Aller au contenu
Home > Actualités > Audit CSP SWIFT : préparez votre évaluation annuelle de conformité
Cybersécurité

Audit CSP SWIFT : préparez votre évaluation annuelle de conformité

Découvrez les nouveaux contrôles à appliquer et les conseils de nos experts pour réussir les 5 étapes clés de votre audit CSP SWIFT annuel avec nos auditeurs I-TRACING certifiés SWIFT.

Partager sur
Risk Management Grey

Qu’est-ce que le programme de sécurité CSP SWIFT ?

Créée en 1973, la Society for Worldwide Interbank Financial Telecommunication (SWIFT) est le réseau international de messagerie interbancaire. Il permet à toutes les institutions financières d’effectuer des paiements internationaux. Et il compte plus de 11000 utilisateurs dans le monde. 

Sécuriser les transactions financières via le réseau SWIFT

Chaque jour, le réseau SWIFT est utilisé pour exécuter plusieurs millions d’ordres de paiement, d’ordres d’achat et de transactions. Il augmente considérablement la vitesse des transactions financières à l’échelle mondiale.

Cependant c’est aussi ce qui fait du réseau interbancaire SWIFT une cible de choix pour les cybercriminels. En 2018, le groupe de hackers nord-coréen Lazarus avait ciblé le réseau SWIFT pour détourner plus de 80 millions de dollars de la Banque du Bangladesh. Face aux menaces cyber sur les organisations financières et bancaires, en vertu du Programme de Sécurité client (CSP) SWIFT, les membres du réseau interbancaire sont tenus de réaliser un audit indépendant pour évaluer la sécurité de leurs systèmes.

Objectif du programme de sécurité CSP SWIFT

Le programme de sécurité client (CSP) SWIFT aide les institutions financières à garantir que leurs défenses contre les cyberattaques et la fraude sont à jour et efficaces. Il contribue ainsi à protéger l’intégrité du réseau financier au sens large. Dans la pratique, les utilisateurs de solutions et plateformes SWIFT comparent leurs mesures de sécurité mises en place avec celles détaillées dans le cadre de contrôle de la sécurité client (CSCF) SWIFT. L’auditeur indépendant évalue et atteste de leur niveau de conformité lors d’un audit CSP SWIFT annuel obligatoire.

Qu’est-ce qu’un audit CSP SWIFT ?

Comprendre le cadre des contrôles de sécurité client (CSCF) SWIFT

Il est essentiel pour votre entreprise de se préparer en amont pour réussir son audit annuel obligatoire qui fait partie intégrante du CSP SWIFT. Pour ce faire il est primordial de comprendre l’architecture du cadre de contrôle de sécurité client (CSCF). Le CSCF du CSP SWIFT est organisé autour de 3 objectifs principaux visant à prévenir, surveiller et répondre aux cyberattaques. De ces objectifs découlent 7 principes de sécurité qui s’apparentent à des recommandations de sécurité opérationnelles :

Objectif 1 du CSP SWIFT : Sécuriser votre SI pour prévenir les cyberattaques

  • Garantir la sécurité physique de l’environnement
  • Restreindre l’accès au réseau internet et pouvoir isoler les systèmes critiques du reste de
    l’environnement informatique général
  • Identifier les vulnérabilités et réduire la surface d’attaque

Objectif 2 du CSP SWIFT : Gérer la surface d’attaque

  • Gestion des identités, des accès et des privilèges
  • Protéger les identités contre la compromission

Objectif 3 du CSP SWIFT : Détecter et répondre aux cyberattaques

  • Détecter les comportements et activités anormales
  • Définir et déployer un plan de réponse aux incidents de cybersécurité, et un plan de
    communication de crise

Adaptation des contrôles de l’audit CSP SWIFT selon votre architecture déployée

Des 7 principes de sécurité évoqués précédemment découlent une liste de contrôles revue chaque année. Le nombre de contrôles total ainsi que des contrôles obligatoires ’accroît régulièrement. Pour l’exercice 2025 d’audit SWIFT, le CSCF comprend 32 contrôles, dont 25 obligatoires. Les contrôles obligatoires établissent une base de sécurité pour l’ensemble de la communauté SWIFT et doivent être mis en œuvre par tous les utilisateurs sur leur infrastructure locale. Les contrôles consultatifs correspondent aux bonnes pratiques recommandées à tous les utilisateurs. Le domaine d’application et les critères d’évaluation diffèrent selon l’architecture de déploiement des services SWIFT choisit par chaque institution financière.

  • Architecture A1 : vous posséder l’interface de communication et de messagerie SWIFT.
  • Architecture A2 : vous avez uniquement l’interface de messagerie, mais pas l’interface de
    communication SWIFT.
  • Architecture A3 : un connecteur SWIFT est utilisé dans votre environnement pour accéder à une
    interface chez un prestataire ou avec des services SWIFT.
  • Architecture A4 : vous utilisez un serveur pour établir une connexion externe avec une interface,
    application ou solution liée à SWIFT chez un fournisseur de services.
  • Architecture B : vous n’utilisez aucun composant spécifique SWIFT dans votre environnement.
    Vous accédez aux services SWIFT via une application ou un back-office d’un prestataire.

Comment préparer votre audit CSP SWIFT ?

Préparation en amont de votre évaluation annuelle CSP SWIFT

  • Appliquer les contrôles de sécurité du CSCF SWIFT : La mise à jour du cadre des contrôles de sécurité client (CSCF) est publiée le 1er juillet de l’année N-1. Cela vous permet d’en prendre connaissance 6 mois avant leur entrée en vigueur, le 1er janvier de l’année N. Vous disposez ainsi de temps pour adapter vos dispositifs de sécurité afin de vous conformer aux nouveaux contrôles du CSCF SWIFT.
  • Audit interne SWIFT : Semblable à un audit interne classique, il est réalisé par le département Audit de votre entreprise et indépendant de l’organisme qui délivre l’attestation de conformité aux critères de sécurité du CSP SWIFT. Il vous permet d’identifier au préalable votre conformité aux 32 points de contrôles listés dans le CSCF SWIFT.

Les évolutions du CSCF SWIFT

Découvrez quels contrôles facultatifs deviennent obligatoires cette année et le détail des nouveaux contrôles ajoutés au CSCF SWIFT v2025.

Voir les nouveautés

Préparez la venue de l’auditeur externe pour votre évaluation CSP SWIFT

Conformément aux prérequis du CSP SWIFT, votre évaluation annuelle doit être réalisée par un fournisseur de services indépendant et certifié SWIFT tel qu’I-TRACING, qui réalisera un audit de conformité aux 32 contrôles du CSCF SWIFT. Pour contribuer à la réussite de votre audit CSP SWIFT et faciliter au maximum le travail de l’auditeur, vous pouvez préparer à l’avance les éléments suivants :

  1. Documentation SWIFT complète : assurez-vous que toute la documentation relative à votre infrastructure SWIFT est à jour et facilement accessible. Cela inclut le schéma d’architecture SWIFT, les politiques de sécurité, les procédures opérationnelles standard et les configurations du système.
  2. Inventaire des actifs liés à SWIFT : Maintenez un inventaire détaillé de tous les actifs qui relèvent du périmètre d’audit CSP SWIFT. Cela comprend notamment les serveurs, logiciels et dispositifs de sécurité mis en place.
  3. Formation du personnel : Assurez-vous que l’ensemble de votre personnel impliqué dans l’utilisation de SWIFT est bien formé et conscient des politiques et procédures de sécurité en vigueur. Cette formation améliore d’une part leur capacité à exercer leurs rôles en toute sécurité, et d’autres part les prépare à répondre avec aisance aux questions de l’auditeur lors de l’évaluation. Ainsi préparé, votre personnel fournira des informations claires et précises, démontrant l’engagement de votre organisation envers la sécurité et la conformité SWIFT.

Comment se déroule un audit CSP SWIFT ?

Les 5 étapes d’un audit CSP SWIFT

Le processus d’évaluation SWIFT implique plusieurs étapes clés, :

  • Étape 1 : Identification de la portée de l’évaluation SWIFT

Sur la base de votre documentation SWIFT et votre inventaire d’actifs liés à SWIFT, l’évaluateur identifiera la portée de l’évaluation et assurera une couverture adéquate pour la collecte des preuves. Cela inclut la compréhension de l’architecture, des processus et des procédures des utilisateurs de SWIFT, ainsi que la préparation d’un périmètre de travail détaillé.

💡Notre conseil : Pour faciliter le processus, préparez la documentation adéquate à l’avance.

  • Étape 2 : Contrôle de l’environnement utilisateur SWIFT

Au cours de cette étape, toutes les preuves commerciales et techniques nécessaires seront collectées pour valider la mise en œuvre des contrôles. Pour ce faire, l’auditeur interroge les utilisateurs commerciaux et techniques de SWIFT, puis établit un plan de test.

💡Notre conseil : Assurez-vous que les parties prenantes concernées sont disponibles pour cette phase et ont connaissance des différents contrôles dont ils ont la charge.

  • Etape 3 : Test du niveau de conformité

À la suite de l’examen des preuves et l’exécution du plan de test, l’évaluateur déterminera ensuite le niveau de conformité aux contrôles.

  • Etape 4 : Rapport d’évaluation

L’auditeur vous remettra un projet de rapport d’évaluation, sur la base duquel vous pourrez échanger afin d’assurer l’exactitude des données rapportées. L’objectif est d’obtenir votre approbation officielle et de résoudre tout désaccord.

  • Etape 5 : Activités post-évaluation

Enfin, l’évaluateur vous fournira des livrables supplémentaires et finalisera les tâches post-évaluation, notamment l’émission d’une lettre d’achèvement. Si convenu préalablement, l’auditeur peut aussi vous aider à la rédaction de l’attestation annuelle d’audit CSP SWIFT dans l’application KYC-SA.

Nouveautés ou évolutions dans le programme de sécurité CSP SWIFT v2025

Aucun contrôle consultatif ou composants de portée n’est rendu obligatoire dans les contrôles en vigueurs
en 2025.

Néanmoins il convient de noter les éléments suivants :

  • Le contrôle 2.4A « Back Office Data Flow Security » deviendra progressivement obligatoire. Bien qu’il reste consultatif en 2025, SWIFT vous recommande de préparer dès à présent un plan de priorisation des flux identifiés entre la zone sécurisée de l’utilisateur et le backoffice. Ce plan doit être établit selon votre posture de sécurité et complété par une approche reposant sur les risques.
    • En 2026, le contrôle 2.4A deviendra obligatoire quant à la protection des serveurs de pont, des flux entre les serveurs de liaison eux-mêmes ou vers la zone sécurisée de l’utilisateur. De même pour les nouveaux flux directs entre la zone sécurisée de l’utilisateur et le backoffice.
    • L’obligation de protection des flux directs hérités entre la zone sécurisée de l’utilisateur et le backoffice est quant à elle prévue pour 2028.
  • Tous les terminaux de l’utilisateur qui se connectent indirectement à SWIFT, qu’ils soient de nature serveur ou client, seront progressivement considérés comme des connecteurs client.


Dès 2026, les connecteurs clients tels qu’un terminal utilisant une API, un intergiciel ou un logiciel client de transfert de fichiers, deviendront des composants obligatoires dans le périmètre de plusieurs contrôles (1.2, 1.3, 1.4, 2.2, 2.3, 2.6, 2.7, 3.1, 4.1, 4.2, 5.1, 5.4, 6.1, 6.4).

En 2026, pour certains utilisateurs qui auront précédemment attesté relever d’une architecture de type B, ce changement impliquera qu’ils attestent relever d’une architecture de type A4 (i.e. niveau supérieur) lorsqu’ils utilisent un connecteur client.

Pour rappel, le CSCF SWIFT v2024 avait introduit les changements suivants :

  • Le contrôle 2.3 « System Hardening » inclut désormais les exigences pour la protection du port USB.
  • Compte tenu de l’utilisation croissante par les organisations de services et d’hébergement cloud, voire de l’externalisation de leurs systèmes d’information, le contrôle 2.8 « Outsourced Critical Activity Protection » dans l’audit CSP SWIFT est devenu obligatoire.
  • Le contrôle 2.9 « Transaction Business Controls » autorise à présent que les contrôles de transactions soient réalisés à l’extérieur de la zone sécurisée.
  • Le contrôle 7.4 sur l’évaluation des risques par scénario permet d’utiliser des processus existants de gestion des risques.

Certifier votre audit SWIFT annuel avec I-TRACING

Critères pour choisir votre évaluation certifiée CSP SWIFT

Toutes les membres du réseau SWIFT ont l’obligation de réaliser une évaluation annuelle par un prestataire indépendant. Les membres SWIFT peuvent choisir un prestataire présent dans le référentiel des entreprises détenant une certification SWIFT.

Faire appel à I-TRACING pour votre audit CSP SWIFT annuel

Comme chaque année, l’exercice d’audit CSP SWIFT débute au 1er juillet et courre jusqu’au 31 décembre. Sollicitez nos évaluateurs certifiés SWIFT pour réaliser votre audit CSP SWIFT annuel. Grâce à notre présence en Europe (France, Suisse, Royaume-Uni), en Amérique du Nord (Canada) et en Asie (Chine, Hong Kong, Malaisie), I-TRACING peut réaliser votre audit CSP SWIFT partout dans le monde.

L’audit CSP SWIFT pouvant s’intégrer dans un audit plus général, nos experts I-TRACING vous accompagnent aussi dans le déploiement des meilleures pratiques et solutions de cybersécurité. Vous bénéficiez ainsi du savoir-faire inégalé de nos ingénieurs, attesté par nos qualifications PASSI et PAMS de l’ANSSI.

Parlons-en !

Réalisez votre évaluation annuelle CSP SWIFT avec nos experts et auditeurs certifiés.

Contactez-nous

22 mai 2024

On the same topic

Risk Management Blue
Cybersécurité

I-TRACING obtient la qualification PAMS de l’ANSSI pour ses services de Support et Services Managés

Go back to blog