Académique Documents
Professionnel Documents
Culture Documents
v2021
Customer Security Programme
Présentation détaillée
Le présent document définit un ensemble de mesures de sécurité obligatoires et conseillées pour l’environnement
opérationnel des utilisateurs de SWIFT. Les mesures de sécurité obligatoires s’appuient sur des instructions
existantes et établissent une base de sécurité pour l’ensemble de la communauté des utilisateurs. Les mesures
conseillées sont des bonnes pratiques facultatives que SWIFT recommande aux utilisateurs de mettre en œuvre
dans leur environnement opérationnel. Ce document doit être lu conjointement avec le CSP FAQ SWIFT Knowledge
Base TIP 5021823 qui fournit de nombreuses informations complémentaires.
Glossaire ..................................................................................................102
Mise en correspondance des normes de l’industrie ...........................................109
Services et composants dans le champ d’application par type d’architecture118
Responsabilités partagées dans un modèle de Cloud IaaS ...............125
Mentions légales...............................................................................................................................126
Sommaire/Résumé
La menace cybernétique qui pèse sur le secteur financier est plus forte que jamais. On
observe une évolution continue depuis 2016 et les utilisateurs SWIFT sont confrontés à des
attaques cybernétiques de plus en plus sophistiquées. Le modus operandi, la Tactique, les
Techniques et Procédures (TTP) ont progressé et changé à mesure que les institutions
renforçaient les mesures de sécurité. La persistance de ces menaces nécessite de rester
vigilant et proactif sur le long terme. Si les clients sont responsables de la protection de leur
propre environnement et de leur accès à SWIFT, ils peuvent compter sur le Customer
Security Programme (CSP) pour les aider et pour favoriser une collaboration à l’échelle du
secteur dans la lutte contre la cyber-fraude. Le CSP établit un ensemble commun de
mesures de sécurité connu sous le nom de Cadre de contrôle de la sécurité des clients. Ce
cadre est conçu pour aider les clients à sécuriser leur environnement local et à favoriser un
écosystème financier plus sûr.
Le cadre des mesures de sécurité des clients de SWIFT (CSCF) comprend à la fois des
mesures de sécurité obligatoires et des mesures de sécurité conseillées pour les utilisateurs
de SWIFT. Les mesures de sécurité obligatoires établissent une base de sécurité pour la
communauté tout entière, et doivent être mises en œuvre par tous les utilisateurs au niveau
de leur infrastructure SWIFT locale. SWIFT a choisi d’imposer en priorité ces mesures afin
de fixer un objectif réaliste à court terme: une amélioration tangible de la sécurité associée à
une réduction de risques. Les mesures conseillées sont basées sur des bonnes pratiques
que SWIFT recommande aux utilisateurs de mettre en œuvre. Au fil du temps, les mesures
obligatoires pourraient changer en fonction de l’évolution des menaces, et des mesures
conseillées en ce moment, pourraient devenir obligatoires.
Tous les contrôles s’articulent autour de trois objectifs primordiaux: « sécuriser votre
environnement », « identifier et limiter l’accès », et « détecter et réagir ». Les mesures ont
été mises au point sur la base d’une analyse par SWIFT de renseignements sur les cyber-
menaces, avec la contribution de spécialistes du secteur et de retours d’information des
utilisateurs. Les définitions des mesures sont délibérément alignées sur les standards en
vigueur dans l’industrie de la sécurité de l’information.
Les mesures présentées dans le présent document sont des mesures génériques
applicables pour tous les produits. Elles ne sont pas exhaustives et ne remplacent pas un
cadre de gestion de la sécurité et des risques bien structuré couvrant l’ensemble de la
chaîne de transaction, un jugement éclairé ou l’application des bonnes pratiques de
sécurité.
Étant donné la nature évolutive des cyber-menaces, la mise en place de nouvelles
technologies et d’initiatives stratégiques par SWIFT, les contrôles seront régulièrement
évalués, perfectionnés et renforcés, les modifications seront publiées dans une nouvelle
version de ce document. Par conséquent, il est recommandé de toujours utiliser la dernière
version de ce document ; celle-ci est disponible dans le Knowledge Centre. Pour consolider
l’adoption des mesures, SWIFT a mis au point un processus par lequel les utilisateurs
doivent attester leur respect des mesures obligatoires et, s’ils le souhaitent, des mesures de
sécurité conseillées. Il est demandé aux utilisateurs de soumettre leur attestation dans
l’application Know Your Customer-Security Attestation (KYC-SA). Avant la fin de chaque
année, les utilisateurs doivent attester leur respect des mesures de sécurité obligatoires et,
éventuellement, des mesures de sécurité conseillées, tel que documenté dans le CSCF en
vigueur à cette date. La nouvelle version du CSCF est généralement publiée début juillet et
recense les mesures obligatoires et conseillées pour les attestations à partir du mois de
juillet de l’année consécutive à la mise en œuvre de l’application KYC-SA. Par exemple, les
utilisateurs doivent soumettre leurs attestations entre le mois de juillet et le mois de
décembre 2021 pour les mesures de sécurité répertoriées dans le CSCF v2021 ayant été
publié courant 2020.
Comme notifié précédemment à la communauté SWIFT, nous avons revu les calendriers
initialement publiés pour la CSCF afin de nous assurer que les prochains renforcements
resteront efficaces pour notre communauté. Les utilisateurs devront à nouveau soumettre
leur attestation CSCF v2019 d’ici à la fin de 2020. Les mesures de contrôle précédemment
définies dans la version 2020 du CSCF sont intégrées dans la version 2021 du CSCF, et les
utilisateurs devront s’y conformer au cours du second semestre 2021.
Chaque utilisateur garde le contrôle de ses propres données et peut accorder ou non l’
accès à ses contreparties pour leur permettre de consulter ses données d'évaluation. Ce
mécanisme promeut la transparence et crée une dynamique entre institutions visant à
améliorer la sécurité en permettant à d’autres utilisateurs du réseau d’appliquer une prise
de décision basée sur les risques relatifs à leurs relations d’affaires. Pour en savoir plus sur
le processus d’attestation et de reporting, consultez la dernière version de la SWIFT
Customer Security Controls Policy disponible dans le Knowledge Centre.
Le Customer Security Programme (CSP) repose sur une collaboration entre SWIFT et ses
utilisateurs, avec pour objectif le renforcement de la sécurité globale de l’écosystème
financier. Par conséquent, tous les utilisateurs doivent lire attentivement les définitions des
mesures figurant dans le présent document, et se préparer à mettre en œuvre ces mesures
au sein de leur propre organisation.
Les mesures de sécurité reposent sur trois objectifs principaux, eux-mêmes appuyés par
huit principes de sécurité. Les objectifs représentent le cadre général de sécurité au sein de
l’environnement local de l’utilisateur. Les principes associés précisent les axes prioritaires
dans chaque objectif. Les objectifs et principes associés incluent:
− Le connecteur SWIFT est un connecteur fourni par SWIFT (par exemple, Alliance
Cloud SIL, DirectLink, Alliance Lite2 AutoClient, en combinaison avec SIL ou non,
ou MicroGateway). Un connecteur SWIFT doté d’un label compatible avec SWIFT
peut éventuellement être fourni par des vendeurs tiers. Un connecteur SWIFT est
considéré comme une empreinte SWIFT.
Le connecteur client comprend les solutions génériques de transfert de fichiers
ou les implémentations de systèmes middleware locaux, tels que le serveur
IBM® MQ, utilisés pour faciliter la communication avec les composants relatifs à
SWIFT proposés par un prestataire de services. Ces éléments génériques non
fournis par SWIFT ou non certifiés compatibles avec SWIFT sont considérés
comme une empreinte non-SWIFT.
À l’avenir, une application mettant en œuvre des API SWIFT (utilisant les
spécifications ou intégrant le SDK SWIFT) pour connecter et transmettre
indépendamment 1 des transactions commerciales aux services de messagerie
SWIFT 2 exposés par la passerelle API SWIFT, sera également considérée
comme un connecteur client (API sur mesure) ou une empreinte non-SWIFT.
Le terme connecteur seul désigne à la fois les connecteurs SWIFT et les
connecteurs clients.
− SWIFTNet Link (SNL) - SNL est un logiciel obligatoire qui permet d’accéder aux
services de messagerie FIN, InterAct et FileAct via un réseau IP sécurisé. Le
présent document fait référence à SNL dans le cadre de l’interface de
communication.
− SWIFT Hardware Security Modules, jetons personnels connectés et cartes à
puce.
− Pare-feu, commutateurs, routeurs, etc. à l’intérieur ou autour de l’infrastructure
SWIFT (dédiée ou partagée). Également appelés dispositifs de réseau.
− Interface graphique utilisateur (GUI) – Logiciel qui produit l’interface graphique
pour un utilisateur (par exemple, Alliance Web Platform Server-Embedded et
produits équivalents).
• Opérateurs – Les opérateurs sont des utilisateurs finaux et des administrateurs qui
interagissent directement avec l’infrastructure SWIFT locale au niveau de l’application
ou du système d’exploitation.
• PC opérateur - Ce terme désigne le dispositif informatique de l’utilisateur final ou des
administrateurs (généralement un ordinateur de bureau ou portable) utilisé pour
exercer leurs fonctions: a) utiliser, exploiter ou entretenir l’infrastructure SWIFT locale
résidant localement ou hébergée à l’extérieur et/ou b) utiliser une infrastructure ou une
application SWIFT distante exploitée par un prestataire de services (tel qu’un service
bureau, un fournisseur d’applications Lite2 ou SWIFT), en fonction de votre type
d’architecture.
− Les termes « PC opérateur à usage général » et « PC opérateur dédié » sont
définis de la manière suivante:
Un PC opérateur à usage général est situé dans l’environnement informatique
général de l’entreprise et utilisé pour les activités commerciales quotidiennes,
notamment pour accéder à l’infrastructure SWIFT locale ou distante ou à une
application exploitée par un prestataire de services, selon le type d’architecture.
Un PC opérateur dédié est situé dans la zone sécurisée et sert à interagir avec
des éléments de la zone sécurisée (parfois également appelé « console
système »).
1
Indépendamment signifie sans utiliser une interface de communication ou un connecteur SWIFT tel que SIL, DirectLink ou
MicroGateway
2
Les transactions commerciales vers les services de messagerie désignent les demandes instaurant ou affectant des paiements
SWIFT (telles que la création de MT103, 101, 202, 205 ou l’annulation/l’arrêt/le rappel/la modification de ces demandes). D’autre
part, les interrogations sur les transactions précédentes (par exemple via le Basic Tracker), la prévalidation, la conversion ou le
filtrage effectués avant de soumettre des transactions commerciales ne sont pas considérés comme affectant les services de
messagerie et peuvent être considérés comme hors de ce champ d’application, à moins qu’ils n’exigent les mêmes
rôles/autorisations que les transactions commerciales aux services de messagerie (aucune séparation des tâches et aucun
principe de précaution ne doivent être appliqués).
Remarque: Les utilisateurs doivent attester sur tous les composants du champ
d’application dans leur environnement de production, de sauvegarde et de reprise après
sinistre, en tenant compte de leur architecture spécifique, mais complète (en déclarant le
type d’architecture le plus englobant).
De préférence, les systèmes recettes sont séparés des systèmes de production (y compris
des HSM) et configurés de manière à prendre en charge uniquement le trafic recette (par
exemple, en utilisant uniquement des certificats Lite et en configurant uniquement les
3
Également appelé vSRX
terminaux logiques de recette). S’ils ne sont pas totalement séparés, ces systèmes doivent
être maintenus au même niveau de sécurité que les systèmes de production.
Les systèmes de développement ne sont pas inclus dans la zone sécurisée et ne sont pas
connectés au réseau SWIFT.
Remarque: Les utilisateurs collaborant avec des tiers (par exemple, un prestataire
informatique externe ou un prestataire de cloud computing) ou des prestataires de services
(comme un service bureau ou un fournisseur d’applications Lite2 qui, dans ce cas précis,
doit être considéré comme un tiers) pour héberger ou exploiter en tout ou en partie
l’infrastructure SWIFT de l’utilisateur:
- Sont toujours responsables et redevables de l’attestation de leur type d’architecture
globale (comme si elle était exploitée localement) et par conséquent
- Doivent obtenir 4 de ces tiers ou prestataires de services un confort raisonnable que les
activités externalisées sont protégées, au minimum, selon les mêmes normes de soins
que si elles étaient exercées au sein de l’organisation d’origine et conformément aux
mesures de sécurité CSCF.
L’annexe G illustre une répartition typique, mais aussi un partage des responsabilités à
prendre en compte lors de l’externalisation vers un fournisseur de cloud computing selon le
modèle Infrastructure as a Service (IaaS).
4
Voir le Glossaire pour la définition
Types d’architecture
Chaque utilisateur doit identifier lequel des cinq types d’architecture de référence
(Figures 3-7) correspond le mieux à son propre déploiement d’architecture afin de
déterminer quels composants sont concernés. En fonction du type d’architecture, certaines
mesures de sécurité s’appliqueront ou pas.
La propriété des composants ou des licences d’utilisation des logiciels est le facteur clé de
différenciation entre les cinq architectures de référence suivantes:
• Architecture A1 – Utilisateurs détenant l’interface de communication (et généralement
l’interface de messagerie)
L’interface de communication est la propriété de l’utilisateur.
La Figure 3a illustre le cas où les licences de l’interface de messagerie et de l’interface
de communication sont détenues par l’utilisateur et résident dans son environnement.
Les utilisateurs qui n’utilisent pas ou ne détiennent pas d’interface de messagerie, mais
uniquement une interface de communication (comme dans la Figure 3b ci-dessous)
sont également considérés comme une architecture A1.
5
Dans le cadre de SWIFT Alliance Remote Gateway
6
Par exemple, Alliance Cloud SIL, DirectLink, Alliance Lite2 AutoClient, en combinaison avec SIL ou non, ou MicroGateway
7
À déployer à l’avenir dans le cadre de la Stratégie SWIFT approuvée par le Conseil d’administration
8
Localement ou en hébergement externe, dans le Cloud ou non.
9
Localement ou en hébergement externe, dans le Cloud ou non.
10
Sans l’utilisation d’une interface de communication ou d’un connecteur SWIFT (API) dédié.
11
Les transactions commerciales vers les services de messagerie désignent les demandes instaurant ou affectant des paiements
(telles que la création de MT103, 101, 202, 205 ou l’annulation/l’arrêt/le rappel/la modification de ces demandes). D’autre part, les
interrogations sur les transactions précédentes (par exemple via le Basic Tracker), la prévalidation, la conversion ou le filtrage
effectués avant de soumettre des transactions commerciales ne sont pas considérés comme affectant les services de
messagerie.
12
À déployer à l’avenir dans le cadre de la Stratégie SWIFT approuvée par le Conseil d’administration
13
Dans le cas contraire, ce système serait considéré comme une architecture de type A4 avec un connecteur client.
14
À déployer à l’avenir dans le cadre de la Stratégie SWIFT approuvée par le Conseil d’administration
Ce type d’architecture inclut également les utilisateurs dont l’accès se fait uniquement
avec un navigateur, les services de messagerie SWIFT (user-to-application) exposés
par Alliance Cloud et Alliance Lite2. Les PC utilisés par ces utilisateurs pour soumettre
ou affecter des transactions commerciales doivent être considérés comme des PC
opérateur (à usage général) et protégés en conséquence.
15
Sauf pour la mesure 6.3 Intégrité de la base de données qui ne s’applique pas explicitement à l’architecture de type A3
Les utilisateurs doivent attester leur conformité à tous les objectifs de mesures
obligatoires.
Des informations complémentaires sur les différentes options de mise en œuvre pour la
mise en conformité sont fournies dans la section suivante. Les utilisateurs peuvent
également obtenir d’autres informations utiles dans le CSP FAQ (SWIFT Knowledge Base
TIP 5021823) et dans le Security Guidance Document (connexion sur swift.com requise)
16
Le processus de gestion des changements garantit que la communauté SWIFT dispose de suffisamment de temps pour
comprendre et mettre en œuvre toute modification future des exigences de contrôle. Les nouvelles mesures obligatoires sont
généralement d’abord introduites sous la forme de mesures conseillées afin de laisser aux utilisateurs au moins deux cycles pour
les planifier, les budgéter et les mettre en œuvre.
Il appartient aux utilisateurs d’évaluer si la solution de mise en œuvre formulée par SWIFT
est adaptée à leur environnement ou de décider d’adopter une solution alternative.
Seul un petit nombre d’utilisateurs – généralement ceux appartenant à une organisation
disposant d’un niveau élevé de maturité dans la gestion des risques de sécurité liés aux
informations – devrait opter pour des solutions de mise en œuvre alternatives pour une ou
plusieurs mesures afin de prendre en charge des configurations complexes ou de grande
envergure.
Type d’architecture
Mesures de sécurité obligatoires et conseillées A1→A3 A4 B
17
Non applicable à A3
Les deux figures suivantes illustrent les composants où les contrôles s’appliqueraient en
utilisant comme référence l’une des nombreuses configurations possibles d’une
architecture A1 (voir également l’annexe B pour quelques autres architectures de
référence).
La Figure 8 illustre les mesures appliquées au niveau de l’infrastructure et des hôtes
combinées aux mesures organisationnelles jouxtant ce type d’environnement. La Figure 9
montre les contrôles de flux interactifs ou applicatifs entre les composants relatifs à SWIFT
et les PC opérateurs ou les systèmes de back-office.
Objectif du contrôle: Protéger l’infrastructure SWIFT locale de l’utilisateur contre des éléments potentiellement
compromis de l’environnement informatique et bureautique général ainsi que de l’environnement externe.
Facteurs de risque:
• Piratage du système d’authentification de l’entreprise
• Vol d’identifiants utilisateur
• Rejeu d’identifiants
• Exposition aux attaques sur Internet
• Accès non autorisé à l’hyperviseur et à ses modules de configuration
Description de la mesure:
Une zone sécurisée cloisonnée protège l’infrastructure SWIFT de l’utilisateur des attaques visant l’environnement
global de l’entreprise et l’environnement externe.
Contexte de la mesure:
Séparer l’infrastructure SWIFT locale du reste du réseau de l’entreprise réduit la surface d’attaque et s’avère
efficace pour empêcher les cyber-attaques qui ciblent souvent l’environnement TI général d’une entreprise. Un
cloisonnement efficace inclut une séparation au niveau du réseau, des restrictions d’accès et des restrictions de
connexion.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
ne sont pas présents ou sont partiellement appliqués, les mesures d’atténuation ainsi que les spécificités
environnementales particulières doivent être prises en compte pour évaluer correctement le niveau
global de conformité (conformément aux principes de mise en œuvre suggérés ou à d’autres solutions).
a) Objectifs de conception générale pour la mise en œuvre du cloisonnement de l’environnement
• Créer une « zone sécurisée » pour séparer et protéger l’infrastructure SWIFT locale de systèmes et
services potentiellement compromis situés en dehors de la zone sécurisée.
• Si possible, les mots de passe et autres authentificateurs utilisables dans la zone sécurisée (surtout pour
les comptes à privilèges) ne sont pas stockés ni utilisés sous quelque forme que ce soit (hachés, chiffrés
ou en texte brut) dans des systèmes extérieurs à la zone sécurisée. Cela ne s’applique pas aux fichiers
de sauvegarde chiffrés. Si le système de services d’authentification est situé en dehors de la zone
sécurisée SWIFT:
− Soit le système est dans une autre zone sécurisée existante disposant de contrôles similaires
− Soit le système est utilisé uniquement pour filtrer les connexions à l’élément de l’infrastructure SWIFT
(en contrôlant la connectivité aux points d’entrée de la zone sécurisée). Dans ce cas, l’accès logique à
l’élément de l’infrastructure SWIFT est assuré par un autre mécanisme d’authentification situé dans la
zone sécurisée (une autre gestion des identités et des accès, ou l’élément accédé lui-même).
• La délimitation de la zone sécurisée est adaptée à l’environnement de chaque utilisateur, en réutilisant
éventuellement des zones sécurisées existantes (par exemple, un « environnement de production », un
« environnement métier » ou une « zone des systèmes de paiement ») et incluant l’infrastructure SWIFT
locale.
• Les éléments inclus dans la zone sécurisée sont tous protégés au même niveau ou avec un niveau
équivalent de sécurité, de contrôle d’accès et de confiance, et peuvent interfacer librement à l’intérieur de
la zone.
• L’annexe B présente des schémas d’architecture illustrant quelques-unes des nombreuses façons
possibles de concevoir une zone sécurisée.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
18
Multi-Vendor Secure IP Network
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
o Séparer le jump server pour les administrateurs du système (avec une authentification
multifactorielle) et les utilisateurs finaux,
Comme alternative aux jump servers séparés, n’autoriser qu’un accès temporaire aux
administrateurs système avec un processus d’approbation efficace et un enregistrement
de l’activité de la session.
o Limiter l’accès aux opérateurs autorisés uniquement,
o Supprimer les logiciels inutiles,
o Limiter les activités à risque (par exemple: envoi/réception de courriels),
o Activer la journalisation.
− Les opérateurs se connectent avec leur PC opérateur à usage général et accèdent uniquement à
l’interface de messagerie ou de communication en utilisant une GUI basée sur un navigateur (par
exemple, Alliance Web Platform). Des mesures de sécurité spécifiques s’appliquent à cette
configuration:
o La GUI basée sur un navigateur est située dans la zone sécurisée et est séparée logiquement de
l’interface de messagerie et de communication.
o Une authentification multifactorielle est mise en place à l’endroit approprié (sur la GUI basée sur un
navigateur, l’interface de messagerie ou l’interface de communication).
o Cette configuration ne peut pas être utilisée pour les activités d’administration du système
d’exploitation.
• Les systèmes SWIFT qui se trouvent à l’intérieur de la zone sécurisée limitent l’accès des administrateurs
aux seuls ports, protocoles et IP sources prévus.
d.2 Accès des opérateurs distants (télétravail, « astreintes » ou administration à distance)
• L’accès à distance à la zone sécurisée depuis l’extérieur du réseau local de l’utilisateur nécessite d’abord
une authentification VPN (recommandée avec l’authentification multifacteur) au réseau local avant
d’accéder à la zone sécurisée via les mêmes canaux sécurisés que les opérateurs locaux.
• L’utilisateur réalise une évaluation des risques afin de déterminer les mesures de sécurité
supplémentaires à mettre en œuvre pour l’accès à distance, comme l’utilisation d’une infrastructure de
bureau virtuel, des canaux dédiés pour la connexion (par exemple, jump servers dédiés pour les
utilisateurs distants, lignes louées).
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
Les organisations qui ont un programme de sécurité mature peuvent envisager de mettre en œuvre des mesures
alternatives comme suggéré ci-dessous ou alternatives. Les solutions alternatives doivent être adaptées aux
risques de chaque environnement, et tenir compte des efforts nécessaires pour déployer, gérer et maintenir
efficacement cette solution.
• L’absence de séparation entre les systèmes d’authentification de la zone sécurisée et ceux de
l’entreprise dans son ensemble nécessitera la mise en œuvre d’un ensemble complet de mécanismes de
défense en profondeur, afin de détecter les intrusions dans la zone sécurisée et de s’en prémunir. Ces
mécanismes peuvent inclure: le repérage d’un service d’authentification dans une zone sécurisée
existante possédant des mesures identiques à celles applicables à la zone sécurisée SWIFT, la limitation
des relations de confiance entre l’environnement global de l’entreprise et la zone sécurisée (comme les
relations de confiance unilatérales), la restriction de l’accès des opérateurs et administrateurs, la mise en
place de mécanismes de contrôle d’accès privilégié solides, la mise en place d’un accès en lecture seule
si possible, l’activation de la journalisation détaillée, et la mise en place de capacités de détection et de
surveillance actives centralisées.
• Si les services TI généraux de l’entreprise (par exemple, analyse des vulnérabilités, gestion des pare-feu
aux entrées de la zone) sont partagés entre la zone sécurisée et d’autres environnements, les identifiants
utilisés à travers l’environnement doivent être contrôlés pour s’assurer qu’ils sont utilisés uniquement à
bon escient.
• Si un serveur général d’entreprise est initialement utilisé pour atteindre la zone sécurisée, ce serveur
n’est utilisé que pour filtrer l’accès légitime à la connectivité (constituant ainsi un concentrateur ou une
passerelle pour faciliter le filtrage de l’accès à la zone sécurisée). La gestion des identités et des accès
pour des éléments de la zone sécurisée et/ou le jump server repose encore sur des services
d’authentification résidant à l’intérieur de la zone sécurisée SWIFT ou une autre zone sécurisée existante
disposant de contrôles similaires.
• Si la zone sécurisée dépend de fonctions partagées par l’entreprise (par exemple, services d’annuaire,
serveurs ou réseaux) qui sont en dehors du périmètre, l’utilisateur doit s’assurer que si ces fonctions sont
compromises, elles ne compromettront pas la sécurité des éléments situés au sein du périmètre.
Facteurs de risque:
• Suppression des journaux et des éléments de preuve
• Privilèges ou accès excessifs
• Manque de traçabilité
• Modifications non autorisées apportées au système
Description de la mesure:
L’utilisation du compte administrateur dans le système d’exploitation est restreinte au maximum. L’utilisation est
contrôlée, surveillée, et autorisée uniquement pour des activités nécessaires comme l’installation et la
configuration d’un logiciel, les opérations de maintenance et les interventions d’urgence. Le reste du temps, un
compte avec moins de privilèges d’accès est utilisé.
Contexte de la mesure:
Contrôler étroitement les comptes administrateur au niveau du système d’exploitation réduit le risque d’un
détournement des privilèges du compte par un cyber-pirate pour mener une attaque (par exemple, exécution de
commandes, suppression de traces).
Les principes de mise en œuvre sont des méthodes communes pour mettre en œuvre les contrôles
appropriés. Ces principes peuvent constituer un bon point de départ pour une évaluation mais ne doivent
jamais être considérés comme une « grille d’audit », car les mises en œuvre peuvent varier d’un
utilisateur à l’autre. Par conséquent, dans les cas où certains éléments des principes de mise en œuvre
ne sont pas présents ou sont partiellement appliqués, les mesures d’atténuation ainsi que les spécificités
environnementales particulières doivent être prises en compte pour évaluer correctement le niveau
global de conformité (conformément aux principes de mise en œuvre suggérés ou à d’autres solutions).
• Les comptes administrateur sont:
− Windows: le compte administrateur intégré et les membres de groupes ayant des privilèges
d’administrateur (par exemple, comptes avec des privilèges de débogage ou sur le système de
fichiers). En général, les groupes Administrateurs de l’entreprise, Administrateurs de domaine et
Administrateur local.
− Linux/Unix: compte root (ID utilisateur = 0) et les membres du groupe root.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ●
Objectif du contrôle: Sécuriser la plateforme de virtualisation et les machines virtuelles (VM) qui hébergent des
éléments relatifs à SWIFT au même niveau que les systèmes physiques.
Facteurs de risque:
• Accès non autorisé à l’hyperviseur et à ses modules de configuration
• Prolifération incontrôlée de systèmes et de données
Description de la mesure:
Sécuriser la plateforme de virtualisation, les machines virtualisées et l’infrastructure virtuelle d’appui (par
exemple, les pare-feu) au même niveau que les systèmes physiques.
Contexte de la mesure:
Les mesures de sécurité qui s’appliquent aux systèmes non virtualisés (c’est-à-dire physiques) s’appliquent
également aux systèmes virtuels. La couche de virtualisation supplémentaire requiert une attention spéciale en
termes de sécurité. La prolifération incontrôlée des VM peut déboucher sur des machines non prises en charge
présentant le risque de systèmes non gérés, dépourvus de correctifs et exposés aux accès non autorisés aux
données.
À condition que des mesures appropriées aient été mises en œuvre au niveau de cette couche sous-jacente,
SWIFT ne limite pas l’utilisation de technologies de virtualisation pour un élément quelconque de l’infrastructure
SWIFT locale ou de l’infrastructure d’appui associée (par exemple, pare-feu virtuels).
Principes de mise en œuvre:
Les principes de mise en œuvre sont des méthodes communes pour mettre en œuvre les contrôles
appropriés. Ces principes peuvent constituer un bon point de départ pour une évaluation mais ne doivent
jamais être considérés comme une « grille d’audit », car les mises en œuvre peuvent varier d’un
utilisateur à l’autre. Par conséquent, dans les cas où certains éléments des principes de mise en œuvre
ne sont pas présents ou sont partiellement appliqués, les mesures d’atténuation ainsi que les spécificités
environnementales particulières doivent être prises en compte pour évaluer correctement le niveau
global de conformité (conformément aux principes de mise en œuvre suggérés ou à d’autres solutions).
Lorsqu’il s’appuie sur un tiers pour la plateforme de virtualisation sous-jacente, l’utilisateur doit s’engager avec le
tiers pour obtenir le confort raisonnable que l’objectif du contrôle est atteint.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ●
• Les mêmes exigences de sécurité s’appliquent à la plateforme de virtualisation, aux machines virtuelles
et à l’infrastructure virtuelle d’appui qu’à tous les autres systèmes et éléments d’infrastructure. Ces
exigences de sécurité couvrant, par exemple, un site dans une zone sécurisée existante possédant des
mesures similaires à celles applicables à la zone sécurisée SWIFT, aux restrictions d’accès privilégié, à
la politique de connexion et de mot de passe, à l’installation de correctifs de sécurité et à la restriction de
l’accès à Internet. La plateforme de virtualisation est identifiée dans la section Éléments visés pour ces
mesures.
• Une analyse des vulnérabilités est effectuée sur les VM relatives à SWIFT et, lorsque cela est possible au
niveau technique, sur la plateforme de virtualisation.
• Les hôtes de la plateforme de virtualisation font l’objet d’une protection physique qui empêche les accès.
• L’isolement des VM est garanti sur la plateforme de virtualisation afin d’éviter a) tout déplacement latéral
en dehors d’une machine virtuelle afin d’accéder ou d’interagir avec d’autres VM ou avec l’hyperviseur
sous-jacent b) tout contournement des contrôles normaux du réseau qui filtrent et/ou inspectent les
connexions à l’environnement SWIFT.
o Le filtrage et l’inspection prévue des flux réseau qui atteignent les VM relatives à SWIFT sont de
préférence effectués en utilisant des ressources (telles que FW, des inspections des paquets ou un
filtrage des contenus) externes à la plateforme de virtualisation. Sinon, ils doivent être mis en
œuvre au niveau de l’hyperviseur.
o Si l’isolement est garanti sur la plateforme de virtualisation, les VM hébergées peuvent conserver
leur classification (sécurité) et être sécurisées individuellement en conséquence (ainsi elles
n’héritent pas de la classification des VM relatives à SWIFT et ne sont pas soumises à toutes les
mesures relatives à SWIFT ).
• Si une authentification multifactorielle est mise en œuvre pour l’accès interactif aux systèmes
d’exploitation des VM relatives à SWIFT , conformément à la mesure 4.2, en empêchant tout accès direct
à ces VM à partir de la couche de l’hyperviseur, l’authentification multifactorielle n’est pas obligatoire au
niveau gestion de la plateforme de virtualisation.
Objectif du contrôle: Contrôler/protéger l’accès à Internet à partir des PC opérateurs et autres systèmes se
trouvant dans la zone sécurisée
Facteurs de risque:
• Exposition aux attaques sur Internet
Description de la mesure:
Tous les PC opérateur dédiés et à usage général ainsi que les systèmes situés dans la zone sécurisée ont un
accès direct contrôlé à l’Internet, conformément à l’activité 19.
Contexte de la mesure:
Un accès direct à Internet accroît l’exposition aux attaques sur Internet. Les risques sont encore plus élevés en
présence d’interactions humaines (navigation, emails ou autres activités autorisées sur les réseaux sociaux). Une
fois violés, ces systèmes peuvent devenir un point d’entrée laissant la voie à des mouvements latéraux et/ou à
l’intrusion d’éléments de commande et de contrôle.
La limitation et le contrôle des accès directs à Internet sont la priorité même si la réduction de la surface d’attaque
et des vulnérabilités de ces systèmes, conformément aux mesures pertinentes identifiées dans ce document,
sont également fondamentales.
En plus des PC opérateurs (à usage général) qui connectent les services ou applications relatifs à SWIFT offerts
par les prestataires de services (tels que SWIFT dans le cas de Lite2 ou Alliance Cloud, un Service Bureau, un
fournisseur L2BA), il convient de faire preuve de diligence pour sécuriser les PC opérateurs (à usage général)
utilisés pour accéder aux interfaces locales ou à l’interface graphique. Combiner de manière non sécurisée
l’accès à l’« environnement de production » à l’accès Internet pourrait donner lieu à des abus de la part de cyber
pirates.
19
L’objectif n’est pas d’interdire l’accès à l’Internet, mais de limiter/contrôler la connectivité lorsque cela est pertinent pour des
raisons commerciales (par exemple pour accéder aux ressources d’un prestataire de services externe).
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
Les principes de mise en œuvre sont des méthodes communes pour mettre en œuvre les contrôles
appropriés. Ces principes peuvent constituer un bon point de départ pour une évaluation mais ne doivent
jamais être considérés comme une « grille d’audit », car les mises en œuvre peuvent varier d’un
utilisateur à l’autre. Par conséquent, dans les cas où certains éléments des principes de mise en œuvre
ne sont pas présents ou sont partiellement appliqués, les mesures d’atténuation ainsi que les spécificités
environnementales particulières doivent être prises en compte pour évaluer correctement le niveau
global de conformité (conformément aux principes de mise en œuvre suggérés ou à d’autres solutions).
a) Accès à Internet depuis la zone sécurisée
• La navigation sur Internet à des fins générales (y compris les activités Web Mail) provenant de systèmes
situés dans la zone sécurisée SWIFT n’est pas autorisée.
• L’accès à Internet à partir des systèmes situés dans la zone sécurisée (par exemple, PC opérateur
dédiés ou autres éléments relatifs à SWIFT ) est très limité et bloqué dans l’idéal.
− Si possible, les activités nécessitant l’utilisation d’Internet sont menées en dehors de la zone
sécurisée. Il peut s’agir, par exemple, d’opérations courantes effectuées sur swift.com ou du
téléchargement de correctifs de sécurité pour le transfert sécurisé de données dans la zone sécurisée.
− Si un accès à Internet est nécessaire à l’intérieur de la zone sécurisée, il peut être accordé uniquement
pour les URL de destination sur liste blanche via un proxy avec contrôle de contenu, en combinaison
avec une inspection du contenu et des contrôles de blocage/filtrage adéquats. Les connexions sont
autorisées uniquement si elles sont initiées vers l’extérieur.
• En tant que point d’entrée dans la zone sécurisée, le jump server, situé dans celle-ci ou dans une autre
zone sécurisée possédant des mesures équivalentes, ne possède pas d’accès à Internet.
• Même si SWIFT recommande vivement de contrôler l’accès à Internet, un autre moyen d’atteindre
l’Objectif du contrôle sur les PC accédant à l’infrastructure SWIFT locale consiste à imposer l’utilisation
d’un jump server ne disposant pas d’accès à Internet, combiné à une authentification multifactorielle,
conformément à la mesure 4.2, mise en œuvre sur les applications/systèmes individuels relatifs à SWIFT
ou sur le jump server.
20
Comme l’affichage, la création, l’approbation ou la modification des transactions de messagerie ou la mise à jour des droits.
L’accès en lecture seule/en interrogation peut être supprimé si les droits en question ne peuvent pas être modifiés à partir des
ordinateurs de ces opérateurs.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
• Si un accès à Internet est nécessaire à l’intérieur de la zone sécurisée, il peut être accordé uniquement
pour les URL de destination sur liste blanche via un proxy avec contrôle de contenu, en combinaison
avec des dispositifs de blocage/filtrage adaptés. Les connexions sont autorisées uniquement si elles sont
initiées vers l’extérieur.
Objectif du contrôle: Assurer la confidentialité, l’intégrité et l’authenticité des flux de données d’application
entre les applications locales relatives à SWIFT.
Facteurs de risque:
• Atteinte à la confidentialité de données sensibles
• Atteinte à l’intégrité de données sensibles.
• Trafic système authentifié
• Accès non autorisé à l’hyperviseur et à ses modules de configuration
• Vol de mot de passe
Description de la mesure:
Des mécanismes de confidentialité, d’intégrité et d’authentification sont mis en place pour protéger les flux de
données d’application à application relatifs à SWIFT et de jump server à application si utilisé.
Contexte de la mesure:
La protection des flux de données internes permet de se prémunir contre toute divulgation accidentelle,
modification et tout accès des/aux données pendant leur transfert.
• Tous les flux de données entre applications relatives à SWIFT sont protégés par un mécanisme sécurisé
(par exemple, « authentification locale (LAU) en combinaison avec une protection de la confidentialité 21 »
ou « TLS bidirectionnel ») pour assurer la confidentialité, l’intégrité et l’authentification mutuelle des flux
de données. Cela inclut les flux de données suivants:
− de l’application RMA à l’interface de messagerie,
21
Comme le TLS unidirectionnel
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
22
Advanced Encryption Standard
23
Elliptic Curve Diffie-Hellman Ephemeral
Objectif du contrôle: Minimiser l’apparition de vulnérabilités techniques connues sur les PC opérateurs et au
sein de l’infrastructure SWIFT locale en assurant le soutien des prestataires, en appliquant les mises à jour
logicielles obligatoires et en appliquant en temps utile des mises à jour de sécurité adaptées au risque évalué.
Facteurs de risque:
• Exploitation de failles de sécurité connues
Description de la mesure:
L’ensemble du matériel et des logiciels situés à l’intérieur de la zone sécurisée et sur les PC opérateur sont
couverts dans le cycle de maintenance du fournisseur, ont été mis à niveau avec les mises à jour logicielles
obligatoires, et les mises à jour de sécurité ont été appliquées en temps utile sur tous ces éléments.
Contexte de la mesure:
La neutralisation des failles de sécurité connues permet de réduire efficacement les différents chemins d’accès
qu’un cyber-pirate peut emprunter. Un processus de mise à jour de sécurité global, reproductible et mis en œuvre
en temps utile est nécessaire pour pouvoir neutraliser continuellement ces failles connues lorsque des correctifs
de sécurité sont disponibles.
• Assistance du fournisseur
− L’ensemble des logiciels (y compris les systèmes d’exploitation) et du matériel (y compris les
périphériques réseau) est couvert par le cycle de vie produit du fournisseur et appuyé par une
assistance active (y compris une garantie étendue), s’il y a lieu.
− Des contrats de maintenance ou de licence sont mis en place pour l’accès aux mises à jour, mises à
niveau mineures et autres fonctions de maintenance critiques.
• Mises à jour logicielles obligatoires
− Les versions ou mises à jour obligatoires applicables à un élément de l’infrastructure SWIFT locale
sont installées dans le délai spécifié par le fournisseur.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
Objectif du contrôle: Réduire la surface de cyber-attaque des éléments relatives à SWIFT en procédant à la
sécurisation des systèmes.
Remarque: Les SWIFT HSM sont conformes à la norme FIPS 140-2 niveau 3 avec système d’exploitation sous-
jacent sécurisé, et ne sont pas visés par cette mesure.
Facteurs de risque:
• Surface d’attaque excessive
• Exploitation d’une configuration système non sécurisée
Description de la mesure:
La sécurisation est appliquée et maintenue pour tous les éléments visés.
Contexte de la mesure:
La sécurisation du système applique le concept de sécurité du « moindre privilège » à un système en désactivant
les fonctionnalités et les services qui ne sont pas nécessaires à l’exploitation normale du système. Ce processus
réduit les capacités du système, les fonctionnalités et les protocoles qu’une personne malintentionnée pourrait
utiliser lors d’une attaque.
• Tous les systèmes visés sont sécurisés selon une ou plusieurs des procédures suivantes:
− Guide de configuration de sécurité du fournisseur
− Guide de configuration de sécurité standard de l’industrie (par exemple, 24 CIS , DISA STIG, NIST),
24
Center for Internet Security; Defense Information Systems Agency - Secure Technical Implementation Guide; National Institute of
Standards and Technology
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
− Une configuration de sécurité ou un jeu de contrôles standard local ou d’une autorité de régulation
aussi rigoureuse que le guide du fournisseur ou la norme de l’industrie.
• Les configurations de sécurisation sélectionnées (jeu de règles) peuvent être remplacées par des
exigences de configuration spécifiques à une application pour assurer le bon fonctionnement des
systèmes liés à SWIFT.
• Le processus de sécurisation doit au minimum:
− Modifier les mots de passe par défaut
− Désactiver ou supprimer les comptes utilisateur inutiles
− Désactiver ou limiter les services, ports et protocoles inutiles
− Supprimer les logiciels inutiles
− limiter les ports physiques (par exemple USB) s’il y a lieu,
− définir, lorsque cela est possible sur le plan technique, des options de verrouillage automatique
(comme l’activation d’un économiseur d’écran sur les PC opérateur exigeant une nouvelle identification
de l’utilisateur après un certain temps d’inactivité ou après une mise en veille. Un délai d’inactivité de
15 minutes est recommandé)
− Modifier les configurations par défaut connues comme étant vulnérables
Les guides de configuration des fournisseurs et de l’industrie susmentionnés peuvent expliquer en détail
comment atteindre ces objectifs minimums.
• Les écarts par rapport à la configuration de sécurisation sélectionnée sont documentés en indiquant le
motif de l’écart et des atténuations potentielles sont appliquées.
• Les systèmes restent sécurisés:
− En vérifiant régulièrement, au moins deux fois par an, les systèmes par rapport aux paramètres
sécurisés identifiés conformément au guide précédent, afin de prendre des mesures correctives
pertinentes
− Ou en appliquant régulièrement les paramètres sécurisés identifiés aux systèmes.
Objectif du contrôle: Assurer la confidentialité, l’intégrité et l’authenticité mutuelle des flux de données entre les
composants locaux ou distants de l’infrastructure SWIFT et le back-office auquel ils se connectent en premier
lieu.
Facteurs de risque:
• Atteinte à la confidentialité de données sensibles
• Atteinte à l’intégrité de données sensibles.
• Trafic système authentifié
Description de la mesure:
Des mécanismes de confidentialité, d’intégrité et d’authentification mutuelle ou au niveau des messages sont mis
en œuvre pour protéger les flux de données entre les composants de l’infrastructure SWIFT et les premiers
serveurs de back-office auxquels ils se connectent.
Contexte de la mesure:
Protection des flux/connexions de données entre le premier bond du back-office, au niveau applicatif, vu depuis
la zone sécurisée de SWIFT, et les protections de l’infrastructure de SWIFT contre l’homme du milieu, la
divulgation involontaire, la modification et l’accès aux données pendant le transit.
• Les données circulant entre les composants locaux ou distants (hébergés et/ou exploités par un tiers)
relatifs à SWIFT et les systèmes de back-office (ou les systèmes de middleware) auxquels ils sont
directement connectés, sont protégées par un mécanisme sécurisé (par exemple, « LAU en combinaison
avec une protection de la confidentialité » ou une autre solution d’authentification basée sur des
messages, XML DSIG, AES GCM Authenticated Encryption, 2-way TLS) qui assure la confidentialité,
l’intégrité et l’authentification mutuelle des données en transit. Cela inclut le flux de données entre
− l’interface de messagerie et les premiers bonds du back-office (ou middleware) observés à partir de
l’interface,
− l’interface de communication et les premiers bonds du back-office (ou middleware) observés à partir de
l’interface,
− le connecteur et les premiers bonds du back-office (ou middleware) observés à partir du connecteur.
A1→A3 A4 B
Type de contrôle: Conseillé Applicable à l’architecture: ● ● ●
• Les protocoles sécurisés utilisent des algorithmes de cryptographie actuels répandus (par exemple,
AES 25, ECDHE 26), avec des longueurs de clé conformes aux bonnes pratiques actuelles. Pour en savoir
plus sur les algorithmes de cryptographie qui appuient les protocoles sécurisés, consultez la SWIFT
Knowledge Base TIP 5021566.
• Étant donné que cette mesure va progressivement devenir obligatoire dans une future version, les
principes suivants sont indiqués pour garantir la conformité:
− Posséder un inventaire des flux de données entre les éléments relatives à SWIFT et les premiers
bonds du back-office (ou du middleware)
− Élaborer un plan pour mettre en place/activer des mécanismes sécurisés pour les flux identifiés en
tenant compte des points suivants:
o La mise en œuvre de mécanismes sécurisés (voir la première puce ci-dessous) tels qu’exposés
par les interfaces, les connecteurs ou le serveur middleware
o La migration opportuniste des flux de données existants et moins standard vers les protocoles ou
les mécanismes sécurisés
o La restriction parallèle du risque d’usurpation de l’hôte du back-office ou d’intrusion de messages
par l’intermédiaire des dispositifs de connectivité au système ou au réseau.
• Lorsqu’un serveur middleware ou un connecteur client est utilisé, certaines exigences sont attendues des
hôtes de support; ces derniers sont en effet les gardiens des connexions entre le back-office et les
composants relatifs à SWIFT ou SWIFT même:
− Quel que soit l’endroit où les hôtes du serveur middleware ou du connecteur client sont situés et avec
quoi ces serveurs sont partagés, les mêmes exigences de sécurité s’appliquent à ces hôtes ; cela
couvre les serveurs MQ en série utilisés pour atteindre le premier back-office, tout comme les autres
composants ou systèmes d’infrastructure liés à SWIFT. Ces conditions de sécurité couvrent:
l’emplacement dans une autre zone sécurisée possédant des mesures équivalentes à celles qui
s’appliquent à la zone sécurisée SWIFT, restrictions d’accès avec privilèges, politique relative à la
procédure de connexion et aux mots de passe, installation de correctifs de sécurité, restriction de
l’accès à Internet. Ces contrôles ont le serveur middleware et/ou un connecteur client identifiés,
jusqu’à présent, comme « Conseillé » dans les « Éléments dans le périmètre » de leur définition de
contrôle.
− La protection des données sur les serveurs middleware (telles que les données présentes dans les
files d’attente des serveurs MQ utilisées pour atteindre les premiers back-office) ou sur le connecteur
client doit être assurée pour empêcher tout accès non autorisé. Cela peut se faire, par exemple, en
mettant en place un contrôle d’accès approfondi ou en cryptant de manière opportuniste les files
d’attente ou les données au repos)
− La protection des données relatives à SWIFT transitant entre les hôtes du serveur middleware (comme
entre plusieurs serveurs MQ en série) doit être garantie dans le cadre de la protection de
l’infrastructure middleware en utilisant des mécanismes sécurisés (voir le premier point des principes
de mise en œuvre ci-dessus)
− La définition et la gestion des règles de connectivité et des flux d’activité sur les serveurs middleware
doivent être sécurisées pour éviter tout flux non autorisé
• Pour les serveurs middleware (tels que IBM® MQ) connectant directement les composants de
l’infrastructure SWIFT, il est conseillé de mettre également en œuvre le même niveau de protection sur
les flux entre ce serveur middleware et les premiers back-offices, tel que vu du point de vue applicatif par
le composant lié à SWIFT. De même, il est également conseillé de mettre en œuvre le même niveau de
protection entre un connecteur client et les premiers bonds du back-office, le cas échéant, du point de
vue applicatif. Afin de garantir progressivement la conformité pour ces liens, les principes suivants sont
déjà fournis:
− Faire l’inventaire des flux de données relatifs à SWIFT (i) entre le serveur de middleware et les
premiers bonds du back-office vus à partir du composant lié à SWIFT et (ii) entre un connecteur client
et les premiers bonds du back-office vus à partir du connecteur client.
− Élaborer un plan pour activer des mécanismes sécurisés pour les flux identifiés en tenant compte des
points suivants:
25
Advanced Encryption Standard
26
Elliptic Curve Diffie-Hellman Ephemeral
A1→A3 A4 B
Type de contrôle: Conseillé Applicable à l’architecture: ● ● ●
o Mise en œuvre de mécanismes sécurisés (voir le premier point des principes de mise en œuvre ci-
dessus) tel qu’exposé par le serveur middleware, le connecteur client ou le système back-office
o Faire migrer de manière opportune les flux existants et moins standard vers les protocoles ou les
mécanismes sécurisés
o Garantir parallèlement l’authentification des sources de données et de l’autorisation des données
relatives à SWIFT au moyen (i) de fonctionnalités middleware natives ou (ii) de dispositifs de
connectivité systèmes ou réseau qui évitent tout risque d’usurpation de l’hôte.
Remarque: SWIFT s’attend à ce que ce contrôle devienne obligatoire dans une prochaine version de ce
document et échelonnera les attentes:
• En commençant par le connecteur client et les serveurs middleware, lorsqu’ils sont utilisés
• Ensuite, les flux entre les serveurs middleware et les composants relatifs à SWIFT et
• En clôturant avec les flux relatifs à SWIFT vers les systèmes de back-office atteints par les composants
relatifs à SWIFT ou le connecteur client, directement ou via le serveur middleware.
Objectif du contrôle: Protéger la confidentialité des données relatives à SWIFT qui sont transférées ou
stockées en dehors de la zone sécurisée dans le cadre des processus opérationnels.
Facteurs de risque:
• Violation de données de sauvegarde fiables
• Atteinte à la confidentialité de données sensibles
Description de la mesure:
Les données sensibles relatives à SWIFT qui sortent de la zone sécurisée à la suite de (i) sauvegardes des
applications/systèmes d’exploitation, d’une reproduction des données des transactions commerciales à des fins
d’archivage ou de reprise ou (ii) d’extraction pour le traitement hors ligne, sont protégées si elles sont stockées
en dehors d’une zone sécurisée et chiffrées lorsqu’elles sont en transit
Contexte de la mesure:
Alors que le point 2.4A couvre les flux applicatifs (back-office) avec les composants liés à SWIFT, ce contrôle
couvre les données sous-jacentes relatives à SWIFT résidant dans le cloud ou exportées de la zone sécurisée et
manipulées dans le cadre d’activités opérationnelles (telles que les sauvegardes ou les extractions/copies
manuelles/automatiques de données).
Les sauvegardes des systèmes d’exploitation ou des applications et la reproduction des données des
transactions commerciales peuvent fournir des informations utiles pour préparer des transactions frauduleuses.
Leur transfert, leur manipulation et leur stockage en dehors des zones sécurisées (lorsqu’ils utilisent, par
exemple, la technologie SAN/NAS 27), doivent donc être sécurisés pour empêcher tout accès non autorisé. Le
chiffrement des flux ou des données constitue un moyen de protection courant de ce type de données pendant
leur transit.
Le chiffrement des sauvegardes, le chiffrement des données au repos ou la mise en place de contrôles de l’accès
ou d’autorisations appropriés sont des méthodes courantes de protection des données stockées.
Le traitement hors ligne couvre notamment le traitement effectué pour prendre en charge les activités, une
analyse supplémentaire ou des activités de veille économique.
27
Les technologies Storage Area Network/Network Attached Storage offrent des solutions de stockage réseau
• Les données sensibles relatives à SWIFT reproduites ou extraites (données des transactions
commerciales dévoilant des informations comme les débiteurs, créanciers, comptes, montants,
informations commerciales), mots de passe et autres authentificateurs sont:
− Protégées contre tout accès non autorisé si elles sont stockées en dehors de la zone sécurisée SWIFT
ou de toute autre zone possédant des mesures identiques à celles de la zone sécurisée SWIFT. Cet
ensemble de données reproduites ou extraites est également idéalement chiffré lorsqu’il est stocké en
dehors d’une zone sécurisée (cela peut être effectué au niveau des données, du fichier, de
l’application ou du système),
− Chiffrées si elles sont en transit entre deux zones sécurisées (par exemple, entre deux centres de
données) ou transférées en dehors d’une zone sécurisée (SWIFT ou autre zone possédant des
mesures similaires). Le chiffrement peut être appliqué à la couche de données ou
réseau/communication/transport.
• En cas de recours à une plateforme de virtualisation à distance (hébergée et/ou exploitée par un tiers), il
est recommandé de veiller au cryptage des données. Ce cryptage peut se faire au niveau de
l’ »abonnement » au service ou au niveau du stockage et est censé être offert par le tiers pour protéger
l’accès aux données stockées.
• Les protocoles ou les mécanismes cryptographiques utilisent un algorithme de cryptographie actuel
répandu (par exemple, AES 28, ECDHE 29), avec des longueurs de clé conformes aux bonnes pratiques
actuelles. Pour en savoir plus sur les algorithmes de cryptographie qui appuient les protocoles sécurisés
actuels, consultez la SWIFT Knowledge Base TIP 5021566.
• Les mécanismes de cryptage sont conformes aux lois et règlements applicables 30.
• Si la cryptographie qui protège les données sensibles relatives à SWIFT a été compromise, un processus
doit être mis en place pour appliquer une nouvelle cryptographie et protéger ou détruire les copies
compromises des données.
Remarque: Les sauvegardes conservées pour la reprise des activités ou du système sont supposées être
conservées dans une zone sécurisée possédant les mêmes mesures que la zone sécurisée SWIFT.
28
Advanced Encryption Standard
29
Elliptic Curve Diffie-Hellman Ephemeral
30
Tels que ceux identifiés par Global Partner Digital (https://www.gp-digital.org/world-map-of-encryption/)
Objectif du contrôle: Protéger la confidentialité et l’intégrité des sessions d’opérateurs interactifs se connectant
à l’infrastructure ou aux applications relatives à SWIFT locales ou distantes (exploitées par un prestataire de
services).
Facteurs de risque:
• Atteinte à la confidentialité des opérations
• Atteinte à l’intégrité des opérations
• Vol de mot de passe
Description de la mesure:
La confidentialité et l’intégrité des sessions d’opérateurs interactifs se connectant aux applications relatives à
SWIFT (locales ou chez le prestataire de services) ou à la zone sécurisée sont sauvegardées.
Contexte de la mesure:
Les sessions opérateur via le jump server, si utilisé dans l’infrastructure SWIFT locale ou externe, présentent un
risque particulier étant donné que les activités anormales ou non prévues sont plus difficiles à détecter pendant
les sessions interactives que dans les flux d’application à application. Par conséquent, il est important de protéger
l’intégrité et la confidentialité de ces sessions opérateur afin de limiter le risque d’utilisation abusive ou de vol de
mot de passe. S’il est utilisé, l’accès à la couche de virtualisation (gestionnaire de l’hyperviseur) doit disposer
d’une protection équivalente.
• Toutes les sessions interactives sont protégées par un protocole cryptographique (par exemple, ssh,
https avec TLS unidirectionnel).
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
• Les protocoles utilisent un algorithme de cryptographie actuel répandu (par exemple, AES 31, ECDHE 32),
avec des longueurs de clé conformes aux bonnes pratiques actuelles. Pour en savoir plus sur les
algorithmes de cryptographie qui appuient les protocoles sécurisés, consultez la SWIFT Knowledge Base
TIP 5021566.
• Les sessions opérateur et les autres types de session (par exemple, administration ou maintenance) ont
une fonctionnalité de verrouillage en cas d’inactivité qui limite la durée de la session au minimum
nécessaire pour accomplir des tâches habituelles.
• Si le verrouillage automatique n’est pas mis en place au niveau de la session, il doit être mis en place au
niveau du système d’exploitation de l’application, ou au niveau du jump server.
31
Advanced Encryption Standard
32
Elliptic Curve Diffie-Hellman Ephemeral
Objectif du contrôle: Identifiez les vulnérabilités connues dans l'environnement SWIFT local en mettant en
place un processus régulier d'analyse des vulnérabilités et en agissant en fonction des résultats.
Facteurs de risque:
• Exploitation de failles de sécurité connues
Description de la mesure:
La zone sécurisée et les PC opérateur dédiés sont analysés à la recherche de vulnérabilités, à l’aide d’un outil
d’analyse fiable et à jour, et les résultats sont pris en compte pour la prise de mesures de résolution appropriées.
Contexte de la mesure:
La détection des vulnérabilités permet également d’analyser, de traiter et d’atténuer les vulnérabilités.
L’atténuation des vulnérabilités limite le nombre de chemins qu’une personne malintentionnée peut emprunter
pour mener une attaque. Un processus d’analyse des vulnérabilités complet, reproductible et exécuté en temps
utile est nécessaire pour pouvoir détecter en continu les vulnérabilités connues et prendre les mesures
nécessaires.
• L’analyse des vulnérabilités est effectuée au moins une fois par an ou après tout changement significatif
de l’environnement (par exemple, introduction de nouveaux serveurs ou composants et modification de la
conception du réseau, modification/augmentation de la gamme des composants entrant dans le champ
d’application).
− Les outils d’analyse des vulnérabilités proviennent de fournisseurs fiables et sont mis à jour avec des
profils d’analyse dans le mois précédant l’analyse.
− Le type d’analyse des vulnérabilités le mieux adapté (notamment en utilisant des identifiants ou boîte
noire) est sélectionné pour l’environnement. Les éventuels identifiants administrateur utilisés pour
l’analyse sont correctement protégés.
− Des protections suffisantes, compte tenu du risque, sont mises en place pour limiter l’impact sur les
opérations (par exemple, exécuter des analyses en mode sécurisé, ou ignorer les systèmes pour
lesquels l’analyse pourrait être nuisible).
• Outre l’identification des vulnérabilités par le biais d’analyses, tous les tests d’intrusion ou les tests de
vulnérabilité effectifs effectués sur ou via des produits et services relatifs à SWIFT sont conformes à la
SWIFT Customer Testing Policy.
• Le résultat de l’analyse des vulnérabilités est documenté (avec accès restreint) et analysé afin que des
mesures correctives appropriées (comme l’application de mises à jour de sécurité conformément à la
mesure 2.2) puissent être prises.
• Une analyse par trimestre, par mois ou, dans l’idéal, en temps réel, est recommandée.
Objectif du contrôle: Assurer la protection de l’infrastructure SWIFT locale contre les risques inhérents à
l’externalisation d’activités critiques.
Facteurs de risque:
• Exposition à des pratiques de sécurité défaillantes
Description de la mesure:
Les activités critiques externalisées sont protégées avec au moins le même degré de soin que si ces activités
avaient été menées en interne.
Contexte de la mesure:
Lorsque des activités critiques sont confiées à des sous-traitants (par exemple, un prestataire TI externe ou un
fournisseur de service cloud) ou des prestataires de services (comme un service bureau ou un fournisseur
d’applications Lite2), il est essentiel qu’au moins le même niveau de sécurité qu’en interne soit assuré (en plus du
respect du présent cadre de mesures de sécurité) afin d’empêcher l’introduction de nouvelles failles.
Remarque:
• SWIFT considère les opérations suivantes comme des opérations critiques:
− Gestion de la sécurité et gestion des changements du matériel et des logiciels (y compris les
applications, le système d’exploitation et la plateforme ou l’infrastructure virtualisée sous-jacente) qui
assurent le service SWIFT,
− Opérations en lien avec RMA,
− Accès aux données sensibles des utilisateurs (par exemple, contenu des messages),
− Suivi des événements contenant des données sensibles des utilisateurs,
− Gestion et configuration du réseau,
− Opérations en lien avec des transactions SWIFT (par exemple, création ou modification d’un message
concernant une transaction financière dans l’interface de messagerie).
A1→A3 A4 B
Type de contrôle: Conseillé Applicable à l’architecture: ● ● ●
• Lorsqu’il sous-traite son infrastructure liée à SWIFT ou une partie de celle-ci à un tiers (comme un
prestataire informatique externe ou un fournisseur de cloud computing comme quand elle sera disponible
la solution SWIFT de Digital Connectivity) agissant en son nom, l’utilisateur reste responsable du respect
des mesures de sécurité de ce cadre et doit demander à ce tiers de s’y conformer.
• Lorsque le tiers fournit des services partagés pour connecter des utilisateurs SWIFT non liés, il doit être
inscrit au programme d’infrastructure partagée (SIP) ou au programme Alliance Lite2 for Business
Applications (L2BA). L’utilisateur reste responsable de sa propre infrastructure, de son organisation et de
la mise en place de flux de données sécurisés vers le prestataire, conformément aux spécifications de ce
dernier. L’utilisateur est également responsable du contrôle de la conformité de son prestataire avec le
programme SIP ou L2BA concerné 33:
− Les Services bureaux enregistrés et conformes dans le cadre du Shared Infrastructure Programme
sont répertoriés dans le SWIFT Partner Programme Service Bureau Directory
− Les fournisseurs d’applications Lite2 professionnelles enregistrés et conformes dans le cadre du
programme sont répertoriés dans le Lite2 Business Applications Providers Directory
• Des accords de niveau de service (Service Level Agreement, SLA) et un accord de confidentialité (Non-
Disclosure Agreement, NDA) sont conclus avec chaque sous-traitant ou fournisseur de services auquel
des activités critiques sont transférées. Ces SLA définissent le niveau de soin à appliquer par le sous-
traitant ou le fournisseur de services pour exécuter ces opérations critiques.
• Une évaluation des risques est réalisée sur le sous-traitant au début de la relation contractuelle, puis
renouvelée régulièrement par la suite.
Remarque: SWIFT prévoit que ce contrôle deviendra obligatoire, dans une future version de ce document.
33
Un fournisseur reste sur la liste tant qu’il est conforme. S’il est radié de la liste, il y sera réinscrit dès que la conformité sera
rétablie.
Objectif du contrôle: Restreindre l’activité des transactions sortantes dans les limites prévues d’une activité
normale.
Facteurs de risque:
• Transactions réalisées avec des contreparties non autorisées
• Anomalies ou activités réseau suspectes non détectées
Description de la mesure:
Mettre en œuvre des contrôles de détection, de prévention et de validation des transactions afin de limiter
l’activité des transactions sortantes dans les limites prévues de l’activité normale.
Contexte de la mesure:
La mise en œuvre de contrôles commerciaux limitant autant que possible les transactions SWIFT réduit les
possibilités d’envoi (sortant) et, éventuellement, de réception (entrant) de transactions frauduleuses. Une analyse
de l’activité opérationnelle normale permet de définir au mieux ces restrictions. Des paramètres peuvent ensuite
être définis pour limiter les transactions à des seuils acceptables basés sur l’activité « normale ».
• Mettre en place des contrôles qui détecteront, empêcheront, ou valideront les flux de transactions par
rapport aux limites prévues de l’activité normale (service de contrôle des paiements). Les exemples de
mesures potentielles comprennent:
− A) La limitation du trafic sortant en dehors des heures de bureau:
o Les heures d’ouverture étant propres à chaque organisation et unité commerciale, il peut être
nécessaire de prendre en charge plusieurs heures de début et de fin (heures d’ouverture) ou de ne
pas définir de plage spécifique lorsque les systèmes sont utilisés 24 h/ 24.
A1→A3 A4 B
Type de contrôle: Conseillé Applicable à l’architecture: ● ● ●
34
La limitation ou le contrôle sommaire des sessions en dehors des flux commerciaux normaux peut introduire des retards
permettant d’intercepter/rappeler les transactions frauduleuses avant leur traitement immédiat potentiel et, finalement, leur
encaissement.
Objectif du contrôle: Réduire la surface de l’attaque des éléments relatifs à SWIFT en sécurisant les
applications sur les interfaces de messagerie et de communication compatibles SWIFT et les applications
connexes.
Facteurs de risque:
• Surface d’attaque excessive
• Exploitation d’une configuration des applications non sécurisée
Description de la mesure:
Toutes les interfaces de messagerie et les produits d’interface de communication au sein de la zone sécurisée
sont compatibles SWIFT. La sécurisation des applications est appliquée et maintenue à tous les éléments visés.
Contexte de la mesure:
La sécurisation des applications applique le concept de sécurité du « moindre privilège » à une application en
désactivant les fonctionnalités et les services qui ne sont pas nécessaires à l’exploitation normale. Ce processus
réduit les capacités, les fonctionnalités et les protocoles des applications qu’une personne malintentionnée
pourrait utiliser lors d’une attaque. Il permet également de changer de potentiels identifiants par défaut.
En outre, SWIFT exécute un programme de compatibilité des interfaces pour s’assurer que les interfaces sont
conformes aux pratiques actuelles et pour donner au client une assurance supplémentaire et des garanties, ainsi
qu’une meilleure visibilité par rapport aux capacités des différents produits. Après que l’autorité SWIFT chargée
des tests a validé les résultats des tests, l’interface est publiée dans le registre de compatibilité. Conformément
aux conditions générales de SWIFT, les clients doivent utiliser une interface compatible SWIFT.
• Garantir que les interfaces de messagerie et de communication sont compatibles SWIFT (la liste des
interfaces compatibles est publiée dans le registre de compatibilité sur www.swift.com).
− L’interface certifiée SWIFT doit répondre à toutes les exigences de conformité en matière de sécurité
(obligatoires et conseillées) définies dans le SWIFT Compatible Interface Programme.
o Si certaines exigences de conformité en matière de sécurité n’ont pas encore été satisfaites,
l’utilisateur doit passer à une interface certifiée appliquant au moins les exigences de conformité en
matière de sécurité obligatoires minimum.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ●
Facteurs de risque:
• Transactions réalisées avec des contreparties non autorisées
Description de la mesure:
Mettre en œuvre des mesures RMA afin de limiter les activités aux contreparties sûres.
Contexte de la mesure:
La mise en place de mesures opérationnelles qui limitent les transactions SWIFT dans la mesure du possible
réduit le risque d’envoi et de réception de transactions frauduleuses. Ces restrictions sont mieux déterminées par
une analyse des relations commerciales efficaces où le RMA est un mécanisme permettant de prévenir le trafic
indésirable sur un service en contrôlant qui peut envoyer du trafic (et quel type de messages peut être échangé
par le biais de RMA Plus).
Remarque: SWIFT s’attend à ce que cette mesure devienne obligatoire dans une prochaine version de ce
document.
Objectif du contrôle: Empêcher l’accès physique non autorisé aux équipements sensibles, aux environnements
de travail, aux sites d’hébergement et au stockage
Remarque: Les boîtiers VPN Alliance Connect et leurs instances virtuelles (systèmes ou machines
d’hébergement) sont généralement exclus du champ d’application, mais doivent se trouver dans un
environnement doté de contrôles physiques appropriés, comme décrit ci-dessous.
Facteurs de risque:
• Manque de traçabilité
• Accès physique non autorisé
Description de la mesure:
Des dispositifs de sécurité physique sont mis en place pour protéger l’accès aux équipements sensibles, aux
sites d’hébergement et au stockage.
Contexte de la mesure:
La mise en place de dispositifs de sécurité physique protège contre les menaces internes et externes, et réduit
les attaques opportunistes rendues possibles par l’accès aux systèmes physiques.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
− Les périphériques amovibles sensibles nécessaires pour les opérations continues normales (par
exemple, disques extractibles à chaud, dispositifs HSM) sont hébergés dans un centre de données ou
au moins dans un espace fermé à clé.
− Les supports de sauvegarde (par exemple, bandes) sont sécurisés physiquement.
• Sécurité de l’environnement de travail
− Les PC opérateur sont situés dans un environnement de travail sécurisé dont l’accès est contrôlé et
accordé uniquement aux employés et autres travailleurs et visiteurs autorisés. Une zone physique
séparée pour les PC opérateur qui accèdent aux systèmes SWIFT n’est pas nécessaire.
− Les imprimantes utilisées pour les transactions SWIFT se trouvent dans un environnement de travail
sécurisé et leur accès est restreint.
− Les points d’accès USB et autres points d’accès externes sur les PC opérateur sont désactivés dans la
plus large mesure possible, sans que cela n’entrave les opérations (par exemple, lorsque des jetons
sont nécessaires pour authentifier des utilisateurs ou des messages).
• Sécurité pour les travailleurs qui ont accès aux systèmes SWIFT (utilisation, maintenance ou
administration) distants (par exemple, télétravailleurs, personnel d’astreinte)
− Une politique de sécurité prévoyant les cas d’utilisation pour les travailleurs distants est mise en place.
Les aspects suivants sont pris en considération lors de l’élaboration de la politique:
o La sécurité physique de l’environnement de télétravail prévu,
o Les règles applicables aux équipements personnels utilisés à des fins professionnelles relatives à
SWIFT (par exemple, les PC personnels ne peuvent pas être utilisés pour accéder à l’infrastructure
SWIFT, mais les téléphones portables personnels peuvent être utilisés comme second facteur
d’authentification),
o Sécurité dans le cadre d’une utilisation dans des environnements publics,
o Sécurité dans les transports en commun et privatifs,
o Le stockage des équipements
o Accès non autorisé aux équipements (par exemple par la famille ou les amis),
o Contraintes pour l’accès à distance (VPN recommandé avec authentification multifactorielle)
o Protection des appareils mobiles utilisés pour l’authentification, comme OTP (activation du mot de
passe et du verrouillage automatique recommandée),
o Contrôles compensatoires (par exemple, bureau virtuel empêchant le stockage sur disque local ;
chiffrement du disque intégral),
o Signalement des incidents de sécurité (par exemple, vol) pour les personnes qui travaillent à
distance.
• Sécurité de l’environnement des serveurs
− Les serveurs sont hébergés dans un centre de données ou au moins dans un espace fermé à clé dont
l’accès est limité et contrôlé (par exemple à l’aide de badges d’accès ou de la biométrie).
o Dans l’idéal, les serveurs sont installés sur des racks. Une évaluation des risques est réalisée afin
de déterminer si un rack exclusivement dédié aux serveurs, ou si le verrouillage du rack, sont
nécessaires, en tenant compte des mécanismes de contrôle d’accès existants du centre de
données.
− L’environnement des serveurs est équipé de la vidéosurveillance avec des équipements de détection
des mouvements et d’enregistrement vidéo. La mise en place d’un système de vidéosurveillance qui
enregistre et conserve des images est conforme aux lois et règlements applicables 35. Dans l’idéal, les
images sont conservées pendant au moins trois mois.
− Aucune référence physique à SWIFT sur les serveurs (par exemple, étiquettes).
− Les ports externes (par exemple, USB, bus en série) sur les serveurs sont désactivés dans la plus
large mesure possible, sans que cela n’entrave les opérations.
• Journalisation et examen des accès physiques
− L’accès physique aux zones comportant des équipements sensibles (par exemple, centre de données,
espaces de stockage sécurisés) est journalisé.
35
Telles que les « Principes 3/2019 sur le traitement des données à caractère personnel au moyen de dispositifs vidéo », la
loi/code de pratique local sur la protection des données ou les lois relatives à la vidéosurveillance
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
− Les journaux d’accès physique sont mis à disposition pour les audits et enquêtes, et sont conservés
pendant 12 mois minimum et en conformité avec les lois et règlements applicables.
− L’accès physique est rapidement révoqué (ou modifié) lorsqu’un employé change de poste ou quitte
l’entreprise.
− Les listes de contrôle d’accès physique sont examinées au moins une fois par an.
Objectif du contrôle: S’assurer que les mots de passe sont suffisamment robustes pour résister aux attaques
courantes, en mettant en place et en appliquant une politique efficace en matière de mots de passe.
Facteurs de risque:
• Compromission de mot de passe ou autre atteinte à la sécurité informatique
Description de la mesure:
Tous les comptes d’application et de système d’exploitation nécessitent des mots de passe remplissant des
critères appropriés, comme la longueur, la complexité, la validité et le nombre maximum autorisé d’échecs de
tentatives de connexion. De manière similaire, les jetons personnels et les appareils mobiles nécessitent des
mots de passe ou des codes d’identification individuels (PIN) avec des paramètres appropriés.
Contexte de la mesure:
La mise en place d’une politique en matière de mots de passe qui protège contre les attaques courantes visant
les mots de passe (par exemple, cassage, attaque par force brute) permet de protéger efficacement contre le
piratage de comptes. Les cyber-pirates utilisent souvent les privilèges d’un compte piraté pour se déplacer
latéralement au sein d’un environnement et étendre leur attaque. Un autre risque est le piratage des clés
d’authentification locale visant à violer l’intégrité des transactions.
Il faut toutefois garder à l’esprit que les mots de passe seuls ne sont généralement pas suffisants pour parer aux
cyber-attaques actuelles. Les utilisateurs doivent donc appréhender cette mesure en étroite relation avec
l’authentification multifactorielle requise.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
• Une politique en matière de mots de passe couvrant aussi les paramètres PIN et conforme aux normes et
aux bonnes pratiques actuellement en vigueur dans l’industrie est mise en place, et définit les critères
suivants:
− Expiration des mots de passe
− Longueur, composition, complexité et autres restrictions pour les mots de passe
− Réutilisation des mots de passe
− Verrouillage après plusieurs échecs d’authentification, et récupération
− Les exigences concernant les mots de passe peuvent être modifiées si nécessaire pour des usages
particuliers:
o En combinaison avec un second facteur (par exemple, mot de passe à usage unique),
o Cible d’authentification (par exemple, système d’exploitation, application, appareil mobile, jeton),
o Type de compte (opérateur standard, opérateur privilégié, compte d’application à application ou
clés d’authentification locale).
D’autres recommandations pour les paramètres des mots de passe et des PIN sont fournies dans la
SWIFT Knowledge Base TIP 5021567 et 5022038.
• La politique en matière de mots de passe est élaborée en tenant compte des vulnérabilités connues liées
aux mots de passe dans l’environnement informatique. Par exemple, exiger un mot de passe de plus de
15 caractères pour les systèmes Windows empêche Windows de calculer l’empreinte de mot de passe
LM (LAN Manager) extrêmement vulnérable.
• La politique relative aux mots de passe est mise en application si possible par des moyens techniques
(par exemple, à travers une politique de groupe Active Directory, ou dans les paramètres de l’application).
• L’efficacité de la politique relative aux mots de passe est régulièrement évaluée (recommandée
annuellement).
• Les paramètres du système pour la gestion et le stockage des mots de passe sont conformes aux
bonnes pratiques de l’industrie et du fournisseur (par exemple, activation du paramètre de registre
« NoLMHash » dans Windows).
• Les mots de passe utilisés pour les systèmes de la zone sécurisée sont beaucoup plus vulnérables s’ils
sont stockés dans des systèmes d’authentification en dehors de la zone sécurisée (par exemple, dans un
Active Directory d’entreprise). Au lieu de cela, les mots de passe pour les systèmes de la zone sécurisée
sont, dans toute la mesure du possible, stockés uniquement à l’intérieur de la zone (par exemple, dans
un Active Directory pour les systèmes de production), comme expliqué dans le guide pour la conception
de la zone sécurisée ou une autre zone sécurisée existante possédant des mesures similaires.
Remarque: Il est important que les utilisateurs utilisent des mots de passe forts, et de préférence une
authentification forte, pour tous les systèmes utilisés tout au long de la chaîne de transaction, et pas seulement
pour l’infrastructure SWIFT.
Objectif du contrôle: Empêcher que la violation d’un facteur d’authentification unique permette d’accéder aux
systèmes ou applications SWIFT, en mettant en place une authentification à facteurs multiples.
Facteurs de risque:
• Rejeu d’identifiants
• Compromission de mot de passe ou autre atteinte à la sécurité informatique
• Vol de mot de passe
Description de la mesure:
L’authentification multifactorielle est utilisée pour l’accès des utilisateurs interactifs aux applications relatives à
SWIFT et aux comptes du système d’exploitation.
Contexte de la mesure:
L’authentification multifactorielle nécessite la fourniture de plusieurs (deux ou plus) des facteurs d’authentification
courants suivants:
• Facteur de connaissance (quelque chose que l’opérateur connaît), généralement un mot de passe.
• Facteur de possession (quelque chose que l’opérateur a), généralement:
− jetons connectés (par exemple, jetons USB, cartes à puce),
− jetons non connectés (par exemple, générateurs de mots de passe à usage unique utilisant le
téléphone portable de l’opérateur, jeton RSA ou Digipass).
• Facteur d’inhérence (quelque chose que l’opérateur est), généralement un facteur biométrique comme
une empreinte digitale, le balayage de la rétine ou la reconnaissance vocale.
La mise en œuvre de l’authentification multifactorielle offre un niveau de protection supplémentaire contre les
attaques d’authentification courantes (par exemple, l’espionnage par-dessus l’épaule, la réutilisation de mots de
passe ou les mots de passe faibles) et fournit une protection supplémentaire contre la compromission des
comptes pour le traitement de transactions malveillantes. Les cyber-pirates utilisent souvent les privilèges d’un
compte piraté pour se déplacer latéralement au sein d’un environnement et étendre leur attaque.
environnementales particulières doivent être prises en compte pour évaluer correctement le niveau
global de conformité (conformément aux principes de mise en œuvre suggérés ou à d’autres solutions).
Remarque: Toutes les interfaces de messagerie et de communication SWIFT et celles de fournisseurs tiers
compatibles SWIFT doivent prendre en charge ou intégrer l’authentification multifactorielle.
36
telles que l’affichage, la création, l’approbation ou la modification de transactions ou de droits d’utilisateur.
Objectif du contrôle: Appliquer les principes de sécurité de l’accès basé sur le besoin d’en connaître, du
moindre privilège et de la séparation des tâches pour les comptes des opérateurs.
Facteurs de risque:
• Privilèges ou accès excessifs
• Non-respect de la séparation des tâches
• Accès non autorisé à l’hyperviseur et à ses modules de configuration
Description de la mesure:
Les comptes sont définis selon les principes de sécurité de l’accès basé sur le besoin d’en connaître, du moindre
privilège et de la séparation des tâches.
Contexte de la mesure:
L’application des principes de sécurité du (1) besoin d’en connaître, (2) moindre privilège et de la (3) séparation
des tâches est essentielle pour limiter l’accès à l’infrastructure SWIFT locale. Une gestion efficace des comptes
d’opérateurs réduit le risque d’une utilisation de comptes par une personne malintentionnée dans le cadre d’une
attaque.
Une politique de contrôle d’accès logique est documentée et appliquée pour tenir compte des principes suivants:
• Besoin d’en connaître
− Seuls les opérateurs (utilisateurs finaux et administrateurs) qui ont constamment besoin d’accéder à la
zone sécurisée sont autorisés à avoir des comptes dans la zone sécurisée.
− Des privilèges sont accordés uniquement aux opérateurs ayant un besoin d’en connaître validés (par
exemple, la configuration système garantit que les opérateurs ont uniquement accès aux informations,
fichiers et ressources système dont ils ont besoin pour accomplir les tâches définies qui leur ont été
assignées). L’accès aux autres fonctions du système est désactivé.
• Moindre privilège
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
Objectif du contrôle: Assurer la bonne gestion, le suivi et l’utilisation de l’authentification du matériel connecté
ou des jetons personnels (lorsque des jetons sont utilisés).
Facteurs de risque:
• Vol de jetons d’authentification
• Manque de traçabilité
• Utilisation abusive de la gestion de HSM
Description de la mesure:
Les jetons d’authentification matériels connectés ou personnels sont gérés correctement lors de leur attribution,
distribution, révocation, utilisation et stockage.
Contexte de la mesure:
La protection de l’authentification matérielle ou des jetons personnels connectés est essentielle à la sauvegarde
du compte de l’opérateur ou du système concerné et renforce les bonnes pratiques de sécurité, en offrant un
niveau de protection supplémentaire contre les agresseurs.
• Un processus contrôlé est utilisé pour l’attribution et la distribution de matériel connecté ou de jetons
personnels utilisés pour les opérations SWIFT (par exemple jeton USB, jeton HSM, carte à puce).
• L’attribution des jetons est examinée au moins une fois par an (ou plus fréquemment, dans l’idéal).
• Les jetons matériels personnels sont révoqués lorsque la personne concernée n’a plus besoin d’accès, et
ils doivent être éventuellement rappelés (à des fins d’élimination ou de réaffectation, si approprié).
• Un registre des détenteurs de jetons matériels attribués est tenu.
• Les jetons matériels sont retirés physiquement du système et stockés en lieu sûr ou placés sous
surveillance lorsqu’ils ne sont pas utilisés.
• Lorsqu’un PED à distance est utilisé, les pratiques de sécurité suivantes s’appliquent:
− Les clés PED doivent être stockées et accessibles uniquement au personnel pertinent (les originaux et
les copies doivent être stockés dans un coffre-fort et l’accès est suivi)
− Même si les clés HSM PED ne sont pas personnellement assignées, l’utilisation doit être contrôlée,
suivie et surveillée. Si un code PIN est défini sur les clés PED et si une personne ayant accès à ces
clés et au code PIN quitte la société, les codes PIN devront être modifiés
− Les flux vers le HSM doivent être sécurisés conformément aux orientations de l’Alliance en matière de
sécurité, en tenant également compte de la CSP FAQ (SWIFT Knowledge Base TIP 5021823) pour
établir et gérer correctement la connexion.
Objectif du contrôle: Garantir la fiabilité du personnel qui exploite l’environnement SWIFT local par un
processus de vérification du personnel conformément aux lois et réglementations locales en vigueur.
Facteurs de risque:
• Personnel ou opérateurs système non fiables
Description de la mesure:
Le personnel qui exploite l’environnement SWIFT local est vérifié pour sa fiabilité avant d’être embauché pour la
première fois dans ce rôle, puis régulièrement par la suite.
Contexte de la mesure:
Un processus de vérification de la fiabilité du personnel, habilitation interne ou externe, offre une garantie
supplémentaire des opérateurs ou des administrateurs de l’infrastructure SWIFT locale, et limite le risque de
menaces internes.
Dans les limites autorisées par les lois et réglementations en vigueur et dans la mesure où les informations sont
disponibles, les principes et vérifications spécifiées ci-dessous sont recommandés:
• Tout le personnel concerné est contrôlé au moins tous les 5 ans.
− Pour les personnes qui ont déjà un poste et qui n’ont pas encore fait l’objet d’une vérification, un
processus de mise à niveau est progressivement mis en place dans le cadre de la procédure de
vérification périodique (également parfois appelée revérification)
• La procédure de vérification appliquée lors de la première embauche inclut les vérifications suivantes (à
effectuer conformément aux lois et réglementations locales en vigueur 37):
− Vérification de l’identité,
37
En incluant, si approprié, une concertation sociale
A1→A3 A4 B
Type de contrôle: Conseillé Applicable à l’architecture: ● ● ●
Objectif du contrôle: Protéger physiquement et logiquement le référentiel des mots de passe enregistrés.
Facteurs de risque:
• Vol de mot de passe
Description de la mesure:
Les mots de passe enregistrés sont stockés dans un endroit physique ou logique protégé, avec un accès limité
en fonction du « besoin d’en connaître ».
Contexte de la mesure:
Le stockage sécurisé des mots de passe enregistrés (référentiel) empêche que les mots de passe ne soient
facilement accessibles à d’autres personnes, protégeant ainsi contre le vol de mots de passe. Les méthodes non
sécurisées courantes incluent notamment (liste non exhaustive): la saisie des mots de passe dans une feuille de
calcul ou un document texte enregistré sans chiffrement sur un ordinateur de bureau ou dans un répertoire
partagé ou sur un serveur, enregistrée sur un téléphone portable, la saisie manuelle ou l’impression des mots de
passe sur un post-it ou une feuille.
Cette mesure couvre le stockage de mots de passe de comptes « urgence », comptes à privilèges ou n’importe
quels autres comptes. Tous les comptes doivent être considérés parce (i) qu’une combinaison de comptes sans
privilèges violés peut être préjudiciable, comme le compte de l’instigateur d’une transaction et le compte d’un
approbateur (ii) que même l’opération de surveillance des comptes fournit des informations utiles pendant le délai
de reconnaissance.
• Les mots de passe inscrits sur des supports physiques sont protégés par les moyens suivants:
Objectif du contrôle: Veiller à ce que l’infrastructure SWIFT locale soit protégée contre les logiciels malveillants
et agir en fonction des résultats.
Facteurs de risque:
• Exécution de codes malveillants
• Exploitation de failles de sécurité connues
Description de la mesure:
Un logiciel anti-malware provenant d’un fournisseur réputé est installé, maintenu à jour sur tous les systèmes et
les résultats sont pris en compte pour des actions de résolution appropriées.
Contexte de la mesure:
« Logiciel malveillant » est un terme générique qui englobe de nombreux types de logiciels intrusifs et
indésirables, y compris des virus. La technologie anti-logiciels malveillants (terme plus large utilisé pour désigner
les antivirus) protège efficacement contre les codes malveillants ayant un profil numérique ou comportemental
connu.
• Une analyse anti-logiciels malveillants à l’accès (également appelée analyse en temps réel ou en arrière-
plan) est effectuée sur tous les éléments visés. Une analyse complète à la demande est programmée au
moins une fois par semaine pour les PC opérateur (une fois par jour dans l’idéal). Une analyse complète
à la demande doit être programmée régulièrement pour les serveurs en fonction des contraintes
commerciales et opérationnelles. Pour éviter une baisse de performance, les analyses complètes sont
effectuées à des périodes creuses et/ou en dehors des heures ouvrables.
• L’étendue de l’analyse doit inclure tous les fichiers des systèmes concernés. L’exclusion d’éléments ou
d’un annuaire de l’analyse est sujette à une évaluation des risques prenant en compte la configuration de
l’infrastructure de l’utilisateur, les politiques et les exigences en matière de sécurité interne, les capacités
des produits et les principes suivants:
− Les logiciels (par exemple, exe, librairies, scripts) et les données statiques (par exemple, fichiers de
configuration) doivent être analysés à l’accès ou à l’installation, puis régulièrement après cela,
lorsqu’ils sont complétés par un mécanisme d’intégrité durant l’exécution (conforme à la vérification de
l’intégrité des logiciels décrite dans la mesure 6.2) permettant l’identification des changements de
fichier ou des ajouts inattendus.
− Le contenu du serveur de la base de données (fichiers) peut être exclu de l’analyse lorsque les
données ont été vérifiées, validées et analysées au moins une fois avant leur stockage.
• Un programme anti-logiciels malveillants d’un fournisseur fiable est installé sur tous les systèmes
informatiques et mis à jour selon la fréquence d’analyse.
• Les systèmes qui ne mettent pas leurs profils à jour ou qui n’exécutent pas d’analyses programmées sont
détectés et réparés.
• La compatibilité du programme anti-logiciels malveillants avec l’environnement opérationnel est testée.
• Le programme anti-logiciels malveillants est testé en mode préventif si possible, après évaluation de
l’impact opérationnel. Il est recommandé de configurer le programme anti-logiciels malveillants pour
mettre en quarantaine les fichiers suspects et alerter le service de sécurité de l’utilisateur plutôt que de
les effacer immédiatement. Cela permet au service de sécurité de l’utilisateur d’enquêter sur l’alerte et de
prévenir d’éventuels « faux positifs » ultérieurs, tout en permettant la récupération des fichiers dans le cas
où ils auraient été confirmés comme étant légitimes.
• Les fichiers à envoyer doivent être scannés au moins une fois à n’importe quel stade/étape de leur
traitement interne et idéalement aussi près que possible de leur transfert dans le réseau SWIFT. Il s’agit
de s’assurer que ces fichiers ne contiennent pas de virus ou de logiciels malveillants susceptibles de
créer des risques pour l’expéditeur, pour SWIFT ou pour le destinataire.
• La solution EPP (Endpoint Protection Platform), combinée ou non avec la solution EDR (Endpoint
Detection and Response) offrant un contrôle similaire sur l’infrastructure peut être considérée comme une
mise en œuvre valable.
Objectif du contrôle: Garantir l’intégrité des applications relatives à SWIFT et agir en fonction des résultats.
Facteurs de risque:
• Modifications non autorisées apportées au système
Description de la mesure:
Une vérification de l’intégrité des logiciels est effectuée à intervalles réguliers sur l’interface de messagerie,
l’interface de communication et d’autres applications relatives à SWIFT et les résultats sont pris en compte pour
des actions de résolution appropriées.
Contexte de la mesure:
Les vérifications de l’intégrité des logiciels permettent de détecter les modifications imprévues des logiciels
opérationnels.
• Les vérifications de l’intégrité des logiciels sont effectuées sur tous les éléments visés dès leur
lancement, puis au moins une fois par jour.
Options de mise en œuvre:
− Intégré dans le produit,
− Outil tiers de contrôle de l’intégrité des fichiers (FIM).
• L’intégrité des logiciels téléchargés est contrôlée en vérifiant la somme de contrôle au moment du
déploiement.
Objectif du contrôle: Assurer l’intégrité des enregistrements de la base de données pour l’interface de
messagerie SWIFT et agir en fonction des résultats.
Facteurs de risque:
• Atteinte à l’intégrité de données sensibles.
Description de la mesure:
Une vérification de l’intégrité des bases de données est effectuée à intervalles réguliers sur celles qui enregistrent
les transactions SWIFT et les résultats sont pris en compte pour les actions de résolution appropriées.
Contexte de la mesure:
Les vérifications de l’intégrité des bases de données permettent de détecter les modifications non prévues
apportées aux enregistrements des bases de données.
• La fonctionnalité de vérification de l’intégrité des bases de données est activée pour assurer l’intégrité au
niveau de l’enregistrement (contrôle de somme ou signature des enregistrements) et confirmer qu’il n’y a
aucun « trou » dans la numérotation séquentielle des transactions.
Options des mises en œuvre:
− Intégré à l’interface de messagerie,
− Intégré à la base de données.
Objectif du contrôle: Enregistrer les événements de sécurité et détecter les actions et opérations anormales
dans l’environnement SWIFT local.
Facteurs de risque:
• Manque de traçabilité
• Anomalies ou activités réseau suspectes non détectées
Description de la mesure:
Des capacités de détection des activités anormales sont mises en place, ainsi qu’un processus ou outil
permettant de stocker et de vérifier fréquemment les journaux.
Contexte de la mesure:
La mise au point d’un programme de journalisation et de surveillance est fondamentale pour détecter
efficacement les comportements suspects et les attaques potentielles. L’environnement opérationnel étant de
plus en plus complexe, les capacités de journalisation et de surveillance nécessaires pour procéder aux
détections adéquates seront de plus en plus sophistiquées. Une simplification de l’environnement opérationnel
permettra une journalisation et une surveillance plus réduites.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
− Mettre en place un plan pour la journalisation des activités en lien avec la sécurité, et configurer des
alertes pour les événements de sécurité suspects (si cela est pris en charge par l’application).
− Mettre en place un plan pour la surveillance des événements de sécurité et d’autres événements (par
exemple, la surveillance en temps réel des activités réalisées via la GUI), et pour le traitement des
alertes.
• Toutes les activités de journalisation et de surveillance sont conformes aux lois et règlements applicables,
ainsi qu’aux contrats de travail qui remplacent toute instruction de mise en œuvre.
• Journalisation:
− Des capacités de journalisation sont déployées pour détecter toute utilisation anormale dans la zone
sécurisée, ainsi que les actions visant à porter atteinte à l’effectivité des contrôles à l’intérieur de la
zone sécurisée.
− Les journaux offrent une traçabilité de l’utilisation du compte vers la personne concernée.
− Les journaux d’audit des interfaces de messagerie et de communication sont conservés pendant 12
mois minimum, et sont suffisamment protégés d’un danger au niveau administrateur (par exemple, les
fichiers du journal sont transférés vers un système distinct avec des identifiants d’administrateur
système différents).
− Les journaux d’audit des PC opérateur, pare-feu et bases de données sont conservés pendant 31
jours minimum.
− Au minimum, les journaux suivants sont conservés:
o Historique des lignes de commande pour les comptes à privilèges dans le système d’exploitation
sur les serveurs
o Journaux des interfaces de messagerie et de communication et du système d’exploitation, qui
détaillent les comportements anormaux dans le système (par exemple, activité en dehors des
heures ouvrables habituelles, multiples échecs de tentatives de connexion, erreurs
d’authentification, changements dans les groupes d’utilisateur),
o Journaux de pare-feu,
o Journaux de bases de données (si disponibles, et au moins pour les solutions de bases de
données hébergées).
• Surveillance:
− Des procédures sont mises en place pour identifier les connexions suspectes à un quelconque compte
à privilèges du système d’exploitation ou d’une application à l’intérieur de la zone sécurisée.
− Des processus de surveillance sont mis en place pour vérifier les données de surveillance du serveur,
des applications et des bases de données de la zone de sécurité soit quotidiennement via des
vérifications humaines ou soit via une surveillance automatique avec système d’alerte.
− Des processus de surveillance permettent de vérifier régulièrement les données de surveillance du
réseau.
− Toute activité anormale ou suspecte est signalée à l’équipe sécurité appropriée pour suivi.
Objectif du contrôle: Détecter et prévenir toute activité de réseau anormale dans l’environnement SWIFT local
ou distant.
Facteurs de risque:
• Anomalies ou activités réseau suspectes non détectées
Description de la mesure:
La détection des intrusions est mise en place pour repérer les accès non autorisés au réseau et les activités
anormales.
Contexte de la mesure:
Des systèmes de détection d’intrusions sont très souvent mis en place sur un réseau (NIDS) 38 - établissant une
base pour les opérations normales et l’envoi de notifications lorsque des activités anormales y sont détectées.
Étant donné qu’un réseau opérationnel est de plus en plus complexe (par exemple, systèmes qui communiquent
avec plusieurs destinations, accès à Internet), le système de détection des intrusions nécessaire pour procéder
aux détections adéquates sera également de plus en plus sophistiqué. Par conséquent, la simplification du
comportement du réseau permettra de mettre en place des solutions de détection des intrusions plus simples et
plus efficaces.
Les systèmes de détection des intrusions sur l’hôte (HIDS) sont destinés à protéger le système sur lequel ils sont
mis en place en plus de détecter les paquets réseau sur ses interfaces réseau, en fonctionnant comme un NIDS.
Les systèmes de détection d’intrusions (NIDS ou HIDS) combinent souvent des méthodes de basées sur les
signatures et basées sur les anomalies. Certains systèmes sont également capables de réagir à toute intrusion
détectée (par exemple, en coupant la connexion suspecte).
Le système de détection et réponse sur les points terminaux (EDR) est une technologie émergente qui répond au
besoin de surveillance et de réponse continues aux menaces avancées en détectant les activités suspectes et les
(traces d’) autres problèmes sur les hôtes/points terminaux. Cette technologie est plus fréquemment associée à
un système de plateforme de protection des terminaux (EPP) qui se concentre au niveau du dispositif.
• Le système de détection des intrusions est configuré de manière à détecter les activités anormales dans
la zone sécurisée et aux points d’entrée de la zone sécurisée. Cela peut être réalisé via un NIDS et/ou un
38
Système de détection des intrusions sur le réseau
HIDS en fonction de la configuration du réseau (par exemple, les NIDS sont plus intéressants pour les
VLAN étendus ; les systèmes composés de plusieurs îlots séparés privilégieront la technologie HIDS sur
ces systèmes). La solution EDR peut également être envisagée.
• Les activités de réseau à suivre pour l’analyse de détection des intrusions peuvent inclure:
− Connexions entrantes et sortantes en dehors des heures ouvrables,
− Connexions non prévues de la zone sécurisée vers d’autres systèmes situés dans ou en dehors du
périmètre de la zone sécurisée SWIFT,
− Utilisation non prévue d’un port ou d’un protocole (par exemple, P2P).
• Le système actualise régulièrement les signatures d’intrusions connues.
• Si une intrusion est détectée, une alerte est envoyée et, si l’outil le permet, un mécanisme de défense est
déclenché manuellement ou automatiquement.
• Les intrusions détectées sont gérées sous le processus standard d’intervention en cas d’incident.
Objectif du contrôle: Garantir une approche cohérente et efficace de la gestion des cyber-incidents.
Facteurs de risque:
• Préjudice important dû à un manque de préparation pour faire face aux cyber-incidents
Description de la mesure:
L’utilisateur a défini et testé un plan d’intervention en cas de cyber-incident.
Contexte de la mesure:
La disponibilité et une bonne résilience sont essentielles pour les affaires. À cet égard, définir et tester un plan
d’intervention en cas de cyber-incident est un moyen extrêmement efficace de réduire l’impact et la durée d’un
cyber-incident réel. Étant donné que des enseignements sont tirés des tests effectués sur ce plan, ou des
incidents réels qui se sont produits, il est essentiel d’appliquer ces enseignements et d’améliorer le plan. En
outre, il est essentiel de planifier le partage des informations sur les menaces et les incidents afin d’aider la
communauté financière dans son ensemble à mettre en place des protections efficaces contre les cyber-
attaques.
• L’utilisateur a élaboré un plan d’intervention en cas de cyber-incident qu’il actualise chaque année. Un
plan de sauvegarde et de reprise formel existe pour toutes les divisions critiques, afin d’appuyer les
interventions menées en cas d’incident.
− Le plan d’intervention en cas d’incident cybernétique comprend des coordonnées actualisées (internes
et externes en cas de recours à des tiers ou à des fournisseurs de services) et des délais d’escalade.
Un tel plan doit intégrer:
o La Cyber Security Incident - Recovery roadmap qui fournit une liste non exhaustive d’étapes ou
d’actions que doit suivre un client en cas de brèche de la cyber-sécurité, et qui renvoie à
l’assistance SWIFT. Les détails sont énoncés dans le bulletin du SWIFT-ISAC n° 10047.
o Les politiques de sécurité interne, lois et réglementations en vigueur dans le pays d’un utilisateur
doivent être observées et prises en considération lors de la planification de l’intervention en cas de
cyber-incident.
A1→A3 A4 B
Type de contrôle: Obligatoire Applicable à l’architecture: ● ● ●
• Le plan est réexaminé au moins une fois par an, et testé au moins une fois tous les deux ans afin de
garantir la bonne reprise des opérations critiques avec une durée d’interruption minimum suite à un
cyber-incident.
• Le plan d’intervention en cas de cyber-incident inclut des mesures pour:
− notifier rapidement les parties prenantes internes appropriées et la direction,
− notifier rapidement les acteurs organisationnels externes pertinents (en général, le/les régulateur(s),
superviseur(s), les services répressifs),
− notifier rapidement le Centre de Support client SWIFT en passant par le canal par défaut, et se
conformer à d’autres obligations applicables pour les utilisateurs en cas d’incident touchant à la
sécurité, y compris l’obligation de coopérer et de fournir des matériaux destinés à la police scientifique,
comme peut l’exiger SWIFT,
− endiguer ou isoler rapidement le système affecté afin de limiter l’exposition de l’attaque tout en étant
capable d’identifier les activités illicites,
− impliquer des professionnels de la cyber-sécurité compétents pour identifier et s’occuper du cyber-
incident. Il est de la responsabilité de l’utilisateur de prendre des mesures correctives rapides pour
enquêter sur, nettoyer l’ensemble de l’infrastructure et reprendre les opérations sécurisées le plus tôt
possible,
− Revoir l’exactitude de l’/des attestation(s) actuelle(s) de l’utilisateur et, tel que le prévoit la politique des
mesures de sécurité de SWIFT, invalider cette/ces attestation(s) et effectuer une/des nouvelle(s)
attestation(s),
− faire une analyse de problème après l’incident afin d’identifier les vulnérabilités et d’y remédier,
− Documenter intégralement l’incident
• L’utilisateur a un plan documenté pour la transmission opportune d’informations sur les menaces aux
organisations qui diffusent les connaissances, à la police, à la justice et aux autorités de régulation
locales (en fonction des prescriptions légales applicables dans le pays de chaque utilisateur) et à SWIFT.
Le partage d’informations sur les menaces peut appuyer l’analyse des causes profondes et le partage
d’« indicateurs de compromission » (IOC) anonymisés avec la communauté.
• Les informations à partager sont d’abord évaluées pour veiller au respect des lois et règlements
applicables (par exemple, confidentialité des données à caractère personnel et des enquêtes) et prévenir
tout partage accidentel de données sensibles ou de données sans rapport avec l’incident.
• L’utilisateur peut utiliser les connaissances sur les menaces partagées par SWIFT, par exemple sous
forme d’IOC. L’utilisateur a mis en place des procédures pour:
− Garantir la distribution des informations aux contacts appropriés au sein de l’organisation,
− Bloquez le trafic entre les adresses IP/URL mentionnées dans les IOC.
Objectif du contrôle: S’assurer que l’ensemble du personnel connaît et prend ses responsabilités en matière de
sécurité, en participant régulièrement à des activités de formation et de sensibilisation à la sécurité.
Facteurs de risque:
• sécurité engendrée par un personnel insuffisamment formé
Description de la mesure:
Des sessions annuelles de sensibilisation à la sécurité sont dispensées pour tous les membres du personnel, y
compris une formation spécifique pour les rôles SWIFT qui ont un accès avec privilèges.
Contexte de la mesure:
Un programme de formation et de sensibilisation à la sécurité encourage les employés et administrateurs à
adopter les bons comportements de sécurité et, de manière générale, renforce les bonnes pratiques de sécurité.
En outre, il est particulièrement important que les utilisateurs qui ont un accès privilégié aient les connaissances
et les compétences appropriées.
• Le personnel suit une session de formation et de sensibilisation à la sécurité chaque année. Les thèmes
abordés peuvent inclure:
− Formation sur les produits et services SWIFT (par exemple, via SWIFTSmart qui est accessible à tous
les utilisateurs),
− Sensibilisation aux cyber-menaces dans le secteur des services financiers, ou à celles qui concernent
plus spécifiquement le rôle et les responsabilités de l’employé,
− Risques liés à l’utilisation de l’Internet ou au déploiement dans le cloud
− Sécurité et gestion des mots de passe,
− Sécurité des périphériques
− Pratiques sûres (par exemple, identification des spams et du phishing, y compris le « spear
phishing 39 », téléchargement de fichiers, pratiques de navigation),
− Signalement des événements et activités suspects,
39
Le Spear phishing est une fraude qui cible les courriels ou les communications électroniques et qui concerne une personne, une
organisation ou une activité spécifique.
Objectif du contrôle: Valider la configuration de sécurité opérationnelle et identifier les failles de sécurité en
effectuant des tests d’intrusion.
Facteurs de risque:
• Failles de sécurité inconnues ou mauvaises configurations de sécurité
Description de la mesure:
Des tests d’intrusion au niveau de l’application, de l’hôte et du réseau sont effectués vers la zone sécurisée et les
PC opérateur ou le jump server, si utilisé.
Contexte de la mesure:
Les tests d’intrusion sont basés sur des attaques simulées qui utilisent des technologies similaires à celles
déployées lors d’attaques réelles. Ils servent à déterminer les chemins que les cyber-pirates peuvent emprunter,
ainsi que le degré d’intrusion potentiel dans l’environnement ciblé. Ces simulations sont un moyen efficace
d’identifier les faiblesses dans l’environnement, qui pourraient nécessiter des mesures correctives, d’amélioration
ou supplémentaires.
• L’organisation utilise une approche basée sur les risques pour déterminer le périmètre cible (par exemple,
zone sécurisée ou serveur spécifique, y compris d’autres services potentiels servant de soutien à la zone
sécurisée), la méthode (par exemple, test boîte blanche, test boîte noire) et l’origine de l’attaque (par
exemple, attaque interne, provenant de l’intérieur ou de l’extérieur de la zone sécurisée, ou attaque
externe) pour le test.
• Les tests de pénétration sont effectués au moins tous les deux ans, et idéalement aussi après des
modifications importantes de l’environnement (par exemple, introduction de serveurs nouveaux/modifiés,
Objectif du contrôle: Évaluer les risques et le niveau de préparation de l’organisation sur la base de scénarios
de cyber-attaque plausibles.
Facteurs de risque:
• Préjudice important dû à un manque de préparation pour faire face aux cyber-incidents
• Vulnérabilité non identifiée aux cyber-risques
Description de la mesure:
Des évaluations de risque basées sur des scénarios, sont effectuées régulièrement afin d’améliorer la
préparation à la réponse aux incidents et d’accroître la maturité du programme de sécurité de l’organisation.
Contexte de la mesure:
Les évaluations des risques basées sur des scénarios, y compris les jeux de cyber-guerres, testent diverses
attaques réalisées par tous les types de personnes non autorisées sur les systèmes et les processus existants
ciblant l’infrastructure hébergée liée à SWIFT. Les évaluations des risques basées sur des scénarios allient des
exercices techniques et commerciaux effectués dans le cadre de la procédure de gestion des risques de l’entité.
Ces évaluations prennent en compte les menaces non exhaustives suivantes: usurpation de l’identité de
l’utilisateur final, falsification des messages, interception des messages, faiblesses des logiciels tiers, systèmes
compromettants ou attaques par déni de service (DoS) affectant la disponibilité du service. Les résultats de
l’évaluation et des atténuations existantes aident à identifier les zones à risque qui pourraient nécessiter une
action future, une atténuation des risques ou une mise à jour du plan d’intervention en cas de cyber-incident.
Les actions, atténuations ou mises à jour identifiées doivent être signalées et examinées en vue d’une
neutralisation, selon leur criticité conformément au processus de gestion des risques en sécurité de l’information
(ISRM).
Il existe plusieurs cadres ISRM qui peuvent être consultés (par exemple, sur des sites NIST, ENISA, COBRA ou
ISO, ou à partir d’une norme ou de mesures locales ou d’une autorité de régulation aussi rigoureuses que le
guide de l’industrie) pour définir la bonne ISRM et les bonnes ressources de l’utilisateur (par exemple, mesures
de sécurité critiques du CIS). Ces cadres peuvent être utilisés pour commencer à mettre en œuvre un processus
de gestion des risques de base qui sera ensuite renforcé pour gérer les risques spécifiques de l’utilisateur.
• Une activité d’évaluation et de planification de risque basée sur des scénarios est menée pour:
− identifier les méthodes qui pourraient être utilisées par des personnes malintentionnées pour accéder
sans autorisation à l’infrastructure SWIFT locale, sur la base des techniques déjà observées ou des
techniques plausibles déduites des motivations et capacités des cyber-pirates,
− analyser l’efficacité des mécanismes de prévention et de détection existants pour contrecarrer les
techniques utilisées par des cyber-pirates pour accéder sans autorisation à l’environnement,
− analyser la probabilité et l’impact des vecteurs d’attaque significatifs et plausibles au vu des
mécanismes existants,
− analyser l’efficacité des mesures d’intervention existantes à limiter l’impact des vecteurs d’attaque
significatifs et plausibles au vu des mécanismes existants,
− identifier la nécessité de mécanismes de prévention et de détection supplémentaires.
• L’évaluation et la planification sont effectuées au moins une fois par an, et actualisées dans le cadre des
activités de gestion continue des risques, en cas de changement important de la technologie, ou lorsque
les renseignements sur les menaces indiquent un changement important dans les capacités ou
motivations des cyber-pirates.
• Les renseignements actuels sur les menaces ainsi que les attaques observées/probables (vecteurs,
techniques, acteurs, etc.) servent de base à des scénarios réalistes.
• Chaque catégorie d’actifs (périphériques de l’utilisateur final, serveurs, périphériques réseau) est évaluée
régulièrement par rapport aux menaces existantes, et lorsque des modifications sont apportées ou que
de nouvelles menaces sont identifiées.
Mesures de
sécurité SWIFT 1.1 1.2 1.3 1.4 2.1 2.2 2.3 2.4A 2.5A 2.6 2.7 2.8A 2.9A 2.10 2.11A 3.1 4.1 4.2 5.1 5.2 5.3A 5.4 6.1 6.2 6.3 6.4 6.5A 7.1 7.2 7.3A 7.4A
Facteurs de risque
Vol de jetons X
d’authentification
Transactions réalisées X X
avec des contreparties
non autorisées
Piratage du système X
d’authentification de
l’entreprise
Violation de données de X
sauvegarde fiables
Vol d’identifiants X
utilisateur
Rejeu d’identifiants X X
Mesures de
sécurité SWIFT 1.1 1.2 1.3 1.4 2.1 2.2 2.3 2.4A 2.5A 2.6 2.7 2.8A 2.9A 2.10 2.11A 3.1 4.1 4.2 5.1 5.2 5.3A 5.4 6.1 6.2 6.3 6.4 6.5A 7.1 7.2 7.3A 7.4A
Facteurs de risque
Exploitation d’une X X
configuration système non
sécurisée
Exploitation de failles de X X X
sécurité connues
Exposition aux attaques X X
sur Internet
Exposition à des X
pratiques de sécurité
défaillantes
sécurité engendrée par un X
personnel insuffisamment
formé
Manque de traçabilité X X X X
Atteinte à la confidentialité X
des opérations
Atteinte à l’intégrité des X
opérations
Atteinte à la confidentialité X X X
de données sensibles
Atteinte à l’intégrité de X X X
données sensibles.
Compromission de mot de X X
passe ou autre atteinte à
la sécurité informatique
Vol de mot de passe X X X X
Non-respect de la X
séparation des tâches
Accès non autorisé à X X X X
l’hyperviseur et à ses
modules de configuration
Mesures de
sécurité SWIFT 1.1 1.2 1.3 1.4 2.1 2.2 2.3 2.4A 2.5A 2.6 2.7 2.8A 2.9A 2.10 2.11A 3.1 4.1 4.2 5.1 5.2 5.3A 5.4 6.1 6.2 6.3 6.4 6.5A 7.1 7.2 7.3A 7.4A
Facteurs de risque
Accès physique non X
autorisé
Modifications non X X
autorisées apportées au
système
Trafic système authentifié X X
Prolifération incontrôlée X
de systèmes et de
données
Anomalies ou activités X X X
réseau suspectes non
détectées
Vulnérabilité non X
identifiée aux cyber-
risques
Failles de sécurité X
inconnues ou mauvaises
configurations de sécurité
Personnel ou opérateurs X
système non fiables
Figure 12b: Exemple de zone sécurisée pour l’architecture A4 – Middleware en tant que
connecteur
Les scénarios suivants sont des exemples destinés à aider les utilisateurs à comprendre les
types de cyber-menaces que chaque mesure de sécurité doit aider à atténuer. Ces
scénarios ne sont pas exhaustifs et sont fournis uniquement à des fins contextuelles et
pédagogiques. La probabilité et l’impact de chaque scénario peuvent varier
considérablement en fonction des variables de l’environnement de l’utilisateur.
• Un opérateur clique sur un lien malveillant dans un courriel ou une page Web, et
télécharge sans le savoir un logiciel malveillant qui compromet la sécurité du PC ou du
serveur local.
• Un opérateur SWIFT inscrit son mot de passe sur un morceau de papier conservé
dans sa zone de travail, ce qui permet à tout le personnel qui a un accès physique à la
zone de voir le mot de passe.
• Un administrateur d’application SWIFT conserve ses mots de passe administrateur
dans un fichier en texte brut sur son PC, permettant ainsi à tout administrateur système
du PC d’accéder aux mots de passe.
• Un plan d’intervention en cas de cyber-incident qui n’est pas testé conduit à une
mauvaise réaction et à une absence de coordination face à une cyber-intrusion grave,
occasionnant des dommages financiers importants qui auraient pu être évités.
• Le non-signalement d’un cyber-incident à SWIFT entraîne un partage d’informations
incomplet, conduisant à des cyber-incidents similaires dans d’autres établissements qui
auraient pu être évités.
• L’incapacité à agir sur la base des renseignements sur les cyber-menaces conduit à
des cyber-intrusions utilisant des méthodes connues, qui auraient pu être évitées.
Glossaire
Terme Définition
Terme Définition
Terme Définition
Terme Définition
Terme Définition
Terme Définition
Un service bureau est une organisation utilisatrice ou
Service bureau
non utilisatrice SWIFT qui fournit des services pour
connecter les utilisateurs SWIFT.
Les services proposés par un service bureau incluent
généralement le partage, l’hébergement, ou
l’exploitation des éléments de connectivité SWIFT, la
connexion, ou la gestion des sessions ou de la sécurité
pour le compte des utilisateurs SWIFT.
Les services bureaux sont soumis au Shared
Infrastructure Programme.
Prestataire de services Entreprise qui fournit des services aux utilisateurs
SWIFT en lien avec l’utilisation quotidienne de leur
connexion SWIFT. Les services proposés incluent
généralement le partage ou l’exploitation des éléments
de connectivité SWIFT, la connexion, ou la gestion des
sessions ou de la sécurité pour les utilisateurs de
SWIFT. Ces organisations comprennent des
fournisseurs d’infrastructures partagées (par exemple,
service bureau, fournisseurs de connectivité partagée,
SWIFT, hub de groupe).
Mode utilisateur unique ou mode sécurisé Mode d’exploitation protégé qui limite les privilèges de
l’utilisateur.
SOAP Simple Object Access Protocol (SOAP)
Jeton logiciel Jeton d’authentification sous forme logique (logicielle).
Personnel Ensemble du personnel (employés, agents, consultants
et prestataires).
Connecteur SWIFT Un connecteur fourni par SWIFT (par exemple, SIL/
DirectLink, Alliance Lite2 AutoClient ou MicroGateway).
Un connecteur doté d’un label compatible avec SWIFT
fourni par un fournisseur tiers.
Empreinte SWIFT Produits d’interface de messagerie, d’interface de
communication ou de connecteurs fournis par SWIFT
ou dotés d’un label compatible avec SWIFT et fournis
par un fournisseur tiers.
Client lourd Logiciel installé et exécuté sur le PC opérateur local
plutôt que via une interface de navigateur.
Tiers Entité indépendante de l’utilisateur SWIFT ou du
fournisseur de connexion SWIFT de l’utilisateur. Par
exemple, un prestataire informatique externalisé ou
externe ou un fournisseur de cloud computing.
Par défaut, le service bureau et le fournisseur L2BA
sont considérés comme des prestataires de services et
non comme des tiers, sauf si l’utilisateur s’engage
spécifiquement avec eux pour héberger et/ou exploiter
en tout ou en partie l’infrastructure SWIFT locale de
l’utilisateur (toujours détenue par l’utilisateur).
Numéro d’authentification de transaction - Un type de mot de passe à usage unique généralement
Transaction Authentication Number utilisé en combinaison avec un identifiant standard et un
(TAN) mot de passe. Initialement présenté dans une liste
(tableau).
Plateforme de transaction (SWIFT) La future plateforme sera déployée de manière
centralisée par SWIFT pour offrir une gestion complète
des transactions conformément à la stratégie
approuvée par le conseil d’administration en mars 2020.
Transport Layer Security (TLS) Protocole cryptographique qui assure la confidentialité
et l’intégrité sur le réseau et protège contre les attaques
par rejeu.
Terme Définition
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
1.2 Contrôle des comptes à Contrôle d’accès (PR.AC) Gestion de l’accès Condition 8:
privilèges dans le système utilisateur (9.2) Identifier et authentifier
PR.AC-4: Les droits d’accès
d’exploitation l’accès aux
sont gérés, en appliquant les 9.2.3: Gestion des
composants du
Restreindre et contrôler principes du moindre privilège privilèges
système
l’attribution et l’utilisation de et de la séparation des tâches
comptes d’administrateur dans Article(s)
le système d’exploitation. applicable(s): 8.1, 8.5
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
5.1 Contrôle d’accès logique Contrôle d’accès (PR.AC) Exigences métier en Condition 7:
matière de contrôle Restreindre l’accès
Appliquer les principes de PR.AC-4: Les droits d’accès
d’accès (9.1) aux données du
sécurité de l’accès basé sur le sont gérés, en appliquant les
titulaire aux seules
besoin d’en connaître, du principes du moindre privilège 9.1.1: Politique de
personnes ayant
moindre privilège et de la et de la séparation des tâches contrôle d’accès
besoin de les
séparation des tâches pour les
connaître à des fins
comptes des opérateurs.
professionnelles
Article(s)
applicable(s): 7.1, 7.2
5.2 Gestion des jetons Contrôle d’accès (PR.AC) Responsabilités Condition 12:
relatives aux actifs Maintenir une politique
Assurer la bonne gestion, le PR.AC-1: Les identités et les
(8.1) de sécurité de
suivi et l’utilisation de identifiants sont gérés pour les
l’information pour
l’authentification du matériel périphériques et utilisateurs 8.1.2: Propriété des
l’ensemble du
connecté ou des jetons autorisés actifs
personnel
personnels (si des jetons sont
utilisés). Article(s)
applicable(s): 12.3
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
6.1 Protection contre les Surveillance continue de la Protection contre les Condition 5:
logiciels malveillants sécurité (DE.CM) logiciels malveillants Protéger tous les
(12.2) systèmes contre les
Assurer la protection contre les DE.CM-4: Les codes
logiciels malveillants et
logiciels malveillants de malveillants sont détectés 12.2.1: Mesures contre
mettre à jour
l’infrastructure SWIFT locale. les logiciels
régulièrement les
malveillants
logiciels antivirus ou
programmes
Article(s)
applicable(s): 5.1, 5.2
6.2 Intégrité des logiciels Sécurité des données Maîtrise des logiciels Condition 11:
(PR.DS) d’exploitation (12.5) Tester régulièrement
Garantir l’intégrité des
les processus et les
applications relatives à SWIFT. PR.DS-6: Des mécanismes de 12.5.1: Installation de
systèmes de sécurité
contrôle de l’intégrité sont logiciels sur des
utilisés pour vérifier l’intégrité systèmes Article(s)
des logiciels, des firmwares et d’exploitation applicable(s): 11.5
des informations
Sécurité des
processus de
développement et
d’assistance
technique (14.2)
14.2.4: Restrictions
relatives aux
changements apportés
aux progiciels
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
6.3 Intégrité des bases de Sécurité des données Maîtrise des logiciels Condition 11:
données (PR.DS) d’exploitation (12.5) Tester régulièrement
les processus et les
Garantir l’intégrité des PR.DS-6:Des mécanismes de 12.5.1: Installation de
systèmes de sécurité
enregistrements des bases de contrôle de l’intégrité sont logiciels sur des
données de l’interface de utilisés pour vérifier l’intégrité systèmes Article(s)
messagerie SWIFT. des logiciels, des firmwares et d’exploitation applicable(s): 11.5
des informations
Sécurité des
processus de
développement et
d’assistance
technique (14.2)
14.2.4: Restrictions
relatives aux
changements apportés
aux progiciels
Anomalies et événements
(DE.AE)
DE.AE-2: Les événements
détectés sont analysés afin de
comprendre les cibles et
méthodes d’attaque
Cadre de gestion de la
Objectif de la mesure SWIFT cybersécurité du NIST v1.1 ISO 27002 (2013) PCI DSS 3.2.1
7.4A Évaluation des risques Évaluation des risques ISO 27001 article 8.2 Condition 12:
fondée sur des scénarios (ID.RA) Maintenir une politique
de sécurité de
Évaluer les risques et le niveau ID.RA-1: Les vulnérabilités des
l’information pour
de préparation de l’organisation actifs sont identifiées et
l’ensemble du
sur la base de scénarios de documentées.
personnel
cyber-attaque plausibles.
ID.RA-3: Les menaces
Article(s)
internes et externes sont
applicable(s): 12.2
identifiées et documentées
ID.RA-4: Les répercussions
potentielles sur l’activité et les
probabilités sont identifiées
ID.RA-5: Les menaces,
vulnérabilités, probabilités et
impacts sont utilisés pour
déterminer le risque
ID.RA-6: Les réactions face
aux risques sont identifiées et
hiérarchisées
Les éléments suivants doivent être pris en compte lors de son utilisation:
• Si plusieurs composants appartiennent à un utilisateur et que ces composants ont des types d’architecture
différents, l’utilisateur doit attester dans KYC-SA du type d’architecture le plus complet en utilisant l’arbre de
décision si nécessaire.
• Une composante co-hébergée avec une composante dans le champ d’application est considérée comme
faisant partie du champ d’application.
• Tous les composants situés dans une zone sécurisée doivent être sécurisés au même niveau
• <CTRL F> représente le moyen le plus pratique de localiser un produit
• Composants et classés par ordre alphabétique dans chaque catégorie
• <date d’entrée en vigueur> désigne la date à partir de laquelle une composante nouvellement introduite doit
être prise en compte pour l’évaluation du PSC. Si elle est vide, cela signifie qu’elle doit déjà être prise en
compte.
• A, B - Désigne le fait que le type d’architecture peut être n’importe quel « A » ou « B ».
• N/A - Non applicable
• SWIFT recommande toujours de protéger les composants qui sont hors du champ d’application comme s’ils
en faisaient partie.
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
Liste des interfaces de communication compatibles:
Interfaces et https://www.swift.com/about-us/partner-programme/swift-certified-
Interface de communication (par exemple, SAG,
applications interface-programme-0?AKredir=true A1
AGI)
connexes Comprend également une fonctionnalité de connectivité API basée sur
l’AGI ou le SAG
Interface utilisateur graphique (GUI), par SWIFT ne garantit pas la compatibilité de l’interface utilisateur graphique
A
exemple AWP, CREST GUI, gpi GUI fournie par les fournisseurs
IPLA - Plateforme d’intégration Alliance Access Construit sur la base de l’ASA A1/A2
IPLA - Connecteur pour le filtrage des sanctions
Le connecteur CFS est un composant IPLA sur SAA A1/A2
(CFS)
Le connecteur gpi sur IPLA est une solution verticale fonctionnant comme
IPLA - Connecteur gpi un ensemble de composants à l’intérieur de l’infrastructure SAA-IPLA A1/A2
(fonctionne au sein de la SAA)
IPLA - Connecteur cible 2 (T2) Le connecteur T2 est un composant IPLA sur SAA A1/A2
IPLA - Connecteur Target 2 for Securities (T2S) Le connecteur T2S est un composant IPLA sur SAA A1/A2
Liste des interfaces de messagerie compatibles.
Interface de messagerie (par exemple SAA,
Certains back-offices peuvent être considérés comme des interfaces de A1/A2
AMH)
messagerie (voir TIP 5021823)
Le back-office utilisant la MQHA en mode « Souple » et « Strict » est
La MQHA en mode souple/strict A1/A2
considéré comme une interface de messagerie
Le back-office utilisant le RAHA en mode « Souple » et « Strict » est
RAHA en mode souple/strict A1/A2
considéré comme une interface de messagerie
Peut être autonome ou intégré à l’accès à Alliance ou à l’AMH ou au
Relationship Management Application (RMA) produit du fournisseur - https://www.swift.com/about-us/partner- A1/A2
programme/swift-certified-interface-programme/document-centre
Le connecteur gpi sur AMH est un service d’AMH fonctionnant au sein de
SWAP Proxy (connecteur gpi) sur AMH A1/A2
l’infrastructure d’AMH (fonctionne au sein d’AMH)
Ce composant est utilisé pour le transfert de fichiers et est installé dans
Gestionnaire SWFA - SWIFT FileAct A1/A2
l’interface de messagerie
Accès Alliance SWIFT utilisé pour se connecter à Il s’agit d’une solution SAA hébergée chez le client et accédant à la
A2
l’ARG (Alliance Remote Gateway) solution Alliance Cloud de SWIFT
Peut être inclus dans l’interface de communication ou fonctionner de
SWIFTNet Link (SNL) A1
manière autonome
lorsqu’il est embarqué (c’est-à-dire intégré dans l’interface de
Traducteur SWIFT (intégré) messagerie) ; en dehors du champ d’application lorsqu’il est A1/A2
autonome
Ce terme désigne la solution File base qui s’interface avec les serveurs
Lite 2 Autoclient A3
SWIFT Lite
Connecteur Ce terme désigne la solution SWIFT New Lite qui remplace la solution
SIL - Alliance Cloud A3
SWIFT Autoclient basée sur le lien direct
SIL - CFS ( Connecteur pour le contrôle des
Le connecteur CFS est un composant autonome A3
sanctions)
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
Le connecteur gpi sur SIL est une solution verticale fonctionnant comme
SIL - Connecteur gpi (alias Connecteur gpi
un ensemble de composants à l’intérieur de SIL qui est un logiciel A3
autonome)
autonome (par exemple Gsrp ou Gcase)
Connecteur API SWIFT comprend des produits tels que DirectLink/SIL ou SWIFT Microgateway A3
SWIFT Microgateway Fournit une fonctionnalité de connectivité API A3
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
PC opérateur à usage général utilisé par les
Les utilisateurs de l’interface graphique uniquement n’ont pas de
utilisateurs de l’interface graphique Alliance B
connecteur
Cloud ou Lite 2
PC opérateur à usage général utilisé par les Ce terme recouvre les PC qui se connectent à distance à une application
B
utilisateurs de l’interface graphique L2BA frontale exploitée par un fournisseur L2BA
PC opérateur à usage général utilisé par les Ce terme désigne les PC qui se connectent à l’application ESMIG
B
utilisateurs de l’ESMIG U2A (European Single Market Infrastructure Gateway) via le réseau SWIFT
Filtrage des sanctions (SS) à l’aide du service de copie FIN Y, la solution
PC opérateur à usage général se connectant à la est utilisée pour examiner les paiements bloqués dans le SS, qui peuvent A, B
solution cloud Sanctions Screening ensuite être annulés ou débloqués.
PC opérateur à usage général se connectant aux
Utilisation de la plateforme Web/SAG/SNL - En plus du MV-SIPN A1
services d’accès au Web
" Utilisation du navigateur/des jetons - En plus du MV-SIPN B
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
Le Transaction Delivery Agent est une application, fonctionnant en amont
d’Alliance Gateway, qui permet le transfert de messages entre institutions.
Ce mode de transfert offre une seule et unique garantie de livraison des
TDA - Agent de livraison des transactions messages. L’interface du Transaction Delivery Agent utilisée pour A1
communiquer avec les applications des institutions est basée sur le
middleware de messagerie standard IBM WebSphere MQ
Transport de données entre des éléments relatives à SWIFT (dans
l’infrastructure SWIFT locale ou chez un prestataire de services) et le
Couche d’échange de données A, B
premier bond du back-office de l’utilisateur tel qu’observé à partir des
éléments relatifs à SWIFT. Contrôles applicables: 2.4A, 6.4, 6.5A, 7.3A
Autres Jump server donnant accès à la (aux) zone(s) Serveur utilisé pour accorder l’accès à la zone sécurisée depuis le réseau
A
sécurisée(s) de l’entreprise de l’utilisateur (par exemple, Citrix ou Remote Desktop)
SOAP/API pour se connecter d’un back-office à La méthode de connexion SOAP permet l’échange de messages MT, XML
l’interface de messagerie d’un prestataire de B
et FileAct entre Alliance Access et les applications de back-office.
services
Une solution d’identité personnelle SWIFT basée sur la technologie PKI.3.
Les jetons clés peuvent être utilisés avec toutes les banques pour signer
et approuver les transactions. 3SKey peut être utilisé sur n’importe quel
canal bancaire électronique, y compris les systèmes internes de gestion
de la trésorerie ou des liquidités, la banque en ligne, les réseaux locaux et
3Skey Sans objet
propriétaires et SWIFT. Vous pouvez l’utiliser pour signer des instructions
bancaires électroniques ou vous connecter de manière sécurisée à votre
application bancaire. Notez que les jetons personnels 3Skey utilisés
Hors du champ d’application
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
Serveur Euclid livré par EuroClear Sans objet
L’infrastructure TI globale utilisée pour appuyer l’organisation dans son
Environnement informatique et bureautique
ensemble (par exemple, PC opérateur à usage général, serveur de Sans objet
général de l’entreprise
messagerie, services d’annuaire, etc.).
Lors de l’utilisation de SWIFT.com, les comptes sont uniquement utilisés
PC opérateur à usage général accédant au pour les fonctionnalités de suivi de base, ce qui signifie qu’ils ne sont pas Sans objet
système de suivi de base gpi utilisés pour l’arrêt et le rappel
Ce composant logiciel permet à une application fonctionnant sur un
système d’émettre des appels vers un gestionnaire de file d’attente (MQ
Sans objet
Server) fonctionnant sur un autre système. Le résultat de l’appel est
Client MQ sur back-office renvoyé au client MQ, qui le transmet à l’application
Les back-offices utilisant la MQHA en mode de base sont considérés
MQHA en mode de base Sans objet
comme des back-offices
Les back-offices utilisant le RAHA en mode de base sont considérés
RAHA en mode de base Sans objet
comme des back-offices
PAG/DMC pour l’AU-NPP Ne sont pas considérés comme des utilisateurs de SWIFT Sans objet
Dans le
Type(s)
champ/hors Nom du composant Date
probable(s)
du champ Catégorie (par ordre alphabétique dans chaque Description/Remarque d’entrée
d’architecture
d’application catégorie) en vigueur
de CSP
du CSP
au SS du Cloud. SWIFT recommande que les jetons associés à ce
service soient couverts dans la mesure 5.2 Gestion des jetons
Une solution d’intelligence économique offrant une visibilité complète et
Champ d’application de SWIFT immédiate sur les déclarations de trésorerie quotidiennes d’une Sans objet
organisation
Ne s’applique pas lorsque la connexion aux services de
SWIFT SDK sur back-office ( en utilisant messagerie/transaction SWIFT repose sur d’autres
Sans objet
l’empreinte SWIFT ou le connecteur client) applications/composants relatifs à SWIFT (utilisant une interface de
communication ou un connecteur SWIFT (API) comme empreinte SWIFT)
Hors-champ d’application lorsqu’il est autonome ; dans le champ
Traducteur SWIFT (autonome) Sans objet
d’application lorsqu’il est intégré dans l’interface de messagerie
Un serveur hébergé chez un prestataire de services et assurant un service
Sans objet
Serveurs d’accès au Web côté fournisseur basé sur le Web
Mentions légales
Copyright
SWIFT © 2020. Tous droits réservés.
Diffusion restreinte
Il vous est interdit de diffuser la présente publication en dehors de votre organisation, à moins que
votre abonnement ou ordre ne vous confère expressément ce droit, auquel cas vous devez respecter
toute autre condition applicable.
Avis de non-responsabilité
Les informations figurant dans la présente publication sont susceptibles d’être modifiées à tout
moment. Vous devez toujours consulter la dernière version disponible.
Traductions
La version anglaise de la documentation SWIFT est la seule version officielle et contraignante.
Marques
SWIFT est le nom commercial de S.W.I.F.T. SCRL. Les éléments ci-après sont des marques
déposées de SWIFT: 3SKey, Innotribe, MyStandards, Sibos, SWIFT, SWIFTNet, SWIFT Institute, le
logo Standards Forum, le logo SWIFT et UETR. Les autres noms de produit, de service ou
d’entreprise figurant dans cette publication sont des noms commerciaux, des marques commerciales
ou des marques déposées de leurs propriétaires respectifs.