Page 19 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 19

(continue)

                                                                                                  Politique ou
             Entité DFS   Catégorie  Risques et    Mesures de contrôle  Question de vérification de la sécurité  procédure
             concernée         vulnérabilités
                                                                                                   applicable
             Fournisseur     – Mesures de pro-  C50: Appliquer les propriétés ACID (ato-  Existe-t-il des transactions en attente ou en   Politique de sécurité
             de DFS          tection des données   micité, cohérence, isolation et durabilité)   double au sein du système de DFS?  opérationnelle –
                             insuffisantes; par   aux bases de données afin de garantir         Procédures et
                             exemple, incapacité   l'intégrité des transactions. Les opérations   La transaction a-t-elle abouti?  responsabilités
                             à mettre en œuvre   des DFS doivent se faire complètement          opérationnelles
                             l'atomicité des tran-  ou pas du tout. Le fournisseur de DFS
                             sactions, ouvrant   doit également s'assurer que des vérifi-
                             ainsi la voie à des   cations sont mises en place pour éviter
                             transactions en état   les transactions en double (identifiant de
                             d'achèvement partiel  transaction unique, horodatage et nonce
                             (DS: intégrité des   cryptographique).
                             données)
             Fournisseur  Confiden-  – Insuffisance des   C51: Les applications de DFS ou les par-   Les applications des DFS ou des fournis-  Politique de
             tiers   tialité  mécanismes destinés  ties tierces doivent prendre en charge   seurs tiers ont-elles recours à la signature   contrôle des accès –
                             à garantir l'intégrité   l'usage de la signature numérique; une   numérique? Les signatures numériques   Contrôle des accès
                             des données et   signature numérique sécurisée constitue   sont-elles protégées par des algorithmes de   aux systèmes et aux
                             dépendance exces-  une preuve irréfutable de l'origine de la   chiffrement solides et des longueurs de clé   applications
                             sive à l'égard d'ancres  transaction. Pour que les signatures numé-  suffisantes? La mise en œuvre des algorithmes
                             de confiance externes  riques soient valides, l'infrastructure à clés   de chiffrement est-elle sécurisée, actualisée
                             (DS: non-répudiation) publiques (ICP) ne doit pas être compro-  et suffisamment aléatoire? (Les algorithmes
                                           mise et doit faire l'objet de tests et de plans  de signature numérique les plus solides
                                           destinés à garantir sa souplesse. S'assurer   comprennent notamment les clés RSA, DSA
                                           que les clés de signature sont bien pro-  et ECDSA. Les algorithmes de chiffrement
                                           tégées jusqu'à la clé racine permet au   sur courbes elliptiques peuvent garantir une
                                           fournisseur de DFS de se prémunir contre   sécurité équivalente aux autres algorithmes
                                           les transactions litigieuses et d'éventuelles   tout en s'appuyant sur des clés plus courtes.)
                                           procédures juridiques destinées à contes-
                                           ter l'authenticité d'un utilisateur donné.
             MNO     Authentifi-  – Mesures de   C52: Les MNO doivent s'assurer qu'un pro-   Des politiques et des processus sont-ils mis   Politique de
                     cation  contrôle insuffisantes  cessus de vérification de l'identité est mis   en place pour vérifier l'identité des utilisateurs  contrôle des accès –
                             pour l'identification   en place avant de procéder à des échanges  avant les opérations d'échange de carte SIM?   Gestion des accès
                             et la vérification de   de carte SIM.   Des mécanismes techniques sont-ils mis en   des utilisateurs
                             l'utilisateur avant tout                place pour éviter les fuites ou le transfert d'in-
                             échange ou recyclage                    formations avant la confirmation de l'échange
                             de carte SIM (DS:                       de carte SIM?
                             authentification)
             MNO     Authentifi-  – Mesures de   C53: Le processus de vérification de l'iden-  Le MNO procède-t-il à l'authentification bio-  Politique de
                     cation  contrôle insuffisantes  tité doit s'appuyer à la fois sur quelque   métrique de l'utilisateur avant l'échange ou le  contrôle des accès –
                             pour l'identification   chose que l'utilisateur est, sur quelque   remplacement d'une carte SIM?  Gestion des accès
                             et la vérification de   chose qu'il a et sur quelque chose qu'il sait.   des utilisateurs
                             l'utilisateur avant tout  L'utilisateur devra par exemple présenter
                             échange ou recyclage  une pièce d'identité valide, se soumettre
                             de carte SIM (DS:   à une vérification biométrique et fournir
                             authentification)  des informations sur son compte avant
                                           de pouvoir procéder à un échange ou un
                                           remplacement de carte SIM.
             MNO     Authentifi-  – Mesures de   C54: Les fournisseurs de DFS et de services   Le fournisseur de DFS est-il en mesure de   Politique de
                     cation  contrôle insuffisantes  de paiement doivent être en mesure de   détecter un échange ou une modification de   contrôle des accès –
                             pour l'identification   détecter en temps réel l'échange ou le rem- carte SIM associée à un compte d'utilisateur   Contrôle des accès
                             et la vérification de   placement d'une carte SIM associée à des   de DFS?  aux systèmes et aux
                             l'utilisateur avant tout  DFS. Ils doivent également procéder à des   applications
                             échange ou recyclage  vérifications supplémentaires avant d'au-
                             de carte SIM (DS:   toriser la nouvelle carte SIM à effectuer des
                             authentification)  transactions de valeur élevée ou à apporter
                                           des modifications au compte de DFS.
             MNO     Authentifi-  – Mesures de   C55: Le MNO doit sauvegarder et stocker   Les données de carte SIM telles que le numéro  Gestion des actifs –
                     cation  contrôle insuffisantes  de manière sécurisée les données de   IMSI et les valeurs Kc et Ki sont-elles stockées   Traitement des
                             pour l'identification   carte SIM telles que le numéro d'identité   de manière sécurisée par le MNO?  différents médias
                             et la vérification de   internationale d'abonnement mobile (IMSI)
                             l'utilisateur avant tout  et les valeurs de clé secrète (valeurs Ki).
                             échange ou recyclage
                             de carte SIM (DS:
                             authentification)








                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  17
   14   15   16   17   18   19   20   21   22   23   24