Fondée en 1973 en Belgique, SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une société coopérative dont l'objectif est de fixer des standards d'échange de données entre les institutions financières. SWIFT appartient à ses adhérents dans les rangs desquels on trouve certaines des plus grandes banques mondiales. Aujourd'hui, SWIFT fournit un réseau interbancaire global de messagerie à plus de 11 000 institutions financières dans près de 200 pays, destiné à l'usage des banques, salles de marchés et grandes entreprises.
Depuis 2017, SWIFT a mis en place le « CSP » (Customer Security Program), son programme de sécurité pensé pour contrer le risque croissant des cybermenaces qui ciblent les opérations d'échanges de données entre les institutions financières. Régulièrement, le CSP introduit de nouvelles exigences.
À compter de 2021, l'auto-évaluation de conformité aux contrôles de sécurité obligatoires du CSP SWIFT n'est plus suffisante. Les adhérents doivent présenter au 31 décembre de chaque année un audit de conformité SWIFT indépendant en complément de l'auto-évaluation.
SWIFT a mis en place le CSP en 2017 dans le but de limiter les risques liés aux cybermenaces via des contrôles de sécurité obligatoires, mais aussi au travers du partage d'informations entre les adhérents au réseau. Le CSP exige que l'infrastructure des entités qui se connectent au réseau SWIFT soit conforme aux points définis dans le Customer Security Controls Framework. En 2021, de nouvelles exigences ont été introduites pour l'évaluation de la conformité, reposant sur 8 principes de sécurité :
La version 2024 du SWIFT Customer Security Controls Framework (CSCF) s’appuie sur la version précédente (CSCF 2023) avec plusieurs modifications liées à l'évolution des besoins de sécurité dans le secteur financier (ajustements de périmètre, des clarifications et des améliorations). Ces ajustements renforcent l’accent mis notamment sur la protection des services externalisés et sur le cloud.
Voici comment nous organisons nos audits SWIFT.
Les différents points de contrôle du SWIFT CSP doivent faire l'objet d'une mise à niveau du client. Il faut savoir qu'il est de la responsabilité des entités utilisatrices du réseau SWIFT d'optimiser la sécurité et la protection de leur propre environnement. Ainsi, les différents points de contrôle (certains sont obligatoires, et d'autres sont facultatifs) doivent faire l'objet, annuellement, d'une auto-évaluation par le client. Mais celle-ci ne suffit plus, selon les nouvelles directives de ce référentiel.
En effet, dans le cadre de l'entrée en vigueur de l'Independent Assessment Framework (IAF), un nouveau modèle d'évaluation indépendante, l'auto-évaluation doit être complétée par un audit SWIFT annuel réalisé par un prestataire indépendant externe. Si une organisation n'est pas en conformité avec les exigences, tous les membres du réseau en seront informés, ce qui limitera considérablement la capacité de la structure à effectuer des transactions commerciales et des paiements sur le réseau SWIFT.
De manière complémentaire au CSP, les organisations intégrant une infrastructure SWIFT peuvent faire appel à nos services de tests d'intrusion afin d'évaluer la sécurité concrète de tout ou partie de leur infrastructure informatique face aux attaques.
Spécialistes en sécurité informatique et pentests à Lyon, Paris, Saint-Étienne et partout en France
Vous avez activé l'option "Do Not Track" dans votre navigateur, nous respectons ce choix et ne suivons pas votre visite.