Audit SWIFT : votre évaluation annuelle de conformité au CSP
I-TRACING est fier d’annoncer que dix de nos collaborateurs sont désormais des auditeurs certifiés CSP SWIFT, et deux d’entre eux sont d’ailleurs les premiers en France. Cela marque une étape dans notre capacité à accompagner nos clients, actuels et futurs, soumis au programme de sécurité client (CSP) du réseau SWIFT. Ces derniers ont notamment l’obligation de … Continuer
I-TRACING est fier d’annoncer que dix de nos collaborateurs sont désormais des auditeurs certifiés CSP SWIFT, et deux d’entre eux sont d’ailleurs les premiers en France. Cela marque une étape dans notre capacité à accompagner nos clients, actuels et futurs, soumis au programme de sécurité client (CSP) du réseau SWIFT. Ces derniers ont notamment l’obligation de réaliser un audit SWIFT indépendant annuel.
Qu’est-ce que le programme de sécurité CSP SWIFT ?
Créée en 1973, la Society for Worldwide Interbank Financial Telecommunication (SWIFT) est le réseau international de messagerie interbancaire, permettant à toutes les institutions financières d’effectuer des paiements internationaux. Il compte plus de 11000 utilisateurs dans le monde.
Importance de la sécurité des transactions financières
Chaque jour, le réseau SWIFT est utilisé pour exécuter plusieurs millions d’ordres de paiement, d’ordres d’achat et de transactions. Il augmente considérablement la vitesse des transactions financières à l’échelle mondiale.
Cependant c’est aussi ce qui fait du réseau intra bancaire SWIFT une cible de choix pour les cybercriminels. L’audit SWIFT annuel constitue donc une évaluation des défenses d’autant plus nécessaire. En 2018, le groupe de hackers nord-coréen Lazarus avait ciblé le réseau SWIFT pour détourner plus de 80 millions de dollars de la Banque du Bangladesh.
Objectif du programme CSP SWIFT
Le programme de sécurité client (CSP) SWIFT aide les institutions financières à garantir que leurs défenses contre les cyberattaques et la fraude sont à jour et efficaces. Il contribue ainsi à protéger l’intégrité du réseau financier au sens large. Dans la pratique, les utilisateurs de solutions et plateformes SWIFT comparent les mesures de sécurité qu’ils ont mises en place avec celles détaillées dans le cadre de contrôle de la sécurité des clients (CSCF), puis peuvent alors attester annuellement de leur niveau de conformité lors un audit SWIFT annuel obligatoire.
Qu’est-ce qu’un audit SWIFT ?
Préparer son audit SWIFT
Pour préparer au mieux votre entreprise à réussir sa conformité au programme des contrôles de sécurité client (CSCP) du réseau de messagerie interbancaire SWIFT, il est primordial de comprendre l’architecture de ce cadre de sécurité.
Le CSCP SWIFT est organisé autour de 3 objectifs principaux visant à prévenir, surveiller et répondre aux cyberattaques. De ces objectifs découlent 7 principes de sécurité qui s’apparentent à des recommandations de sécurité opérationnelles :
Sécuriser votre SI pour prévenir les cyberattaques
- Garantir la sécurité physique de l’environnement
- Restreindre l’accès au réseau internet et pouvoir isoler les systèmes critiques du reste de l’environnement informatique général
- Identifier les vulnérabilités et réduire la surface d’attaque
Gérer la surface d’attaque
- Gestion des identités, des accès et des privilèges
- Protéger les identités de compromission
Détecter et répondre aux cyberattaques
- Détecter les comportements et activités anormales
- Définir et déployez un plan de réponse aux incident de cybersécurité, et un plan de communication de crise
Adaptation de l’audit SWIFT à votre architecture déployée
De ces 7 principes de sécurité découlent 32 contrôles, dont 25 obligatoires. Le domaine d’application et les critères d’évaluation diffèrent selon l’architecture de déploiement des services SWIFT choisit par chaque institution financière.
- Architecture A1 : vous posséder l’interface de communication et de messagerie SWIFT.
- Architecture A2 : vous avez uniquement l’interface de messagerie, mais pas l’interface de communication SWIFT.
- Architecture A3 : un connecteur SWIFT est utilisé dans votre environnement pour accéder à une interface chez un fournisseur de services ou avec des services SWIFT.
- Architecture A4 : vous utilisez un serveur pour établir une connexion externe avec une interface, application, ou solution liée à SWIFT chez un fournisseur de services.
- Architecture B : vous n’utilisez aucun composant spécifique SWIFT dans votre environnement. Vous accédez aux services SWIFT via une application ou un back-office d’un fournisseur de services.
Les essentiels à connaitre pour votre audit SWIFT CSP 2024
Etapes clés de votre audit SWIFT annuel
- Appliquer les contrôles de sécurité du CSCP SWIFT : avec la mise à jour 2024, le framework des contrôles de sécurité comprend désormais 25 contrôles obligatoires et 7 contrôles consultatifs.
- Audit interne : Semblable à un audit interne, il est réalisé par le département Audit de votre entreprise et indépendant de l’organisme qui délivre l’attestation de conformité au CSP SWIFT
- Evaluation annuelle : Semblable à un audit externe et réalisé par un fournisseur de services tel qu’I-TRACING qui réalisera un audit SWIFT indépendant de conformité aux 32 contrôles du CSCP SWIFT.
- Correction et réévaluation : si vous votre audit SWIFT révèle des non-conformités à l’un des 25 points de contrôles obligatoires, appliquer les correctifs nécessaires.
- Soumettre l’attestation annuelle d’audit SWIFT
- Adaptation continue : ajuster la sécurité de votre architecture SWIFT déployée aux mises à jour et nouveautés dans le cadre des contrôles de sécurité client (CSCP) SWIFT.
Nouveautés ou évolutions dans le programme CSP SWIFT 2024
- Compte tenu de l’utilisation croissante par les organisations de services et d’hébergement cloud, voire de l’externalisation de leurs systèmes d’information, le contrôle 2.8 » Outsourced Critical Activity Protection » dans l’audit SWIFT est devenu obligatoire.
- Afin de faciliter l’exécution du contrôle 2.4 « Back Office Data Flow Security », des modifications ont été apportées en ce qui concerne la sécurité des serveurs, les mécanismes de sécurité des échanges de données et la segmentation du réseau.
- Le contrôle 2.3 « System Hardening » inclut désormais les exigences pour la protection du port USB.
- Le contrôle 2.9 « Transaction Business Controls » autorise à présent que les contrôles de transactions soient réalisés à l’extérieur de la zone sécurisée.
- Le contrôle 7.4 sur l’évaluation des risques par scénario permet d’utiliser des processus existants de gestion des risques.
Certifier votre audit CSP SWIFT annuel avec I-TRACING
Critères pour choisir votre évaluation certifié CSP SWIFT
Le référentiel des entreprises certifiées SWIFT est visible par tous les clients utilisateurs. Ces derniers ont désormais l’obligation de réaliser une évaluation chaque année par un prestataire qui dispose d’au moins deux consultants certifiés.
Faire appel à I-TRACING pour votre audit SWIFT annuel
L’exercice d’audit SWIFT annuel a débuté en juillet 2024, et nos clients peuvent solliciter nos 10 évaluateurs certifié SWIFT. I-TRACING peut réaliser votre audit SWIFT annuel obligatoire partout dans le monde, grâce à notre présence en France, en Amérique du Nord ou en Asie (Chine, Hong Kong, Malaisie).
Pouvant s’intégrer dans un audit plus général, les experts I-TRACING vous accompagne dans votre audit SWIFT annuel mais aussi dans le déploiement des meilleures pratiques et solutions de cybersécurité. Vous bénéficiez ainsi du savoir-faire inégalé de nos ingénieurs, attesté par notre qualification PAMS de l’ANSSI.
Parlons-en !
Obtenez dès à présent votre audit SWIFT certifié en contactant nos experts et auditeurs certifiés.
