Recommandations pour les institutions financières non-conformes aux contrôles de sécurité SWIFT

SWIFT / Society for Worldwide Interbank Financial Telecommunication

À la suite de plusieurs attaques très médiatisées contre ses membres en 2016, la société SWIFT (Society for Worldwide Interbank Financial Telecommunication) a mis en place un cadre de contrôle pour la sécurité de ses clients, qui comprend un ensemble de 16 contrôles obligatoires.

SWIFT exigeait que les autocertifications soient achevées d’ici la fin de l’année 2017. Elles seront communiquées aux contreparties du système SWIFT pour contribuer à la transparence des échanges d’informations sur l’état de la sécurité.

Il est fort probable que certains membres de SWIFT ne soient pas en mesure de respecter tous les contrôles obligatoires dans le délai imparti.

Recommandations de Palo Alto Networks

Voici les recommandations de Palo Alto Networks sur le sujet, et Alexandre Delcayre, Director Systems Engineering – Southern Europe, Russia CIS & Israel, en précise les contours.

Contrôles SWIFT

Je recommande aux institutions financières d’intégrer les bonnes pratiques de cyber-hygiène établies par les contrôles obligatoires de SWIFT à un programme de sécurité global.

Prenez garde de ne pas considérer les contrôles SWIFT comme des mesures ponctuelles à appliquer de manière isolée. Leur intégration à votre programme de cybersécurité vous offrira une approche plus globale et garantira le respect continu des règles.

16 Mesures de Contrôles de sécurité obligatoires de SWIFT

Les contrôles de sécurité obligatoires de SWIFT peuvent être considérés comme des mesures de cyber-hygiène satisfaisantes pour ses membres.

Sans décrire en détail les 16 mesures, j’aimerais en souligner un certain nombre, qui permettront d’avoir un aperçu des contrôles.

Protection de l’environnement SWIFT (1.1):

Séparer le réseau de l’infrastructure locale SWIFT du reste de l’environnement informatique serait une première étape importante.

Elle limiterait les possibilités que des attaquants et même des personnes malveillantes bien informées, accèdent, en entrée ou en sortie des éléments locaux de SWIFT, à des terminaux potentiellement vulnérables.

Contrôle des accès privilégiés au système d’exploitation (1.2) et authentification multifactorielle (4.2):

Outre la politique du moindre privilège, les comptes de niveau administrateur doivent être protégés par une authentification multifactorielle (MFA). La MFA doit être bien sûr également en place pour accéder aux systèmes critiques, comme SWIFT. Cette disposition limite la valeur des éléments d’authentification dérobés par un attaquant.

Sécurité des flux de données internes (2.1) et contrôle d’accès logique (5.1):

Garantir l’intégrité des communications entre les composants liés à SWIFT, avoir une visibilité sur le trafic et en contrôler les flux en fonction des applications, des utilisateurs et des contenus. Les politiques de sécurité peuvent être ensuite définies dans le contexte de l’application réelle et de l’identité d’utilisateur afin de permettre un accès sécurisé et autorisé aux données.

Mises à jour de sécurité (2.2), protection contre les logiciels malveillants (6.1) et intégrité logicielle (6.2) :

Les logiciels correctifs permettant de résoudre les failles de sécurité en temps utile sont, à l’évidence, indispensables. Néanmoins, lorsque cela n’est pas possible en raison de l’arrivée à échéance du support logiciel précédent ou d’autres circonstances particulières, la protection avancée des terminaux contre les logiciels malveillants et les exploitations de vulnérabilités est une solution alternative permettant de maintenir l’intégrité de l’environnement de protection. De manière générale, la protection avancée des terminaux est supérieure aux anciens antivirus et aux solutions anti-logiciels malveillants.

Enregistrement et contrôle (6.4)

L’infrastructure locale SWIFT étant protégée par la segmentation du réseau, les pare-feu disposent d’informations importantes sur les flux de données normaux et inattendus qui entrent et sortent de l’environnement. Il convient d’examiner ces journaux des pare-feu pour détecter les anomalies dans les modèles de trafic car ils peuvent signaler une activité suspecte.

Attaques SWIFT

Les deux dernières attaques connues de membres de SWIFT ont eu lieu en octobre 2017 (Taïwan et Népal). Auparavant, une attaque s’était produite en décembre 2016 (Turquie).

Même s’il faut reconnaître que le nombre d’attaques dirigées contre SWIFT a diminué depuis le pic observé au milieu de 2016, il serait imprudent d’ignorer les contrôles de sécurité recommandés.

Que vous soyez ou non client de SWIFT, le respect de cette cyber-hygiène, dans le cadre de votre programme de sécurité, mérite bien le temps et les efforts investis.