Page 27 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 27
4 LISTE DE VÉRIFICATION POUR LES AUDITS DE SÉCURITÉ
4�1 Contrôle des accès
4�1�1 Les identifiants de connexion des adminis- par exemple grâce à la détection intelligente de la
trateurs, des agents et des utilisateurs qui ont quit- géovélocité?
té ou résilié le DFS sont-ils désactivés? Les comptes 4�1�12 Le fournisseur de DFS a-t-il restreint le
enregistrés sur le système de DFS sont-ils désactivés nombre de connexions concurrentes autorisées
après une période d'inactivité? et offert aux utilisateurs la possibilité d'opter pour
4�1�2 Les comptes par défaut sont-ils supprimés d'autres canaux de connexion? Les utilisateurs qui ont
du système de DFS et de l'ensemble des systèmes sélectionné l'accès USSD ont-ils la possibilité d'op-
connectés à ceux des DFS? ter pour le recours à une application pendant que le
4�1�3 Les comptes de l'éditeur des DFS et du fournisseur de DFS active ce canal, par exemple?
système d'assistance technique sont-ils désactivés 4�1�13 Le fournisseur de DFS a-t-il prévu la désac-
lorsqu'ils n'ont plus aucune tâche à effectuer? tivation des comptes d'administrateur après une
4�1�4 Les sessions utilisateur des applications période d'inactivité déterminée? Tous les comptes
de DFS sont-elles soumises aux contrôles logiques inactifs du personnel interne et des API sont-ils
suivants: i) déconnexion automatique et délai d'ex- désactivés?
piration de la session; ii) nombre maximum de tenta- 4�1�14 Le fournisseur de DFS a-t-il configuré la
tives de connexion infructueuses; iii) complexité du déconnexion automatique des sessions USSD et STK
mot de passe ou du code PIN; iv) délai d'expiration après une période d'inactivité déterminée?
du mot de passe ou du code PIN? 4�1�15 Le fournisseur de DFS procède-t-il à la véri-
4�1�5 Des procédures sont-elles mises en place fication en temps réel de l'appareil de l'utilisateur
pour permettre au fournisseur de DFS de détecter avant le traitement d'une transaction?
les cas suspects d'échange et de recyclage de carte 4�1�16 Le mot de passe est-il indiqué de manière
SIM? sécurisée? L'utilisateur doit-il modifier son mot de
4�1�6 Des mesures de contrôle sont-elles mises en passe après la première connexion?
place pour empêcher les connexions simultanées à 4�1�17 Existe-t-il un nombre maximum de tenta-
plusieurs canaux? Le fournisseur de DFS autorise- tives de connexion au-delà duquel le compte est
t-il une seule session d'utilisateur à la fois pour se verrouillé?
connecter au réseau de DFS? (Une connexion simul- 4�1�18 La réactivation des comptes inactifs est-elle
tanée à plusieurs canaux peut indiquer une faille de soumise à des processus de vérification de l'identité
sécurité.) suffisants, tels que la vérification biométrique?
4�1�7 Des mesures de contrôle sont-elles mises en
place pour limiter l'accès aux systèmes de DFS, en 4�2 Authentification
particulier pour les utilisateurs qui ont recours à une 4�2�1 Des politiques et des processus sont-ils
connexion à distance? mis en place pour vérifier l'identité des utilisateurs
4�1�8 Des politiques et des processus sont-ils avant les opérations d'échange de carte SIM? Des
mis en place pour assurer la gestion des nouvelles mécanismes techniques sont-ils mis en place pour
menaces et attaques à l'encontre des systèmes de éviter les fuites ou le transfert d'informations avant la
DFS? confirmation de l'échange de carte SIM?
4�1�9 L'accès à l'infrastructure du système de DFS 4�2�2 Les identifiants de connexion aux DFS sont-
est-il limité par des obstacles physiques et logiques ils transmis à l'utilisateur par l'intermédiaire d'un
suffisants? canal distinct/hors bande? (Lorsque le compte est
4�1�10 Le fournisseur de DFS propose-t-il des configuré par l'intermédiaire d'un canal USSD, par
mesures de contrôle des accès fondé sur les rôles? exemple, l'envoi du mot de passe à usage unique se
4�1�11 Le système de DFS est-il en mesure de détec- fait-il par courrier électronique ou appel vocal?)
ter des transactions inhabituelles en s'appuyant sur 4�2�3 Des mesures de contrôle sont-elles mises en
le profil de l'utilisateur? Par exemple: Le fournisseur place pour authentifier les utilisateurs bénéficiant de
de DFS a-t-il mis en place une procédure d'authen- privilèges d'accès (par exemple, grâce à la vérifica-
tification des transactions fondée sur la localisation, tion de l'adresse IP et de l'horaire de connexion)?
Lignes directrices pour l’audit de sécurité des services financiers numériques 25