Membres du réseau SWIFT : avez-vous pensé à votre évaluation CSP ?

Le 9 décembre 2021 |

Les entreprises membres du réseau interbancaire SWIFT ont reçu un ensemble de communications leur indiquant de procéder, avant le 31 décembre 2021, à une évaluation du niveau de sécurité de leur plateforme. En effet, depuis cette année, SWIFT exige de ses membres qu’une évaluation de cybersécurité soit réalisée par un auditeur indépendant.

Un guide de contrôle pour base d’évaluation

Par le passé, cette même analyse de cybersécurité pouvait être menée sous forme « d’auto-évaluation », conduite, par exemple, par l’équipe trésorerie ou par l’équipe informatique. Cette pratique ne permet plus de répondre aux exigences de SWIFT.

Même si de nombreux groupes ou sociétés, de toutes les industries et de toutes les géographies, ont d’ores et déjà amorcé le recours à un évaluateur indépendant, il reste toutefois à ce jour des organisations qui n’ont pas encore mandaté d’auditeur indépendant.

Cette évaluation consiste, sur la base d’un guide de contrôle (dit Customer Security Programme, simplifié « CSP »), à mesurer l’écart entre les pratiques constatées et les solutions ou dispositifs de cybersécurité préconisés, avec un ensemble de vérifications obligatoires et optionnelles (31 au maximum).

Les principes du Customer Security Programme portent sur des problématiques de base de cybersécurité, rappelées régulièrement sur d’autres sujets ou règlements, par exemple par l’Agence Nationale de Sécurité des Systèmes d’Information en France (ANSSI) ou d’autres régulateurs en France et/ou à l’international. Ces principes abordent trois thèmes principaux :

  • la sécurisation de l’environnement informatique,
  • le contrôle strict des accès,
  • la détection/réaction vis-à-vis d’actions frauduleuses.

Une échéance fixée au 31 décembre 2021 

Pour la réalisation de ces contrôles, et donc pour l’évaluation indépendante, il est préférable de disposer d’une expertise en cybersécurité. Il est donc essentiel d’identifier très tôt la charge de ce contrôle pour les acteurs SWIFT de l’entreprise (direction de la trésorerie, direction financière) et pour l’auditeur. Il est également important de prévoir ces travaux dans un calendrier resserré. En effet, l’échéance du 31 décembre 2021 arrivant à grands pas, ces enjeux doivent être adressés à très court terme, car ils pourraient faire l’objet de contrôles aléatoires par SWIFT visant à vérifier la sincérité et la pertinence des évaluations réalisées et des documents de preuves associés.

3 enjeux clés

Auteurs