8�5  Menace: utilisation abusive des données
            Il s'agit d'une menace relative à l'utilisation abusive de données client sensibles .
                                                                                 4
             Entité affectée  Risques et vulnérabilités    Mesures de contrôle
                           Le risque  d'accès non autorisé  aux  M18: S'assurer que l'ensemble des données sensibles des uti-
                           données des utilisateurs et d'intercep- lisateurs (telles que les codes PIN et les mots de passe) sont
                           tion des données en transit est dû à la  chiffrées lorsqu'elles traversent le réseau ou qu'elles sont au
                           vulnérabilité suivante:          repos.
             MNO           -  Pratiques insuffisantes en matière de
                             chiffrement ou envoi d'informations
                             sensibles en texte clair par l'intermé-
                             diaire  de  canaux  non  sécurisés  tels
                             que  les  SMS  ou  le  canal  USSD  (DS:
                             sécurité des communications)
                           Le risque  d'exposition de données
                           sensibles est dû aux vulnérabilités sui-
                           vantes:
                           -  Mesures de contrôle insuffisantes en  M19: Effacer les données sensibles des utilisateurs des jour-
                             matière de protection des données  naux  d'événements.  Parmi  les  données  à  effacer,  on  peut
                             (DS: confidentialité)          notamment citer les codes des bons de retrait en espèces,
                                                            les numéros de comptes bancaires et les identifiants. Dans
                                                            la mesure du possible, il convient de remplacer ces données
                                                            par des caractères de remplissage dans les journaux d'évé-
             Fournisseur de                                 nements.
             DFS et fournis-
             seurs tiers   -  Exposition d'informations sensibles  M20: Les fournisseurs de DFS doivent restreindre le par-
                             concernant  les  utilisateurs  pendant  tage des données en se limitant aux informations stricte-
                             les transactions ou l'utilisation d'API  ment nécessaires aux transactions avec des parties tierces et
                             (DS: confidentialité)          d'autres fournisseurs de services.
                           -  Faiblesse du chiffrement des API  M21: Surveiller l'utilisation des API et chiffrer l'ensemble des
                             (DS: confidentialité)          données partagées avec des parties tierces. Prévoir égale-
                                                            ment des procédures et des mesures de contrôle en matière
                                                            de gestion des données, par exemple en signant des accords
                                                            de non-divulgation avec les fournisseurs de services de paie-
                                                            ment, afin d'éviter les fuites d'informations ou de données.






































                                                         Cadre de garantie de la sécurité des services financiers numériques  33