80 % des grandes institutions financières ont échoué à leur première évaluation du Programme de sécurité des clients de SWIFT en 2025. Voici comment prendre une longueur d’avance pour 2026.
À mesure que le Programme de sécurité des clients (CSP) de SWIFT évolue continuellement pour répondre aux menaces nouvelles et émergentes en matière de cybersécurité et de fraude, le maintien de la conformité au CSP devient de plus en plus complexe – y compris pour des organisations auparavant conformes. En réalisant plus de 200 évaluations CSP en 2025, Deloitte a constaté que 80 % des grandes institutions financières ont échoué à leur évaluation initiale, ce qui accroît leur exposition à une évaluation externe obligatoire et à des mesures correctives imposées, ainsi qu’à un renforcement de la surveillance réglementaire et à des répercussions sur leur réputation et leurs opérations.
Points clés
- Les organisations doivent évaluer leur conformité au CSP chaque année, en fonction d’un cadre de contrôles en constante évolution.
- Comme la majorité des organisations échouent dès la première tentative, il est essentiel de gérer proactivement l’environnement afin d’éviter toute nonconformité.
- La nonconformité au CSP entraîne des risques importants sur les plans réputationnel, financier et opérationnel.
Le réseau SWIFT joue un rôle essentiel dans la facilitation des paiements à l’échelle mondiale et dans le maintien de la confiance et de la sécurité au sein de l’écosystème financier international. Cela en fait une cible privilégiée pour des acteurs sophistiqués de la cybercriminalité et de la fraude, ce qui exige une vigilance accrue afin de protéger les réseaux de paiement et les clients.
C’est pourquoi il est plus crucial que jamais pour les organisations connectées à SWIFT de s’assurer de leur conformité au Programme de sécurité des clients. La conformité au CSP ne se résume pas à une simple formalité : elle constitue un indicateur de confiance essentiel et évolutif qui contribue au maintien d’un écosystème financier mondial sécurisé. À l’inverse, la nonconformité peut exposer les organisations – ainsi que l’ensemble du système financier mondial – à des risques importants.
Quoi de neuf dans le CSP 2026 de SWIFT
La période d’attestation du Programme de sécurité des clients 2026 de SWIFT commence le 1er juillet 2026. Le Cadre de contrôle de sécurité des clients (CSCF v2026) actuellement au cœur du CSP comprend 26 contrôles obligatoires et 6 contrôles recommandés, applicables à l’ensemble des types d’architecture.
Les exigences de sécurité s’étendent désormais audelà de la zone sécurisée Swift « Swift Secure Zone » – une zone segmentée qui isole les systèmes liés à SWIFT de l’environnement informatique général pour couvrir un écosystème plus large soutenant le traitement des paiements SWIFT. Parmi les changements, on note l’introduction du connecteur client « customer client connector », un nouveau composant obligatoire pour tous les types d’architecture permettant la connexion au réseau SWIFT, ainsi que des contrôles de sécurité obligatoires pour les flux de données de l’origine à la destination, couvrant les points d’intégration des activités de soutien.
Pour les organisations disposant de pratiques de sécurité et de gouvernance bien établies dans le cadre du CSP de SWIFT, les changements de cette année devraient être gérables. En revanche, pour celles dotées d’environnements hérités complexes, de dépendances externalisées ou d’une visibilité incomplète sur les flux de données SWIFT dans leur globalité, ces évolutions pourraient accroître les risques de nonconformité et de mise en conformité tardive.
En raison de l’élargissement progressif du périmètre des objectifs de contrôle du CSCF, le défi pour de nombreuses organisations ne réside plus tant dans la compréhension de l’intention des contrôles, mais dans la capacité à démontrer leur mise en œuvre, leur efficacité opérationnelle et le maintien continu de la conformité dans un environnement en constante évolution, année après année. Il est donc essentiel que les utilisateurs de SWIFT conservent une visibilité constante sur les changements apportés au CSP et au CSCF, et qu’ils comprennent clairement les risques et les conséquences associés à la nonconformité.
Principaux risques liés à la nonconformité au CSP de SWIFT
1. Diminution de la confiance et atteinte à la réputation et aux relations
Les utilisateurs de SWIFT considèrent de plus en plus la conformité au CSP comme un outil standard d’intégration et de sécurité. Lorsque les organisations soumettent leur attestation de sécurité CSP de SWIFT par l’intermédiaire du portail KYC–Security Attestation (KYCSA) de SWIFT, leurs contreparties peuvent en consulter l’existence et le statut de publication. Elles peuvent également demander à SWIFT l’accès aux détails de l’attestation.
Lorsqu’une organisation est non conforme pour une année donnée, cela peut entraîner une perte de confiance auprès de ses pairs, nuire aux relations existantes au sein du réseau SWIFT et, dans certains cas, porter atteinte à sa réputation. Les organisations peuvent alors faire l’objet d’un examen accru lors des processus d’intégration, être soumises à des exigences de diligence raisonnable renforcées et subir des retards dans l’élargissement de leurs services.
2. Risque accru d’évaluation indépendante externe obligatoire imposée par SWIFT et perturbations connexes
Chaque année, SWIFT sélectionne de façon aléatoire un sousensemble d’utilisateurs afin de leur imposer une évaluation indépendante externe obligatoire de leurs attestations de sécurité soumises. Lorsqu’une organisation est jugée à risque élevé d’incident – par exemple en situation de nonconformité au CSP – la probabilité d’être sélectionnée pour ce type d’évaluation augmente.
Au minimum, les évaluations indépendantes externes imposées par SWIFT doivent couvrir l’ensemble des contrôles de sécurité obligatoires applicables au type d’architecture SWIFT de l’organisation et être complétées au plus tard le 31 décembre de l’année de la demande initiale. Une organisation soumise à une telle évaluation peut également faire face à des attentes d’assurance plus rigoureuses et à une pression accrue pour mettre en œuvre des mesures correctives dans des délais resserrés.
La réalisation d’une évaluation indépendante externe obligatoire dans les délais impartis est susceptible de perturber les activités courantes et les priorités stratégiques de l’organisation. De plus, celleci peut devoir assumer des coûts supplémentaires pour combler de nouvelles lacunes identifiées, en plus des dépenses déjà engagées pour corriger des constats antérieurs, le tout dans un contexte de contraintes temporelles accrues.
3. Renforcement de la surveillance réglementaire et de l’examen par la communauté SWIFT
Les organisations qui échouent régulièrement à attester leur conformité au CSP – ou qui déclarent de façon récurrente leur nonconformité – s’exposent à un niveau accru de surveillance de la part des organismes de réglementation locaux et de l’ensemble de la communauté SWIFT.
Les autorités de réglementation exercent une pression croissante sur les institutions financières relevant de leur juridiction afin qu’elles protègent leurs infrastructures de paiement et leurs clients contre des menaces de cybercriminalité et de fraude en constante évolution et de plus en plus sophistiquées. En raison de l’ampleur et de la visibilité du réseau SWIFT dans les systèmes de paiement internationaux, les régulateurs manifestent un intérêt grandissant pour le suivi de la conformité au CSP de SWIFT au sein de leurs territoires.
Par ailleurs, SWIFT se réserve le droit de signaler aux autorités de surveillance locales – comme le Bureau du surintendant des institutions financières (BSIF) au Canada ou le Federal Reserve Board aux ÉtatsUnis – tout utilisateur ne disposant pas d’une attestation valide, n’ayant pas soumis d’attestation ou ne respectant pas les contrôles obligatoires applicables à son type d’architecture.
Comment Deloitte peut vous accompagner
De nombreuses organisations éprouvent des difficultés à maintenir leur conformité au CSP de SWIFT d’une année à l’autre. Même celles qui étaient auparavant conformes constatent souvent de nouveaux écarts par rapport aux objectifs de contrôle de SWIFT – généralement en raison de l’évolution annuelle de leur infrastructure et des exigences en matière de contrôles de sécurité. En 2025, par exemple, Deloitte a réalisé plus de 200 évaluations indépendantes du CSP de SWIFT. Lors de notre évaluation initiale des contrôles obligatoires, nous avons constaté que 80 % des grandes institutions financières à l’échelle mondiale n’étaient conformes à aucun des contrôles évalués. Une fois les mesures correctives identifiées mises en œuvre et réévaluées, ce taux est tombé à 10 %.
Afin de réduire le risque de nonconformité, Deloitte aide les organisations à aborder la conformité au CSP de SWIFT comme une capacité gérée en continu, plutôt que comme un exercice ponctuel. À titre d’évaluateur certifié CSP de SWIFT, nous disposons d’une vaste expérience mondiale dans l’accompagnement et la réalisation d’évaluations CSP pour des entités nationales et internationales, avec plus de 300 évaluations indépendantes externes menées auprès d’organisations des secteurs public et privé.
Nos professionnels Deloitte au Canada, appuyés par notre Centre d’excellence mondial, accompagnent nos clients dans l’élaboration et l’évolution annuelle de leurs feuilles de route de conformité au CSP de SWIFT. Nous fournissons un appui stratégique pour prioriser et valider les mesures correctives applicables aux environnements SWIFT de nos clients, et nous les aidons à demeurer alignés sur les meilleures pratiques internationales de maintien de la conformité au CSP de SWIFT.
Lancez dès aujourd’hui votre démarche d’attestation CSP de SWIFT pour 2026
Alors que le CSP de SWIFT continue d’évoluer, les organisations qui amorcent leurs évaluations tôt seront mieux placées pour réduire les risques de nonconformité, éviter les perturbations opérationnelles en fin de cycle et préserver une réputation favorable auprès de leurs pairs et des instances réglementaires.
Vous avez des préoccupations concernant votre évaluation CSP de SWIFT pour 2026? Communiquez avec l’un des professionnels de Deloitte cidessous afin de discuter de vos enjeux et de baliser la voie vers une conformité CSP de SWIFT réussie.
