Les établissements financiers mettent l’accent sur les cyberrisques

La sécurité informatique et la gestion des cyberrisques en particulier sont au centre de l’attention des établissements financiers, mais aussi de celle des autorités de surveillance. SWIFT a anticipé et publié, en 2017 déjà, le Customer Security Programme (CSP) qui fournit à tous les établissements financiers connectés des principes de base communs pour la gestion des risques informatiques. Depuis, le Control Framework (CSCF) qui en découle n’a cessé d’être développé: il y avait 16 contrôles obligatoires en 2017 et il y en a 22 en 2021. De plus, dès 2021, les utilisateurs seront tenus de réaliser une évaluation CSCF indépendante annuelle. BDO vous apporte son soutien pour relever ces défis.

 

 

SWIFT Customer Security Programme (CSP) - Independent Assessment

SWIFT exploite un réseau de télécommunication qui règle le trafic des paiements du monde entier. La plate-forme compte plus de 11 000 utilisateurs reliés entre eux grâce au réseau. Ce réseau très sensible est confronté à un risque important de cyberattaques de portée élevée.

Dans le but de répondre à ce risque, SWIFT a approuvé en 2016 le Customer Security Programme (CSP). Le CSP établit des standards de sécurité du CSP devant être appliqués dès 2017. L’objectif est d’établir des principes de base pour la gestion des risques informatiques valables pour tous les établissements financiers connectés. Dans cette optique, SWIFT a défini un catalogue détaillé de contrôles de sécurité.

Customer Security Control Framework (CSCF)

Depuis sa publication en 2017, le CSCF a été renforcé en permanence et adapté en fonction de l’évolution des risques informatiques. S’il n’y avait que 16 contrôles obligatoires en 2017, leur nombre a peu à peu augmenté pour s’élever à 22 contrôles obligatoires et 9 contrôles facultatifs en 2021. En parallèle au renforcement des contrôles existants, des contrôles facultatifs sont devenus obligatoires et de nouveaux contrôles ont été introduits.

Un mapping des normes reconnues dans le secteur a été mis à disposition afin d’améliorer l’intégration des objectifs de contrôle SWIFT dans l’organisation en place. Il s'agit notamment des normes NIST Cybersecurity Framework v1.1, ISO 27002 (2013) et PCI DSS 3.2.1, largement utilisées par les institutions financières.

Evaluation par un tiers indépendant

Depuis cette année, les utilisateurs sont tenus de réaliser une évaluation CSCF indépendante annuelle. Jusqu’à fin 2020, l’évaluation sur la base du Control Framework était facultative. De plus, on ignorait si l’évaluation pouvait être réalisée sous forme d’auto-évaluation par le département compétent ou si elle devait être réalisée par un tiers indépendant.

Nature de l'évaluation Critères de sélection Evaluateur Agenda
      2019 2020 2021
Evaluation initiée par l'utilisateur Facultatif - initié par l'utilisateur Interne ou externe X X X
Evaluation selon le norme CSP
Obligatoire pour tous les utilisateurs
Interne ou externe     X
Evaluation SWIFT obligatoire Obligatoire - Echantillon sélectionné par Analyse QA  Uniquement externe X X X

A partir de 2021, tous les établissements connectés au réseau SWIFT auront l’obligation de se faire évaluer par un tiers indépendant. A cet égard, SWIFT laisse la possibilité de faire réaliser l’évaluation par un évaluateur interne ou externe. A l’interne, il peut s’agir du Risk Office, de l’audit interne ou d’un autre organe indépendant appartenant à la 2ème ou 3ème ligne de défense (line of defense) de l’entreprise. Il est fondamental que le niveau des compétences permette l’évaluation des contrôles techniques et organisationnels et de leur mise en œuvre.

De plus, et ce depuis 2018 déjà, SWIFT se réserve le droit de faire vérifier l’exactitude des confirmations d’un échantillon d’établissements par un organe externe. Dans ce cas, l’intervention d’un organe interne indépendant n’est pas autorisée.

Lien entre la Directive européenne sur les services de paiement (Payment Services Directive, PSD) et SWIFT

La directive UE 2015/2366 concernant les services de paiement (PSD 2) dans le marché intérieur définit certaines exigences pour garantir un niveau de sécurité des opérations de paiement adapté aux besoins du marché. Le règlement délégué (UE) 2018/389 complète la directive par des normes techniques de réglementation relatives à l'authentification forte du client. En langage plus familier, ces règlementations sont généralement appelées PSD2 et s’appliquent de manière contraignante aux prestataires de paiements au sein de l’UE et de l’EEE. La norme globale SWIFT et les objectifs de contrôle qui découlent de l’implémentation du CSCF garantissent aux utilisateurs de SWIFT un niveau de sécurité comparable.

Les intermédiaires financiers suisses ne sont pas tenus d’appliquer les exigences PSD2 pour le trafic des paiements européen. En lien avec des efforts de digitalisation constants et la mise en œuvre de normes relatives à l’open banking, ces exigences pourraient cependant, à moyen terme, prendre de plus en plus d’importance pour la Suisse qui, bien qu’elle ne fasse pas partie de l’UE, participe au SEPA. SwissBanking estime que des solutions de marché non contraignantes sont préférables à une norme réglementée.

Les intermédiaires financiers liechtensteinois doivent appliquer les exigences PSD2. Dans le but de simplifier la mise en œuvre de certaines exigences de PSD2 et de SWIFT qui se chevauchent en partie, la FMA, l’autorité de surveillance des marchés financiers du Liechtenstein, a approuvé le guide 2021/14 sur l’évaluation prudentielle de l’exception selon l’art. 17 du règlement délégué (EU) 2018/389.  Le guide, en vigueur depuis avril 2021, permet de demander une exemption de mise en œuvre de l’art. 17 du règlement (UE) 2018/3891, pour autant que la banque ait correctement établi le protocole SWIFTnet. Une partie de cette demande consiste en une confirmation de la reconnaissance du niveau de sécurité SWIFT délivrée par un organe de révision reconnu par la FMA. Cette confirmation peut être établie sur la base d’une évaluation SWIFT CSCF. Si un organe de révision reconnu est mandaté en tant qu’évaluateur externe du SWIFT CSCF, nous recommandons de faire établir en plus la confirmation mentionnée ci-dessus.

 


Le règlement délégué de l’UE 2018/389 complète la directive (EU) 2015/2366 par des normes techniques de réglementation relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de communication.

Recommandations

Les nouveautés à venir placent les établissements financiers, en particulier les petits et les moyens, face à de grands défis. Afin que les normes puissent être mise en œuvre de manière efficace et en temps utiles, nous recommandons d’impliquer l’ensemble parties concernées suffisamment tôt. Il est notamment nécessaire de sensibiliser les décideurs pour permettre d’établir des solutions à long terme pour une évaluation continue du CSCF.

Si à ce jour, il n’a encore jamais été fait appel à un évaluateur externe indépendant, il s’agit de s’assurer qu’il est possible de s’appuyer sur des travaux déjà réalisés. Des contrôles CSP déjà documentés et non modifiés peuvent être utilisés pour permettre de réaliser l’évaluation externe d’une manière plus efficace.

Les résultats du CSCF annuel doivent être communiqués à SWIFT entre le 1er juillet et le 31 décembre.

Notre approche par étape permet de corriger les éventuels points en suspens jusqu’au moment de la communication des résultats de l’évaluation. Il est ainsi possible de garantir la meilleure efficacité opérationnelle des contrôles mis en œuvre et la conformité SWIFT qui en découle. 

1 Vous trouverez d’autres articles et publications via le champ de recherche ci-dessus ou dans le menu, sous «Publications».