Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

12/06/2023

Cybersecurity Insights

SWIFT CSP : Les évolutions du référentiel pour 2023

Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Notre démarche Almond prévoit une phase d’évaluation à blanc fortement recommandée et réalisable dès maintenant afin de vous positionner vis-à-vis de ces nouvelles exigences.

Dans une logique proactive, nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023.

Disparition du « Delta Assessment »

Le concept de delta-assessment présent en 2022, permettait à un évaluateur SWIFT de s’appuyer sur l’évaluation de 2021 pour l’évaluation de certaines exigences, sous réserve de critères spécifiques définis dans le cadre d’évaluation indépendante SWIFT.

En 2023 le concept de delta-assessment disparait. L’évaluateur se trouvera dans l’obligation de procéder à la réévaluation de la totalité des exigences associées au type d’architecture du client SWIFT. Il sera donc nécessaire en début de cycle d’évaluer pour chacun des contrôles indépendamment si une itération complète de l’évaluation s’avère être nécessaire, ou si les constats de l’année précédentes peuvent être réutilisés, en totalité ou en partie, afin de statuer sur le niveau de conformité des pratiques associées, à condition que le contexte de l’évaluation demeure identique.

Cela vient renforcer notre recommandation que vous retrouverez dans notre article précédent, anticipez l’évaluation SWIFT dès que possible et n’attendez pas le dernier moment !

A noter cependant que si le contexte et donc les constats sont identiques d’une année sur l’autre, l’évaluateur a tout de même la possibilité de s’appuyer sur les conclusions de l’année passée pour justifier d’un résultat conforme ou non.

Revue des types d’architecture

Nouveauté importante et pouvant avoir un impact sur votre conformité, le CSCF v2023 fait évoluer les architectures de type A3, A4 et B.

Pour bien comprendre les évolutions, le standard met l’accent sur la notion de « client » et de « serveur ». Quelques définitions ici :

Le connecteur client comprend notamment les solutions génériques de transfert de fichiers utilisées pour faciliter la communication avec les composants relatifs à SWIFT proposées par un prestataire de service.

Le serveur middleware fait référence aux systèmes locaux utilisés pour l’échange de données entre les composants en lien avec SWIFT (dans l’infrastructure SWIFT locale ou chez un prestataire de services). Celui-ci doit être considéré comme un connecteur client lorsqu’il est utilisé pour faciliter la communication avec les composants liés à SWIFT proposés par un prestataire de services.

Ainsi, l’architecture A4 fait référence à un environnement utilisateur SWIFT où il n’existe pas d’empreinte SWIFT mais qui utilise un serveur exécutant une application (telle qu’une solution de transfert de fichiers, ou un système middleware qui est un connecteur client) pour faciliter la communication d’application à application avec une interface chez un prestataire de service (par exemple un service bureau).

Une note spécifique est mise en avant pour indiquer la possibilité d’une migration vers l’architecture de type A4 :

  • Pour les utilisateurs ayant précédemment attesté comme Architecture B parce qu’ils utilisent, comme connecteur client, un serveur middleware pour se connecter à un prestataire de services.
  • Pour les utilisateurs ayant précédemment attesté comme Architecture A3 parce qu’ils utilisent, comme connecteur client, un serveur de transfert de fichiers ou un serveur middleware pour se connecter à un prestataire de services sans avoir de connecteur SWIFT.

Les architectures de type B sont donc réservées aux environnements disposant uniquement d’outils back-office et de client de transferts de fichiers. Les architectures de type A4, elles, sont liées aux environnements disposant d’un serveur de transfert de fichiers permettant de faire le lien avec un service bureau par exemple.

La migration vers une architecture de type A4 aura pour conséquence de redéfinir les exigences applicables à l’environnement utilisateur, notamment pour les anciennes architectures de type B, le besoin d’un environnement client sécurisé (exigence 1.5) peut entraîner des travaux relativement importants.

Nous recommandons donc fortement de revoir l’implémentation faite au sein de votre environnement afin de vous assurer que votre architecture et les exigences associées n’ont pas évolué.

Protection de l’environnement client

En lien avec l’évolution des architectures, le CSCF 2023 a fait évoluer l’exigence 1.5 « Protection de l’environnement client » pour la rendre obligatoire, uniquement pour les architectures de type A4.

Les architectures de type A1, A2 et A3 disposent déjà d’une exigence similaire « protection de l’environnement SWIFT » ayant pour objectif de cloisonner l’environnement SWIFT du reste du système d’information du client, afin de limiter les risques de latéralisation d’un attaquant ayant déjà un pied sur l’environnement du client.

Avec cette exigence, SWIFT cherche à protéger les systèmes utilisés pour faire le lien entre le back-office du client et son service bureau. Ces systèmes s’ils sont laissés sans protection pourraient permettre à un attaquant de modifier les transactions ou même de mener des attaques permettant de compromettre l’environnement SWIFT externalisé.

Cette exigence peut être lourde à porter pour des clients de taille réduite, notre conseil est le suivant :

Réalisez une évaluation à blanc au plus tôt pour disposer d’une analyse d’écart exhaustive, vous permettant une prise de décision éclairée :

  • Commencer rapidement les travaux de mise en conformité
  • Envisager une évolution de votre périmètre pour migrer vers une architecture de type B moins contraignante

Conclusion

Le CSCF est un framework complet, reprenant des exigences connues et éprouvées dans d’autres référentiels, permettant aux CISO et à leurs équipes de traiter ces sujets de manière transverse, et non pas seulement pour se mettre en conformité avec le CSP. D’autres mesures sont en revanche orientées SWIFT, avec leurs spécificités, afin de répondre au mieux aux différents risques identifiés pour chaque thème de la sécurité.

Le CSP n’est donc pas une contrainte, il s’agit d’un recueil de bonnes pratiques repris de différents référentiels et standards en la matière. La plupart de ces mesures sont déjà mises en place par les clients, avant même de commencer l’évaluation, car la gouvernance de la sécurité impose de les considérer dans la politique de l’entreprise.

Des nouveautés font leur apparition chaque année, qu’il faut analyser et considérer au cas par cas, selon son contexte et une étude d’opportunité doit logiquement en découler.

Ces dispositions doivent être considérées afin de mettre toutes les chances de son côté dans le cadre de la réalisation des activités relatives à l’évaluation CSP, afin de reprendre l’objectif principal de SWIFT au travers de cette démarche, à savoir promouvoir les actions permettant de gagner en maturité sur le thème de la cybersécurité, mais également générer et maintenir la confiance entre toutes les parties prenantes de la chaîne d’utilisateurs et de prestataires utilisant des services fournis par SWIFT.

Thierry CASIER

Manager Governance, Risks & Compliance

François PETIOT

Consultant Governance, Risks & Compliance

Pierre ZORDAN

Consultant Governance, Risks & Compliance

Nos valeurs

Excellence

  • Dépasser sans cesse nos limites
  • Encourager les initiatives
  • Améliorer nos services
  • Former nos équipes
  • Accompagner nos clients

L’excellence est notre énergie.

Innovation

  • Nous ouvrir au monde
  • Explorer les nouvelles technologies
  • Inventer de nouvelles solutions
  • Être visionnaire

L’innovation donne un temps d’avance à nos clients.

Engagement

  • Ne jamais rien lâcher
  • Dépasser les attentes,
  • S’engager sur des résultats
  • Faire progresser ensemble

Notre engagement forge notre succès.

Titre de la section

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Cliquez ici

Voir les derniers Cybersecurity Insights

13 November 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
11 October 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
16 June 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
Read more
5 June 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
Read more
2 June 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
Read more
2 June 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
Read more
26 May 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
Read more
4 May 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.
Read more
4 May 2023
Cet article a pour objet de présenter les enjeux liés à la protection des données personnelles auxquels les régies publicitaires sont confrontées, et de présenter un processus de mise en conformité pour répondre à ces enjeux.
Read more
The crew
Cyber Security
Secure Cloud &
Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram
Twitter Linkedin Facebook Youtube Instagram

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !