La Society for Worldwide Interbank Financial Telecommunication (SWIFT)(1) opère un réseau de messagerie sécurisé que les banques utilisent pour les paiements internationaux, notamment dans le cadre des paiements transfrontaliers. Véritable colonne vertébrale du système bancaire mondial, SWIFT est devenu une infrastructure critique et donc une cible de choix pour les cybercriminels.
SWIFT est souvent comparée au système circulatoire de la finance mondiale. Concrètement, SWIFT ne transfère pas d’argent en tant que tel : ce service transmet les instructions nécessaires aux transferts interbancaires. À chaque fois que vous entendez parler d’un virement international, il y a de fortes chances qu’il ait transité via le réseau SWIFT(2).
Son infrastructure fiable et omniprésente ont fait de SWIFT un pilier de la finance internationale, utilisé par plus de 11 000 établissements dans plus de 200 pays et territoires. Mais être au cœur du système bancaire mondial implique aussi une exposition élevée : un simple message SWIFT peut déclencher le transfert de centaines de millions d’euros. Si des cyberattaquants parviennent à compromettre les systèmes locaux d’un utilisateur SWIFT, ils peuvent potentiellement émettre des instructions frauduleuses vers des comptes contrôlés par des criminels. Ce n’est pas une menace théorique : c’est précisément ce qui s’est produit dans certaines des attaques les plus marquantes de la dernière décennie. D’où l’importance absolue de sécuriser non seulement le réseau SWIFT central, mais également chaque point de connexion local.
Après plusieurs attaques retentissantes, le réseau SWIFT a reconnu qu’il fallait rehausser globalement le niveau de sécurité de toute sa communauté. C’est ainsi qu’est né en 2016 le Customer Security Programme (CSP)(3) : un programme visant à renforcer les défenses de chaque institution connectée au réseau.
Ce programme repose sur un cadre appelé Customer Security Controls Framework (CSCF) (4), qui regroupe un ensemble structuré de contrôles de sécurité que tous les utilisateurs SWIFT doivent mettre en œuvre dans leur propre environnement. Ces contrôles couvrent des domaines variés : segmentation réseau, authentification forte, gestion des accès, détection d’activités anormales, etc. Le CSCF s’appuie sur des standards reconnus - NIST, ISO 27001, PCI-DSS…(5) - mais également sur des enseignements tirés de cyberattaques réelles observées sur le terrain. Il est mis à jour chaque année pour s’adapter aux menaces émergentes.
Les environnements SWIFT sont classés dans ce programme selon différents types d’architectures (A1, A2, A3, A4, B)(6), selon la manière dont une organisation se connecte au réseau. Le CSP s’adapte à ces différences, mais les objectifs fondamentaux restent les mêmes : sécuriser l’environnement, contrôler les accès, et détecter/réagir aux incidents.
De la même manière, le cadre CSCF distingue deux types de contrôles :
L’approche est évolutive : l’objectif n’est pas de « cocher des cases », mais bien d’améliorer continuellement la posture de sécurité des utilisateurs SWIFT.
L’attaque de la Banque centrale du Bangladesh(7), en février 2016, reste l’exemple le plus frappant des risques liés à une mauvaise sécurisation des systèmes SWIFT.
Les cybercriminels ont infiltré le réseau interne de la banque, et ont utilisé son accès SWIFT pour envoyer des instructions frauduleuses visant à détourner près d’un milliard de dollars depuis la Réserve fédérale de New York. Grâce à une faute de frappe suspecte, la plupart des virements ont été bloqués, mais 81 millions de dollars ont malgré tout été volés.
Ce n’était pas un cas isolé. Des incidents similaires ont été documentés au Vietnam (TPBank)(8), en Équateur (Banco del Austro)(9), en Inde… Le scénario est souvent le même : un accès au système SWIFT est obtenu grâce à une compromission locale, puis des transferts frauduleux sont envoyés à l’insu des opérateurs.
Dans toutes ces affaires, le réseau central SWIFT n’a pas été compromis. Ce sont les environnements locaux des utilisateurs qui ont été ciblés. Le programme CSP a donc été conçu pour sécuriser ces points faibles. L’idée est simple : rendre l’émission de messages non autorisés beaucoup plus difficile.
Au-delà des enjeux techniques, il y a aussi un facteur de confiance. Les partenaires financiers exigent aujourd’hui que les établissements prouvent leur conformité aux exigences du programme CSP de SWIFT. Et les régulateurs y accordent une attention croissante. Le programme CSP est devenu un pilier de la résilience collective du système financier international.
Depuis 2021, SWIFT impose que la conformité aux contrôles CSCF soit vérifiée par une évaluation indépendante : soit par une équipe d’audit interne indépendante, soit par un prestataire externe qualifié. Il ne suffit donc plus de « s’auto-attester » : une entité certifiée doit valider la mise en œuvre effective des contrôles.
Pour garantir la compétence des évaluateurs, SWIFT a mis en place une certification officielle. À ce jour, plus de 300 experts dans le monde sont reconnus comme Certified CSP Assessors. Orange Cyberdefense en compte trois au sein de ses équipes - ce qui représente un gage clair de notre maîtrise du sujet(10).
Nous sommes officiellement autorisés par SWIFT à mener ces évaluations. Cela signifie que nous pouvons accompagner les entités dans leur parcours de conformité, réaliser les audits annuels et fournir les attestations formelles exigées par SWIFT(11).
Depuis plusieurs années, nous effectuons des évaluations régulières pour le compte de clients majeurs issus de secteurs critiques : groupes industriels dans l’agroalimentaire, entreprises du secteur de l’énergie, institutions financières publiques… Ces missions sont menées aussi bien en France que dans d’autres régions : Afrique du Sud, Europe du Sud, etc.
Notre démarche n’est pas simplement de « contrôler » : nous aidons nos clients à mieux comprendre les exigences, à corriger les écarts de manière pragmatique, et à renforcer durablement leur sécurité.
Pour vous faire accompagner, consultez notre offre en Conseil et Audit en cliquant sur le lien ci-dessous.