Page 17 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 17

(continue)

                                                                                                  Politique ou
             Entité DFS   Catégorie  Risques et    Mesures de contrôle  Question de vérification de la sécurité  procédure
             concernée         vulnérabilités
                                                                                                   applicable
             Fournisseur  Sécurité des  – Horloges imprécises  C34: S'assurer que les horloges de tous   Toutes les horloges de l'écosystème des DFS   Politique de sécurité
             de DFS  réseaux  et non synchronisées  les systèmes connectés au système de   sont-elles synchronisées?  opérationnelle –
                             (DS: intégrité des   DFS sont précises et synchronisées. Les       Procédures et
                             données)      protocoles NTP et SNTP sont utilisés pour            responsabilités
                                           garantir la précision et la synchronisation          opérationnelles
                                           des horloges; toutefois, il convient de
                                           s'assurer que leur déploiement s'opère de
                                           manière sécurisée.
             MNO     Sécurité des  – Faiblesse du chiffre- C38: Cesser d'utiliser les algorithmes   Les algorithmes de chiffrement connus pour   Sécurité des
                     réseaux  ment « over-the-air »   de chiffrement GSM A5/0, A5/1 et A5/2.   leur faiblesse ont-ils été abandonnés? De   communications:
                             (DS: sécurité des   Observer attentivement les résultats   nouveaux algorithmes sont-ils prêts à être   transfert des
                             communications)  obtenus par la communauté en charge   déployés?   informations
                                           des questions de sécurité et de cryptogra-
                                           phie afin de déterminer s'il est possible et
                                           facile de compromettre les algorithmes
                                           de chiffrement A5/3 et A5/4. Parallèle-
                                           ment, commencer à envisager l'utilisation
                                           d'algorithmes plus solides et prévoir une
                                           stratégie de déploiement.
             MNO     Détection   – Faiblesse du filtrage  C39: Les MNO doivent procéder à l'identi-  Des mécanismes sont-ils mis en place pour   Sécurité des
                     des fraudes  par identification des  fication des lignes téléphoniques afin de   détecter les tentatives d'usurpation d'identité   communications:
                             lignes téléphoniques  détecter les communications usurpées et   par SMS et par téléphone (par exemple, l'iden- transfert des
                             (DS: sécurité des   destinées à apparaître comme des appels   tification des lignes téléphoniques)?  informations
                             communications)  ou des SMS provenant du fournisseur de
                                           DFS.
             Fournisseur  Authentifi-  – Mesures de   C40: Exiger l'authentification et l'autorisa-  Des procédures d'autorisation et d'authenti-  Politique de
             de DFS  cation  contrôle manquantes  tion de l'utilisateur pour les modifications   fication supplémentaires sont-elles mises en   contrôle des accès –
                             ou inadéquates pour   de compte présentant un risque élevé ainsi  place pour les transactions importantes et les   Gestion des accès
                             la configuration et   que pour les transactions; exiger la saisie   modifications de compte présentant un risque  des utilisateurs
                             les autorisations   du code PIN ou du mot de passe avant   élevé? Par exemple, quelles vérifications
                             des comptes (DS:   toute transaction, y compris lorsque l'appa- complémentaires sont prévues pour l'aug-
                             authentification)  reil de l'utilisateur est connecté.  mentation des plafonds de transaction?
             Fournis-  Confiden-  – Faiblesse des   C41: Protéger les données de l'application   Les données stockées sur l'appareil et les don-  Politique de
             seurs tiers  tialité  algorithmes de chif-  mobile et les communications avec les   nées communiquées aux systèmes internes de  cryptographie –
                             frement utilisés pour   systèmes internes du DFS en faisant appel   DFS sont-elles protégées par des algorithmes   Mesures de contrôle
                             la transmission des   à une méthode de chiffrement suffisam-  de chiffrement solides et des mécanismes   cryptographiques
                             données et pour les   ment sécurisée et, dans la mesure du   de protection de l'intégrité des données tels
                             données stockées   possible, masquer, tronquer ou effacer les   que l'envoi de codes d'authentification (voir
                             sur l'appareil (DS:   informations confidentielles concernant les  C17 pour en savoir plus sur la solidité des
                             confidentialité)  utilisateurs.         algorithmes de chiffrement)? Des politiques
                                                                     sont-elles mises en place pour garantir la
                                                                     protection des données sensibles et confiden-
                                                                     tielles des utilisateurs?
             Fournis-  Confiden-  – Absence de   C42: Utiliser la signature numérique pour   Le processus de signature numérique est-il   Politique de
             seurs tiers  tialité  chiffrement des   identifier les parties tierces connectées au   utilisé pour identifier les fournisseurs tiers   contrôle des accès –
                             communications   système de DFS lorsque des transactions   connectés aux systèmes de DFS?  Contrôle des accès
                             (DS: sécurité des   sont en cours.                                 aux systèmes et aux
                             communications)                                                    applications
             Fournis-  Confiden-  – Gestion insuffisante  C43: Utiliser des clés et des certificats    Des procédures sont-elles mises en place   Politique de
             seurs tiers  tialité  des certificats et des   fiables et secrets pour permettre l'échange  pour garantir la fiabilité et la protection des   contrôle des accès –
                             clés (DS: contrôle des  de données entre les fournisseurs de DFS   clés privées et secrètes? Les certificats et   Contrôle des accès
                             accès)        et les parties tierces.   autres informations cryptographiques sont-ils  aux systèmes et aux
                                                                     protégés par les mesures de contrôle du sys-  applications
                                                                     tème d'exploitation?

















                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  15
   12   13   14   15   16   17   18   19   20   21   22