SWIFT a pris des mesures drastiques en adoptant le programme baptisé Customer Security Programme (CSP), qui intègre un ensemble de 27 règles incluant 16 règles obligatoires auxquelles chaque utilisateur de SWIFT doit se conformer avant le 31 Décembre 2017.
La sécurité est une préoccupation majeure des directions financières. A l’heure où les tentatives de fraude au président et de fraude aux faux virements mobilisent l’attention et la vigilance des trésoriers, SWIFT y va de sa contribution pour aider ses clients à rendre plus sûrs leurs points d’accès au réseau de messagerie financière international. La centrale a pris la dimension du problème après que des fraudeurs aient réussi en février 2016 à détourner des caisses de la banque centrale du Bangladesh la somme de 80 millions de dollars.
« Cette fraude a révélé l’importance de sécuriser l’ensemble des environnements bancaires », explique Alain Raes, Chief Executive de Swift pour les régions Europe-Moyen Orient-Afrique et Asie-Pacifique. « En soi, le réseau SWIFT n’a pas été compromis. Il s’est simplement passé que des personnes malveillantes sont parvenues à entrer dans l’environnement bancaire et à échanger des transactions qui du point de vue de SWIFT semblaient tout à fait conformes », ajoute-t-il.
A la suite de cet incident, SWIFT a pris des mesures drastiques en adoptant le programme baptisé Customer Security Programme (CSP), qui intègre un ensemble de 27 règles incluant 16 règles obligatoires auxquelles chaque utilisateur de SWIFT doit se conformer avant le 31 Décembre 2017. « Le Customer Security Programme vise que chaque utilisateur de SWIFT augmente son niveau de sécurité et que le système de messagerie ne soit pas poreux. Il intègre plusieurs règles de sécurité basiques, consistant notamment à mettre en place des pare-feux (firewalls), des logiciels de protection et à ségréguer les fonctions sur le réseau SWIFT. Chaque utilisateur doit protéger et sécuriser son environnement local pour rendre le travail des cyber-criminels misérable et les détourner du réseau. Le programme améliore la détection et la prévention de la fraude chez ses contreparties. Il met également l’accent sur le partage d’informations au sein de la communauté d’utilisateurs pour permettre à chacun de se préparer aux futures menaces », souligne Alain Raes.
Les 11.000 institutions utilisatrices du réseau SWIFT doivent compléter un processus de certification interne de leurs mécanismes de sécurité pour vérifier qu’ils sont conformes aux règles définies par SWIFT. Chaque institution doit ensuite attester avant la fin de l’année sur le portail internet de SWIFT leur conformité sur chacune des règles obligatoires du programme. La procédure de déclaration, de publication et de diffusion des résultats sera détaillée d’ici fin Mai. « Cela va impacter toutes les entreprises y compris celles qui accèdent au réseau SWIFT via un service bureau », remarque Alain Raes. Cependant, les services bureau étant déjà certifiés par SWIFT dans le cadre du programme Shared Infrastructure, ils se conforment déjà à des standards de sécurités beaucoup plus contraignants et une partie des règles relatives à la sécurisation de l’infrastructure SWIFT est donc déjà conforme à ce que SWIFT demande. « Les entreprises utilisatrices d’un service bureau sont toutefois invitées à assister sessions de travail Securité organisées par SWIFT via le Customer Security Programme, de même qu’ils peuvent discuter avec leurs banques pour renforcer leur coopération en matière de sécurité ».
A partir de 2018, SWIFT a prévu de mener des audits aléatoires pour vérifier la validité des déclarations des différentes institutions connectées au réseau. Les résultats des déclarations recueillies sur son portail seront également mis à la disposition des régulateurs locaux qui le demandent. Enfin, chaque institution pourra également demander aux autres institutions de voir le détail de leur déclaration de conformité. Ce sera un moyen de renforcer la transparence, de mieux évaluer les risques avant d’établir une nouvelle relation commerciale et d’améliorer le niveau global de sécurité pour l’ensemble de la communauté.