Page 50 - Cadre de garantie de la sécurité des services financiers numériques
P. 50
(continue)
Entité affectée Risques et vulnérabilités Mesures de contrôle
Les risques liés à l'installation de logi- M102: Mettre à jour le système d'exploitation de l'appa-
ciels malveillants tels que les logiciels reil mobile régulièrement; interdire l'installation de pro-
espions et les chevaux de Troie sont dus grammes sans validation de l'utilisateur.
à la vulnérabilité suivante:
- Aucun logiciel de protection contre
les programmes malveillants ou anti-
virus utilisé ou absence de mises à jour
régulières (DS: disponibilité)
Le risque d'exécution de code à distance
est dû aux vulnérabilités suivantes:
- Logiciel de l'appareil obsolète (DS: M103: Les utilisateurs doivent être encouragés à installer
confidentialité des données) régulièrement des mises à jour de sécurité sur les appa-
reils mobiles utilisés pour les transactions effectuées dans
le cadre de DFS, et à s'assurer qu'ils sont mis à jour avec les
derniers correctifs de sécurité des fabricants d'appareils et
Utilisateur des fournisseurs d'applications.
mobile
- Aucun logiciel de protection contre M104: Installer des logiciels de sécurité provenant de
les programmes malveillants ou anti- sources de confiance sur les appareils mobiles, notam-
virus utilisé ou absence de mises à jour ment des antivirus, des logiciels de protection contre les
régulières (DS: disponibilité) programmes-espions et des produits d'authentification
logicielle, afin de protéger les appareils contre les menaces
logicielles actuelles et émergentes.
- Modification et rooting de l'appareil M105: L'utilisateur DFS doit éviter d'utiliser Un appareil
utilisateur (DS: intégrité des données) altéré ou rooté car il peut potentiellement compromettre la
confidentialité et l'intégrité de ses propres données.
M106: Le développeur d'applications mobiles doit s'assurer
que ses applications de DFS sont isolées dans un environ-
nement de "bac à sable", pour empêcher d'autres applica-
tions non fiables installées sur l'appareil mobile d'interagir
avec elles, tout en limitant l'interaction avec le système
d'exploitation.
Le risque d'impossibilité d'effectuer des M107: Soumettre l’infrastructure du MNO à des analyses
transactions et de compromission des de vulnérabilité et à des tests d’intrusion réguliers afin de
services est dû à la vulnérabilité suivante: vérifier l’exposition à des attaques susceptibles d’affecter la
- Exposition du réseau aux attaques disponibilité du système.
extérieures (DS: disponibilité) M108: Installer et mettre à jour de manière régulière le logi-
MNO ciel de protection contre les programmes malveillants le
plus récent (en fonction de sa disponibilité) et le proposer
aux utilisateurs finaux. Envisager l’encapsulation des appli-
cations, qui peut être employée avec une solution de ges-
tion des terminaux mobiles pour combattre et supprimer
les applications et les logiciels malveillants.
48 Cadre de garantie de la sécurité des services financiers numériques
