SWIFT Customer Security Programme : audit et recommandations

SWIFT Customer Security Programme : audit et recommandations
par S. Etienne 09/03/2022
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Défense & Spatial
Technologie et Editeurs logiciels
Energie, Logistique & Industrie

« Nos missions vont bien au-delà de la simple mise en conformité »

Le secteur de la finance doit de plus en plus se conformer à des exigences très strictes en matière de sécurité. C’est notamment le cas avec le Customer Security Programme (CSP) de SWIFT (Society for Worldwide Interbank Financial Telecommunications). SWIFT est une plateforme de communication entre institutions financières (banques, grandes entreprises…) avec des données sensibles transitant sur ce réseau et par conséquent confrontée à des risques de cybermenaces. Rouage essentiel de l’économie mondiale, cette plateforme interbancaire publie chaque année un référentiel des contrôles de sécurité que doivent respecter toutes les institutions financières disposant d’un code BIC. Dès le lancement du programme CSP, EBRC a été actif pour fournir un accompagnement aux clients SWIFT, notamment avec un audit de conformité SWIFT, et en devenir l'un des partenaires. Le point avec Aline Moyret, GRC (Governance, Risk and Compliance) Lead Advisor, et Laurent Crozier, Senior Consultant.

 

En quoi consiste le Customer Security Programme de SWIFT ?

Aline MOYRET :  SWIFT a lancé ce programme en 2017 avec pour objectif d’aider les institutions financières qui disposent d’un code BIC à garantir que leurs systèmes de défense contre les cyberattaques sont efficaces et à jour. Afin d’attester de leur niveau de conformité, les utilisateurs doivent comparer chaque année les mesures de sécurité qu’ils ont mises en place avec celles qui sont détaillées dans le cadre des contrôles de sécurité du programme (Customer Security Control Framework ou CSCF). Celui-ci intègre des contrôles de sécurité obligatoires et facultatifs. Tous les ans, SWIFT fait évoluer son référentiel en y ajoutant des points de contrôle ou en rendant obligatoires des contrôles précédemment facultatifs. Notre rôle est précisément d’aider les institutions financières clientes de SWIFT à vérifier qu’elles sont bien conformes aux exigences du programme. 

En savoir plus sur notre offre SWIFT

Quelle est la légitimité d’EBRC pour l’audit du SWIFT Customer Security Programme ?

Laurent CROZIER : Nous assistons nos clients depuis le début de ce programme. En 2020, forts de nos certifications et de nos compétences dans le domaine de la gestion de la sécurité de l’information, nous sommes devenus partenaires du programme SWIFT. Chaque année, trois de nos consultants renouvellent leur certification CSCF. Ce partenariat présente pour EBRC un double avantage. Non seulement nous sommes référencés dans le répertoire SWIFT des fournisseurs de services d’évaluation du programme, mais nous avons également accès à toute la documentation et aux webinaires de SWIFT. Nous sommes ainsi assurés d’être informés en permanence des dernières nouveautés introduites dans le programme. Enfin, nous pouvons utiliser les modèles fournis par le programme pour faciliter la communication avec SWIFT si le client le souhaite.

Concrètement, quelles variantes d’accompagnement SWIFT proposez-vous ?

LC : Nous proposons trois niveaux - chaque niveau englobant le précédent - en fonction des besoins du client.

Accompagnement pour l’Independent Assessment Framework

Depuis 2021, le programme SWIFT oblige les institutions à ne plus se baser uniquement sur un questionnaire d’auto-évaluation mais à se soumettre également à une évaluation indépendante destinée à vérifier l’exactitude des contrôles . Grâce à notre expérience et à notre partenariat avec le programme SWIFT, nous pouvons réaliser cette évaluation indépendante.

Analyse de la maturité des contrôles et recommandation d’évolution

Dans la deuxième offre, nous allons plus loin en procédant à ce que j’appelle "une assistance" dans l’évaluation de la maturité des contrôles. En d’autres termes, nous aidons le client à analyser chacun de ses contrôles dans le détail et à proposer des pistes d’amélioration.

Tester la solidité des contrôles face à des risques de cyberattaque

La troisième offre ajoute l’analyse des risques. Cette analyse, recommandée mais pas imposée par le programme SWIFT, consiste à tester la solidité des contrôles face à des risques élevés de cyberattaque. Si nous constatons des faiblesses, nous proposons au client un plan d’action pour réduire ces risques.

Vous n’êtes pas les seuls sur le marché à proposer un accompagnement au Customer Security Programme de SWIFT. Quels sont les atouts d’EBRC par rapport à ses concurrents ?

AM : Nous pouvons en citer quatre.  

Logiciel spécialisé dans la protection des informations sensibles et l’anticipation des risques cyber

Pour nos missions, nous utilisons un logiciel spécialisé dans la gestion des risques cyber, EGERIE Risk Manager. Ce logiciel, que nous utilisons également pour nos propres besoins, contient des scénarios prédéfinis et nous permet d’industrialiser au maximum l'analyse des risques, ce qui apporte encore plus de valeur ajoutée à nos clients.

Des pistes d’amélioration détaillées

Pour chacune de nos offres, mis à part l’évaluation indépendante, nous rédigeons à la fin de la mission un rapport détaillé et précis qui explique de manière claire et compréhensible quels sont les points forts et ceux qui sont à améliorer.  

Une expertise de terrain pour une approche pragmatique

Un autre aspect qui nous différencie de la concurrence est notre approche pragmatique. Tous nos consultants sont des intervenants seniors qui ont une grande expérience de terrain et connaissent bien les contraintes de production. L’expertise qu’ils proposent est on ne peut plus concrète.

S’adapter à votre mode de fonctionnement

LC : Je rajouterais l’importance accordée au dialogue. Lorsque nous entrons en relation avec un client, nous examinons avec lui si son mode de fonctionnement correspond bien au type d’architecture prédéfini par SWIFT. Le type d’architecture SWIFT déployé détermine en effet le périmètre d’application et les contrôles applicables pour chaque organisme. Il existe quatre architectures de déploiement des services SWIFT : de A1 - où l’interface de messagerie et celle de communication sont hébergées dans l’environnement local - à B - où aucun composant d’infrastructure spécifique à SWIFT n’est utilisé dans l’environnement local - en passant par les déclinaisons intermédiaires que sont A2, A3 et A4.

Ensuite, nous accordons beaucoup d’importance à l’évaluation de chacun des contrôles. Nous ne nous contentons pas des réponses données par le client et cherchons toujours à en savoir plus. In fine, ce sont notre responsabilité et notre réputation qui sont en jeu car c’est nous qui validons, par un courrier officiel de finalisation, la conformité du client aux exigences du programme SWIFT.

Quelles sont vos ambitions pour le futur ?

AM : Nous bénéficions déjà de solides références au Luxembourg ainsi qu'en Suisse et nous souhaitons élargir nos offres SWIFT à d’autres clients. Nous avons pour objectif d’accompagner des institutions financières qui n’ont pas encore le niveau des grandes banques internationales et à qui nous pouvons apporter une aide adaptée à leur contexte. Et ce, non seulement sur tous les territoires où nous sommes déjà présents - Belgique, France, Luxembourg, Suisse - mais aussi – pourquoi pas ? – bien plus loin encore.  

5 raisons de choisir EBRC pour l’audit Swift CSP

  1. Partenaire SWIFT depuis 2020
  2. Trois niveaux d’offre adaptés au contexte de chaque client
  3. Une approche orientée risques
  4. Des rapports clairs, utiles et précis
  5. De nombreuses références au Luxembourg et en Suisse