Page 29 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 29

4�4�6   Les journaux d'audit offrent-ils un suivi suffi-  de pare-feu et de filtres de trafic correctement confi-
            sant de l'ensemble des modifications apportées au   gurés?
            système de DFS ou du MNO et ayant un impact sur    4�5�10  Des obstacles logiques sont-ils mis en place
            les DFS?                                           afin de limiter l'accès aux systèmes de DFS pour tous
            4�4�7   Les utilisateurs de DFS reçoivent-ils une   les autres systèmes? (Sur le réseau, par exemple, les
            alerte lorsqu'une transaction est réalisée sur leur   systèmes de traitement des DFS sont-ils protégés
            compte?                                            par des obstacles logiques et physiques permettant
            4�4�8   Les journaux de suivi et d'événements enre-  d'interdire l'accès aux utilisateurs internes non auto-
            gistrent-ils et conservent-ils des données sensibles   risés?)
            des utilisateurs? (Par exemple, les codes  PIN des   4�5�11   Des mesures de contrôle opérationnelles
            utilisateurs sont-ils stockés dans des logiciels de   sont-elles mises en place pour détecter les menaces
            type EDR, qui détectent les menaces au niveau des   liées aux API? Des mesures de contrôle opération-
            terminaux?)                                        nelles sont-elles mises en place pour détecter les
            4�4�9   L'application stocke-t-elle les transactions   applications dangereuses ou malveillantes?
            pour une transmission ultérieure?                  4�5�12  Existe-t-il des transactions en attente ou en
            4�4�10  Le fournisseur de DFS a-t-il recours à des   double au sein du système de DFS? La transaction
            mesures de contrôle des accès fondé sur les rôles?  a-t-elle abouti?
            4�4�11   Un mécanisme est-il mis en place pour     4�5�13  Existe-t-il des procédures pour assurer le
            examiner les privilèges administratifs?            suivi des mises à jour logicielles et ces mises à jour
            4�4�12  La réalisation d'une tâche critique au sein   sont-elles installées de manière sécurisée?
            du système de DFS requiert-elle le concours de plus   4�5�14  Des mesures de contrôle techniques sont-
            d'une personne?                                    elles mises en place pour limiter l'exposition des
                                                               adresses internes des systèmes de DFS (telles que
            4�5  Sécurité des réseaux                          les adresses IP de la base de données)?
            4�5�1   L'ensemble des appareils utilisés pour se   4�5�15  Le fournisseur de DFS a-t-il mis en place un
            connecter aux systèmes de DFS font-ils l'objet     mécanisme permettant de stocker les clés crypto-
            d'une analyse des menaces et d'une vérification des   graphiques de manière sécurisée?
            derniers correctifs logiciels?                     4�5�16  Le MNO impose-t-il l'usage d'un code PUK
            4�5�2   Les modifications du code sont-elles testées   sur les cartes SIM afin d'atténuer les risques liés au
            et approuvées avant d'entrer dans l'environnement   vol des cartes SIM associées à des comptes de DFS?
            de production (par exemple, avec l'émission de certi-  4�5�17  Le MNO a-t-il mis en place un pare-feu pour
            ficats prouvant que des tests d'acceptation utilisateur   détecter et se protéger contre les attaques externes
            et des tests d'acceptation interne ont été menés)?  exploitant des vulnérabilités SS7 (par exemple, une
            4�5�3   Les clés de chiffrement installées par défaut   protection pare-feu contre l'interception du trafic
            sont-elles modifiées avant leur application? Les   d'abonné, l'accès USSD non autorisé et l'usurpation
            chaînes de communauté SNMP installées par défaut   de carte SIM)?
            sont-elles modifiées avant leur application?       4�5�18  Le MNO a-t-il mis en place des mesures de
            4�5�4   Toutes les horloges de l'écosystème des DFS   contrôle pour limiter l'accès au suivi MAP et l'usage
            sont-elles synchronisées?                          des analyseurs de protocole sur le réseau interne?
            4�5�5   Les systèmes de DFS sont-ils protégés par   (Dans le protocole MAP, les messages SMS et USSD
            des correctifs contre les vulnérabilités connues?  sont transmis en texte clair.)
            4�5�6   Les versions les plus récentes des systèmes   4�5�19  Le MNO a-t-il mis en place le protocole SS7
            de DFS sont-elles installées pour assurer la protec-  et les contrôleurs de signalisation de diamètre afin
            tion contre les dernières menaces?                 de limiter les menaces liées à des attaques SS7?
            4�5�7   Les algorithmes et les clés de chiffrement   4�5�20  Les algorithmes de chiffrement connus pour
            utilisés sont-ils suffisamment solides pour protéger   leur faiblesse ont-ils été abandonnés? De nouveaux
            les codes PIN et les données des utilisateurs?     algorithmes sont-ils prêts à être déployés?
            4�5�8   Les règles du pare-feu sont-elles correcte-  4�5�21  Le fournisseur de DFS procède-t-il à la vérifi-
            ment configurées (liste blanche des ports, filtrage de   cation des données d'entrée?
            paquets, etc.)?                                    4�5�22  Avant de traiter les transactions, le fournis-
            4�5�9   Le réseau est-il suffisamment protégé contre   seur de DFS procède-t-il à des vérifications fondées
            les attaques, par exemple à travers la mise en place   sur la détection intelligente de la géovélocité?





                                                  Lignes directrices pour l’audit de sécurité des services financiers numériques  27
   24   25   26   27   28   29   30   31   32   33   34