À cette étape, les parties prenantes de l'écosys-  tées, ainsi que la sévérité de l'impact. L'ampleur
            tème des DFS doivent envisager cinq mesures cri-      des dommages causés à une ressource des DFS
            tiques:                                               est généralement plus élevée que le coût de rem-
                                                                  placement; il existe divers facteurs en termes de
            i.   Identification des ressources: Cela implique de   dommages à prendre en compte, notamment de
                répertorier l'ensemble des ressources de l'éco-   nature monétaire, technique, humaine et régle-
                système des DFS ainsi que les responsables de     mentaire.
                ces ressources. Les ressources des DFS incluent,
                entre autres, l'infrastructure physique, les appli-
                cations logicielles, le matériel, l'équipement des   7�5  Analyse des risques
                agents, les appareils des clients/agents/commer-  L'analyse  des  risques  aide  à  comprendre  la  proba-
                çants utilisés pour accéder aux DFS et les dispo-  bilité globale de la menace ainsi que son impact sur
                sitifs du réseau de communication. L'identifica-  la ressource, deux facteurs importants pour la prise
                tion permet à l'acteur de classer les ressources   de décisions et  la hiérarchisation des  actions  en
                des DFS en fonction de l'impact qu'un incident   vue de lutter contre les risques les plus critiques et
                aura sur l'écosystème des DFS. La classification   les risques importants (risques ayant le plus grand
                vise à catégoriser les ressources en fonction de   impact). Le résultat de l'analyse des risques est
                leur valeur et de leur importance pour l'écosys-  un registre de risques mis à jour qui comprend les
                tème des DFS.                                  cotes de probabilité et d'impact de chaque risque.
            ii.  Identification des vulnérabilités: Une vulnérabi-  L'analyse des risques peut être effectuée de manière
                lité est une faiblesse ou un défaut qui permet à   quantitative et/ou qualitative.
                une menace d'attaquer une ressource. Les vulné-  Les  processus  suivants  doivent  résulter  de  la
                rabilités incluent, entre autres, les faiblesses dans   phase d'analyse des risques:
                l'agencement  physique, les procédures opéra-
                tionnelles, le personnel, la direction, le matériel,   i.   Évaluation des conséquences: l'impact commer-
                les logiciels, le réseau, etc. Elles peuvent être   cial qui pourrait résulter d'incidents de sécurité
                exploitées par une menace susceptible de nuire    de l'information potentiels ou avérés doit être
                au système ou de l'endommager. Les vulnérabi-     évalué, en tenant compte des conséquences
                lités identifiées doivent être mises en évidence   d'une violation  de  la sécurité  des  informations,
                dans l'évaluation des risques, de même que les    comme une perte de confidentialité, d'intégrité
                menaces qui affectent une ressource.              ou de disponibilité des ressources. Entre autres,
            iii.  Identification des menaces: Une menace          les conséquences pour la sécurité des DFS
                désigne la possibilité pour une source d'exploi-  peuvent également se traduire par des pertes
                ter (accidentellement ou intentionnellement)      financières, nuire à l'image ou à la réputation de
                une vulnérabilité spécifique. Les menaces pour    l'organisation, et entraîner une perte de clientèle,
                les ressources des DFS peuvent être naturelles    des interdictions réglementaires et des amendes.
                (par exemple, séismes et inondations), humaines   ii.  Évaluation de la probabilité d'occurrence d'une
                (par exemple, vol et fraude), ou techniques (par   menace susceptible d'exploiter une vulnérabilité
                exemple, logiciels malveillants ou pannes de ser-  et de son impact en cas de réussite. La probabi-
                veurs). Une fois qu'une menace est identifiée,    lité d'occurrence doit tenir compte des mesures
                l'ensemble du patrimoine informationnel doit      de prévention et de détection en place, de leur
                être analysé afin de mettre au jour toutes les vul-  efficacité, de leur mise en œuvre et de leur utili-
                nérabilités  susceptibles  d'être  exploitées  par  la   sation.
                menace.                                        iii.  Définition de la cote de risque inhérent comme
            iv.  Identification des mesures de contrôle exis-     un produit de la probabilité et de l'impact. L'ob-
                tantes: Il s'agit d'une liste répertoriant toutes   jectif de la cotation des risques inhérents est
                les mesures existantes et planifiées, leur mise en   d'aider la direction à hiérarchiser les mesures de
                œuvre et leur état d'utilisation.                 gestion afin de lutter contre les risques les plus
            v.  Identification des conséquences:  Il s'agit de    importants.
                l'ampleur des dommages qui pourraient être     iv.  Définition du risque résiduel en évaluant l'effica-
                causés en cas d'exploitation réussie d'une vulné-  cité des mesures de contrôle mises en place pour
                rabilité par une menace. Ce processus permet de   faire face au risque. Les mesures de contrôle
                déterminer les ressources qui peuvent être affec-  mises en œuvre doivent réduire les risques à un



                                                         Cadre de garantie de la sécurité des services financiers numériques  27