« C’est pourquoi nous avons choisi Nexus pour protéger nos accès à la plateforme SWIFT »

Le réseau de télécommunication interbancaire SWIFT requiert que ses installations en local soient protégées par une authentification à deux facteurs (2FA) à la fois fiable et conviviale. « Nous avons obtenu d’excellents résultats en implémentant la solution d’authentification de Nexus, qui répond à la fois à nos besoins actuels et à venir, » se félicite Kirill B. Lebedev, PDG de la société de sécurité IT Power Security.

La société SWIFT (Society for Worldwide Interbank Financial Telecommunication) offre une plateforme et des services permettant aux institutions financières du monde entier d’échanger des informations relatives aux transactions financières au sein d’un environnement standardisé, fiable et sécurisé.

Les installations SWIFT en local menacées

« Même si le réseau et les logiciels SWIFT n’ont pas été compromis, des incidents sont survenus et des clients ont rapportés des failles de sécurité au sein de leur infrastructure en local, » explique Lebedev.

La méthode d’attaque la plus courante consiste à infiltrer des postes de travail ou des serveurs à l’intérieur de l’établissement bancaire, ce qui permet au pirate d’étudier l’infrastructure, de compromettre les hôtes ses plus sensibles et de s’approprier des identifiants d’utilisateurs.

Lebedev : « L’agresseur peut alors mener une attaque en exploitant les identifiants collectés ainsi que d’autres données ».

Exigence d’une sécurité renforcée

Afin de répondre aux besoins du secteur, la société SWIFT a présenté un programme de sécurisation des clients (Customer Security Programme), imposant un ensemble de procédures de contrôle de sécurité obligatoires, dont l’authentification multi-facteur.

En 2015, Power Security, société spécialisée dans les solutions d’authentification, d’infrastructures à clés publiques (PKI) et de signatures électroniques, a identifié les exigences du marché pour un renforcement de la sécurité au sein de l’environnement SWIFT dans la Fédération de Russie, l’Union économique eurasienne et la Communauté des États indépendants (CEI).

Lebedev : « Nous avons commencé à coopérer avec Alliance Factors, partenaire de service russe de SWIFT, afin d’aider les agences et les clients à implémenter une solution d’authentification basée sur la plateforme spécialisée de Nexus ».

SWIFT exige l’authentification à deux facteurs

Au printemps 2017, SWIFT a présenté le règlement Customer Security Controls, un ensemble de mesures recommandées ou obligatoires destinées à protéger les utilisateurs.

Lebedev : « Ce document s’appuie sur l’analyse des cyber-menaces, l’interaction avec les experts du secteur et le feedback des utilisateurs. Outre l’obligation de recourir à l’authentification à deux facteurs pour l’accès à l’interface web SWIFT, il est à présent nécessaire de s’appuyer sur une authentification forte pour les autres protocoles, tels que RDP ou SSH. »

Le règlement Customer Security Controls introduit également la notion de « serveur jump », qui est un point intermédiaire par lequel doivent transiter toutes les communications entre les serveurs au sein d’un réseau SWIFT sécurisé et les postes de travail des opérateurs et administrateurs.

La solution 2FA de Nexus résout tous les problèmes

Lebedev : « La solution d’authentification de Nexus prend en charge toutes les procédures requises par SWIFT. De plus, la solution Nexus couvre également un certain nombre de mesures recommandées, telles que le VPN, le whitelisting des ressources externes, etc. »

Power Security et Alliance Factors ont déjà implémenté la solution d’authentification de Nexus pour un grand nombre d’agences et de clients SWIFT – y compris quelques-unes des plus grandes banques de Russie et de CEI – et ont obtenu d’excellents résultats.

Lebedev : « La solution Nexus consiste en un serveur d’authentification complet, capable de répondre à la fois aux exigences actuelles et futures imposées par SWIFT aux organisations financières. Nous attendons de l’introduction de l’authentification forte et de la protection des accès procurées par la solution Nexus un renforcement significatif de la sécurité des communications interbancaires. Un autre avantage est que la solution ne requiert qu’un investissement minime. »

Des solutions à la fiabilité reconnue

Alexander Kusheverskiy, directeur général d’Alliance Factors, est enthousiaste au sujet du partenariat avec Nexus et Power Security.

« Nous implémentons avec succès depuis de nombreuses années dans notre région des solutions IT développées par des sociétés internationales, et c’est une grande plus-value pour nous de nous associer à Nexus et à Power Security, car ce sont deux entreprises reconnues pour leurs solutions de sécurité dédiées au secteur financier, » explique-t-il.

Connexion des utilisateurs via la solution Nexus

Illustration Swift | Nexus Group

Schéma de la solution d’authentification SWIFT basée sur la plateforme d’authentification Nexus.

La plateforme d’authentification de Nexus, baptisée Nexus Hybrid Access Gateway (HAG), est une composante de la solution étendue Smart ID de Nexus Group, société spécialisée dans les identités et la sécurité. HAG est une plateforme d’authentification très versatile, pouvant être exploitée pour une large gamme d’applications. Dans un scénario SWIFT, la solution fonctionne de la façon suivante : avant d’accéder à l’application cible, l’utilisateur de la plateforme web SWIFT Alliance se connecte à HAG et s’authentifie à l’aide d’un mot de passe à usage unique (OTP).

Généralement, l’OTP est généré par une carte à puce, exploitant l’algorithme standard OATH HOTP. Une fois authentifié, l’utilisateur utilise l’application cible via le point d’accès de HAG ; à la fin de la session, l’accès de l’utilisateur à l’application est désactivé.

L’application cible est hors de portée des pirates

Lebedev : « La fonctionnalité d’accès distant de HAG est l’un des facteurs qui rendent la solution particulièrement sécurisée, car l’application cible est à l’abri derrière le point d’accès de HAG et n’est donc pas accessible à un attaquant potentiel. Ainsi, même si l’application cible est affectée par ce que l’on appelle des vulnérabilités « zero-day », ou si les identifiants statiques de l’utilisateur sont compromis, le pirate ne pourra en aucun cas les exploiter, dans la mesure où il ne peut fournir le second facteur d’authentification. »

Les autres facteurs déterminants dans le choix fait par Power Security d’une plateforme d’authentification sont la possibilité offerte par HAG de recourir à différentes méthodes et procédures d’authentification, la gestion centralisée du cycle de vie des utilisateurs et des jetons, la flexibilité des procédures d’accès, ou encore la possibilité d’auditer et de journaliser les activités et événements importants.

Lebedev : « Mais un autre avantage déterminant avec la solution Nexus est qu’il n’y a aucune dépendance envers un fournisseur en ce qui concerne les jetons d’authentification. Les clients sont libres d’acquérir les jetons de leur choix pourvu qu’ils s’appuient sur des normes ouvertes, ce qui leur laisse la possibilité de choisir les options les plus adaptées et/ou économiques, et de retenir les méthodes d’authentification répondant à leurs exigences propres en matière de sécurité. »

Les 6 principaux avantages de la solution Nexus

Pour Lebedev, les principaux avantages de la solution d’authentification de Nexus, comparés au mécanisme standard implémenté dans SWIFT, sont :

  1. La couche de sécurité additionnelle sur l’application cible.
  2. Le large choix de méthodes, de jetons et de procédures d’authentification.
  3. La gestion du cycle de vie des jetons d’authentification.
  4. La possibilité d’implémenter des méthodes d’authentification supplémentaires au cas où les méthodes principales seraient inaccessibles.
  5. La gestion centralisée de l’authentification.
  6. L’audit et la journalisation.

6 autres avantages de la solution Nexus

Outre les avantages précités, Lebedev souligne également les raisons suivantes pour lesquelles la solution d’authentification de Nexus a été retenue :

  1. Conformité aux plus hautes exigences en matière de sécurité des informations.
  2. Aucune dépendance vis-à-vis des fournisseurs en ce qui concerne les jetons.
  3. Exploitable pour une large gamme d’applications.
  4. Permet l’authentification et l’accès distant à l’infrastructure de l’organisation.
  5. Simplicité de l’intégration et absence de restriction quant au nombre de canaux d’authentification, d’applications protégées, etc.
  6. Possibilité d’implémenter une architecture à haute disponibilité et à tolérance aux pannes.

Autres cas