Membres du réseau SWIFT : avez-vous pensé à votre évaluation CSP ?
Le 9 décembre 2021 |
Les entreprises membres du réseau interbancaire SWIFT ont reçu un ensemble de communications leur indiquant de procéder, avant le 31 décembre 2021, à une évaluation du niveau de sécurité de leur plateforme. En effet, depuis cette année, SWIFT exige de ses membres qu’une évaluation de cybersécurité soit réalisée par un auditeur indépendant.
Les entreprises membres du réseau interbancaire SWIFT ont reçu un ensemble de communications leur indiquant de procéder, avant le 31 décembre 2021, à une évaluation du niveau de sécurité de leur plateforme. En effet, depuis cette année, SWIFT exige de ses membres qu’une évaluation de cybersécurité soit réalisée par un auditeur indépendant.
Un guide de contrôle pour base d’évaluation
Par le passé, cette même analyse de cybersécurité pouvait être menée sous forme « d’auto-évaluation », conduite, par exemple, par l’équipe trésorerie ou par l’équipe informatique. Cette pratique ne permet plus de répondre aux exigences de SWIFT.
Même si de nombreux groupes ou sociétés, de toutes les industries et de toutes les géographies, ont d’ores et déjà amorcé le recours à un évaluateur indépendant, il reste toutefois à ce jour des organisations qui n’ont pas encore mandaté d’auditeur indépendant.
Cette évaluation consiste, sur la base d’un guide de contrôle (dit Customer Security Programme, simplifié « CSP »), à mesurer l’écart entre les pratiques constatées et les solutions ou dispositifs de cybersécurité préconisés, avec un ensemble de vérifications obligatoires et optionnelles (31 au maximum).
Les principes du Customer Security Programme portent sur des problématiques de base de cybersécurité, rappelées régulièrement sur d’autres sujets ou règlements, par exemple par l’Agence Nationale de Sécurité des Systèmes d’Information en France (ANSSI) ou d’autres régulateurs en France et/ou à l’international. Ces principes abordent trois thèmes principaux :
- la sécurisation de l’environnement informatique,
- le contrôle strict des accès,
- la détection/réaction vis-à-vis d’actions frauduleuses.
Une échéance fixée au 31 décembre 2021
Pour la réalisation de ces contrôles, et donc pour l’évaluation indépendante, il est préférable de disposer d’une expertise en cybersécurité. Il est donc essentiel d’identifier très tôt la charge de ce contrôle pour les acteurs SWIFT de l’entreprise (direction de la trésorerie, direction financière) et pour l’auditeur. Il est également important de prévoir ces travaux dans un calendrier resserré. En effet, l’échéance du 31 décembre 2021 arrivant à grands pas, ces enjeux doivent être adressés à très court terme, car ils pourraient faire l’objet de contrôles aléatoires par SWIFT visant à vérifier la sincérité et la pertinence des évaluations réalisées et des documents de preuves associés.
3 enjeux clés
Auteurs
Découvrir nos offres
Evaluation indépendante du CSP SWIFT
Face à la recrudescence et la professionnalisation des attaques cyber, les organisations et les entreprises tentent de renforcer leur niveau de maturité face aux menaces en mettant en œuvre des dispositifs organisationnels et techniques ainsi que des programmes de conformité.
Cybersécurité et protection des données
Dans un environnement toujours plus digitalisé, la circulation et l’exploitation de données représentent un potentiel de création de valeur gigantesque pour les entreprises tout comme une menace de plus en plus redoutable pour leur sécurité.
Audit IT
Bâtir la confiance à partir du tremplin de la technologie, des processus et des contrôles Les entreprises dépendent de plus en plus de la technologie, ce qui est source d’opportunités comme de risques. Face à la complexité croissante de l’environnement règlementaire, les sociétés doivent s’assurer de la sécurité de leurs systèmes informatiques. Nos spécialistes en assurance et conseil des technologies...