La pression du SWIFT Customer Security Programme

Le SWIFT Customer Security Programme (CSP) définit des exigences de sécurité, obligatoires pour chaque entité connectée au réseau SWIFT. L’auto-attestation annuelle, étayée par une évaluation externe indépendante, n’est plus une option. C’est un impératif réglementaire. Pourtant, de nombreuses banques sont confrontées à des ressources internes limitées, à une documentation fragmentée et à la complexité d’aligner IT, sécurité, risques et conformité.

Les banques connectées au réseau SWIFT évoluent dans un environnement de conformité de plus en plus exigeant. Le Customer Security Programme impose une auto-attestation annuelle de contrôles obligatoires et recommandés. Depuis 2021, cette attestation doit être validée par une évaluation externe indépendante. Les institutions suisses participant au Swiss Interbank Clearing (SIC) de la BNS sont soumises à un niveau supplémentaire d’évaluations dans le cadre du SIC Endpoint Security (EPS) Framework.

La pression est réelle : davantage de contrôles, des délais plus courts et une attente croissante de la part des autorités de surveillance. Votre environnement SWIFT ne soit pas seulement être conforme sur le papier, il doit l’être dans les faits. De nombreuses banques, en particulier les petites et moyennes institutions, ne disposent pas de toutes les compétences nécessaires en interne pour conduire efficacement ces audits. La gestion des processus devient techniquement complexe et sensible sur le plan réglementaire. Les ressources sont limitées, la fonction responsable varie d’une institution à l’autre (CISO, CFO, COO) et les enjeux d’une non-conformité sont significatifs.

Notre équipe a réalisé plus de 50 évaluations externes pour des institutions financières suisses. Notre expérience couvre l’ensemble des types d’architectures SWIFT (A1 à A4 et B), des infrastructure variées et des niveaux de maturité institutionnelle très différents.

Parmi nos références se trouvent différentes banques cantonales, banques de détail et banques privées. Nous avons également accompagné le fournisseur d’infrastructure dans la préparation de sa propre déclaration de conformité SWIFT CSP et BNS SIC EPS (un livrable essentiel qui permet à de nombreuses banques suisses s’appuyant sur son infrastructure de mener à bien leurs propres évaluations).

Devenir partenaire officiel SWIFT n’est pas un point de départ. C’est la reconnaissance formelle d’un historique construit au fil du temps.

Notre évaluation suit une approche cohérente en six phases, adaptée à l’architecture et à l’environnement de chaque institution :

• Cadrage (Scoping) : nous confirmons le périmètre de la mission (SWIFT CSP uniquement ou SWIFT CSP et BNS SIC EPS), identifions le type d’architecture du client, les actifs inclus dans le périmètre, le modèle de connectivité et les dépendances vis-à-vis de tiers. Cela détermine les contrôles et les preuves à fournir.
• Lancement (Kick-off) : nous mettons en place dès le premier jour une gouvernance claire : canaux de communication, calendrier, responsabilités. Client et évaluateur sont pleinement alignés avant le début du projet.
• Identification des vulnérabilités : nous analysons la documentation initiale, rapprochons l’environnement des contrôles SWIFT et formulons des demandes ciblées de clarification et de preuves. Il s’agit d’un dialogue continu tout au long de la mission, et non d’un exercice ponctuel.
• Évaluation des risques : nous évaluons l’état de chaque contrôle obligatoire, rendons une décision formelle de conformité et traduisons les écarts identifiés en solutions pragmatiques, en équilibrant toujours risque, faisabilité et impact.
• Documentation : nous préparons l’ensemble de l’évaluation : lettre de clôture, rapport d’évaluation et documentation. Pour les institutions participant également au SIC de la BNS, nous fournissons des livrables complémentaires, conformes aux exigences du SIC Endpoint Security (EPS) Framework.
• Présentation : nous terminons par une restitution structurée des résultats : périmètre, statut de conformité, écarts identifiés, priorisation des mesures de remédiation et feuille de route, jusqu’à la validation annuelle dans SWIFT KYC-SA.

Il s’agit d’une méthodologie pragmatique, orientée risques, et non d’un simple exercice théorique de case à cocher. Nous nous impliquons avec vos équipes et en fonction de votre profil de risques.

Que vous abordiez un SWIFT CSP Assessment pour la première fois ou que vous recherchiez un partenaire plus expérimenté pour votre cycle annuel, adesso vous apporte :

• Un niveau accru de sécurité et de conformité vis-à-vis des exigences SWIFT
• Une transparence complète sur les risques, les écarts et les priorités de remédiation
• Une réduction du risque lié aux évaluations, audits et certifications
• Un allègement de la charge de travail pour vos équipes internes grâce à une expertise externe éprouvée
• Une approche pragmatique, fondée sur des environnements bancaires suisses réels

Le nouveau partenariat SWIFT d’adesso formalise ce que nos clients savent déjà : une équipe engagée, experte et présente localement, qui accompagne les institutions financières suisses dans l’un de leurs cycles de conformité annuels les plus exigeants. Avec plus de 50 évaluations réalisées auprès d’un large éventail d’institutions et d’infrastructures, notre savoir-faire va bien au-delà du conseil standard. Il repose sur une expérience directe et récurrente du terrain.

Si votre institution se prépare à son prochain SWIFT CSP Assessment, ou si vous souhaitez comprendre ce que le processus implique et comment l’aborder efficacement, nous serions ravis d’en discuter avec vous. Contactez-nous pour un premier échange, sans engagement, et laissez-nous vous montrer à quoi ressemble, en pratique, une évaluation structurée et transparente.