Fournisseur mondial majeur dans les services de messagerie financiers, SWIFT exploite un réseau connectant plus de 11 000 institutions financières, salles de marché et grandes entreprises, dans plus de 200 pays. En raison de la nature des opérations traitées et de son architecture, les utilisateurs SWIFT font face à des risques informatiques et des cybermenaces en constante augmentation.
SWIFT a décidé de réagir avec la mise en œuvre d’un programme de sécurité dédié, le Customer Security Programme (CSP), visant à renforcer la sécurité de l’infrastructure informatique de son réseau. Un objectif ? Maîtriser les risques liés à la cybersécurité, la fraude et la réputation des organisations utilisatrices et de renforcer la confiance des tiers et clients (notamment concernant les établissements financiers).
En 2021, SWIFT demandait pour la première fois à ses clients de réaliser une évaluation indépendante de leur conformité. Ainsi, les clients SWIFT doivent réaliser l’évaluation indépendante de leur environnement chaque année, le plus tôt possible afin de faciliter l'exécution des plans de remédiation.
Le programme SWIFT CSP revêt d’autant plus d’importance en France qu’il s’agit d’un marché important pour SWIFT. Les institutions financières et les Corporates français ont en effet fortement adopté le réseau interbancaire et ses différents services, notamment dans le contexte de l’arrêt du protocole ETEBAC en 2012.
Si le sujet tend à se faire connaître dans un contexte de sécurisation accrue des systèmes et infrastructures de communication bancaire, les détails pratiques et techniques n’en restent pas moins méconnus au sein des organisations ayant recours au réseau.
« La mise en conformité avec les exigences de sécurité, ainsi que les problématiques d’attestation indépendante vont mobiliser les responsables de la sécurité des systèmes d'information, en lien direct avec les utilisateurs des services (Direction de la trésorerie) et les Directions de la Compliance et/ou de l'Audit Interne. »
Par ailleurs, l’identification des responsabilités peut parfois manquer de clarté – lorsqu’il s’agit de répondre au questionnaire de SWIFT – entre les acteurs qui utilisent le réseau dans le cadre de leurs activités quotidiennes (Trésorerie & Comptabilité), les acteurs en charge de l’exploitation de l‘infrastructure permettant de se connecter à SWIFT (DSI & RSSI), les fournisseurs et hébergeurs de solutions de connectivité bancaire (notamment dans le cas de solutions de type SaaS ou d’hosting cloud).
Il conviendra ainsi de définir clairement le responsable de la relation avec SWIFT et le responsable du questionnaire SWIFT CSP qui sera alors en charge de coordonner les équipes qui apporteront les réponses attendues (coordination des équipes Trésorerie, Infrastructure, Sécurité, Audit Interne, prestataires et hébergeurs de solutions de communication & connectivité bancaire).
Évaluation détaillée des contrôles du SWIFT CSP en utilisant l'accélérateur CSP de PwC.
Collaboration avec votre fonction d'audit interne pour effectuer le reporting relatif aux contrôles SWIFT CSP.
PwC s'appuiera sur ses accélérateurs et sur sa connaissance approfondie du SWIFT CSP pour s'assurer que vos objectifs sont atteints avant l'évaluation indépendante requise par SWIFT, pour le 31 décembre.
PwC a réalisé de nombreuses missions SWIFT CSP dans de nombreux territoires et secteurs d'activité.
Les équipes PwC connaissent le fonctionnement de SWIFT et maîtrisent le framework CSP. Depuis plus de 10 ans, PwC effectue des revues annuelles des environnements SWIFT pour ses clients, notamment selon la norme ISAE3000, reconnue au niveau international.
PwC a été la première firme d’audit à être qualifiée PASSI et PASSI LPM par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les équipes vous accompagnent de la stratégie à l'exécution et a construit sa légitimité sur une expertise approfondie, notamment technique.
PwC s'appuiera sur ses accélérateurs et sur sa connaissance approfondie du SWIFT CSP pour s'assurer que vos objectifs sont atteints avant l'évaluation indépendante requise par SWIFT.
PwC vous fournira des informations sectorielles pertinentes pour votre segment de marché et votre secteur géographique, ainsi qu'une approche objective quant à la manière de prioriser les actions associées à la mise en conformité au SWIFT CSP.
Le programme de sécurité des clients (Customer Security Program - CSP) de SWIFT vise à prévenir et à détecter les activités frauduleuses par le biais d'un ensemble de contrôles de sécurité obligatoires, d'initiatives de partage d'informations à l'échelle de la communauté et de fonctions de sécurité améliorées sur leurs produits.
Les clients de SWIFT sont tenus de soumettre leurs attestations annuelles sur le portail KYC de SWIFT avant le 31 décembre.
En 2020, les clients pouvaient attester de la conformité au CSCF v2019 ou au CSCF v2020. En 2021 et au-delà, une évaluation indépendante est en plus de l'attestation du client.
Un client SWIFT peut obtenir une évaluation indépendante sous deux formes :
Il existe 23 contrôles obligatoires axés sur la sécurisation de votre environnement, la limitation de l'accès, la détection et la réponse.
SWIFT signale tous les cas de non-conformité ainsi que tous les cas où les membres du réseau n'ont pas attesté du tout aux régulateurs locaux. En outre, SWIFT sélectionne un échantillon d'attestations pour revue chaque année.
Il est essentiel que vous partagiez toutes les informations pertinentes et que vous informiez SWIFT de l'existence de ce problème le plus rapidement possible, afin de protéger les autres organisations du réseau.PwC peut vous accompagner dans le cadre de gestion de crise et de réponse aux incidents de cybersécurité.