Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

SAMA Cyber Security Framework Compliance

The SAMA Cyber Security Framework is mandatory for Saudi financial institutions. Learn how ImmuniWeb supports its vulnerability management and penetration testing requirements.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité au cadre de cybersécurité (1.0) de l'Autorité monétaire saoudienne (SAMA)
Veuillez remplir les champs surlignés en rouge ci-dessous.

Parlez à un spécialiste de
la conformité au Cadre de cybersécurité (1.0) de l'Autorité monétaire saoudienne (SAMA)

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité au cadre de cybersécurité (1.0) de l'Autorité monétaire saoudienne (SAMA)

What Is the SAMA Cyber Security Framework?

The SAMA CSF sets the cybersecurity baseline for Saudi financial institutions. It is organized into main domains - covering leadership and governance, risk management and compliance, operations and technology, and third-party cybersecurity - each with subdomains and controls.

Les contrôles sont évalués selon un modèle de maturité, et les organisations membres soumettent des auto-évaluations périodiques à la SAMA. Les examens de supervision exigent des preuves tangibles – notamment les résultats de tests d’intrusion – démontrant que les contrôles techniques sont effectivement opérationnels, et non pas simplement documentés.

See how ImmuniWeb supports SAMA CSF vulnerability management and penetration testing - for the applications your institution runs. Request a demo · or run a free Community Edition test.

Who Must Comply with SAMA CSF?

Le CSF de la SAMA s’applique à toutes les Organisations Membre de la SAMA:

  • Banques et assureurs relevant de la Banque centrale saoudienne.
  • Finance companies and credit bureaus under SAMA supervision.
  • Financial market infrastructure and other SAMA-regulated entities.

The web, mobile and API applications these institutions run fall within the framework's technical controls.

Key SAMA CSF Requirements for Application Security

Within the operations and technology domain, several controls drive application-security work:

  • Développement logiciel sécurisé:appliquer un cycle de vie de développement logiciel sécurisé pour les applications.
  • Vulnerability management: conduct regular vulnerability assessments and remediate findings within SAMA's expected timeframes.
  • Penetration testing: perform regular, structured penetration testing as evidence that technical controls work - distinct from vulnerability scanning.

SAMA CSF Application-Security Requirements in Depth

Gestion des vulnérabilités et tests d’intrusion

La SAMA s'attend à ce que les établissements réalisent régulièrement des évaluations de vulnérabilité et des tests d’intrusion structurés, avec une remédiation des résultats critiques et hauts dans les délais impartis. Les révisions de supervision recherchent spécifiquement des preuves de tests d’intrusion, rendant essentielle la combinaison d’une analyse continue avec des tests d’intrusion manuels périodiques.

Secure Software Development

Le cadre exige un cycle de vie de développement logiciel sécurisé. L’intégration de tests de sécurité dans le développement et les tests des applications avant leur mise en production garantit leur sécurité et fournit des preuves de maturité au regard du SAMA CSF.

Risques courants des applications Web et mobiles à remédier

The application vulnerabilities the framework expects you to find map closely to the OWASP Top 10:

  • Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — des contrôles de sécurité manquants par conception, et non pas seulement par bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
  • Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

How to Support SAMA CSF Compliance with ImmuniWeb

  1. Cartographiez vos actifs. Inventoriez les applications et API exposées sur Internet avec ImmuniWeb Discovery.
  2. Manage vulnerabilities with Neuron scanning and tracked remediation.
  3. Tests d'intrusion des applications web et mobiles avec On-Demand et MobileSuite.
  4. Développement sécurisé avec Continuous dans CI/CD.
  5. Remediate within SLA using actionable, zero-false-positive reports.
  6. Prepare evidence for the annual SAMA self-assessment and supervisory reviews.

Comment ImmuniWeb vous aide à respecter la conformité SAMA CSF

ImmuniWeb soutient les attentes du SAMA CSF en matière de gestion des vulnérabilités, de tests d'intrusion et de développement sécurisé, grâce à des preuves prêtes à l'évaluation.

Exigence Ce que cela nécessite Produits ImmuniWeb
Penetration testing Regular, structured penetration testing. On-Demand, MobileSuite
Vulnerability management Évaluations et remédiation régulières. Neuron, Discovery
Développement sécurisé Secure software development life cycle. Continuous, On-Demand

ImmuniWeb On-Demand et MobileSuite offrent des tests d’intrusion web et mobiles ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie votre surface d’attaque - produisant les preuves que les révisions de supervision SAMA attendent.

SAMA CSF vs International Frameworks

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
SAMA CSF Gestion des vulnérabilités + tests d’intrusion Web/mobile pentest, scanning, ASM
Saudi NCA ECC National Essential Cybersecurity Controls Les mêmes tests couvrent les deux
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle
PCI DSS 4.0.1 Exigences 6 et 11 Web app pentest + scanning

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventory of internet-facing apps, APIs and assets
  • Regular vulnerability assessments performed
  • Tests d'intrusion structurés effectués
  • Critical/high findings remediated within expected timeframes
  • Application d’un cycle de vie de développement logiciel sécurisé
  • Maturity targets met (typically Level 3 and above)
  • Evidence prepared for the annual SAMA self-assessment

Why SAMA CSF Compliance Matters

The SAMA CSF is mandatory for Saudi financial institutions, and the Saudi Central Bank conducts supervisory reviews and can issue formal warnings, directives and corrective-action requirements. Institutions are expected to reach defined maturity levels and to evidence that controls actually work.

Les applications web, mobiles et API constituant une surface d'attaque majeure pour les institutions financières, les tests d'intrusion et la gestion des vulnérabilités démontrables figurent parmi les moyens les plus directs de démontrer les contrôles techniques du cadre.

Foire aux questions

  • Q
    Qu'est-ce que le SAMA Cyber Security Framework?
    A
    Cadre de gouvernance de la cybersécurité obligatoire publié par la Banque centrale saoudienne (SAMA) en 2017, établissant les exigences minimales en matière de cybersécurité pour les institutions financières saoudiennes.
  • Q
    Qui doit se conformer au SAMA CSF?
    A
    Toutes les organisations membres de la SAMA: banques, assureurs, sociétés financières, bureaux de crédit et infrastructures des marchés financiers.
  • Q
    How is the SAMA CSF assessed?
    A
    Les contrôles sont évalués selon un modèle de maturité, et les organisations membres soumettent des auto-évaluations périodiques à la SAMA, appuyées par des revues de supervision.
  • Q
    Does the SAMA CSF require penetration testing?
    A
    Yes - it expects regular, structured penetration testing as evidence that technical controls are functioning, distinct from vulnerability scanning.
  • Q
    How does ImmuniWeb help with SAMA CSF compliance?
    A
    By providing penetration testing, vulnerability management and secure-development testing for web and mobile applications, with evidence for supervisory reviews.
  • Q
    What maturity level should institutions target?
    A
    Les institutions sont généralement tenues d'atteindre le niveau 3 ou supérieur, en fonction des exigences de la SAMA pour leur catégorie.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Parlez à un spécialiste de
la conformité au Cadre de cybersécurité (1.0) de l'Autorité monétaire saoudienne (SAMA)

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert