Page 25 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 25

(continue)

                                                                                                  Politique ou
             Entité DFS   Catégorie  Risques et    Mesures de contrôle  Question de vérification de la sécurité  procédure
             concernée         vulnérabilités
                                                                                                   applicable
             Fournisseur  Détection   – Vulnérabilités   C100: Le commerçant doit travailler avec   Les journaux d'audit offrent-ils un suivi   Politique de
             tiers, four-  des fraudes  non détectées dans   son fournisseur pour s'assurer que toutes   suffisant de l'ensemble des modifications   sécurité opéra-
             nisseur de      les applications   les capacités d'audit et de suivi sont acti-  apportées au système de DFS ou du MNO et   tionnelle – Gestion
             DFS             du système (DS:   vées. Le fournisseur doit s'assurer que les   ayant un impact sur les DFS?  des vulnérabilités
                             confidentialité des   capacités de suivi offrent une granularité   techniques
                             données)      suffisante pour détecter les activités
                                           suspectes.
                                           Le fournisseur doit expliquer au commer-
                                           çant quelles sont ses responsabilités en
                                           matière d'examen des journaux. Il convient
                                           également d'inspecter de manière
                                           régulière les journaux et les rapports de
                                           système pour détecter d'éventuelles acti-
                                           vités suspectes. En cas d'activité suspecte
                                           supposée ou avérée, interrompre l'accès
                                           à l'appareil mobile et à son application de
                                           paiement en attendant la résolution du
                                           problème. Les activités suspectes com-
                                           prennent notamment les tentatives non
                                           autorisées d'accès, de mise à niveau des
                                           privilèges et de mise à jour du logiciel ou
                                           du micrologiciel.
             Fournisseur  Sécurité des  – Exposition du   C101: Les applications de DFS doivent être   Les systèmes de DFS sont-ils soumis à des   Politique de
             tiers, four-  réseaux  réseau aux attaques   soumises à des analyses et à des tests d'in-  tests d'intrusion réguliers?  sécurité opéra-
             nisseur de      extérieures (DS:   trusion réguliers. Elles doivent notamment      tionnelle – Gestion
             DFS             disponibilité)  être conçues pour résister aux logiciels           des vulnérabilités
                                           d'hameçonnage.                                       techniques
             MNO     Disponibilité – Exposition du   C107: Soumettre l'infrastructure du MNO à   Les systèmes de DFS font-ils régulièrement   Politique de
                             réseau aux attaques   des analyses de vulnérabilité et à des tests   l'objet d'analyses de vulnérabilité?  sécurité opéra-
                             extérieures (DS:   d'intrusion réguliers afin de vérifier l'expo-  tionnelle – Gestion
                             disponibilité)  sition à des attaques susceptibles d'affecter      des vulnérabilités
                                           la disponibilité du système.                         techniques
             MNO     Sécurité des  – Exposition du   C108: Installer et mettre à jour de manière   Les versions les plus récentes des systèmes de  Politique de
                     réseaux  réseau aux attaques   régulière le logiciel de protection contre les  DFS sont-elles installées pour assurer la pro-  sécurité opération-
                             extérieures (DS:   programmes malveillants le plus récent (en  tection contre les dernières menaces?  nelle – Protection
                             disponibilité)  fonction de sa disponibilité) et le proposer       contre les logiciels
                                           aux utilisateurs finaux. Envisager l'encap-          malveillants
                                           sulation des applications, qui peut être
                                           employée avec une solution de gestion
                                           des terminaux mobiles pour combattre et
                                           supprimer les applications et les logiciels
                                           malveillants.
             MNO, four-  Sécurité des  – Découverte de   C109: Les MNO et les fournisseurs de DFS   Les systèmes de DFS sont-ils protégés par des  Politique de
             nisseurs   réseaux  nouveaux exploits   et de services de paiement doivent appli-  correctifs contre les vulnérabilités connues?  sécurité opéra-
             de DFS et       contre les systèmes   quer des correctifs à leurs systèmes pour    tionnelle – Gestion
             fournis-        existants et incapa-  se mettre au niveau des dernières versions   des vulnérabilités
             seurs tiers     cité à déployer des   proposées par l'éditeur et se défendre       techniques
                             solutions pour com-  contre les attaques qui ont été créées à
                             battre ces exploits   partir de vulnérabilités plus anciennes.
                             (DS: confidentialité
                             des données,
                             contrôle des accès,
                             disponibilité)
             MNO, four-  Contrôle des  – Découverte de   C110: Les fournisseurs et les MNO doivent   Des politiques et des processus sont-ils mis   Politique de
             nisseurs   accès  nouveaux exploits   mettre au point des plans d'urgence en   en place pour assurer la gestion des nouvelles  sécurité opéra-
             de DFS et       contre les systèmes   collaboration avec les éditeurs, afin de   menaces et attaques à l'encontre des sys-  tionnelle – Gestion
             fournis-        existants et incapa-  bénéficier rapidement de correctifs et de   tèmes de DFS?  des vulnérabilités
             seurs tiers     cité à déployer des   mesures de remédiation en cas d'attaque      techniques
                             solutions pour com-  de type zero-day. Cette stratégie repose
                             battre ces exploits   notamment sur un usage avisé des procé-
                             (DS: confidentialité   dures de sauvegarde.
                             des données,
                             contrôle des accès,
                             disponibilité)






                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  23
   20   21   22   23   24   25   26   27   28   29   30