6  CADRE DE GARANTIE DE LA SÉCURITÉ                ii.  Les vulnérabilités connexes qui peuvent être
                DES DFS                                           exploitées par ces menaces;
                                                               iii.  Des suggestions de mesures de sécurité qui
            Le Cadre de garantie de la sécurité des DFS applique   peuvent être mises en œuvre par les parties
            des principes similaires à la famille de normes ISO/  prenantes de l'écosystème des DFS pour lutter
            IEC 27000 (Systèmes de management de la sécurité      contre ces menaces et vulnérabilités. La mesure
            de l'information), à la norme PCI-DSS v3.2, à la norme   de sécurité peut appartenir à une ou plusieurs
            de sécurité des données d'application de paiement, à   des huit  dimensions de sécurité de la Recom-
            la publication spéciale 800-53, révision 4, du Natio-  mandation UIT-T X.805.
            nal Institute of Standards and Technology, aux lignes
            directrices techniques du Centre for Internet Secu-
            rity (contrôles CIS, version 7), ainsi qu'à l'Open Web
            Security Application Project, communément appelé   7  MÉTHODOLOGIE        D'ÉVALUATION       DES
            OWASP  Top  10. Nous avons utilisé ces ressources     RISQUES
            comme repères pour identifier les mesures de
            contrôle spécifiques à l'écosystème de DFS.        Afin de garantir un modèle de sécurité viable et
               Ce cadre comprend les éléments suivants:        d'améliorer en permanence la sécurité des DFS, le
                                                               présent cadre utilise le cycle de Deming, un modèle
            a)  Une évaluation des risques de sécurité basée sur   de qualité divisé en quatre phases: planifier, déployer,
                la norme ISO/IEC 27005 – Techniques de sécuri-  contrôler, agir (de l'anglais Plan, Do, Check and Act,
                té – Gestion des risques liés à la sécurité de l'in-  ou PDCA). La méthodologie de mise en œuvre
                formation (section 7);                         fondée sur le cycle  PDCA permet d'identifier les
            b)  Une évaluation des menaces et des vulnérabili-  activités à mener et les résultats à atteindre lors de
                tés pour l'infrastructure sous-jacente, les applica-  chacune des quatre phases.
                tions de DFS, les services, les opérations réseau   Dans l'écosystème de DFS, plusieurs parties pre-
                et les fournisseurs tiers impliqués dans l'écosys-  nantes sont impliquées et le cycle PDCA est conçu
                tème pour la prestation de DFS (section 8);    avec des activités qui garantissent une sécurité glo-
            c)  Des stratégies d'atténuation fondées sur le résul-  bale de bout en bout dans l'écosystème de DFS. Le
                tat de l'étape b) ci-dessus (section 8).       schéma ci-dessous présente un modèle de cadre de
                                                               sécurité des DFS utilisant le cycle PDCA.
            Ce cadre identifie:

            i.   Les différentes menaces de sécurité pour les res-
                sources des DFS dans le cadre de chaque dimen-
                sion de sécurité;






























                                                         Cadre de garantie de la sécurité des services financiers numériques  23