9�5  Développement d'applications sécurisé         et propose des processus détaillés pour la gestion
                                                               des incidents.
            i.   Les applications doivent être développées selon   Le Center for Internet Security  recommande aux
                                                                                            12
                les pratiques et les normes de programmation   opérateurs de réseau de systèmes de DFS, aux four-
                sécurisée reconnues par le secteur.            nisseurs de DFS et aux prestataires de services de
            ii.  Il convient de s'assurer d'être en mesure de   suivre les lignes directrices suivantes pour la gestion
                mettre à jour les applications en toute sécurité   des incidents:
                et de veiller à ce que toutes les bibliothèques et
                tous les modules dépendants soient sécurisés.   1.   Il convient de s'assurer qu'il existe des plans d'in-
                Les mises à jour pour ces éléments doivent être   tervention écrits en cas d'incident qui définissent
                mises à disposition dès que nécessaire.           les rôles du personnel ainsi que les phases du
            iii.  Le code doit être testé et évalué de manière indé-  processus de gestion des incidents.
                pendante par des équipes de réviseurs internes   2.  Il faut attribuer des intitulés de poste et des res-
                ou externes.                                      ponsabilités à des personnes spécifiques pour la
                                                                  gestion des incidents informatiques et de réseau,
                                                                  et assurer le suivi et la documentation tout
                                                                  au long du processus de gestion de l'incident,
            10  GESTION DES INCIDENTS DE SÉCURITÉ                 jusqu'à sa résolution.
                DANS LE CADRE DES DFS                          3.  Il convient également de désigner des respon-
                                                                  sables au sein de l'équipe de gestion, ainsi que
            Souvent, même après la mise en œuvre de mesures       des remplaçants, qui appuieront le processus de
            de contrôle adéquates, des incidents de sécurité se   gestion des incidents en assumant des rôles de
            produisent, en particulier dans le cadre de services   décideurs essentiels.
            financiers où les attaquants ont un motif financier   4.  Il est nécessaire d'établir des normes à l'échelle
            d'échapper aux systèmes. Ces attaques provoquent      de l'organisation concernant le temps requis
            une  interruption  des  services,  une altération  du   pour que les administrateurs du système et les
            système ou la divulgation des données. Les organi-    autres membres du personnel signalent les évé-
            sations et les parties prenantes qui fournissent des   nements anormaux à l'équipe de gestion des
            DFS ou font partie de l'écosystème doivent mettre     incidents, les dispositifs de signalement de tels
            en place des procédures, établir des mécanismes       incidents et le type d'informations à inclure dans
            de signalement, mener des activités de collecte de    le rapport d'incident.
            données, attribuer des responsabilités en matière de   5.  Il faut collecter et tenir à jour des informations
            gestion, établir des protocoles juridiques et élaborer   sur les coordonnées de tierces parties à utiliser
            des stratégies de communication efficaces qui leur    pour signaler un incident de sécurité, notamment
            permettront de comprendre les incidents de sécuri-    les forces de l'ordre, les services publics concer-
            té, de les gérer de manière adéquate et de s'en rele-  nés, les fournisseurs et les fabricants d'appareils.
            ver. En l'absence d'un plan de gestion des incidents,   6.  L'ensemble du personnel doit pouvoir accé-
            il est possible qu'un fournisseur de DFS ne détecte   der aux informations concernant le signale-
            pas l'attaque ou, en cas de détection, il n'aura pas   ment d'anomalies et d'incidents informatiques à
            nécessairement les procédures nécessaires en place    l'équipe de gestion des incidents. Ces informa-
            pour endiguer rapidement les dommages, éliminer la    tions doivent être incluses dans des activités de
            menace et réagir à la présence de l'attaquant, puis   sensibilisation régulières destinées au personnel.
            récupérer ses ressources avec un impact minimal.   7.  Il convient d'organiser régulièrement des exer-
               Un plan de gestion des incidents de sécurité défi-  cices et des scénarios d'intervention face aux
            nit des procédures cohérentes à suivre pour garantir   incidents avec le personnel impliqué, en vue
            un  signalement  des incidents, des  activités  d'ana-  d'améliorer ses connaissances et de renforcer
            lyse des interventions, un déroulement de l'enquête   ses capacités à faire face à des menaces réelles.
            et un relèvement fluides, rapides et efficaces en     Ces exercices doivent tester les canaux de com-
            cas d'incident de sécurité compromettant l'une des    munication, le processus de prise de décisions et
            huit dimensions de sécurité.                          les capacités techniques des intervenants à l’aide
               La norme ISO/IEC 27035:2016 "Gestion des inci-     des outils et données à leur disposition.
            dents de sécurité de l'information" reconnaît que les   8.  Il est recommandé de créer un système de nota-
            mesures de sécurité de l'information sont imparfaites   tion et de hiérarchisation des incidents basé sur



                                                         Cadre de garantie de la sécurité des services financiers numériques  53