Logo
  • EN
Logo
  • EN

Audit d'infrastructure SWIFT

  1. Accueil
  2. Audit

Audit d'infrastructure SWIFT

audit-infrastructure-swift

Fondée en 1973 en Belgique, SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une société coopérative dont l'objectif est de fixer des standards d'échange de données entre les institutions financières. SWIFT appartient à ses adhérents dans les rangs desquels on trouve certaines des plus grandes banques mondiales. Aujourd'hui, SWIFT fournit un réseau interbancaire global de messagerie à plus de 11 000 institutions financières dans près de 200 pays, destiné à l'usage des banques, salles de marchés et grandes entreprises.

Depuis 2017, SWIFT a mis en place le « CSP » (Customer Security Program), son programme de sécurité pensé pour contrer le risque croissant des cybermenaces qui ciblent les opérations d'échanges de données entre les institutions financières. Régulièrement, le CSP introduit de nouvelles exigences.

À compter de 2021, l'auto-évaluation de conformité aux contrôles de sécurité obligatoires du CSP SWIFT n'est plus suffisante. Les adhérents doivent présenter au 31 décembre de chaque année un audit de conformité SWIFT indépendant en complément de l'auto-évaluation.

Le CSP de SWIFT, c'est quoi ?

SWIFT a mis en place le CSP en 2017 dans le but de limiter les risques liés aux cybermenaces via des contrôles de sécurité obligatoires, mais aussi au travers du partage d'informations entre les adhérents au réseau. Le CSP exige que l'infrastructure des entités qui se connectent au réseau SWIFT soit conforme aux points définis dans le Customer Security Controls Framework. En 2021, de nouvelles exigences ont été introduites pour l'évaluation de la conformité, reposant sur 8 principes de sécurité :

  • Limiter l'accès à Internet ;
  • Séparer les systèmes critiques de l'environnement informatique général ;
  • Réduire la surface d'attaque et les points de vulnérabilité ;
  • Créer un environnement sécurisé ;
  • Empêcher le piratage des identifiants ;
  • Gérer les accès et les privilèges ;
  • Détecter les activités anormales dans le système ou les relevés d'opérations ;
  • Établir un plan d'intervention et de partage d'information.

Notre méthode d'audit SWIFT

Voici comment nous organisons nos audits SWIFT.

  1. Nous commençons par réaliser une réunion de préparation avec le RSSI et/ou le responsable de l'infrastructure SWIFT afin d'analyser le contexte.
  2. Nous identifions alors les personnes avec lesquelles nous devrons échanger et nous planifions les entretiens.
  3. Nous menons les entretiens avec les équipes techniques et les acteurs-clés de votre entreprise.
  4. Nous réalisons un test technique d'étanchéité de votre infrastructure SWIFT vis-à-vis de votre réseau informatique habituel et d'Internet.
  5. Nous compilons les résultats des entretiens et de notre analyse dans un rapport d'audit, et nous établissons votre niveau de conformité.
  6. Enfin, nous vous communiquons le rapport et vous présentons le résultat au cours d'une restitution avec vos équipes.

Pourquoi faire un audit SWIFT CSP ?

Les différents points de contrôle du SWIFT CSP doivent faire l'objet d'une mise à niveau du client. Il faut savoir qu'il est de la responsabilité des entités utilisatrices du réseau SWIFT d'optimiser la sécurité et la protection de leur propre environnement. Ainsi, les différents points de contrôle (certains sont obligatoires, et d'autres sont facultatifs) doivent faire l'objet, annuellement, d'une auto-évaluation par le client. Mais celle-ci ne suffit plus, selon les nouvelles directives de ce référentiel.

En effet, dans le cadre de l'entrée en vigueur de l'Independent Assessment Framework (IAF), un nouveau modèle d'évaluation indépendante, l'auto-évaluation doit être complétée par un audit SWIFT annuel réalisé par un prestataire indépendant externe. Si une organisation n'est pas en conformité avec les exigences, tous les membres du réseau en seront informés, ce qui limitera considérablement la capacité de la structure à effectuer des transactions commerciales et des paiements sur le réseau SWIFT.

De manière complémentaire au CSP, les organisations intégrant une infrastructure SWIFT peuvent faire appel à nos services de tests d'intrusion afin d'évaluer la sécurité concrète de tout ou partie de leur infrastructure informatique face aux attaques.

Obtenez l'un de nos rapports Échangeons sur votre besoin

Contact : 04 26 78 24 86 | Suivez-nous sur

© AlgoSecure 2024 -
Mentions légales -
Politique de confidentialité -
Démarche RSE -
Glossaire

Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France

Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.

Nous utilisons des cookies afin de suivre votre visite sur notre site,
en accord avec les recommandations de la CNIL.
Vous pouvez consulter notre politique de confidentialité pour plus d'informations.