Comment SWIFT, qui est une société déjà ancienne de service de messagerie de transferts interbancaires, évolue-t-elle aujourd’hui, dans un contexte digital, et parmi les nouveaux acteurs de la banque ?
Il y a 45 ans, nous étions l’une des premières FinTechs ! Notre objectif à l’époque était d’automatiser les paiements, de remplacer les telex par une messagerie mondialement standardisée. Nous remplacions une technique par une autre, innovante dans le temps, et nous continuons à procéder ainsi. Notre système de messagerie évolue en fonction des demandes de nos utilisateurs – les clients des banques et les banques elles-mêmes –, pour les paiements instantanés, l’accès au réseau 24 heures sur 24 et 7 jours sur 7, ce qui n’était pas le cas il y a encore quelques mois, car nous étions dépendants de créneaux horaires.
Nous étudions par exemple de nouvelles technologies pour le GPI, notre service « global payments innovation » destiné aux paiements transfrontaliers. Nous regardons si les API peuvent remplacer la messagerie classique pour améliorer le traitement des flux (Alliance Messaging Hub). Nous disposons d’une plateforme (Alliance Access Integration Platform – IPLA) grâce à laquelle les banques peuvent mettre leurs API à disposition des autres banques et institutions financières présentes sur notre réseau. Elles peuvent ainsi mutualiser l’utilisation des API et avoir la garantie d’échanger dans un monde sécurisé.
Nous développons aussi de nombreuses solutions autour de la conformité afin d'aider efficacement les banques. La lutte contre le blanchiment de capitaux est l’une de leurs obligations non concurrentielles. Nous développons des produits pour combattre la fraude ou lutter contre le financement du terrorisme, par exemple au travers de notre service de filtrage de transactions (Sanctions screening), que plus de 800 banques utilisent dans le monde, et le KYC Registry qui permet aux institutions financières d’échanger des données d’information client : plus de 5 000 banques y ont mis toutes leurs données standardisées et les échangent entre elles.
Enfin, nous développons des solutions sur le plan de la cybersécurité. C’est l’un des grands défis de l’industrie bancaire. Nous avons développé ce que nous appelons le programme de sécurité client (Customer Security Programme – CSP), pour aider nos clients dans le monde entier à sécuriser et protéger leurs environnements locaux et à favoriser ainsi un écosystème financier plus sécurisé. Le dernier produit que nous avons lancé est le Payment Controls, une nouvelle solution en réseau pour lutter contre les paiements frauduleux et renforcer la sécurité des clients, sur laquelle la banque définit son modèle classique d’envoi des messages. Si des messages envoyés diffèrent de ce modèle, nos clients sont alertés et peuvent opérer des vérifications. Ils peuvent, par exemple, indiquer dans leurs paramètres qu’ils n’envoient des messages qu’entre 6 heures du matin et 6 heures du soir. Toute action en dehors de ces horaires va générer des alertes et bloquer les comportements qui ne sont pas standard, ou des montants anormalement élevés.
Comment sont définis ces axes de développement prioritaires, vis-à-vis des membres de la coopérative ?
Nous observons ce qui se passe dans le monde financier, les changements de technologies. Nous analysons et réfléchissons à ce qui pourrait être intéressant pour les banques, mais aussi pour les clients des banques. Nous avons conçu notre offre GPI, par exemple, en observant que le monde allait de plus en plus vers du temps réel, de la transparence… Dans le monde du correspondent banking traditionnel, avant GPI, les banques ne savaient pas le temps qu’il allait leur falloir pour obtenir leur argent, et n’avaient pas moyen de savoir où se trouvait un paiement dans la chaîne de banques correspondantes, ou combien chaque banque prenait en commissions bancaires. En nous basant sur les changements observés dans le monde des paiements retail, nous souhaitions faire évoluer le monde du correspondent banking vers un modèle plus adapté au temps réel, qui corresponde aux attentes des clients en termes de vitesse de règlement, de transparence, et de traçabilité. Nous avons donc interrogé la communauté au travers d’un Discussion Paper. Nous leur présentons ce qui serait intéressant pour le marché et généralement, soutenus par quelques banques avec lesquelles nous travaillons, nous exposons la démarche à notre communauté, qui d’ordinaire approuve l’initiative. C’est ce que nous avons fait avec GPI, avec l’aide d’une quarantaine de banques pilotes qui nous ont aidés à améliorer la proposition de SWIFT, puis avec la communauté entière.
La blockchain est-elle une menace ou, au contraire, l’avenir ?
Nous observons la blockchain. Nous pensons que la technologie peut changer le monde financier. Nous avons réalisé un immense Proof of Concept (PoC) utilisant la blockchain, avec 34 banques utilisant justement GPI for Nostro Accounts (comptes nostro internationaux en temps réel). Nous avons fait ce test, le plus grand pilote sur Hyperledger en dehors d’IBM, et nous avons découvert qu’il y avait encore des choses à améliorer dans les années qui viennent, pour pouvoir utiliser la blockchain à l’échelle du monde financier international. Mais il y a clairement du potentiel.
Que reste-t-il à faire en la matière ?
Entre autres, améliorer la gouvernance, la scalabilité. Avec seulement 34 banques, le volume des échanges entre elles était déjà énorme. Au niveau mondial, ce n’est pas évident. Le DLT (Distributed Ledger Technology) était un grand sujet il y a trois ans, et finalement nous avons vu plus d’évolution dans les API qu’en blockchain… D’ailleurs, nous nous concentrons beaucoup pour l’instant sur les API, mais nous n’oublions surtout pas le DLT.
Avez-vous créé, comme certaines banques, des structures internes, des labs, dans lesquelles vous pouvez expérimenter ce type d'innovations ?
Oui. Nous avons bien sûr des labs et un département R&D. En interne, les collaborateurs qui ont de bonnes idées peuvent y venir et créer une petite équipe, faire un PoC, utiliser le lab pour mener des premiers tests et concrétiser ce qu’ils ont en tête ; mais aussi échanger avec les banques, dans un cadre précis, de la même manière que nous avons conçu le GPI for the Nostro Accounts avec 34 banques.
Comment fonctionnent vos labs dans les différents pays ? Y a-t-il des projets plus transversaux ?
Innotribe, notre cellule d’innovation, est présente dans le monde entier et organise des challenges et des concours entre les FinTechs locales que nous voulons aider, aux côtés de banques ou d’investisseurs.
Développez-vous des projets avec des FinTechs ?
Nous avons noué des accords avec des FinTechs dans le cadre de l’offre GPI, pour proposer aux banques des solutions à partir de ce que SWIFT a développé. Nous sommes également présents au Sibos, conférence annuelle des services bancaires et financiers organisée par SWIFT dans différentes villes à travers le monde.
Comment assurez-vous votre propre cybersécurité ?
Après ce qui s’est passé au Bangladesh – le cyber-braquage de la Banque Bentrale du Bangladesh), nous regardons trois éléments spécifiques : tout d’abord, la protection des systèmes financiers de toute la communauté, car, finalement, le système est aussi fort que son maillon le plus faible. Dans le CSP, nous avons défini 27 mesures de sécurité à surveiller pour toutes les banques, certaines obligatoires, d’autres conseillées. Cela protège chaque infrastructure qui se connecte au réseau : banques, sociétés, gestionnaires d’actifs, tous ceux qui communiquent avec notre système, à qui nous demandons de bien se protéger. Car c’est de là que viennent les attaques.
Le deuxième élément est la détection. Il faut détecter le plus vite possible toute anomalie. Le Payment Controls Service (PCS) signale quand un flux se produit en dehors du schéma classique d’envoi des messages, avant l’envoi. Nous pouvons aussi, à la fin de la journée, montrer aux banques toutes les transactions qui ont été effectuées : elles peuvent ainsi voir si celles-ci sont conformes avec ce qu’elles ont voulu faire durant la journée et avec leurs propres informations (c'est le Daily Validation Report). Nous communiquons avec d’autres agences et nous partageons toutes ces informations. Nous nous envoyons mutuellement des Indicators Of Compromise (IOC). Les organismes et régulateurs repèrent les façons dont les criminels essaient de rentrer dans les infrastructures, puis nous diffusons ces informations à la communauté tout entière, si possible de façon que nos clients puissent les intégrer directement dans leur système.
Le troisième angle, c’est l’information. Nous demandons aux banques, si elles subissent des attaques, de les partager avec SWIFT. Anonymement : nous allons utiliser ces informations pour tenir informée l’industrie financière des différents modes d’attaque observés, pour que tous puissent se protéger, car ils évoluent sans cesse. Nous ne rencontrons pas de réticences de la part de nos clients, car ils connaissent très bien SWIFT et savent que nous n’allons pas divulguer de noms ou d’informations confidentielles. Ce n’est pas le but. Le but est de réutiliser l’information reçue pour mieux protéger l’ensemble de l’industrie. Il existe une très forte relation de confiance entre les banques et SWIFT depuis plus de 45 ans.
Votre sécurité est très dépendante de celle de vos membres…
Non, pas tout à fait. Le réseau SWIFT et ses data centers ont depuis toujours un niveau de sécurité extrêmement élevé. Il n’y a jamais eu d’intrusion sur le réseau SWIFT. Les membres se connectent de chez eux sur le réseau, et c’est là que se trouve le maillon faible : au niveau des infrastructures clients. Certains pays ou clients sont très conscients de la nécessité de se protéger, d’autres peut-être un peu moins. Le problème, pour l’industrie financière, ce sont tous les points de connectivité partout dans le monde avant la connexion sur notre réseau.
Quelles sont vos priorités pour 2019 ?
Définitivement l’offre GPI, qui est la nouvelle norme du correspondent banking. Plus de 300 groupes bancaires se sont joints à l’initiative, ce qui représente désormais près de 50 % des flux de paiements transfrontaliers sur SWIFT, avec plus de 120 devises échangées et déjà plus de 700 corridors de correspondent banking. Nous avons comme objectif de confirmer toutes les transactions en GPI. C’est notre priorité pour 2019, en vue de l’établissement de ce standard en 2020, pour le bénéfice de toute la communauté.
Une autre de nos priorités est d’aider la communauté à gérer les impacts de plusieurs projets importants autour des infrastructures de marché, notamment la migration de TARGET2 et EURO1 vers le standard ISO 20022, les paiements instantanés paneuropéens TIPS et RT1, l’open banking dans le cadre de la deuxième directive des services de paiements… Pour les banques, les échéances de tous ces projets sont très proches. La Banque Centrale Européenne (BCE) va migrer son système de paiement TARGET2 et y greffer de nouveaux services. Ce sera donc un changement de système européen dont le mode d’accès va lui aussi évoluer. En 2019, nous allons répondre à leur appel d’offres pour être l’un des fournisseurs de réseau de ce système et ainsi aider les banques à s'y préparer. SWIFT participe d’ailleurs à cette standardisation : nous avons développé la norme ISO 20022. Nous aidons les banques à comprendre ces standards et à les implémenter dans leurs systèmes. Dans le projet de l’Eurosystème, figurent aussi les paiements instantanés, avec deux lancements en novembre 2018 : celui de Target Instant Payment Settlement (TIPS) par la BCE, mais aussi celui de l’ABE, le système RT1 (EBA CLEARING) via SWIFT. Nous allons continuer à accompagner la communauté des banques dans leurs connexions, et pour échanger des transactions des paiements instantanés au travers de TIPS et de RT1.
