Page 15 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 15
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournisseur Détection – Faiblesse du chif- C21: Surveiller l'utilisation des API et chif- Les transactions traitées par des API de paie- Politique de
de DFS et des fraudes frement des API (DS: frer l'ensemble des données partagées ment font-elles l'objet d'un suivi assuré par sécurité opération-
fournis- confidentialité) avec des parties tierces. Prévoir également des mécanismes adéquats? nelle – Journaux
seurs tiers des procédures et des mesures de contrôle Le fournisseur de DFS a-t-il conclu des accords d'événements et
en matière de gestion des données, par de non-divulgation des données sensibles de suivi
exemple en signant des accords de non-di- ses utilisateurs avec des parties tierces?
vulgation avec les fournisseurs de services
de paiement, afin d'éviter les fuites d'infor- Les transferts de données à des parties tierces
mations ou de données. sont-ils protégés par des algorithmes de
chiffrement solides?
MNO Disponibilité – Défaillance du C22: L'opérateur de réseau mobile (MNO) Des systèmes sont-ils mis en place pour garan- Gestion des
réseau en raison de doit prendre des mesures pour garantir tir la disponibilité des services (la redondance incidents liés à
capacités insuffi- un niveau de disponibilité du réseau élevé des services, par exemple)? la sécurité des
santes, d'opérations et permettre l'accès aux DFS grâce au informations –
de maintenance canal USSD, par SMS et par Internet. Des mécanismes de suivi sont-ils en place Redondances
pour mesurer le temps de réponse et le taux
ou d'un défaut de d'indisponibilité et générer des rapports en
conception (DS: la matière?
disponibilité)
MNO Disponibilité – Défaillance du C23: Le MNO doit vérifier ses capacités Des systèmes sont-ils mis en place pour Acquisition, déve-
réseau en raison de techniques en procédant à des tests per- mesurer la qualité de service et la qualité loppement et
capacités insuffi- mettant de simuler différentes transactions d'expérience? maintenance des
santes, d'opérations en fonction du nombre d'utilisateurs, de la systèmes d'infor-
de maintenance croissance prévue, du nombre de transac- La qualité de service et la qualité d'expérience mation – Sécurité
sont-elles conformes aux normes en vigueur
ou d'un défaut de tions attendues et des périodes de forte en matière de DFS? des processus de
conception (DS: activité anticipées, afin d'assurer la conti- développement
disponibilité) nuité des performances du système. et d'assistance
technique
Fournisseur Sécurité des – Suivi insuffisant du C24: Le fournisseur de DFS doit mettre en Le réseau est-il suffisamment protégé contre Politique de
de DFS réseaux trafic du réseau et place des pare-feu et des filtres de trafic les attaques, par exemple à travers la mise en sécurité opération-
des paquets réseau pour protéger le réseau des attaques. Il place de pare-feu et de filtres de trafic correc- nelle – Protection
individuels (DS: dis- doit également protéger l'infrastructure tement configurés? contre les logiciels
ponibilité, sécurité du système de DFS en luttant contre le malveillants
des communications) trafic suspect grâce à des techniques et
des mécanismes de contrôle des accès au
réseau tels que le CAPTCHA.
Fournisseur Sécurité des – Environnement C25: Le trafic Internet entrant doit être Le trafic des applications de DFS connectées à Politique de
de DFS réseaux favorable aux ser- limité et faire l'objet d'un suivi constant. Internet fait-il l'objet d'un suivi adéquat? sécurité opération-
vices inutiles (DS: nelle – Protection
confidentialité des contre les logiciels
données) malveillants
Fournisseur Sécurité des – Environnement C26: Définir des règles de pare-feu res- Les règles du pare-feu sont-elles correctement Politique de
de DFS réseaux favorable aux ser- trictives par défaut, configurer une liste configurées (liste blanche des ports, filtrage sécurité opération-
vices inutiles (DS: blanche des ports, filtrer les paquets et de paquets, etc.)? nelle – Protection
confidentialité des assurer un suivi constant des accès pour les contre les logiciels
données) ports et les adresses IP autorisés ou figu- malveillants
rant sur la liste blanche.
Fournisseur Détection – Les opérations C27: Dans la mesure du possible, limiter les L'examen et l'approbation des modifications Politique de
de DFS des fraudes critiques ne font pas modifications importantes en utilisant le importantes apportées aux comptes font-ils contrôle des accès –
l'objet de mesures de principe des quatre yeux (double approba- l'objet de mesures de contrôle suffisantes? Contrôle des accès
contrôle interne suf- tion) pour l'ensemble des actions critiques, Par exemple, ces modifications sont-elles aux systèmes et aux
fisantes (DS: contrôle y compris la création, la modification ou la soumises à un processus de vérification et au applications
des accès). suppression d'un compte d'administrateur principe de la double approbation?
par un autre administrateur, la modification
d'un compte d'utilisateur, le couplage ou
le découplage du compte avec un numéro
mobile ou un identifiant, ou encore l'annu-
lation de transactions.
Lignes directrices pour l’audit de sécurité des services financiers numériques 13