La sécurité informatique et la gestion des cyberrisques sont au centre de l’attention des établissements financiers, mais aussi de celle des autorités de surveillance. SWIFT a anticipé et publié, en 2017 déjà, le Customer Security Programme (CSP) qui fournit à tous les établissements financiers connectés des principes de base communs pour la gestion des risques informatiques. Depuis, le Control Framework (CSCF) qui en découle n’a cessé d’être développé : il y avait 16 contrôles obligatoires en 2017 ; il y en a 22 en 2021. De plus, dès 2021, les utilisateurs seront tenus de réaliser une évaluation CSCF indépendante sur base annuelle. Un défi que BDO peut vous aider à relever.
SWIFT Customer Security Programme (CSP) - Community-Standard Assessment
SWIFT exploite un réseau de télécommunication qui règle le trafic des paiements du monde entier. La plate-forme compte plus de 11.000 utilisateurs reliés entre eux grâce au réseau. Ce réseau très sensible est confronté à un risque important de cyberattaques de portée élevée.
Dans le but de répondre à ce risque, SWIFT a approuvé en 2016 le Customer Security Programme (CSP). L’objectif est d’établir des principes de base pour la gestion des risques informatiques valables pour tous les établissements financiers connectés. Dans cette optique, SWIFT a défini un catalogue détaillé de contrôles de sécurité. Renouvelé annuellement, le Costumer Security Control Framework (CSCF) définit depuis 2017 les normes et exigences de sécurité du CSP.
Customer Security Control Framework (CSCF)
Depuis sa publication en 2017, le CSCF a été renforcé en permanence et adapté en fonction de l’évolution des risques informatiques. S’il n’y avait que 16 contrôles obligatoires en 2017, leur nombre a peu à peu augmenté pour s’élever à 22 contrôles obligatoires (23 en 2022) et 9 contrôles facultatifs en 2021. En parallèle au renforcement des contrôles existants, des contrôles facultatifs sont devenus obligatoires au fil des années et de nouveaux contrôles ont été introduits.
Le CSCF a été mappé par rapport aux normes reconnues dans le secteur afin d’améliorer l’intégration des objectifs de contrôle SWIFT dans l’organisation en place. Il s'agit notamment des normes NIST Cybersecurity Framework v1.1, ISO 27002 (2013) et PCI DSS 3.2.1, largement utilisées par les institutions financières.
Évaluation indépendante
Depuis cette année, les utilisateurs sont tenus de réaliser une évaluation CSCF indépendante annuelle. Jusqu’à fin 2020, l’évaluation sur la base du Control Framework était facultative. De plus, on ignorait si l’évaluation pouvait être réalisée sous forme d’auto-évaluation par le département compétent ou si elle devait être réalisée par un tiers indépendant.
| Nature de l'évaluation | Critères de sélection | Evaluateur | Agenda 2020 | Agenda 2021 |
|---|---|---|---|---|
| Auto-évaluation | Facultatif - initié par l'utilisateur | Interne ou externe | X | |
| Évaluation indépendante | Obligatoire pour tous les utilisateurs | Interne ou externe | X | |
| Evaluation SWIFT obligatoire | Obligatoire - Echantillon sélectionné par Analyse QA | Uniquement externe | X | X |
À partir de 2021, tous les établissements connectés au réseau SWIFT auront l’obligation de se faire évaluer par un tiers indépendant. À cet égard, SWIFT laisse la possibilité de faire réaliser l’évaluation par un évaluateur interne ou externe. À l’interne, il peut s’agir du Risk Office, de l’audit interne ou d’un autre organe indépendant appartenant à la 2ème ou 3ème ligne de défense (line of defense) de l’entreprise. Il est fondamental que le niveau des compétences permette l’évaluation des contrôles techniques et organisationnels et de leur mise en œuvre.
De plus, et ce depuis 2018 déjà, SWIFT se réserve le droit de faire vérifier l’exactitude des résultats pour un échantillon d’établissements par un organe externe. Dans ce cas, l’intervention d’un évaluateur interne indépendant n’est pas autorisée.
Recommandations
Dans le monde des services financiers, les nouveautés se succèdent rapidement, ce qui met les établissements financiers, en particulier les petits et les moyens, face à de grands défis. Afin que les normes puissent être mise en œuvre de manière efficace et en temps utiles, nous recommandons d’impliquer l’ensemble parties concernées suffisamment tôt. Il est notamment nécessaire de sensibiliser les décideurs pour permettre d’établir des solutions à long terme pour une évaluation continue du CSCF.
Si à ce jour, il n’a encore jamais été fait appel à un évaluateur externe indépendant, il s’agit de s’assurer qu’il est possible de s’appuyer sur des travaux déjà réalisés. Des contrôles CSP déjà documentés et non modifiés peuvent être utilisés pour permettre de réaliser l’évaluation externe d’une manière plus efficace.
Les résultats du CSCF annuel doivent être communiqués à SWIFT entre le 1er juillet et le 31 décembre. Nous proposons généralement le déroulement ci-dessous :
Notre approche par étape permet de corriger les éventuels points en suspens ou manquements avant de communiquer les résultats de l’évaluation finale. Nous pouvons ainsi vous garantir la meilleure efficacité opérationnelle des contrôles mis en œuvre et la conformité SWIFT qui en découle.
Subscribe to receive the latest BDO News and Insights
Please fill out the following form to access the download.