Cybersécurité : Swift joue la carte de l’autorité

Swift vient d’annoncer de nouvelles mesures pour réduire les risques de détournement de son système de messagerie interbancaire à des fins frauduleuses. Et cela commence par un ensemble de règles de sécurité articulées autour de trois axes « qui concernent les domaines d’attention principaux des environnements liés à Swift » des clients de son service.

Ce standard de sécurité n’est pas encore détaillé. Il faudra attendre pour la fin octobre pour connaître le détail des 16 contrôles de sécurité obligatoire et des 11 autres facultatifs. S’en suivra une phase d’évaluation de deux mois. La version finale du standard est prévue pour mars 2017.

Les banques clientes de Swift devront commencer à évaluer eux-mêmes leur conformité avec ces règles dès le second trimestre de l’an prochain. Mais l’organisme prévoit de procéder à des inspections dès le 1^er janvier 2018, « lorsque l’état de conformité des clients sera rendu accessible à leurs homologues, pour assurer la transparence et permettre aux entreprises d’évaluer le risque » qu’il peut y avoir à travailler avec certains tiers. Et à cette échéance, Swift prévoit également de signaler aux régulateurs concernés les banques non conformes, ainsi que de « sélectionner aléatoirement les clients qui devront fournir des assurances complémentaires par leurs auditeurs internes ou externes ».

Plusieurs détournements de fonds ont été récemment conduits via des systèmes connectés au réseau Swift. Mi-juillet, l’organisme avait indiqué avoir engagé BAE Systems et Fox-IT pour l’aider à renforcer la sécurité des systèmes connectés à son service chez ses clients. Et d’indiquer en outre avoir créé une équipe dédiée au renseignement sur les menaces informatiques. Tout récemment, Swift a en outre annoncé la mise en place d’un outil visant à compléter les contrôles anti-fraude de ses clients : une synthèse quotidienne des flux de messages devant donner « des moyens indépendants de vérifier l’activité et de détecter des motifs inhabituels ».

Ces initiatives sont à replacer dans le contexte du plan de renforcement la sécurité du système en cinq points annoncé fin mai. Gottfried Leibbrandt, Pdg de l’organisme, avait alors indiqué que « la cybersécurité est un sujet sérieux. C’est une question critique pour le système financier, et c’est un sujet critique pour Swift. En fait, depuis que j’ai pris mes fonctions, le risque cyber est la principale chose qui m’empêche de dormir ».

Avec ce nouveau standard imposé à ses clients, Swift dépasse son rôle traditionnel de simple messager pour endosser un costume de gendarme. Ce qu’entrevoyait cet été Avivah Litan, vice-présidente de Gartner.