Page 27 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 27

4  LISTE DE VÉRIFICATION POUR LES AUDITS DE SÉCURITÉ


            4�1  Contrôle des accès

            4�1�1   Les identifiants de connexion des adminis-  par exemple grâce à la détection intelligente de la
            trateurs, des agents et des utilisateurs qui ont quit-  géovélocité?
            té ou résilié le DFS sont-ils désactivés? Les comptes   4�1�12   Le fournisseur de DFS a-t-il restreint le
            enregistrés sur le système de DFS sont-ils désactivés   nombre de connexions concurrentes autorisées
            après une période d'inactivité?                    et offert aux utilisateurs la possibilité d'opter pour
            4�1�2   Les comptes par défaut sont-ils supprimés   d'autres canaux de connexion? Les utilisateurs qui ont
            du système de DFS et de l'ensemble des systèmes    sélectionné l'accès USSD ont-ils la possibilité d'op-
            connectés à ceux des DFS?                          ter pour le recours à une application pendant que le
            4�1�3   Les comptes de l'éditeur des DFS et du     fournisseur de DFS active ce canal, par exemple?
            système d'assistance technique sont-ils désactivés   4�1�13   Le fournisseur de DFS a-t-il prévu la désac-
            lorsqu'ils n'ont plus aucune tâche à effectuer?    tivation des comptes d'administrateur après une
            4�1�4   Les sessions utilisateur des applications   période d'inactivité déterminée? Tous les comptes
            de DFS sont-elles soumises aux contrôles logiques   inactifs du personnel interne et des API sont-ils
            suivants: i) déconnexion automatique et délai d'ex-  désactivés?
            piration de la session; ii) nombre maximum de tenta-  4�1�14   Le fournisseur de DFS a-t-il configuré la
            tives de connexion infructueuses; iii) complexité du   déconnexion automatique des sessions USSD et STK
            mot de passe ou du code PIN; iv) délai d'expiration   après une période d'inactivité déterminée?
            du mot de passe ou du code PIN?                    4�1�15   Le fournisseur de DFS procède-t-il à la véri-
            4�1�5   Des procédures sont-elles mises en place   fication en temps réel de l'appareil de l'utilisateur
            pour permettre au fournisseur de DFS de détecter   avant le traitement d'une transaction?
            les cas suspects d'échange et de recyclage de carte   4�1�16   Le mot de passe est-il indiqué de manière
            SIM?                                               sécurisée? L'utilisateur doit-il modifier son mot de
            4�1�6   Des mesures de contrôle sont-elles mises en   passe après la première connexion?
            place pour empêcher les connexions simultanées à   4�1�17   Existe-t-il un nombre maximum de tenta-
            plusieurs  canaux?  Le  fournisseur  de  DFS  autorise-  tives de connexion au-delà duquel le compte est
            t-il une seule session d'utilisateur à la fois pour se   verrouillé?
            connecter au réseau de DFS? (Une connexion simul-  4�1�18   La réactivation des comptes inactifs est-elle
            tanée à plusieurs canaux peut indiquer une faille de   soumise à des processus de vérification de l'identité
            sécurité.)                                         suffisants, tels que la vérification biométrique?
            4�1�7   Des mesures de contrôle sont-elles mises en
            place pour limiter l'accès aux systèmes de DFS, en   4�2  Authentification
            particulier pour les utilisateurs qui ont recours à une   4�2�1   Des politiques et des processus sont-ils
            connexion à distance?                              mis en place pour vérifier l'identité des utilisateurs
            4�1�8   Des politiques et des processus sont-ils   avant les opérations d'échange de carte  SIM? Des
            mis en place pour assurer la gestion des nouvelles   mécanismes techniques sont-ils mis en place pour
            menaces et attaques à l'encontre des systèmes de   éviter les fuites ou le transfert d'informations avant la
            DFS?                                               confirmation de l'échange de carte SIM?
            4�1�9   L'accès à l'infrastructure du système de DFS   4�2�2   Les identifiants de connexion aux DFS sont-
            est-il limité par des obstacles physiques et logiques   ils transmis à l'utilisateur par l'intermédiaire d'un
            suffisants?                                        canal distinct/hors bande? (Lorsque le compte est
            4�1�10   Le fournisseur de DFS propose-t-il des    configuré par l'intermédiaire d'un canal USSD, par
            mesures de contrôle des accès fondé sur les rôles?  exemple, l'envoi du mot de passe à usage unique se
            4�1�11   Le système de DFS est-il en mesure de détec-  fait-il par courrier électronique ou appel vocal?)
            ter des transactions inhabituelles en s'appuyant sur   4�2�3   Des mesures de contrôle sont-elles mises en
            le profil de l'utilisateur? Par exemple: Le fournisseur   place pour authentifier les utilisateurs bénéficiant de
            de DFS a-t-il mis en place une procédure d'authen-  privilèges d'accès (par exemple, grâce à la vérifica-
            tification des transactions fondée sur la localisation,   tion de l'adresse IP et de l'horaire de connexion)?





                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  25
   22   23   24   25   26   27   28   29   30   31   32