Fournisseur mondial majeur dans les services de messagerie financiers, SWIFT exploite un réseau connectant plus de 11 000 institutions financières, salles de marché et grandes entreprises, dans plus de 200 pays. En raison de la nature des opérations traitées et de son architecture, les utilisateurs SWIFT font face à des risques informatiques et des cybermenaces en constante augmentation.
SWIFT a décidé de réagir avec la mise en œuvre d’un programme de sécurité dédié, le Customer Security Programme (CSP), visant à renforcer la sécurité de l’infrastructure informatique de son réseau. Un objectif ? Maîtriser les risques liés à la cybersécurité, la fraude et la réputation des organisations utilisatrices et de renforcer la confiance des tiers et clients (notamment concernant les établissements financiers).
En 2021, SWIFT demandait pour la première fois à ses clients de réaliser une évaluation indépendante de leur conformité. Ainsi, les clients SWIFT doivent réaliser l’évaluation indépendante de leur environnement chaque année, le plus tôt possible afin de faciliter l'exécution des plans de remédiation.
Quelles sont les spécificités du marché français ?
Le programme SWIFT CSP revêt d’autant plus d’importance en France qu’il s’agit d’un marché important pour SWIFT. Les institutions financières et les Corporates français ont en effet fortement adopté le réseau interbancaire et ses différents services, notamment dans le contexte de l’arrêt du protocole ETEBAC en 2012.
Si le sujet tend à se faire connaître dans un contexte de sécurisation accrue des systèmes et infrastructures de communication bancaire, les détails pratiques et techniques n’en restent pas moins méconnus au sein des organisations ayant recours au réseau.
« La mise en conformité avec les exigences de sécurité, ainsi que les problématiques d’attestation indépendante vont mobiliser les responsables de la sécurité des systèmes d'information, en lien direct avec les utilisateurs des services (Direction de la trésorerie) et les Directions de la Compliance et/ou de l'Audit Interne. »
Par ailleurs, l’identification des responsabilités peut parfois manquer de clarté – lorsqu’il s’agit de répondre au questionnaire de SWIFT – entre les acteurs qui utilisent le réseau dans le cadre de leurs activités quotidiennes (Trésorerie & Comptabilité), les acteurs en charge de l’exploitation de l‘infrastructure permettant de se connecter à SWIFT (DSI & RSSI), les fournisseurs et hébergeurs de solutions de connectivité bancaire (notamment dans le cas de solutions de type SaaS ou d’hosting cloud).
Il conviendra ainsi de définir clairement le responsable de la relation avec SWIFT et le responsable du questionnaire SWIFT CSP qui sera alors en charge de coordonner les équipes qui apporteront les réponses attendues (coordination des équipes Trésorerie, Infrastructure, Sécurité, Audit Interne, prestataires et hébergeurs de solutions de communication & connectivité bancaire).
Comment PwC peut-il vous accompagner ?
Évaluation SWIFT CSP
Évaluation détaillée des contrôles du SWIFT CSP en utilisant l'accélérateur CSP de PwC.
Audit interne intégré
Collaboration avec votre fonction d'audit interne pour effectuer le reporting relatif aux contrôles SWIFT CSP.
Pourquoi PwC ?
PwC s'appuiera sur ses accélérateurs et sur sa connaissance approfondie du SWIFT CSP pour s'assurer que vos objectifs sont atteints avant l'évaluation indépendante requise par SWIFT, pour le 31 décembre.
Une expérience éprouvée en matière de SWIFT CSP
PwC a réalisé de nombreuses missions SWIFT CSP dans de nombreux territoires et secteurs d'activité.
Une équipe expérimentée qui comprend SWIFT et son programme CSP
Les équipes PwC connaissent le fonctionnement de SWIFT et maîtrisent le framework CSP. Depuis plus de 10 ans, PwC effectue des revues annuelles des environnements SWIFT pour ses clients, notamment selon la norme ISAE3000, reconnue au niveau international.
Une expertise et des connaissances techniques
PwC a été la première firme d’audit à être qualifiée PASSI et PASSI LPM par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les équipes vous accompagnent de la stratégie à l'exécution et a construit sa légitimité sur une expertise approfondie, notamment technique.
Une adaptation à vos besoins
PwC s'appuiera sur ses accélérateurs et sur sa connaissance approfondie du SWIFT CSP pour s'assurer que vos objectifs sont atteints avant l'évaluation indépendante requise par SWIFT.
PwC vous fournira des informations sectorielles pertinentes pour votre segment de marché et votre secteur géographique, ainsi qu'une approche objective quant à la manière de prioriser les actions associées à la mise en conformité au SWIFT CSP.
FAQ
- Qu'est-ce que le SWIFT CSP ?
- Quelle est la date limite pour la conformité au SWIFT CSP ?
- Quelle forme doit prendre l'évaluation indépendante requise par SWIFT ?
- Quels sont les 23 contrôles obligatoires de SWIFT CSP ?
- Que se passe-t-il si vous déclarez votre non-conformité ?
- Que se passe-t-il si je soupçonne que mon organisation a été ciblée ou victime d'une violation ?
Qu'est-ce que le SWIFT CSP ?
Le programme de sécurité des clients (Customer Security Program - CSP) de SWIFT vise à prévenir et à détecter les activités frauduleuses par le biais d'un ensemble de contrôles de sécurité obligatoires, d'initiatives de partage d'informations à l'échelle de la communauté et de fonctions de sécurité améliorées sur leurs produits.
Quelle est la date limite pour la conformité au SWIFT CSP ?
Les clients de SWIFT sont tenus de soumettre leurs attestations annuelles sur le portail KYC de SWIFT avant le 31 décembre.
En 2020, les clients pouvaient attester de la conformité au CSCF v2019 ou au CSCF v2020. En 2021 et au-delà, une évaluation indépendante est en plus de l'attestation du client.
Quelle forme doit prendre l'évaluation indépendante requise par SWIFT ?
Un client SWIFT peut obtenir une évaluation indépendante sous deux formes :
- une évaluation interne. Elle est similaire à un audit interne, réalisée par la fonction d'audit interne du client et indépendante de la fonction qui soumet l'attestation.
- une évaluation externe. Elle est similaire à un audit externe, réalisé par des organisations telles que PwC, qui fournissent une évaluation indépendante des contrôles SWIFT CSP.
Quels sont les 23 contrôles obligatoires de SWIFT CSP ?
Il existe 23 contrôles obligatoires axés sur la sécurisation de votre environnement, la limitation de l'accès, la détection et la réponse.
Que se passe-t-il si vous déclarez votre non-conformité ?
SWIFT signale tous les cas de non-conformité ainsi que tous les cas où les membres du réseau n'ont pas attesté du tout aux régulateurs locaux. En outre, SWIFT sélectionne un échantillon d'attestations pour revue chaque année.
Que se passe-t-il si je soupçonne que mon organisation a été ciblée ou victime d'une violation ?
Il est essentiel que vous partagiez toutes les informations pertinentes et que vous informiez SWIFT de l'existence de ce problème le plus rapidement possible, afin de protéger les autres organisations du réseau.PwC peut vous accompagner dans le cadre de gestion de crise et de réponse aux incidents de cybersécurité.
Pour aller plus loin
Suivez-nous !
