Objectifs et principes du cadre

Objectifs et principes

Les contrôles de sécurité s'appuient sur trois objectifs globaux du cadre, soutenus par

huit principes de sécurité. Les objectifs constituent la structure de sécurité de plus haut niveau
dans l'environnement de l'utilisateur.

l'environnement de l'utilisateur. Les principes associés précisent les domaines d'action les plus
prioritaires de chaque objectif.

de chaque objectif. Les objectifs et les principes correspondants sont les suivants :

Dessin 1 : Objectifs et principes du cadre

Les 32 contrôles de sécurité (25 contrôles obligatoires et 7 contrôles consultatifs) détaillés dans
le présent document étayent ces objectifs et principes.

Les 32 contrôles de sécurité (25 contrôles obligatoires et 7 contrôles consultatifs) détaillés dans
le présent document étayent ces objectifs et ces principes.

les contrôles communs, ont été regroupés. Les contrôles permettent d'atténuer les risques
spécifiques en matière de cybersécurité auxquels les utilisateurs de Swift sont confrontés en
raison de la nature de leurs activités.

spécifiques auxquels les utilisateurs de Swift sont confrontés en raison du paysage des
cybermenaces. Pour chaque contrôle de sécurité,

Swift a documenté les facteurs de risque les plus courants que le contrôle est conçu pour aider à

atténuer. Le traitement de ces risques vise à prévenir ou à minimiser les conséquences

commerciales indésirables et potentiellement frauduleuses.

potentiellement frauduleuses, telles que les suivantes :

- l'envoi ou la modification non autorisés de transactions financières

- le traitement de transactions Swift entrantes (c'est-à-dire de transactions reçues) modifiées ou

non autorisées

transactions reçues)

- affaires menées avec une contrepartie non autorisée

- violation de la confidentialité (des données commerciales, des systèmes informatiques ou des

coordonnées des opérateurs)

- atteinte à l'intégrité (des données de l'entreprise, des systèmes informatiques ou des

coordonnées de l'opérateur).
En fin de compte, ces conséquences représentent des risques au niveau de l'entreprise,
notamment les suivants :

- Risque financier

- Risque juridique

- Risque réglementaire

- le risque de réputation.

Intégration à la gouvernance de la sécurité et à la gestion des risques Swift encourage les

utilisateurs à envisager la gestion des cyber-risques de la manière la plus large possible, y
compris au-delà de la portée de l'infrastructure Swift de l'utilisateur et des contrôles de sécurité
Swift.

Pour une gestion des risques la plus efficace possible, les utilisateurs ne doivent pas considérer la
mise en œuvre de ces contrôles de sécurité comme une activité ponctuelle. Ces contrôles de
sécurité ne doivent pas être considérés comme une activité ponctuelle, ni comme exhaustifs ou
complets. Les utilisateurs Les utilisateurs doivent au contraire intégrer les contrôles de Swift
dans un programme permanent de gouvernance et de gestion des risques liés à la cybersécurité
au sein de leur organisation, en tenant compte des principes de bonne gestion des risques. de
gouvernance de la cybersécurité et de gestion des risques au sein de leur organisation, en faisant
preuve de discernement et en s'appuyant sur les meilleures pratiques les plus récentes.
pratiques, en tenant compte de l'infrastructure et des configurations propres à l'utilisateur. En
conséquence, utilisateurs peuvent réutiliser et bénéficier des politiques, procédures et contrôles
existants qui ont été établis pour gérer d'autres domaines du cyberrisque. Pour aider les
utilisateurs dans cette démarche, l'annexe

E contient une correspondance entre les contrôles de sécurité Swift et trois cadres
internationaux de normes de sécurité de sécurité internationaux : NIST Cybersecurity
Framework v1.1, ISO 27002 (2013) et PCIDSS. 3.2.1. Swift a également publié un guide de
démarrage pour aider les utilisateurs à évaluer le risque de cybersécurité des contreparties.

le risque de cybersécurité des contreparties et à l'intégrer dans le cadre de la gestion des

risques.

Une approche holistique du risque cybernétique est plus efficace pour éviter les risques au
niveau de l'entreprise, et donc pour d'entreprise, améliorant ainsi la sécurité globale de chaque
organisation et de l'ensemble de la communauté financière.

En outre, les utilisateurs doivent avoir le niveau de responsabilité et de surveillance adéquat

pour leurs activités de gestion du risque cybernétique. activités de gestion du risque
cybernétique. En général, le responsable de la sécurité de l'information joue un rôle de premier
plan dans ce domaine en dirigeant les activités de gestion du risque cybernétique. joue un rôle
prépondérant dans ce domaine en orientant les priorités du programme de sécurité et en
sollicitant le soutien et les conseils appropriés. en sollicitant le soutien et les conseils appropriés
du conseil d'administration.