Page 28 - Cadre de garantie de la sécurité des services financiers numériques
P. 28
7�2 Établissement d'un contexte f. La tolérance au risque et l'appétence au risque.
Il s'agit de la première étape du processus de
gestion des risques dont l'objectif est que les Entre autres aspects, le contexte externe tient
acteurs comprennent l'environnement d'exploita- compte des éléments suivants:
tion des DFS. Cela implique d'identifier les événe-
ments internes et externes qui affectent la capacité a. Les lois et règlements relatifs aux DFS.
de garantir la sécurité de bout en bout. Il est donc b. Parties prenantes clés de l'écosystème de DFS.
important pour les parties prenantes de comprendre c. L'environnement politique et social: cela inclut
et d'évaluer le contexte interne et externe dans lequel des données démographiques telles que le niveau
opèrent les DFS, ce qui permet également de définir d'études de la population, le taux d'adoption des
la portée de l'évaluation des risques. appareils mobiles et le niveau de pénétration des
Pour établir le contexte interne, il convient de for- smartphones dans la population cible.
muler ce qui suit: d. Les alternatives concurrentes et services com-
plémentaires aux DFS.
a. Le système de gestion de la sécurité de l'informa- e. Les risques émergents et leur influence, à la fois
tion basé sur la norme ISO/IEC 27001; les docu- sur les services financiers et les parties prenantes.
ments normatifs doivent être pris en compte ou
appliqués. Le résultat de cette phase est un résumé enregis-
b. La structure organisationnelle globale des tré de toutes les informations recueillies. Ces infor-
acteurs des DFS et la place des DFS dans ladite mations constitueront les données de base du pro-
structure, ainsi que dans les objectifs de celle-ci. cessus d'évaluation des risques.
c. Les ressources des DFS: cela comprend la tech-
nologie sous-jacente et les systèmes d'informa- 7�3 Évaluation de la sécurité
tion, l'infrastructure physique, les applications L'évaluation des risques aide les acteurs à mesu-
logicielles, le matériel, les réseaux d'agents ainsi rer le niveau de sécurité actuel de l'écosystème de
que les appareils des clients/agents/commer- DFS à titre indicatif. Le processus d'évaluation inclut
çants utilisés pour accéder aux DFS. l'identification, l'analyse et l'évaluation des risques.
d. Les mesures de contrôle internes existantes, les L'évaluation des risques au sein de l'écosystème des
incidents de sécurité et de fraude antérieurs, les DFS doit être effectuée régulièrement et les résultats
rapports d'audit précédents et les documents de doivent être présentés à la direction.
projet de DFS. Une vue d'ensemble du déroulement du proces-
e. Les exigences réglementaires. sus est présentée ci-dessous.
Figure 12: Déroulement du processus de gestion des risques
7�4 Identification des risques les mesures de contrôle existantes, ainsi que l'impact
L'identification des risques consiste à déterminer les ou les conséquences des menaces et vulnérabilités si
vulnérabilités des DFS qui pourraient être exploitées, elles venaient à être exploitées. Au cours du proces-
par quels moyens, à quel endroit et pour quelle raison. sus d'identification des risques, l'acteur doit être
Pour cela, il est nécessaire d'identifier les ressources conscient des facteurs internes et externes détaillés
critiques des DFS, les menaces et vulnérabilités asso- dans la section 5.2 ci-dessus.
ciées, la probabilité d'occurrence, les lacunes dans
26 Cadre de garantie de la sécurité des services financiers numériques
