Trésorier/Treasurer magazine - N°98 - July/Aug/Sep 2017 - 27

FORUM

Conscient des enjeux majeurs de
la sécurité de son système dans

LOIC DUNAND
PARTNER
WAVESTONE

VINCENT JEUNET
PARTNER
WAVESTONE

la communauté bancaire, SWIFT
a décidé d'agir en renforçant le
niveau de sécurité requis dans
les banques en émettant un
programme de sécurité appelé

Comment réagir face à une telle menace sectorielle ?
Conscient des enjeux majeurs de la sécurité de son système
dans la communauté bancaire, SWIFT a décidé d'agir en
renforçant le niveau de sécurité requis dans les banques en
émettant un programme de sécurité appelé CSP (Customer
Security Program). Dans ce dernier, SWIFT imposera à l'ensemble de ses clients des contrôles de sécurité obligatoires
pour adresser trois grands objectifs : sécuriser l'environnement ou « l'éco-système », gérer et limiter les accès, détecter
et répondre. En complément, SWIFT conseillera un certain
nombre de contrôles de sécurité qui permettront aux clients
les plus matures en termes de niveau de sécurité de se rapprocher de l'état de l'art des bonnes pratiques.

Les gains financiers des attaques contre les systèmes bancaires à travers la plate-forme SWIFT pouvant s'avérer très
élevés (plusieurs millions d'euros), la motivation des cybercriminels ne pourra que croître et le système financier mondial
deviendra de plus en plus confronté à ces attaques.
Les prochaines étapes ? SWIFT publiera les détails des
contrôles de sécurité (« Security Controls Framework ») dès le
mois d'avril et accompagnera leurs déploiements auprès de
leurs clients via une campagne d'ateliers de travail qui durera
jusqu'à la fin de l'année. Ces mêmes clients peuvent d'ores et
déjà s'engager dans le processus d'évaluation de leur niveau
de conformité par rapport à ces contrôles de sécurité - sachant qu'ils devront reporter les résultats sous forme d'une
auto-évaluation à partir de juillet de cette année et jusqu'à la
fin décembre 2017 au plus tard.

- JULY
N°98

* Mettre en place la dernière mise à jour d'Alliance Access
et suivre les remontées d'incidents pour lancer des
recherches de présence d'IOC (indicateurs de compromission) sur les systèmes.
* Développer un esprit critique sur son propre système en
analysant son attractivité aux yeux des cybercriminels.
* Planiﬁer et réaliser de manière régulière des exercices de
crise sur la base de scénarios de fraudes afin de pouvoir
mettre sous contrôle l'ensemble des éléments permettant
un maintien du système en conditions opérationnelles et
limitant fortement le champ d'action des cybercriminels.
* Pour ﬁnir, réaliser un audit des systèmes anti-fraude pour
évaluer leur degré d'efficacité et faire ressortir les faiblesses pour les corriger avec un plan de remédiation.

-

C'est en mai 2016 que l'on apprend qu'une deuxième banque
aurait été victime d'une attaque similaire à celle de la Bangladesh Bank.
SWIFT parle « d'une banque commerciale », BAE Systems
parlent eux « d'une banque commerciale vietnamienne »
tandis que TPBank, une banque justement originaire de
Hanoi, déclare en toute indépendance avoir été victime d'une
attaque sur leur système de transaction SWIFT.
Le mode opératoire suivi dans cette nouvelle attaque a été
très similaire à celui de la Bangladesh Bank. Cependant,
SWIFT a précisé une spécificité non-négligeable : le malware
aurait permis de remplacer le lecteur PDF utilisé par les opérateurs pour vérifier leurs transactions.
Fin mai, plusieurs autres cas similaires à Bangladesh Bank
et TPBank ont été dévoilés. La banque équatoriale Banco Del
Austro et une banque philippine dont on ignore encore le nom
semblent effectivement à leur tour avoir été victimes. De plus,
des références SWIFT d'au moins sept autres institutions
financières (Japon, Corée du Sud, Chine, Australie, etc.) ont
été découvertes dans le code du malware.

Compte tenu des faiblesses exploitées par les cyber-attaquants durant les dernières attaques ciblant les banques,
des mesures additionnelles peuvent être mises en place afin
de renforcer les systèmes bancaires, à savoir :

LE MAGAZINE DU TRESORIER / TREASURER MAGAZINE

Une deuxième affaire toujours plus pointue
(puis une troisième, une quatrième, ...)

/ AUG / SEP 2017

CSP

27
Trésorier/Treasurer magazine - N°98 - July/Aug/Sep 2017

Table of Contents for the Digital Edition of Trésorier/Treasurer magazine - N°98 - July/Aug/Sep 2017
