Qu'est-ce que le programme Swift CSP et pourquoi est-il essentiel ?
L'essentiel de votre hack'tu cybersécurité
- Le SWIFT Customer Security Programme (CSP) : en réponse aux menaces croissantes, SWIFT a lancé en 2016 le Customer Security Programme (CSP) pour renforcer la sécurité de tous ses utilisateurs. Ce programme repose sur un cadre structuré de contrôles de sécurité : le Customer Security Controls Framework (CSCF), qui impose des mesures que tous les membres doivent appliquer ;
- Pourquoi c’est important : des cyberattaques de grande ampleur comme celle ayant ciblé la Banque centrale du Bangladesh en 2016 ont révélé la vulnérabilité de certains points de terminaison SWIFT ;
- Le respect du CSP permet de prévenir ce type de fraude en imposant des exigences de sécurité fondamentales.
Qu'est-ce que le réseau SWIFT ?
La Society for Worldwide Interbank Financial Telecommunication (SWIFT)(1) opère un réseau de messagerie sécurisé que les banques utilisent pour les paiements internationaux, notamment dans le cadre des paiements transfrontaliers. Véritable colonne vertébrale du système bancaire mondial, SWIFT est devenu une infrastructure critique et donc une cible de choix pour les cybercriminels.
SWIFT est souvent comparée au système circulatoire de la finance mondiale. Concrètement, SWIFT ne transfère pas d’argent en tant que tel : ce service transmet les instructions nécessaires aux transferts interbancaires. À chaque fois que vous entendez parler d’un virement international, il y a de fortes chances qu’il ait transité via le réseau SWIFT(2).
Son infrastructure fiable et omniprésente ont fait de SWIFT un pilier de la finance internationale, utilisé par plus de 11 000 établissements dans plus de 200 pays et territoires. Mais être au cœur du système bancaire mondial implique aussi une exposition élevée : un simple message SWIFT peut déclencher le transfert de centaines de millions d’euros. Si des cyberattaquants parviennent à compromettre les systèmes locaux d’un utilisateur SWIFT, ils peuvent potentiellement émettre des instructions frauduleuses vers des comptes contrôlés par des criminels. Ce n’est pas une menace théorique : c’est précisément ce qui s’est produit dans certaines des attaques les plus marquantes de la dernière décennie. D’où l’importance absolue de sécuriser non seulement le réseau SWIFT central, mais également chaque point de connexion local.
Qu’est-ce que le programme SWIFT CSP et le cadre CSCF ?
Après plusieurs attaques retentissantes, le réseau SWIFT a reconnu qu’il fallait rehausser globalement le niveau de sécurité de toute sa communauté. C’est ainsi qu’est né en 2016 le Customer Security Programme (CSP)(3) : un programme visant à renforcer les défenses de chaque institution connectée au réseau.
Ce programme repose sur un cadre appelé Customer Security Controls Framework (CSCF) (4), qui regroupe un ensemble structuré de contrôles de sécurité que tous les utilisateurs SWIFT doivent mettre en œuvre dans leur propre environnement. Ces contrôles couvrent des domaines variés : segmentation réseau, authentification forte, gestion des accès, détection d’activités anormales, etc. Le CSCF s’appuie sur des standards reconnus - NIST, ISO 27001, PCI-DSS…(5) - mais également sur des enseignements tirés de cyberattaques réelles observées sur le terrain. Il est mis à jour chaque année pour s’adapter aux menaces émergentes.
Les environnements SWIFT sont classés dans ce programme selon différents types d’architectures (A1, A2, A3, A4, B)(6), selon la manière dont une organisation se connecte au réseau. Le CSP s’adapte à ces différences, mais les objectifs fondamentaux restent les mêmes : sécuriser l’environnement, contrôler les accès, et détecter/réagir aux incidents.
De la même manière, le cadre CSCF distingue deux types de contrôles :
- Contrôles obligatoires (dits « mandatory ») : ce sont les exigences minimales que tous les utilisateurs SWIFT doivent respecter. Leur nombre a augmenté au fil du temps, en réponse aux évolutions du risque ;
- Contrôles recommandés (dits « advisory ») : ce sont des bonnes pratiques supplémentaires, non obligatoires mais fortement conseillées. Certains de ces contrôles finissent parfois par devenir obligatoires à mesure que le niveau d’exigence augmente.
L’approche est évolutive : l’objectif n’est pas de « cocher des cases », mais bien d’améliorer continuellement la posture de sécurité des utilisateurs SWIFT.
Pourquoi c’est essentiel : les leçons tirées des cyberattaques majeures
L’attaque de la Banque centrale du Bangladesh(7), en février 2016, reste l’exemple le plus frappant des risques liés à une mauvaise sécurisation des systèmes SWIFT.
Les cybercriminels ont infiltré le réseau interne de la banque, et ont utilisé son accès SWIFT pour envoyer des instructions frauduleuses visant à détourner près d’un milliard de dollars depuis la Réserve fédérale de New York. Grâce à une faute de frappe suspecte, la plupart des virements ont été bloqués, mais 81 millions de dollars ont malgré tout été volés.
Ce n’était pas un cas isolé. Des incidents similaires ont été documentés au Vietnam (TPBank)(8), en Équateur (Banco del Austro)(9), en Inde… Le scénario est souvent le même : un accès au système SWIFT est obtenu grâce à une compromission locale, puis des transferts frauduleux sont envoyés à l’insu des opérateurs.
Dans toutes ces affaires, le réseau central SWIFT n’a pas été compromis. Ce sont les environnements locaux des utilisateurs qui ont été ciblés. Le programme CSP a donc été conçu pour sécuriser ces points faibles. L’idée est simple : rendre l’émission de messages non autorisés beaucoup plus difficile.
Au-delà des enjeux techniques, il y a aussi un facteur de confiance. Les partenaires financiers exigent aujourd’hui que les établissements prouvent leur conformité aux exigences du programme CSP de SWIFT. Et les régulateurs y accordent une attention croissante. Le programme CSP est devenu un pilier de la résilience collective du système financier international.
Orange Cyberdefense : une expertise et une évaluation indépendantes pour garantir la conformité
Depuis 2021, SWIFT impose que la conformité aux contrôles CSCF soit vérifiée par une évaluation indépendante : soit par une équipe d’audit interne indépendante, soit par un prestataire externe qualifié. Il ne suffit donc plus de « s’auto-attester » : une entité certifiée doit valider la mise en œuvre effective des contrôles.
Pour garantir la compétence des évaluateurs, SWIFT a mis en place une certification officielle. À ce jour, plus de 300 experts dans le monde sont reconnus comme Certified CSP Assessors. Orange Cyberdefense en compte trois au sein de ses équipes - ce qui représente un gage clair de notre maîtrise du sujet(10).
Nous sommes officiellement autorisés par SWIFT à mener ces évaluations. Cela signifie que nous pouvons accompagner les entités dans leur parcours de conformité, réaliser les audits annuels et fournir les attestations formelles exigées par SWIFT(11).
Depuis plusieurs années, nous effectuons des évaluations régulières pour le compte de clients majeurs issus de secteurs critiques : groupes industriels dans l’agroalimentaire, entreprises du secteur de l’énergie, institutions financières publiques… Ces missions sont menées aussi bien en France que dans d’autres régions : Afrique du Sud, Europe du Sud, etc.
Notre démarche n’est pas simplement de « contrôler » : nous aidons nos clients à mieux comprendre les exigences, à corriger les écarts de manière pragmatique, et à renforcer durablement leur sécurité.
Pour vous faire accompagner, consultez notre offre en Conseil et Audit en cliquant sur le lien ci-dessous.
Sources et notes
(1)SWIFT (Society for Worldwide Interbank Financial Telecommunication) : réseau de messagerie sécurisé utilisé par les institutions financières pour échanger des instructions de paiement. SWIFT transmet les messages associés aux transactions. SWIFT transmet uniquement les instructions entre les parties (banques émettrices/réceptrices).(2) Réseau SWIFT : réseau de messagerie sécurisé utilisé par les institutions financières du monde entier pour échanger des informations financières (+11 000 organisations dans +200 pays).
(3) CSP (Customer Security Programme) : programme sécurité mis en place par SWIFT afin de renforcer la cybersécurité des utilisateurs du réseau SWIFT.
(4) CSCF (Customer Security Controls Framework) : cadre défini par SWIFT qui comprend des contrôles de sécurité (+30) obligatoires et recommandés que chaque utilisateur doit mettre en oeuvre dans le cadre du CSP.
(5) NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) : référentiel de cybersécurité développé par le NIST et conçu pour aider les organisations à gérer les risques cyber ;
ISO 27001 : norme internationale de gestion de la sécurité de l'information ; PCI DSS (Payment Card Industry Data Security Standard) : norme de sécurité créée par le PCI Security Standards Council, permettant de protéger le stockage, traitement, transmission de données de cartes bancaires.
(6) Architecture SWIFT : SWIFT définit 5 types d'architecture pour l'accès à son réseau, en fonction du niveau de gestion interne par rapport à l'externalisation (A1, A2, A3, A4, B). Plus ou moins de contrôles s'appliquent en fonction de l'architecture dans le cadre du CSP.
(7) Three years on from Bangladesh: Tackling the adversaries, SWIFT Isac Report, avril 2019: https://www.swift.com/node/210491
(8) Vietnam’s Tien Phong Bank says it was second bank hit by SWIFT cyberattack, 15 mai 2016, CNBC / Reuters : https://www.cnbc.com/2016/05/15/vietnams-tien-phong-bank-says-it-was-second-bank-hit-by-swift-cyber-attack.html
(9) Ecuadorean Bank Loses $12 million via SWIFT, 20 mai 2016, Trend Micro : https://www.trendmicro.com/vinfo/br/security/news/cyber-attacks/ecuadorean-bank-loses-12m-via-swift
(10) CSP Certified Assessors Directory : https://www.swift.com/myswift/customer-security-programme-csp/customer-security-programme-assessor-certification/csp-certified-assessors-directory
(11) Orange Cyberdefense, Conseil & Audit : https://www.orangecyberdefense.com/fr/solutions/conseil-audit