Que signifie la SWIFT ?

La SWIFT (Society for Worldwide Interbank Financial Telecommunication) est une entreprise coopérative formée par des membres de la communauté financière. La SWIFT a été fondée en 1973 par 239 banques de 15 pays. Elle vise à normaliser le format des informations financières pour faciliter l'échange électronique de ces informations entre entités financières ou corporatives. Depuis, la transaction SWIFT est devenue la norme de transfert de fonds de choix du secteur financier mondial. Aujourd'hui, plus de 11 000 institutions se sont associées à la SWIFT dans plus de 200 pays et territoires. Le système de messagerie financière SWIFTNet est un réseau de messagerie fiable avec une disponibilité de 99,999 %. Les efforts de normalisation de la SWIFT ont conduit à des progrès en matière d'automatisation et de paiements (paiements transfrontaliers et paiements en temps réel inclus). Le transfert de fonds implique des mesures de sécurité. La SWIFT a alors développé un cadre de sécurité connu sous le nom de Customer Security Controls Framework (CSCF) de la SWIFT.

Contexte de la SWIFT

Le système SWIFT est un système coopératif qui repose sur des parties prenantes activement impliquées. En tant qu'entreprise, la SWIFT est contrôlée par les banques centrales de Belgique, de France, des États-Unis, du Canada, d'Allemagne, d'Italie, des Pays-Bas, de Suède, de Suisse, du Japon, et du Royaume-Uni.

En plus de normaliser le concept de messagerie financière, la SWIFT fournit un cadre aux contrôles de sécurité des utilisateurs de SWIFT : en effet, le CSCF de la SWIFT propose des contrôles de sécurité conseillés ou obligatoires.

Comment Akamai aide-t-elle les entreprises à se conformer au CSCF de la SWIFT

Le CSCF de la SWIFT oblige les entreprises à sécuriser leur environnement grâce à des mesures telles que des contrôles d'accès de moindre privilège. Le CSCF complète ces mesures de protection en prévoyant des réponses efficaces et la gestion des incidents. Les solutions de sécurité d'Akamai proposent des renseignements et offrent une protection de bout en bout destinée à protéger les données financières des violations et des expositions accidentelles. Akamai accompagne vos équipes de sécurité dans l'optimisation de l'efficacité et du retour sur investissement de vos placements en matière de sécurité. Akamai va bien au-delà de la détection traditionnelle des terminaux pour fournir une solution Zero Trust puissante dédiée à la sécurité et à la confidentialité des données.

Akamai fournit :

une plateforme de sécurité mondiale qui applique les principes de sécurité Zero Trust avec une couverture complète de vos environnements informatique, IoT et OT
une visibilité approfondie sur les actifs, les accès et les flux réseau
une application granulaire de la politique de sécurité

Le CSCF (Customer Security Controls Framework) de la SWIFT

Les volumes croissants et la complexité exponentielle des fraudes ciblant le réseau SWIFT et les autres systèmes de paiement ont conduit à la création du CSCF (Customer Security Controls Framework) de la SWIFT. Ce cadre fait partie de leur programme de sécurité des clients (CSP). Le CSCF est un cadre de sécurité doté de contrôles de sécurité obligatoires et conseillés applicables à toute institution financière qui utilise le système de messagerie SWIFT. Le CSCF se compose de trois objectifs divisés en sept principes de sécurité stratégiques. Le cadre CSCF concerne quatre architectures d'utilisateurs de la SWIFT : A1, A2, A3 et B. Les contrôles de sécurité requis dépendent donc de l'architecture de laquelle relève un utilisateur de la SWIFT.

Schéma illustrant les trois objectifs du framework SWIFT

Objectif 1 : sécurisez votre environnement

Limitez l'accès à Internet et protégez les systèmes critiques de l'ensemble de votre environnement informatique
Réduisez la surface d'attaque et éliminez les vulnérabilités
Sécurisez physiquement votre environnement

Objectif 2 : maîtrisez les accès et fixez des limites

Empêchez la corruption des informations d'identification
Gérez les identités et compartimentez les privilèges

Objectif 3 : détectez et réagissez

Détectez les activités anormales au niveau des enregistrements système ou des transactions
Planifiez une intervention et préparez-vous à partager des informations en cas d'incident

Comment le CSCF de la SWIFT affecte-t-il votre entreprise ?

Les piratages SWIFT ciblés de large envergure comme nous avons connu en 2016 à la Banque centrale du Bangladesh (braquage qui a couté 81 millions de dollars) ont conduit au développement du cadre de cybersécurité CSCF destiné à réduire le nombre d'attaques à l'encontre des clients SWIFT. Cependant, comme l'indique un rapport de 2021, les cybercriminels continuent à cibler la SWIFT. Ce rapport du Conseil européen des paiements présente des exemples de cyberattaques multivectorielles exploitant l'infrastructure bancaire liée à la SWIFT. Le rapport met en avant certaines violations de données de grande envergure impliquant des données de carte bancaire compromises suite à des attaques APT ciblées et dirigées à l'encontre des bureaux de la SWIFT. En 2021, la SWIFT a mis à jour les mesures de son CSCF pour restreindre l'accès à Internet qui passera de facultatif à obligatoire. L'utilisation de l'authentification multifactorielle a aussi été renforcée lors de la présentation ou de l'accès à un service, une application ou un composant lié à la SWIFT et proposé par un fournisseur de services. Les institutions suivantes sont tenues d'adhérer au CSCF de la SWIFT :

Institutions financières : les institutions financières qui utilisent la plateforme de messagerie SWIFT doivent se conformer aux contrôles obligatoires du CSCF. Ces institutions doivent donc disposer de contrôles de sécurité robustes protégeant l'entreprise contre les menaces externes et internes. Les contrôles incluent la protection contre les vulnérabilités visant à mettre fin aux infections par logiciels malveillants et par ransomwares, ainsi que la séparation des rôles et privilèges d'accès afin de protéger les données sensibles, les informations d'identification et les actifs critiques de l'organisation. L'un des principes fondamentaux des contrôles du CSCF est celui de la gestion des accès de moindre privilège. En mettant en œuvre un modèle de sécurité Zero Trust, les entreprises financières sont en mesure de sécuriser leur environnement, de se protéger contre l'exploitation des vulnérabilités, de gérer les identités et de séparer les privilèges pour respecter le CSCF.

Tiers et fournisseurs : toute entité qui aide les institutions financières à traiter, stocker ou transmettre des informations sur les transactions financières SWIFT doit également se conformer aux contrôles du CSCF. Ce même modèle de sécurité Zero Trust aidera ces entités tierces à se conformer aux contrôles imposés par le CSCF de la SWIFT. Ce faisant, ces fournisseurs protégeront leur entreprise contre les cyberattaques visant leur chaîne d'approvisionnement et les autres membres de la chaîne logistique (institutions financières en bout de chaîne incluses).

En quoi Akamai contribue-t-elle à la conformité au CSCF de la SWIFT ?

La conformité au CSCF de la SWIFT nécessite une attestation d'évaluation indépendante. Une entreprise doit prendre les mesures de sécurité appropriées pour se préparer à cette évaluation. Le CSCF de la SWIFT implique une approche systématique de la sécurité. Une architecture Zero Trust prend en charge les contrôles obligatoires/conseillés nécessaires pour respecter le CSCF de la SWIFT. Cette architecture impose des contrôles du CSCF pour allier technologie et stratégie, mais aussi pour exploiter une sécurité granulaire qui filtre sur l'ensemble de la surface d'attaque potentielle. Akamai propose une gamme complète de solutions pour mettre en œuvre de nombreux contrôles imposés par le CSCF de la SWIFT. Akamai prend également en charge la conformité au CSCF de la SWIFT en proposant une gestion des risques, des rapports et de la documentation, le tout à l'aide d'une stratégie Zero Trust.

Services de messagerie SWIFT

La SWIFT fournit trois services de messagerie principaux :

FIN : FIN est le service de messagerie principalement utilisé par la SWIFT. Il est conçu pour faciliter l'échange de messages structurés individuels aux formats MT/MX et ISO 15022. En parallèle, FIN se charge aussi de la validation du format des messages, de la surveillance de la distribution, ainsi que du stockage et de la récupération.

FileAct : FileAct est un système qui prend en charge les transferts de fichiers structurés volumineux et par lot tels que les fichiers de paiements en lot ou les informations à valeur ajoutée sur les sécurités.

InterAct : InterAct propose un service de non-répudiation basé sur XML et destiné aux messages financiers (messages aux formats SWIFT MX et ISO 20022 inclus).

Autres initiatives de la SWIFT

SWIFT GPI : plus de 4 000 institutions financières se sont inscrites sur SWIFT GPI, une plateforme de paiements transfrontaliers. La plateforme a été optimisée pour effectuer des paiements rapides et offre une fonctionnalité de suivi.

SWIFT GPI Instant : SWIFT GPI Instant allie les fonctionnalités de paiement instantané de SWIFT GPI aux réseaux nationaux de paiement en temps réel pour rendre des paiements transfrontaliers rapides et fluides.

SWIFT Go : SWIFT Go est une norme relative aux paiements internationaux dont les montants sont faibles.

ISO et SWIFT

La SWIFT utilise l'ISO pour le développement de ses normes :

ISO 15022: norme utilisée pour le règlement des titres et la gestion des actifs.
ISO 20022: nouvelle norme de messagerie mondiale ouverte qui s'applique à tous les processus du secteur financier.

SWIFT et sanctions

La surveillance ou le contrôle des messages SWIFT envoyés depuis le système SWIFT n'incombe pas à la SWIFT. Les transactions financières exposées à des sanctions sont identifiées par les institutions financières et par les autorités nationales qui les supervisent. Les sanctions financières adoptées suite à l'invasion de l'Ukraine par la Russie ont été appliquées par des entités nationales. Par exemple, l'Union européenne a accepté d'exclure les banques russes principales du système SWIFT.

Foire aux questions (FAQ)

La SWIFT signifie « Society for Worldwide Interbank Financial Telecommunication ». Il s'agit d'un réseau destiné à faciliter les instructions de paiement des institutions financières dans le monde entier lors de l'envoi et de la réception d'informations relatives aux transactions financières. La SWIFT effectue ces transactions dans un environnement sécurisé, normalisé et fiable. La SWIFT fournit un code d'identification d'entreprise unique (BIC) utilisé pour identifier les différentes banques du système bancaire et les institutions financières à l'échelle mondiale.

La SWIFT ne transfère pas d'argent. Elle agit comme un relais de messagerie destiné à faciliter les transactions financières. En résumé, la SWIFT utilise des codes (code SWIFT/code BIC) pour informer les banques des transferts d'argent. La SWIFT accélère le transfert de fonds entre un particulier et une entreprise en leur faisant prendre la forme de transferts électroniques ou de paiements par carte de crédit. Les messages SWIFT sont normalisés. Les paiements internationaux sont donc fluides. Cette normalisation a permis à la SWIFT de gagner en évolutivité et de dominer le secteur de la messagerie financière.

Non, la SWIFT n'est pas une banque. La SWIFT est un réseau de messagerie utilisé par les banques et autres institutions financières pour transmettre en toute sécurité des informations et des instructions via un système normalisé de codes.

Pourquoi les clients choisissent-ils Akamai ?

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.

Produits connexes

Akamai Guardicore Segmentation

Visualisez, protégez et segmentez les environnements sur site, cloud et hybrides.

Sécurité Zero Trust

Couverture complète de la cybersécurité associée à une visibilité approfondie et à un contrôle granulaire.

Ressources supplémentaires

Simplification de la conformité avec Zero Trust

Découvrez comment une architecture de sécurité Zero Trust peut vous aider à respecter un large éventail d'exigences de conformité.

Regardez la vidéo

Présentation du règlement sur la résilience opérationnelle numérique (DORA)

Règlement sur la résilience opérationnelle numérique (DORA) - Préparer les entités financières à la conformité DORA avec Akamai

Découvrez comment Akamai aide les entités financières à gérer efficacement les défis liés à la conformité.

Accélérer la conformité PCI et en garantir la validation continue avec Akamai Guardicore Segmentation

Akamai Guardicore Segmentation permet de se conformer à plusieurs exigences PCI DSS à l'aide d'un seul outil, afin d'offrir de la visibilité aux auditeurs et d'aider les équipes d'intervention à détecter les violations.

Simplification de la conformité NERC CIP avec Akamai Guardicore Segmentation

Un modèle pour la construction d'une architecture Zero Trust

Akamai Guardicore Segmentation peut aider les entreprises déjà en conformité avec NERC CIP en simplifiant et en améliorant leur posture de conformité.