Swift pousse les banques à renforcer leur cybersécurité

Deux ans après la cyber-attaque contre la Banque du Bangladesh (81 millions de dollars dérobés), deux nouveaux forfaits du même type viennent d’être révélés. Une banque russe a été victime d’un vol de 6 millions de dollars transférés via le réseau Swift et une banque indienne, City Union Bank, a subi le détournement de près de 2 millions de dollars en trois transactions dont deux ont été stoppées : un virement de New York vers Dubaï a été intercepté immédiatement, un autre de Francfort vers la Turquie a donné lieu au blocage des fonds sur le compte du bénéficiaire, mais la dernière opération vers la Chine n’a pu être empêchée, une personne ayant retiré les fonds grâce à des documents contrefaits. Certains des vols récents ont été rendus possibles par la déconnexion de l’imprimante reliée à Swift, la banque n’ayant donc pas reçu les accusés de réception des messages frauduleux. Ces derniers mois, quelques banques avaient également subi des vols du même genre au Vietnam, à Taïwan et au Népal.

Dès 2016, Swift a mis sur pied son « Customer Security Program » (CSP) : une méthodologie d’audit et de contrôles destinée à aider ses clients – les banques – à mieux se protéger contre des tentatives de fraude (voir le tableau). Depuis dix-huit mois, le réseau a beaucoup communiqué sur sa démarche et aidé les établissements à se mettre en conformité avec ce programme. Courant 2017, les banques devaient réaliser leur propre audit interne et déclarer leur niveau de sécurité en lien avec leur usage de Swift. Quelque 89 % d’entre elles représentant 99 % des transactions qui passent sur le réseau l’ont effectué.

Dans le bon sens

En 2018, tous les établissements doivent se mettre au niveau de sécurité requis par la Customer Security Controls Framework (CSCF), une obligation sans quoi Swift les signalera à leurs régulateurs. Toutefois, ces derniers ne sont pas tous aussi efficaces selon les zones géographiques, c’est pourquoi Swift compte avant tout sur les banques pour partager leurs données (niveau de conformité avec le CSP) entre elles afin de décider si elles souhaitent poursuivre leurs échanges, notamment avec des établissements insuffisamment sécurisés.

Une approche collaborative à laquelle contribue Swift avec divers outils de cybersécurité. Le « Daily Validation Report », par exemple, disponible depuis fin 2016, est un récapitulatif des transactions entrantes et sortantes pour chaque établissement : il permet de réconcilier les opérations répertoriées par Swift avec celles inscrites au registre de l’établissement et ainsi d’identifier une activité suspecte ou frauduleuse, voire de bloquer les fonds avant qu’ils soient retirés du compte destinataire. Autre outil qui sera déployé à l’automne 2018, « Payment Controls » permettra aux banques de passer leurs transactions au filtre constitué avec de multiples critères qu’elles paramétreront elles-mêmes selon leur activité (devise, montant, pays, type de message, semaine, mois…). Toute transaction n’entrant pas dans ces critères devra être rejetée ou réexaminée.

Ces actions vont dans le bon sens, selon Matthieu Garin, senior manager chez Wavestone : « Le CSP va sécuriser les accès au réseau Swift et c’est très bien, mais les fraudes s’opèrent surtout sur les systèmes en amont, qu’il s’agisse du ‘back’ ou ‘front-office’. Ainsi, le périmètre à sécuriser est bien plus large, car les banques disposent de plusieurs plates-formes de paiements et ce sont ces applications qui déversent des ordres de paiement dans Swift qu’il faut protéger. Dans un monde idéal, il faudrait presque un CSP qui s’applique à tous les systèmes d’information des banques. Dans les faits, les banques sont soumises à de multiples réglementations qui, chacune sous un angle différent, tendent à augmenter globalement leur niveau de protection. »