Page 38 - Cadre de garantie de la sécurité des services financiers numériques
P. 38
(continue)
Entité affectée Risques et vulnérabilités Mesures de contrôle
Le risque d'inexactitude et d'incohé- M30: Le fournisseur de DFS doit protéger les services exposés
rence des données est dû aux vulnéra- aux réseaux externes par des mesures solides de vérification
bilités suivantes: des entrées en s'appuyant sur la détection des valeurs hors
limites et des caractères interdits dans les champs de saisie,
mais aussi sur la limitation et l'assainissement des données
d'entrée. La vérification des données d'entrée doit avoir lieu
le plus tôt possible, à la fois côté client et côté serveur. Tou-
tefois, le serveur ne doit pas s'appuyer exclusivement sur les
vérifications effectuées côté client. Il convient également de
bloquer, d'enregistrer et d'examiner l'ensemble des requêtes
constituant une violation des schémas et du langage de des-
cription des services Web (WSDL).
- Ajout des données de test aux don- M31: Utiliser la prise d'empreinte pour détecter toute modi-
nées de production (DS: intégrité des fication ou falsification des données postérieure à leur stoc-
données) kage. Des techniques telles que l'utilisation de signatures
numériques dans les colonnes de la base de données peuvent
être utilisées pour détecter la modification des données uti-
Fournisseur de lisateur.
DFS
M32: S'assurer que l'ensemble des données de test ont été
supprimées du code avant sa migration vers l'environnement
de production.
- Absence de suivi, journaux d'événe- M33: Les systèmes de DFS doivent s'appuyer sur des méca-
ments exposés aux modifications et nismes de suivi tels que la détection de la provenance des
informations de suivi insuffisantes actions des utilisateurs ou l'enregistrement des actions sur
(DS: non-répudiation) des espaces de stockage inviolables; ils doivent protéger les
journaux d'événements contre toute tentative de falsification,
de modification, de suppression ou d'interruption. Utiliser des
signatures numériques associées aux actions, en particulier
celles qui arrivent par le biais d'une connexion réseau.
- Horloges imprécises et non synchro- M34: S'assurer que les horloges de tous les systèmes connec-
nisées (DS: intégrité des données) tés au système de DFS sont précises et synchronisées. Les
protocoles NTP et SNTP sont utilisés pour garantir la préci-
sion et la synchronisation des horloges; toutefois, il convient
de s'assurer que leur déploiement s'opère de manière sécu-
risée.
36 Cadre de garantie de la sécurité des services financiers numériques
