SAMA Cyber Security Framework Compliance
The SAMA Cyber Security Framework is mandatory for Saudi financial institutions. Learn how ImmuniWeb supports its vulnerability management and penetration testing requirements.
Conformité au cadre de cybersécurité (1.0) de l'Autorité monétaire saoudienne (SAMA)
What Is the SAMA Cyber Security Framework?
The SAMA CSF sets the cybersecurity baseline for Saudi financial institutions. It is organized into main domains - covering leadership and governance, risk management and compliance, operations and technology, and third-party cybersecurity - each with subdomains and controls.
Les contrôles sont évalués selon un modèle de maturité, et les organisations membres soumettent des auto-évaluations périodiques à la SAMA. Les examens de supervision exigent des preuves tangibles – notamment les résultats de tests d’intrusion – démontrant que les contrôles techniques sont effectivement opérationnels, et non pas simplement documentés.
See how ImmuniWeb supports SAMA CSF vulnerability management and penetration testing - for the applications your institution runs. Request a demo · or run a free Community Edition test.
Who Must Comply with SAMA CSF?
Le CSF de la SAMA s’applique à toutes les Organisations Membre de la SAMA:
- Banques et assureurs relevant de la Banque centrale saoudienne.
- Finance companies and credit bureaus under SAMA supervision.
- Financial market infrastructure and other SAMA-regulated entities.
The web, mobile and API applications these institutions run fall within the framework's technical controls.
Key SAMA CSF Requirements for Application Security
Within the operations and technology domain, several controls drive application-security work:
- Développement logiciel sécurisé:appliquer un cycle de vie de développement logiciel sécurisé pour les applications.
- Vulnerability management: conduct regular vulnerability assessments and remediate findings within SAMA's expected timeframes.
- Penetration testing: perform regular, structured penetration testing as evidence that technical controls work - distinct from vulnerability scanning.
SAMA CSF Application-Security Requirements in Depth
Gestion des vulnérabilités et tests d’intrusion
La SAMA s'attend à ce que les établissements réalisent régulièrement des évaluations de vulnérabilité et des tests d’intrusion structurés, avec une remédiation des résultats critiques et hauts dans les délais impartis. Les révisions de supervision recherchent spécifiquement des preuves de tests d’intrusion, rendant essentielle la combinaison d’une analyse continue avec des tests d’intrusion manuels périodiques.
Secure Software Development
Le cadre exige un cycle de vie de développement logiciel sécurisé. L’intégration de tests de sécurité dans le développement et les tests des applications avant leur mise en production garantit leur sécurité et fournit des preuves de maturité au regard du SAMA CSF.
Risques courants des applications Web et mobiles à remédier
The application vulnerabilities the framework expects you to find map closely to the OWASP Top 10:
- Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
- Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — des contrôles de sécurité manquants par conception, et non pas seulement par bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
- Identification & Authentication Failures — weak login, session or credential handling.
- Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
- Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
- Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
How to Support SAMA CSF Compliance with ImmuniWeb
- Cartographiez vos actifs. Inventoriez les applications et API exposées sur Internet avec ImmuniWeb Discovery.
- Manage vulnerabilities with Neuron scanning and tracked remediation.
- Tests d'intrusion des applications web et mobiles avec On-Demand et MobileSuite.
- Développement sécurisé avec Continuous dans CI/CD.
- Remediate within SLA using actionable, zero-false-positive reports.
- Prepare evidence for the annual SAMA self-assessment and supervisory reviews.
Comment ImmuniWeb vous aide à respecter la conformité SAMA CSF
ImmuniWeb soutient les attentes du SAMA CSF en matière de gestion des vulnérabilités, de tests d'intrusion et de développement sécurisé, grâce à des preuves prêtes à l'évaluation.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| Penetration testing | Regular, structured penetration testing. | On-Demand, MobileSuite |
| Vulnerability management | Évaluations et remédiation régulières. | Neuron, Discovery |
| Développement sécurisé | Secure software development life cycle. | Continuous, On-Demand |
ImmuniWeb On-Demand et MobileSuite offrent des tests d’intrusion web et mobiles ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie votre surface d’attaque - produisant les preuves que les révisions de supervision SAMA attendent.
SAMA CSF vs International Frameworks
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| SAMA CSF | Gestion des vulnérabilités + tests d’intrusion | Web/mobile pentest, scanning, ASM |
| Saudi NCA ECC | National Essential Cybersecurity Controls | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
| PCI DSS 4.0.1 | Exigences 6 et 11 | Web app pentest + scanning |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventory of internet-facing apps, APIs and assets
- Regular vulnerability assessments performed
- Tests d'intrusion structurés effectués
- Critical/high findings remediated within expected timeframes
- Application d’un cycle de vie de développement logiciel sécurisé
- Maturity targets met (typically Level 3 and above)
- Evidence prepared for the annual SAMA self-assessment
Why SAMA CSF Compliance Matters
The SAMA CSF is mandatory for Saudi financial institutions, and the Saudi Central Bank conducts supervisory reviews and can issue formal warnings, directives and corrective-action requirements. Institutions are expected to reach defined maturity levels and to evidence that controls actually work.
Les applications web, mobiles et API constituant une surface d'attaque majeure pour les institutions financières, les tests d'intrusion et la gestion des vulnérabilités démontrables figurent parmi les moyens les plus directs de démontrer les contrôles techniques du cadre.