pixstock - Fotolia
Cybersécurité : le douloureux réveil de Swift
Après plusieurs détournements de grande ampleur, le système de messagerie interbancaire multiplie les initiatives en matière de sécurité. Trop tard pour certains.
Swift n’en finit plus de multiplier les initiatives en faveur de la cybersécurité. Mi-juillet, l’organisme avait indiqué engagé BAE Systems et Fox-IT pour l’aider à renforcer la sécurité des systèmes connectés à son service chez ses clients. Et d’indiquer en outre avoir créé une équipe dédiée au renseignement sur les menaces informatiques.
Mi-août, Swift est allé un cran plus loin, lançant une campagne de sensibilisation « pour les fonctions de sécurité existantes au sein de ses produits d’interface ». L’occasion d’insister notamment sur les capacités d’authentification à facteurs multiples.
Ces initiatives sont à replacer dans le contexte du plan de renforcement la sécurité du système en cinq points annoncé fin mai. Gottfried Leibbrandt, Pdg de l’organisme, avait alors indiqué que « la cybersécurité est un sujet sérieux. C’est une question critique pour le système financier, et c’est un sujet critique pour Swift. En fait, depuis que j’ai pris mes fonctions, le risque cyber est la principale chose qui m’empêche de dormir ».
Les cinq volets du plan de Swift portent notamment sur le partage de l’information au sein la communauté financière, le renforcement des exigences de sécurité pour les déploiements chez les institutions clientes « afin de mieux protéger leur environnement local », mais également l’accompagnement des banques en faveur d’une utilisation accrue des systèmes de détection d’anomalies comportementales dans les ordres de paiement, et enfin l’introduction d’exigences de certification pour les fournisseurs tiers.
Plusieurs détournements de fonds ont été récemment conduits via des systèmes connectés au réseau Swift. Fin juin, l’Isaca a fait état d’un nouveau détournement au sein d’une banque à Kiev. Quelque 10 M$ auraient été dérobés.
Mais Swift semble surtout chercher aujourd’hui à rattraper son retard. Dans une enquête, Reuters souligne assurait ainsi récemment que, jusqu’à ces retentissants détournements, l’organisme « n’a pas considéré la sécurité des terminaux de ses clients comme une priorité » : « dans les rapports annuels et plans stratégiques de Swift au cours des 17 dernières années, Reuters n’a pu trouver qu’une seule référence [de l’organisme] aidant ses utilisateurs à sécuriser leurs systèmes ». Et celle-ci figure dans le rapport d’activité 2015 publié cette année. Cité par nos confrères, Leonard Schrank, patron de Swift de 1992 à 2007, reconnaît même là une part de responsabilité.
Avivah Litan, vice-présidente de Gartner, n’est pas surprise : « Swift semble avoir étendu son réseau à des banques dans des pays moins développés, sans accorder l’attention nécessaire aux faiblesses de sécurité que cela pouvait introduire. Mais Swift s’est toujours – et légitimement – considéré comme le messager, et a probablement pensé que la sécurité des banques membres n’était pas son problème ». Une approche « qui a fonctionné par le passé, lorsque le détournement de comptes et les pirates sophistiqués n’étaient pas si répandus ».
Mais les leçons à tirer s’étendent bien au-delà. Yong-Gon Chon, Pdg de Cyber Risk Management LLC, relève qu’il n’est ni rare ni surprenant que des dirigeants affirment avoir vu des signaux d’alerte. Pour autant, « les menaces n’ont pas de visage et sont invisibles » aujourd’hui. Un état des lieux qui « rend plus simple pour les criminels l’exploitation du maillon faible dans cette chaîne complexe et interconnectée qu’est notre système de messagerie financière ».
De son côté, Bob Hansmann, directeur des technologies de sécurité de Forcepoint, souligne que « le temps, l’argent et les effectifs sont des ressources limitées, tout particulièrement en sécurité informatique ». Dès lors, leur affectation suit des priorités et certaines vulnérabilités peuvent être négligées. Mais surtout, « il est important de ne pas limiter la réflexion à la technologie. Les personnes, les procédures et les processus peuvent également être exploitée », jusqu’à rendre bien réelles des vulnérabilités autrement peu probables.
Mais pour Avivah Litan, Swift pourrait bien devoir aller plus loin : « si les attaques Swift continuent, et ma prédiction est qu’elles vont le faire, [l’organisme] devra faire appliquer lui-même les mesures de sécurité au sein des banques membres ». Un rôle de gendarme que le service peut avoir auprès des banques émettrices d’ordres, mais pas des destinataires : « c’est le rôle des régulateurs. Et un jour, peut-être que les régulateurs vont réaliser qu’il y a là un réel besoin ».
Avec nos confrères de SearchSecurity.com.