Swift Customer Security Programme (CSP) : de l’auto-évaluation à l’audit

Pouvez-vous nous présenter le programme CSP dans ses grandes lignes ?

Le Swift Customer Security Programme (CSP) concerne la sécurité de la plateforme Swift de communication entre les acteurs des marchés de capitaux. Il a pour ambition d’harmoniser le niveau de sécurité des participants et de détecter toute activité frauduleuse qui pourrait avoir lieu sur cette plateforme. CSP a été lancé en 2017, avec un virage important en 2021. Le programme passe en effet d’une auto-évaluation des entités concernées à une politique de revue indépendante soit par audit interne des entités, soit par un organisme d’audit externe. Les rapports d’évaluation indépendante doivent être réalisés au plus tard le 31 décembre 2021.

De quoi le programme CSP est-il constitué ?

Il comporte 31 contrôles au total. Certains sont obligatoires et d’autres sont recommandés. Ces contrôles adressent principalement 3 thèmes : la sécurisation de l’environnement informatique, le contrôle strict des accès et enfin la détection/réaction vis-à-vis d’actions frauduleuses. 

En quoi consiste aujourd’hui la démarche d’évaluation que vous évoquiez ?

Le choix du Groupe Crédit Agricole a été de mener une certification par audit interne dès 2020, sans attendre l’échéance de 2021. Outre le périmètre et les contrôles du programme CSP, qui se transforment d’année en année, les principales différences avec l’auto-évaluation sont la fourniture stricte de preuves — comme dans le cadre de tout audit — et la nécessité de correctement formaliser tous les livrables qui sont associés aux contrôles demandés.

Quelles ont été les principales difficultés rencontrées ?

Pour la mise en œuvre du CSP et la certification par l’audit qui a eu lieu en 2020, CA-GIP, au service de ses clients, n’a pas éprouvé de réelles difficultés étant donné que les thématiques visées par le programme CSP étaient déjà adressées depuis de nombreuses années par un programme sécurité interne. Le passage à un audit en 2020 a nécessité comme principal travail la formalisation de la contextualisation du livrable sur le domaine Swift, plutôt que des mesures de remédiation d’ampleur sur un niveau de sécurité qui était déjà très élevé. En résumé, les nouveautés 2021 avaient déjà été anticipées, CA-GIP et les entités étant engagés dans une politique constante de renforcement de la sécurité.

Qui a accès à ces évaluations ?

En dehors de l’entité concernée et de la société ou du service d’audit interne, qui y ont bien sûr accès, le rapport est adressé à Swift, qu’il s’agisse d’autoévaluation ou d’évaluation indépendante. Les preuves, elles, sont conservées en interne.

A noter qu’en plus de Swift et de l’entité concernée, pour un participant Swift, une contrepartie peut être demandée via le portail l’accès au résultat des évaluations sur le volet cybersécurité.

En savoir plus sur l'évaluation indépendante du programme CSP