Sommaire de direction






            La prestation de services financiers numériques (de   des technologies de l'information et de la communi-
            l'anglais  Digital  Financial  Services,  ou  DFS)  repose   cation (TIC) du fournisseur de DFS.
            sur un écosystème complexe impliquant différents     Le Cadre de garantie de la sécurité des DFS
            acteurs comme les banques, le fournisseur de DFS,   recommande une méthodologie structurée de ges-
            les opérateurs de réseaux mobiles (MNO), les four-  tion des risques de sécurité que les fournisseurs de
            nisseurs de plate-forme de DFS, les organismes de   DFS pourraient mettre en œuvre pour:
            réglementation, les agents, les commerçants, les
            fournisseurs de services de paiement, les fabricants   •   Renforcer la confiance des clients dans les DFS;
            d'appareils, les développeurs d'applications, les four-  •   Définir plus clairement les rôles et les responsabi-
            nisseurs de services de jetons, les fabricants d'équi-  lités de chaque partie prenante de l'écosystème;
            pement d'origine et les clients. L'interconnexion de   •   Identifier les vulnérabilités en matière de sécuri-
            ces entités et la dépendance à l'égard de plusieurs   té et les menaces associées au sein de l'écosys-
            parties  au  sein  de  l'écosystème  étendent  le  péri-  tème;
            mètre de sécurité au-delà du fournisseur de DFS    •   Établir des mesures de sécurité pour garantir la
            jusqu'aux clients, fournisseurs de réseaux, fabricants   sécurité de bout en bout;
            de téléphones mobiles et autres fournisseurs tiers de   •   Renforcer les pratiques de gestion en ce qui
            l'écosystème (voir les sections 4.1 et 4.2 du présent   concerne la gestion des risques de sécurité impli-
            rapport).                                             quant l'ensemble des acteurs de l'écosystème de
               En outre, les fournisseurs de DFS doivent égale-   DFS.
            ment  gérer  un  écosystème  mobile  de  plus  en  plus
            complexe, en développant des applications pour       Le Cadre de garantie de la sécurité des DFS fournit
            plusieurs versions de systèmes d'exploitation pré-  un processus systématique de gestion des risques de
            sentant des vulnérabilités spécifiques et prenant en   sécurité pour évaluer les menaces et les vulnérabili-
            charge différents types d'appareils mobiles. Dans   tés. Il recense également les mesures de contrôle de
            cet environnement dynamique en évolution rapide,   la sécurité adéquates à mettre en œuvre par le four-
            les fournisseurs de DFS sont confrontés à certains   nisseur de DFS et le MNO pour les menaces ciblant
            enjeux en matière de connaissance des menaces de   l'utilisateur, l'appareil mobile, le MNO et le fournisseur
            sécurité réelles et des mesures de sécurité à mettre   de DFS. Les menaces liées aux commerçants, aux
            en œuvre pour atténuer les risques.                fournisseurs de services de paiement et aux autres
               Le Cadre de garantie de la sécurité des DFS offre   organisations de services financiers, ainsi que les
            une vue d'ensemble des menaces et des vulnérabili-  mesures d'atténuation spécifiques pour faire face à
            tés en matière de sécurité auxquelles sont confrontés   ces menaces sont en dehors du champ d'application
            les fournisseurs de DFS (banques, non-banques four-  du présent document. Le rapport complète les tra-
            nissant des services financiers mobiles), les MNO, les   vaux entrepris par le Groupe de travail sur la sécurité,
            clients, les fournisseurs de systèmes de paiement, les   l'infrastructure et la confiance dans le domaine de la
            commerçants et les fournisseurs de services tech-  cybersécurité sur la méthodologie que les organisa-
            nologiques/services tiers. Les organismes de régle-  tions de services financiers peuvent appliquer pour
            mentation, y  compris les autorités du secteur des   gérer les incidents de cybersécurité et lutter contre
            télécommunications, les organismes bancaires et les   les cybermenaces.
            organismes de réglementation des paiements, pour-    Le Cadre de garantie de la sécurité des DFS com-
            raient également utiliser le présent Cadre pour éta-  prend les éléments suivants:
            blir des principes de sécurité de référence pour les
            fournisseurs de DFS.                               a)  Une méthodologie de gestion des risques de
               Le Cadre, une fois mis en œuvre, compléterait les   sécurité basée sur la norme ISO/IEC  27005  –
            pratiques établies de gestion des risques et de la    Techniques de sécurité – Gestion des risques liés
            sécurité des informations des acteurs impliqués dans   à la sécurité de l'information (section 7 du rap-
            l'écosystème de DFS. Par exemple, les mesures de      port).
            contrôle de la sécurité présentées dans ce document   b)  Une évaluation des menaces et des vulnérabilités
            peuvent être intégrées au programme de sécurité       pour l'infrastructure sous-jacente du MNO et du



                                                         Cadre de garantie de la sécurité des services financiers numériques  7