Page 15 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 15

(continue)

                                                                                                  Politique ou
             Entité DFS   Catégorie  Risques et    Mesures de contrôle  Question de vérification de la sécurité  procédure
             concernée         vulnérabilités
                                                                                                   applicable
             Fournisseur  Détection   – Faiblesse du chif-  C21: Surveiller l'utilisation des API et chif-  Les transactions traitées par des API de paie-  Politique de
             de DFS et   des fraudes  frement des API (DS:   frer l'ensemble des données partagées   ment font-elles l'objet d'un suivi assuré par   sécurité opération-
             fournis-        confidentialité)  avec des parties tierces. Prévoir également   des mécanismes adéquats?  nelle – Journaux
             seurs tiers                   des procédures et des mesures de contrôle   Le fournisseur de DFS a-t-il conclu des accords   d'événements et
                                           en matière de gestion des données, par   de non-divulgation des données sensibles de   suivi 
                                           exemple en signant des accords de non-di-  ses utilisateurs avec des parties tierces?
                                           vulgation avec les fournisseurs de services
                                           de paiement, afin d'éviter les fuites d'infor-  Les transferts de données à des parties tierces
                                           mations ou de données.    sont-ils protégés par des algorithmes de
                                                                     chiffrement solides?
             MNO     Disponibilité – Défaillance du   C22: L'opérateur de réseau mobile (MNO)   Des systèmes sont-ils mis en place pour garan- Gestion des
                             réseau en raison de   doit prendre des mesures pour garantir   tir la disponibilité des services (la redondance   incidents liés à
                             capacités insuffi-  un niveau de disponibilité du réseau élevé   des services, par exemple)?  la sécurité des
                             santes, d'opérations   et permettre l'accès aux DFS grâce au       informations –
                             de maintenance   canal USSD, par SMS et par Internet.  Des mécanismes de suivi sont-ils en place   Redondances
                                                                     pour mesurer le temps de réponse et le taux
                             ou d'un défaut de                       d'indisponibilité et générer des rapports en
                             conception (DS:                         la matière?
                             disponibilité)
             MNO     Disponibilité – Défaillance du   C23: Le MNO doit vérifier ses capacités   Des systèmes sont-ils mis en place pour   Acquisition, déve-
                             réseau en raison de   techniques en procédant à des tests per-  mesurer la qualité de service et la qualité   loppement et
                             capacités insuffi-  mettant de simuler différentes transactions  d'expérience?  maintenance des
                             santes, d'opérations   en fonction du nombre d'utilisateurs, de la   systèmes d'infor-
                             de maintenance   croissance prévue, du nombre de transac-  La qualité de service et la qualité d'expérience   mation – Sécurité
                                                                     sont-elles conformes aux normes en vigueur
                             ou d'un défaut de   tions attendues et des périodes de forte   en matière de DFS?   des processus de
                             conception (DS:   activité anticipées, afin d'assurer la conti-    développement
                             disponibilité)  nuité des performances du système.                 et d'assistance
                                                                                                technique
             Fournisseur  Sécurité des  – Suivi insuffisant du   C24: Le fournisseur de DFS doit mettre en   Le réseau est-il suffisamment protégé contre   Politique de
             de DFS  réseaux  trafic du réseau et   place des pare-feu et des filtres de trafic   les attaques, par exemple à travers la mise en   sécurité opération-
                             des paquets réseau   pour protéger le réseau des attaques. Il   place de pare-feu et de filtres de trafic correc-  nelle – Protection
                             individuels (DS: dis-  doit également protéger l'infrastructure   tement configurés?  contre les logiciels
                             ponibilité, sécurité   du système de DFS en luttant contre le      malveillants
                             des communications) trafic suspect grâce à des techniques et
                                           des mécanismes de contrôle des accès au
                                           réseau tels que le CAPTCHA.
             Fournisseur  Sécurité des  – Environnement   C25: Le trafic Internet entrant doit être   Le trafic des applications de DFS connectées à  Politique de
             de DFS  réseaux  favorable aux ser-  limité et faire l'objet d'un suivi constant.  Internet fait-il l'objet d'un suivi adéquat?  sécurité opération-
                             vices inutiles (DS:                                                nelle – Protection
                             confidentialité des                                                contre les logiciels
                             données)                                                           malveillants
             Fournisseur  Sécurité des  – Environnement   C26: Définir des règles de pare-feu res-  Les règles du pare-feu sont-elles correctement  Politique de
             de DFS  réseaux  favorable aux ser-  trictives par défaut, configurer une liste   configurées (liste blanche des ports, filtrage   sécurité opération-
                             vices inutiles (DS:   blanche des ports, filtrer les paquets et   de paquets, etc.)?  nelle – Protection
                             confidentialité des   assurer un suivi constant des accès pour les   contre les logiciels
                             données)      ports et les adresses IP autorisés ou figu-          malveillants
                                           rant sur la liste blanche.
             Fournisseur  Détection   – Les opérations   C27: Dans la mesure du possible, limiter les  L'examen et l'approbation des modifications   Politique de
             de DFS  des fraudes  critiques ne font pas   modifications importantes en utilisant le   importantes apportées aux comptes font-ils   contrôle des accès –
                             l'objet de mesures de  principe des quatre yeux (double approba-  l'objet de mesures de contrôle suffisantes?   Contrôle des accès
                             contrôle interne suf-  tion) pour l'ensemble des actions critiques,  Par exemple, ces modifications sont-elles   aux systèmes et aux
                             fisantes (DS: contrôle  y compris la création, la modification ou la   soumises à un processus de vérification et au   applications
                             des accès).   suppression d'un compte d'administrateur   principe de la double approbation?
                                           par un autre administrateur, la modification
                                           d'un compte d'utilisateur, le couplage ou
                                           le découplage du compte avec un numéro
                                           mobile ou un identifiant, ou encore l'annu-
                                           lation de transactions.














                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  13
   10   11   12   13   14   15   16   17   18   19   20