégalement 81 millions de dollars. De plus amples informations sont disponibles ici : Les attaquants de la banque du Bangladesh ont piraté le logiciel SWIFT..
-
4,4 millions de dollars transférés sur des comptes aux États-Unis, au Royaume-Uni et au Japon par le biais de messages SWIFT frauduleux : dans ce cas, les attaquants ont piraté le serveur SWIFT d'une banque népalaise pour orchestrer le transfert. Les détails sont disponibles dans le rapport suivant : Des attaquants ont piraté le serveur SWIFT d'une banque népalaise.
Néanmoins, l'impact positif du CSP est indéniable : en partageant les données d'attestation, les utilisateurs de SWIFT créent une dynamique de pairs vers de meilleures pratiques de sécurité, contribuant ainsi à un environnement financier plus sûr pour tous.
L'avenir du CSP et de la cybersécurité dans le secteur financier
L'avenir du CSP est étroitement lié à l'évolution rapide de la technologie et au paysage changeant des cybermenaces. Pour faire face à ces menaces en constante évolution, la stratégie future du CSP intégrera probablement plusieurs adaptations essentielles :
- Techniques de cryptage améliorées : dans la perspective des menaces liées à l'informatique quantique, l'adoption de méthodes de cryptage résistantes à l'informatique quantique sera cruciale. Ces méthodes sont conçues pour être sécurisées contre les attaques informatiques classiques et quantiques.
- Intelligence artificielle (IA) et machine learning (ML) pour la défense : en utilisant l'IA à des fins défensives, le CSP pourrait améliorer les systèmes de détection des anomalies afin d'identifier les activités inhabituelles et d'y répondre plus rapidement et avec plus de précision. Cela pourrait être particulièrement efficace pour repérer l'ingénierie sociale sophistiquée et les menaces d'initiés.
- Renforcer la sécurité de la chaîne d'approvisionnement : le CSP devra mettre en œuvre des exigences de sécurité plus strictes et des audits réguliers pour les fournisseurs tiers. Il sera essentiel d'encourager la transparence et la collaboration dans l'ensemble du secteur financier pour identifier et atténuer rapidement les vulnérabilités potentielles.
- Framework d'adaptation continue : le CSP devra établir un framework d'adaptation continue, qui inclut des mises à jour régulières de ses normes et pratiques de sécurité, sur la base des technologies émergentes et des cybermenaces. Cela nécessitera une collaboration étroite avec les experts en cybersécurité, les institutions financières et les fournisseurs de technologie.
En intégrant ces stratégies, le CSP peut renforcer sa résilience et continuer à protéger efficacement le système financier mondial.
Conclusion
La CSP a joué un rôle décisif dans le renforcement des défenses de l'industrie financière contre les cybermenaces. Elle souligne l'importance de la collaboration et du respect des contrôles de sécurité pour maintenir l'intégrité du système financier mondial. À l'avenir, le CSP continuera d'évoluer, de relever de nouveaux défis et de garantir la sécurité de l'écosystème financier.
Les institutions financières sont encouragées à revoir et à mettre à jour régulièrement leurs pratiques de cybersécurité conformément à la dernière version de la CSCF. S'engager avec la communauté de SWIFT pour un apprentissage et une amélioration partagés est essentiel pour rester à l'avant-garde des menaces potentielles et protéger le système financier mondial.
Pour en savoir plus sur la cybersécurité au sein de l'écosystème financier, consultez cet article : Open Banking: les risques et les bénéfices de la banque numérique personnalisée.
