SWIFT CSP 2026 : ce que ça implique pour votre organisation - Partie 2

Le MFA devient progressivement un contrôle transverse

Le CSCF 2026 renforce également les exigences liées à l'authentification multifacteur (MFA). Jusqu'à présent, le MFA concernait principalement les accès opérateurs SWIFT, les accès administrateurs critiques et certains accès distants. Avec l'élargissement du périmètre CSP, cette exigence s'étend progressivement à davantage de composants participant au traitement des flux financiers.

Cette évolution est directement liée à la nouvelle approche du référentiel : à mesure que des systèmes auparavant considérés comme hors périmètre deviennent critiques au regard du CSP, les exigences de sécurité qui leur sont applicables évoluent également.

Pour de nombreuses organisations, l'enjeu sera donc d'assurer un niveau de protection cohérent sur l'ensemble de la chaîne de traitement des flux financiers, et non plus uniquement sur les composants SWIFT historiques.

Le MFA s'impose ainsi progressivement comme un contrôle transverse, dont le périmètre suit désormais l'extension du périmètre CSP.

Vers un basculement quasi systématique vers l'architecture A4

C'est probablement l'un des effets les plus structurants, et encore largement sous-estimés, du CSCF v2026.

Avec l'élargissement du périmètre CSP, l'intégration de nouveaux composants et le renforcement des exigences de sécurité, de nombreuses organisations verront leur architecture SWIFT évoluer vers des modèles plus exigeants.

Les environnements comportant des middleware, des plateformes de transfert, des infrastructures mutualisées ou des connexions indirectes sont particulièrement concernés. Dans ces configurations, les caractéristiques observées se rapprochent de plus en plus de celles des architectures A4.

Sans imposer formellement ce modèle, SWIFT fait évoluer son approche vers une analyse plus globale des flux, des dépendances techniques et des systèmes impliqués dans le traitement des opérations financières.

Le CSCF v2026 introduit ainsi une évolution majeure : la classification d'architecture n'est plus uniquement liée au design théorique de la Secure Zone, mais à l'analyse réelle des flux, des dépendances techniques et des composants traversés.

Pour beaucoup d'institutions financières, le passage vers des exigences proches d'A4 devient donc non seulement probable, mais quasiment inévitable.

Une transformation qui dépasse largement la conformité annuelle

Le CSCF v2026 confirme définitivement une évolution de fond du programme SWIFT CSP.

Le CSP ne doit plus être considéré comme un simple exercice annuel d'attestation KYC-SA.

Le framework devient progressivement :

• un référentiel de résilience cyber ;
• un cadre d'architecture sécurisée ;
• un modèle de gouvernance des flux financiers critiques.

 Cette évolution traduit une volonté claire de SWIFT : faire du CSP un véritable standard de sécurisation des flux financiers critiques, bien au-delà des seuls composants historiquement présents dans la Secure Zone. Le référentiel 2026 confirme ainsi une adaptation progressive aux architectures modernes et hybrides (cloud, containers, API, infrastructures mutualisées, SD-WAN et VPN virtualisés).

Premières références aux risques liés à l'IA

Même si SWIFT indique ne pas encore publier d'exigences spécifiques concernant les outils basés sur l'intelligence artificielle, le CSCF v2026 introduit une première référence explicite aux menaces de type deepfake dans le contrôle 7.2 « Security Training and Awareness ». Cette mention est loin d'être anodine.

Elle montre que SWIFT commence progressivement à intégrer les nouveaux risques cyber liés aux usages de l'IA dans son modèle de sensibilisation, de gouvernance et de gestion des risques.

Cette évolution reflète une réalité désormais incontournable : les attaques utilisant l'intelligence artificielle deviennent de plus en plus crédibles et sophistiquées, notamment dans les environnements financiers critiques.

Les risques visés concernent notamment :

• les campagnes de phishing enrichies par l'IA ;
• les deepfakes vocaux ou vidéo ;
• l'usurpation d'identité d'opérateurs ou d'administrateurs ;
• les fraudes au changement de coordonnées bancaires ;
• les manipulations d'ordres de paiement.

 Même si le CSCF ne formalise pas encore de contrôle dédié à l'IA, cette première référence constitue probablement un signal fort sur les futures évolutions du programme CSP.

Pourquoi anticiper dès maintenant

Les retours d'expérience montrent que de nombreuses organisations identifient tardivement certains écarts : composants oubliés dans le périmètre CSP, cartographie incomplète des flux, insuffisance des preuves de conformité ou erreurs dans la qualification de l'architecture.

Avec le CSCF 2026, ces écarts peuvent désormais avoir des conséquences plus importantes et nécessiter des évolutions techniques parfois longues à mettre en œuvre. Une revue anticipée des flux, des systèmes intermédiaires et de l'architecture SWIFT permet donc de limiter les risques lors de l'évaluation annuelle.

Le CSCF v2026 marque une rupture majeure dans l'approche SWIFT de la sécurité, avec :

• la généralisation des Customer Client Connectors ;
• l'obligation du contrôle 2.4 ;
• la montée en criticité des bridging servers ;
• le renforcement progressif des exigences MFA ;
• l'extension du référentiel aux environnements cloud, API et virtualisés.

 SWIFT impose désormais une vision beaucoup plus transverse et end-to-end de la sécurité des flux financiers.

Pour de nombreuses institutions financières, l'enjeu dépasse désormais la simple conformité annuelle : il s'agit d'adapter durablement leur architecture et leur stratégie de résilience cyber aux nouvelles attentes du programme SWIFT CSP.

Les équipes Risk Advisory Services de BDO France sont à vos côtés pour vous accompagner dans l'analyse de vos architectures SWIFT, l'identification des impacts CSCF v2026, la préparation des campagnes d'assessment et la sécurisation de votre trajectoire de conformité CSP.