Découvrir SWIFT

SWIFT est une coopérative internationale détenue par ses membres et le premier fournisseur mondial de services de messagerie financière sécurisés

Sécurité de l'information

Chez SWIFT, nous avons une approche intransigeante de la sécurité de l'information que nous considérons comme un facteur de valeur clé pour nos clients et un facteur de différenciation important de nos services.

L'échec n'est pas envisageable

Les composants essentiels de l'activité de SWIFT - l'information et la cybersécurité - sont gérés de manière active dans l'ensemble de l'organisation – du niveau du conseil d'administration , du PDG aux postes de direction et aux opérations.

Les mesures visant à protéger la sécurité de l'information de SWIFT sont étendues. Elles sont destinées à faire face aux situations extrêmes et à empêcher tout accès physique et logique non autorisé qui pourrait entraîner une perte de confidentialité, d'intégrité ou de disponibilité. Nos mesures incluent des contrôles physiques qui protègent nos locaux, et des contrôles logiques qui protègent contre tout accès non autorisé aux données et aux systèmes et qui englobent nos capacités de détection, de réaction et de récupération.

La sécurité physique de nos actifs informatiques et de nos données est assurée : en incorporant les niveaux les plus élevés de protection dans la conception et la construction de nos centres de données conçus spécialement ; en appliquant des contrôles rigoureux sur l'accès à ces sites fondé strictement sur les besoins de l'activité ; et en appliquant des contrôles stricts sur la gestion du matériel et des supports informatiques pendant toute la durée du cycle de vie.

Nous adoptons une approche similaire dans l'architecture, la conception, le développement, la maintenance et les opérations de nos services et applications. En utilisant une méthodologie de développement structurée, nous nous assurons que les niveaux les plus élevés de sécurité logique sont intégrés dans les services, les applications et les technologies de SWIFT qui appuient l'activité de nos clients. Des équipes dédiées de spécialistes de la sécurité, qui travaillent avec des chefs de file dans le domaine, vérifient toutes les conceptions et les pratiques de sécurité pour fournir des conseils, un support, des tests et l'assurance que nos offres sont conçues, mises en oeuvre et exploitées de manière appropriée avant d'être proposées à la communauté des clients.

Cadre de gestion des risques

La gestion des risques est profondément ancrée dans les pratiques opérationnelles chez SWIFT, et est renforcée par une culture du risque très solide qui est traduite dans la devise : « L'échec n'est pas envisageable (FNAO, Failure is Not An Option) ». Trois lignes de protection solides renforcent et supervisent l'approche de gestion des risques : en premier lieu, la direction - qui est chargée de développer et de mettre en oeuvre des structures solides en matière de fiabilité et de sécurité ; ensuite, les fonctions de gestion des risques et de la conformité, responsables des cadres de gestion des risques globaux ; et troisièmement, les fonctions d'audit. Tout ceci est renforcé par un cadre d'assurance tiers rigoureux et par le biais du reporting par un cabinet d'audit de sécurité externe, conformément aux exigences définies dans les normes internationales sur les missions d'assurance applicables.

Le cadre de gestion des risques d'entreprise global de SWIFT donne une vue d'ensemble des informations relatives à la gestion des risques dans l'entreprise SWIFT, en s'appuyant sur et en régissant les autres pratiques de gestion des risques au sein de SWIFT, telles que la Gestion des risques liés à la sécurité de l'information. Le Cadre de gestion des risques liés à la sécurité de l'information documente la manière dont les risques liés à la sécurité sont identifiés, atténués, suivis et remontés jusqu'au Conseil d'administration de SWIFT. Ce cadre est destiné à tenir compte de l'évolution continue de nos pratiques en matière de risque, qui sont adaptées en vue des menaces émergentes et de la course au cyberarmement.

Un audit interne de SWIFT et un audit de sécurité externe complètent le système de gestion des risques liés à la sécurité de l'information en examinant, en vérifiant et en faisant régulièrement des rapports sur le risque et les fonctions de contrôle de SWIFT de manière indépendante et objective. L'équipe chargée de l'audit interne fait régulièrement l'objet d'un examen externe, qui garantit au Conseil d'administration et à la direction de SWIFT que l'équipe agit dans le respect des normes et des pratiques d'audit internationales.

Plan directeur pour la cybersécurité

SWIFT prend la sécurité très au sérieux. Nous nous informons de manière active sur les incidents de sécurité informatique externes, les modes opératoires malveillants et les cybermenaces auprès de différentes sources publiques, spécialisées ou confidentielles, ce qui nous aide à orienter notre investissement permanent dans la prévention, la détection et/ou la récupération. À chaque fois que nos enquêtes approfondies nous portent à croire que ces menaces ou vulnérabilités peuvent présenter un risque pour la sécurité de nos opérations, nous prenons les mesures appropriées sans tarder pour atténuer ces risques et protéger nos services.

Conformément aux standards largement reconnus comme les normes ISO et le cadre de cybersécurité du NIST, nous avons toujours investi de manière substantielle dans notre cyber-stratégie et infrastructure, mais nous sommes conscients qu'il n'y a pas lieu de s'arrêter là ; nous devons être à la hauteur de notre rôle et de notre réputation d'élément essentiel de l'infrastructure du secteur financier international. SWIFT continuera à mettre l'accent sur la sécurité et à investir dans ce domaine afin de devancer l'évolution constante des menaces. Étant donné le nombre croissant des cybermenaces, SWIFT tient à jour un plan directeur pour la cybersécurité qui définit nos domaines prioritaires en matière de sécurité pour une période de trois années consécutives. Nos investissements dans la cybersécurité sont structurés selon quatre dimensions principales :

  • Apprendre - connaître l'ennemi et comprendre notre exposition ;
  • Prévenir - rendre l'existence des ennemis intrinsèquement plus compliquée, prévenir les cyber-attaques ;
  • Planifier - ne jamais sous-estimer l'ennemi, et s'efforcer de détecter les attaques qui pourraient devancer notre prévention ;
  • Gérer - présumer les failles. Se préparer au pire, être prêts à réagir, maîtriser et se remettre des attaques.

Services de messagerie de SWIFT

Les services de messagerie de SWIFT sont fournis au sein de l'environnement SWIFT, qui inclut tous les locaux, l'infrastructure, les logiciels, les produits et les services détenus et exploités directement (et contrôlés) par SWIFT et son personnel.  L'environnement SWIFT applique des protections strictes de la sécurité, de la confidentialité et de l'intégrité aux messages des clients. Nous avons des contrôles et des procédures en place pour protéger les données des messages contre toute divulgation non autorisée, pour garantir l'origine des messages, pour protéger les messages contre toute modification non autorisée et pour détecter toute altération des messages ; des fonctionnalités de validation des messages peuvent en outre être utilisées pour garantir que seuls les messages validés sont traités et remis dans l'ordre pertinent au destinataire prévu.

Nous nous engageons à assurer la disponibilité de nos services de messagerie, et nous garantissons la confidentialité et l'intégrité des messages et des données associées et des droits de protection de la vie privée des clients au sein de l'environnement SWIFT.

Les données* des messages envoyés par nos clients sont authentifiées en utilisant une technologie de sécurité et d'identification avancée. Un cryptage de pointe est ajouté avant que les messages quittent l'environnement du client** et entrent dans l'environnement SWIFT. Ils restent dans l'environnement SWIFT protégé, et font l'objet de tous les engagements de SWIFT en matière de confidentialité et d'intégrité, tout au long du processus et jusqu'à ce qu'ils soient remis en toute sécurité au destinataire. Tous les messages des clients sont cryptés lorsqu'ils sont stockés sur les systèmes SWIFT.

Disponibilité 

Les services de messagerie de SWIFT sont conçus pour être disponibles 24 heures sont 24 et 365 jours par an, avec des interruptions planifiées limitées. Nous gérons plusieurs centres d'exploitation fournissant une redondance complète des sites. Au sein de chaque centre d'exploitation, les systèmes centraux sont conçus pour éliminer les points uniques de défaillance au moyen de plusieurs étages informatiques locaux. En 2014, le centre d'exploitation de pointe de SWIFT en Suisse est devenu entièrement opérationnel. Cette nouvelle installation informatique a la capacité de prendre en charge un flux de messagerie global.  SWIFT a la possibilité ultime de restaurer la messagerie dans le cas improbable et extrême où toutes les autres mesures de résilience et sauvegardes seraient inadéquates.

Confidentialité

Nous protégeons les données des clients contre toute divulgation non autorisée. Nos mesures de sécurité fournissent des contrôles rigoureux de l'accès physique et logique, incluant des mesures physiques qui protègent les locaux et des contrôles logiques qui restreignent l'accès en fonction des besoins de l'activité. Tous les messages des clients sont cryptés avec une technologie de pointe lorsqu'ils sont stockés sur les systèmes SWIFT ou lorsqu'ils quittent les centres de données SWIFT. En outre, les messages des clients sont traités et stockés dans des centres d'exploitation situés dans des zones géographiques qui répondent au mieux aux attentes des clients en matière de réglementations sur la confidentialité des données.

Intégrité

Des clés publiques spécifiques à SWIFT, des certificats numériques et des signatures numériques sont utilisés à la fois pour authentifier les expéditeurs et pour valider l'intégrité des messages envoyés. SWIFT vérifie les signatures pour confirmer l'intégrité des messages et valide les certificats pour authentifier les expéditeurs. SWIFT s'assure que les messages sont remis au destinataire prévu dans l'ordre approprié et fournit une sécurité de bout en bout, permettant aux expéditeurs d'appliquer des signatures pour leurs destinataires, et aux destinataires de vérifier l'intégrité des messages et d'authentifier les expéditeurs. Ainsi, les données contenues dans les messages peuvent être délivrées et contrôlées exclusivement par les établissements expéditeurs et destinataires, et les initiateurs des messages peuvent fournir aux destinataires de ceux-ci des moyens de vérifier que le message n'a pas été modifié lors de la transmission.

Résilience

Les services de messagerie de SWIFT sont essentiels pour que les marchés financiers fonctionnent de manière fluide à travers le monde, et nous mettons donc un accent particulier sur la résilience de nos services de messagerie. Notre infrastructure est conçue, développée et testée pour rester disponible en cas de tensions, de perturbations, de dysfonctionnements ou d'actes malveillants et pour répondre aux objectifs de temps de récupération spécifiés.

Une panne prolongée de nos services de messagerie est improbable en raison de la nature extrêmement résiliente de notre infrastructure. Depuis sa création, SWIFT est pionnière dans le domaine des services informatiques hautement disponibles, et cet investissement dans la résilience continue aujourd'hui. SWIFT a tiré profit de son expérience pour concevoir et mettre en oeuvre des architectures hautement résilientes conformément aux principes de résilience documentés.

Nous gérons plusieurs centres d'exploitation pour fournir une redondance intégrale des sites et nos centres d'exploitation sont situés dans différents lieux géographiques, qui sont choisis après une prise en compte attentive des risques d'origine humaine et naturelle potentiels. Au sein de chaque centre d'exploitation, l'architecture du système est conçue pour éliminer les points de défaillance uniques. Les systèmes et les réseaux dans chaque centre d'exploitation sont conçus et configurés pour répondre aux exigences de traitement et de stockage de la communauté des utilisateurs de SWIFT dans la ou les zone(s) concernée(s).

Les centres d'exploitation sont extrêmement sécurisés, et leur accès est strictement contrôlé. Chaque centre d'exploitation a une redondance locale pour les éléments d'importance critique, des serveurs aux dispositifs de refroidissement et aux alimentations électriques. Les données des messages sont toujours stockées dans deux centres d'exploitation indépendants géographiquement avant leur remise.

Pour faire face au scénario extrême où plusieurs centres d'exploitation seraient défaillants simultanément, une infrastructure de récupération après sinistre complètement distincte peut être activée pour que nos services de messagerie continuent à fonctionner. Des plans de tests de la continuité des services, basés sur des scénarios définis et des résultats attendus, sont exécutés conformément à un plan publié et vérifié. SWIFT teste ses reprises des sites après un sinistre dans les délais attendus au moins une fois par an.

SWIFT est bien préparée pour le rare cas où ses services de messagerie seraient affectés par un incident : nous effectuons chaque année des centaines d'exercices de continuité de l'activité, qui peuvent impliquer à la fois du personnel de tous les niveaux, les autorités locales et des clients, et qui couvrent différents scénarios incluant des événements liés aux activités en ligne. Des plans de continuité de l'activité en ligne spécifiques ont été développés. Nos révisions après les tests garantissent que des mesures d'amélioration appropriées sont prises.

La résilience des services de SWIFT fait l'objet d'audits internes et externes réguliers et est incluse dans le champ d'application du rapport d'audit externe.

Assurance indépendante fournie par le biais d'un audit externe

L'auditeur de sécurité externe de SWIFT effectue un audit externe indépendant annuel de nos services de messagerie. Cet audit est effectué conformément aux exigences définies dans les normes internationales sur les missions d'assurance applicables. Les rapports produits fournissent une assurance indépendante sur la sécurité et la fiabilité des services de SWIFT concernés. Des rapports couvrant les années civiles jusqu'en 2015 ont été préparés selon la norme ISAE 3402 et comportaient l'avis de l'auditeur de sécurité indépendant d'avoir obtenu l'assurance raisonnable que SWIFT avait des contrôles adéquats et efficaces en place pour répondre aux objectifs de contrôle stipulés dans les domaines de la Gouvernance, de la Confidentialité, de l'Intégrité, de la Disponibilité et de la Gestion des modifications.  À partir de 2016, les rapports sont produits selon la norme ISAE 3000. En adéquation avec les attentes du CSPR-OICV pour les fournisseurs de services essentiels, ils couvrent les domaines de la Gestion des risques, de la Gestion de la sécurité, de la Gestion de la technologie, de la Résilience et de la Communication des utilisateurs. Les normes ISAE 3402 et ISAE 3000 sont des normes internationales qui permettent aux fournisseurs de services comme SWIFT de fournir une assurance indépendante sur leurs processus et leurs contrôles à leurs clients et auditeurs. 

Chaque année, le rapport est mis à la disposition des clients sur demande, ainsi qu'aux clients potentiels sous réserve d'accords de confidentialité appropriés.

Cliquez ici pour demander une copie électronique du rapport ISAE 3402 2015  2.  

 

*Les fichiers peuvent également être envoyés via notre service de messagerie FileAct. Les contrôles de la protection des messages s'appliquent également aux fichiers.

**Ou des environnements des partenaires des clients.