Page 12 - Lignes directrices pour l'audit de sécurité des services financiers numériques

P. 12

3 MESURES DE CONTRÔLE DU CADRE DE GARANTIE DE LA SÉCURITÉ DES DFS ET LIGNES
DIRECTRICES POUR LES AUDITS

Les lignes directrices comprennent une liste de questions de vérification que les auditeurs peuvent poser pour
évaluer les mesures de contrôle mises en place en matière de sécurité.

Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournisseur Contrôle des – Mesures de C1: Prévoir des délais de connexion et Les sessions utilisateur des applications Politique de
de DFS accès contrôle insuffisantes des déconnexions automatiques pour les de DFS sont-elles soumises aux contrôles contrôle des accès –
au niveau des ses- sessions utilisateur des applications de DFS logiques suivants: Contrôle des accès
sions utilisateur (DS: (sessions logiques). Au sein de l'application, i) Déconnexion automatique et délai d'expira- aux systèmes et aux
contrôle des accès) s'assurer que la complexité des mots de applications
passe est encouragée (par le serveur), défi- tion de la session;
nir un nombre maximum de tentatives de ii) Nombre maximum de tentatives de
connexion infructueuses, prévoir un histo- connexion infructueuses;
rique et un délai de réutilisation des mots
de passe, et mettre en place des délais de iii) Complexité du mot de passe ou du
verrouillage des comptes suffisamment code PIN;
restreints pour minimiser les risques d'at- iv) Délai d'expiration du mot de passe ou du
taque hors ligne. code PIN?
Fournisseur Contrôle des – Mesures de C2: Exiger la vérification de l'identité pour La réactivation des comptes inactifs est-elle Politique de
de DFS accès contrôle insuffi- les comptes d'utilisateurs de DFS inactifs, soumise à des processus de vérification de contrôle des accès –
santes pour les avant de procéder à leur réactivation. l'identité suffisants, tels que la vérification Gestion des accès
comptes inactifs (DS: biométrique? des utilisateurs
authentification)
Fournisseur Contrôle des – Échec de la vérifica- C3: Limiter l'accès aux services du système Le système de DFS est-il en mesure de Politique de
de DFS accès tion de la localisation de DFS en fonction de la localisation détecter des transactions inhabituelles en contrôle des accès –
(DS: sécurité des de l'utilisateur (par exemple, désactiver s'appuyant sur le profil de l'utilisateur? Contrôle des accès
communications) l'accès aux codes USSD du système de aux systèmes et aux
DFS en cas d'itinérance, STK et SMS pour Par exemple: Le fournisseur de DFS a-t-il mis applications
en place une procédure d'authentification
les commerçants et les agents) et, dans des transactions fondée sur la localisation, par
la mesure du possible, limiter l'accès par exemple grâce à la détection intelligente de la
région pour les agents DFS et vérifier que
l'agent et le numéro à l'origine du dépôt ou géovélocité?
du retrait correspondent à la même zone
de desserte.
Fournisseur Contrôle des – Vérification C4: Limiter l'accès aux DFS à certains Le fournisseur de DFS a-t-il restreint le nombre Politique de
de DFS accès incorrecte par l'uti- canaux de communication (lors de son de connexions concurrentes autorisées et contrôle des accès –
lisateur des canaux inscription, l'utilisateur doit pouvoir choisir offert aux utilisateurs la possibilité d'opter Contrôle des accès
de communication son canal d'accès aux services: proto- pour d'autres canaux de connexion? aux systèmes et aux
sélectionnés pour cole USSD uniquement, STK uniquement, applications
l'accès aux DFS application uniquement ou une combi- Les utilisateurs qui ont sélectionné les codes
d'accès USSD ont-ils la possibilité d'opter
(DS: sécurité des naison de plusieurs canaux); bloquer et pour le recours à une application pendant
communications) signaler les tentatives d'accès empruntant que le fournisseur de DFS active ce canal, par
d'autres canaux que ceux sélectionnés par exemple?
l'utilisateur.
Fournisseur Authentifi- – Rejeu d'une session C5: Le système de DFS ne doit pas se fier Le fournisseur de DFS applique-t-il des pro- Politique de
de DFS cation par l'interception de aux tentatives d'authentification ni aux cédures d'authentification côté serveur pour contrôle des accès –
jetons (DS: sécurité jetons d'autorisation côté client; la vérifica- l'ensemble des tentatives d'accès? Contrôle des accès
des communications) tion des jetons d'accès doit s'opérer côté aux systèmes et aux
serveur. applications
Fournisseur Confiden- – Faiblesse des C6: Utiliser des algorithmes de hachage Existe-t-il un mécanisme permettant de Norme relative à la
de DFS tialité algorithmes de chif- cryptographique salé puissants pour le garantir le chiffrement et la protection des sécurité et à la pré-
frement destinés au stockage des mots de passe des utilisateurs données au repos stockées? vention des fuites
stockage des mots de des DFS. de données
passe (DS: confiden-
tialité des données)
MNO Contrôle des – Absence de délai C7: Ajouter un délai d'expiration de session Le fournisseur de DFS a-t-il configuré la Politique de
accès d'expiration des ses- pour le protocole USSD, l'application STK et déconnexion automatique des sessions USSD contrôle des accès –
sions pour les DFS l'accès Internet aux DFS. et STK après une période d'inactivité Contrôle des accès
déterminée? aux systèmes et aux
applications

10 Lignes directrices pour l’audit de sécurité des services financiers numériques

7 8 9 10 11 12 13 14 15 16 17