RésuméLes services financiers numériques (SFN) impliquent un écosystème complexe avec la participation de différents acteurs tels que les banques, les fournisseurs de SFN, les opérateurs de réseaux mobiles (ORM), les fournisseurs de plates-formes de SFN, les régulateurs, les agents, les commerçants, les fournisseurs de services de paiement, les fabricants d'appareils, les développeurs d'applications, les fournisseurs de jetons, les fabricants d'équipements d'origine (OEM), et les clients. L'interconnexion de ces entités du système et la dépendance à l'égard de plusieurs parties de l'écosystème étendent les limites de la sécurité au-delà du fournisseur SFN jusqu'aux clients, aux fournisseurs de réseaux, aux fabricants de téléphones mobiles et à d'autres fournisseurs tiers de l'écosystème. Un cadre d'assurance de la sécurité du SFN définit les menaces et les vulnérabilités en matière de sécurité auxquelles sont confrontées les parties prenantes du SFN. Les régulateurs, y compris les autorités de télécommunication, les régulateurs bancaires et les régulateurs de paiement, pourraient également utiliser le cadre d'assurance de sécurité du SFN pour établir également des lignes de base de sécurité pour les fournisseurs de SFN. Une fois mis en œuvre, le cadre complétera les pratiques de gestion des risques et de la sécurité de l'information des parties prenantes de l'écosystème DFS. Par exemple, les contrôles de sécurité figurant dans le document peuvent être inclus dans le programme de sécurité des technologies de l'information et de la communication (TIC) du fournisseur de DFS. La Recommandation UIT-T X.1150 décrit le cadre d'assurance de sécurité des SFN qui fournit un processus systématique de gestion des risques de sécurité pour évaluer les menaces et les vulnérabilités et identifier les contrôles de sécurité appropriés à mettre en œuvre par les parties prenantes des SFN. Les menaces liées aux commerçants, aux prestataires de services de paiement et aux autres organisations de services financiers, ainsi que les mesures spécifiques d'atténuation des menaces auxquelles ils sont confrontés, n'entrent pas dans le champ d'application de la présente Recommandation. Le cadre d'assurance de la sécurité des SFN se compose des éléments suivants: a) Un processus de gestion des risques de sécurité basé sur la norme ISO/IEC 27005. b) Évaluation des menaces et des vulnérabilités de l'infrastructure sous-jacente de l'opérateur de réseau mobile et du fournisseur de SFN, des applications SFN, des services, des opérations de réseau et des fournisseurs tiers impliqués dans l'écosystème de fourniture de SFN. c) Stratégies d'atténuation basées sur les résultats du point b) ci-dessus. Les mesures d'atténuation recensent 119 exigences de contrôles de sécurité pour les menaces de sécurité qui sont décrites dans le paragraphe 13. |