Free cookie consent management tool by TermsFeed

dimanche 16 avril 2017

La position équivoque de Swift sur la sécurité

Swift
Depuis le cyber-braquage dont a été victime la banque centrale du Bangladesh l'année dernière, Swift, opérateur de la messagerie qui en a été le vecteur principal, alterne rejet de sa responsabilité et introduction de nouvelles mesures de sécurité. Parmi ces dernières, arrive maintenant une solution de détection de comportements anormaux.

Après la mise en œuvre de mesures de protection ciblant principalement les accès au réseau, il s'agit de la première initiative permettant aux utilisateurs de Swift de définir des règles de fonctionnement destinées à écarter des tentatives de fraudes sur les paiements en transit. Bien que soit évoqué un apprentissage des habitudes d'usage, il semblerait que les mécanismes proposés soient assez basiques, de l'ordre du filtrage de destinataires ou d'horaires « normaux », sous le contrôle direct des clients.

Son ambition limitée est peut-être due au fait que le dispositif s'adresse avant tout aux « petits » établissements connectés au réseau, environ 3 000 institutions financières (sur quelques 10 000 utilisateurs au total) qui n'ont pas nécessairement les moyens (ou pour lesquels il serait démesuré) de déployer leur propres moyens de lutte contre la fraude. Sur le principe, la démarche est donc raisonnable et devrait permettre d'éviter que ne se reproduise les incidents qui ont émaillé l'actualité depuis 2016.

Swift Customer Security Program

Il faut pourtant mettre un bémol à la satisfaction de voir le problème de fraude enfin affronté, car la nouvelle solution – dont le déploiement n'interviendra pas avant un an – sera une offre commerciale, qui, selon l'Agefi, pourrait être facturée 10 000 à 20 000 euros par an. Ce montant n'est probablement pas très élevé en regard des budgets moyens des connexions Swift (même pour les clients modestes) et il peut paraître normal que le fournisseur tente d'amortir ses coûts de développement et de fonctionnement.

Hélas, le message qu'envoie ainsi l'opérateur, implicitement, est que la sécurité est optionnelle, ce qui non seulement est contre-productif pour les usagers mais représente également une manière assez cynique pour Swift d'écarter sa propre responsabilité en cas de futurs incidents. L'organisme n'a pas l'exclusivité de ce genre d'attitude (les réseaux de paiement en sont adeptes), mais on aimerait que les priorités soient mieux gérées : prendre au sérieux les cybermenaces commande de mettre en place toutes les protections possibles, sans réserve, y compris sur les maillons les plus faibles.

1 commentaire:

  1. Quand on sait que certains envisageraient de faire passer l'Instant Payment par Swift, cela ne relève plus seulement du cynisme, mais du j'm'en-foutisme, pour ne pas dire de l'incompétence

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)