Conformité au cadre de contrôles de sécurité SWIFT CSC (Customer Security Controls)

Selon Investopedia, la SWIFT (Society for Worldwide Interbank Financial Telecommunications) est un réseau de messagerie utilisé par les institutions financières pour transmettre en toute sécurité les informations et les instructions par le biais d’un système de codes normalisé.

Cadre de contrôle SWIFT CSC

Selon SWIFT¹ :

Le cadre de contrôle SWIFT CSC décrit un ensemble de contrôles de sécurité obligatoires et recommandés pour les utilisateurs SWIFT.

Les contrôles de sécurité obligatoires établissent une base de référence de sécurité pour la communauté entière et doivent être mis en place par tous les utilisateurs sur leur infrastructure SWIFT locale. SWIFT a choisi de donner priorité à ces contrôles obligatoires pour définir un objectif réaliste visant à augmenter la sécurité et à réduire les risques à court terme de manière tangible.

Les contrôles recommandés reposent sur la bonne pratique dont SWIFT recommande la mise en place aux utilisateurs. Les contrôles obligatoires peuvent également changer avec le temps, en raison de l’évolution du paysage des menaces, et certains des contrôles recommandés peuvent devenir obligatoires.

Tous les contrôles s’articulent autour de 3 objectifs primordiaux :

1. Protéger son environnement
2. Connaître et limiter les accès
3. Détecter et réagir

Thales peut vous aider à vous conformer à chacun de ces 3 objectifs.

1. https://www.swift.com/myswift/customer-security-programme-csp/security-controls

Thales peut vous aider à vous conformer aux sections suivantes du cadre CSC :

Section 1.2. « Contrôle des comptes privilégiés des systèmes d’exploitation »
Section 5. « Gestion des identités et séparation des privilèges »
Section 6. « Détection des anomalies d’activité dans les systèmes ou les enregistrements de transactions »3

CipherTrust Data Security Platform

CipherTrust Data Security Platform de Thales facilite et améliore l’efficacité de la gestion de la sécurité des données dans l’ensemble de votre organisation. Reposant sur une infrastructure extensible, la plateforme contient plusieurs produits de sécurité des données pouvant être déployés individuellement ou ensemble pour offrir des fonctionnalités de chiffrement, de tokénisation et de gestion centralisée des clés avancées. La solution de sécurité des données prépare votre organisation pour le prochain défi de sécurité et les nouvelles exigences de conformité à un CTP réduit.

Contrôle d’accès aux données

• Séparation des utilisateurs privilégiés et des données sensibles appartenant aux utilisateurs. Grâce à CipherTrust Data Security Platform, les administrateurs peuvent créer une séparation des devoirs solide entre les administrateurs privilégiés et les propriétaires des données. CipherTrust Data Security Platform chiffre les fichiers sans toucher à leurs métadonnées. De cette manière, les administrateurs informatiques (y compris les administrateurs d’hyperviseur, de Cloud, de stockage et de serveur) peuvent effectuer leurs tâches d’administration de système sans pouvoir obtenir un accès privilégié aux données sensibles résidant dans les systèmes qu’ils gèrent.
• Séparation des devoirs d’administration. Il est possible de mettre en place des politiques de séparation des devoirs robustes pour s’assurer qu’aucun administrateur ne bénéficie d’un contrôle complet sur les activités de sécurité des données, les clés de chiffrement ou l’administration. De plus, CipherTrust Manager prend en charge l’authentification à deux facteurs pour l’accès administrateur.
• Contrôles d’accès granulaires privilégiés. La solution de Thales peut mettre en application des politiques de gestion des accès d’utilisateurs les moins privilégiés à niveau de granularité élevé, permettant la protection des données contre les abus d’utilisation ainsi que les attaques extérieures. Il est possible d’appliquer des politiques de gestion des accès d’utilisateurs privilégiés granulaires en fonction de l’utilisateur, du processus, du type de fichier, de l’heure et d’autres paramètres. Les options de mise en application sont extrêmement granulaires ; elles peuvent servir à contrôler non seulement les permissions d’accès aux données en clair, mais également les commandes de système de fichiers disponibles pour les utilisateurs.

Journaux de renseignements de sécurité

Les journaux d’audit d’accès aux données détaillés fournis par CipherTrust Transparent Encryption servent pour la conformité, mais également pour l’identification des tentatives d’accès non autorisées et l’établissement de bases de référence des motifs d’accès pour les utilisateurs autorisés. CipherTrust Security Intelligence apporte la touche finale avec une intégration pré-configurée aux systèmes d’informations de sécurité et de gestion d’événements (SIEM) qui permet d’utiliser les informations obtenues. La solution permet une réaffectation et une réaction immédiates pour les tentatives d’accès non autorisées, et offre toutes les données nécessaires à l’établissement de motifs comportementaux requises pour l’identification d’une utilisation suspecte par les utilisateurs autorisés.