Page 13 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 13
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
MNO Contrôle des – Les identifiants C8: Dans la mesure du possible, les uti- Le mot de passe est-il indiqué de manière Politique de
accès de l'utilisateur pour lisateurs des DFS doivent choisir leur sécurisée? L'utilisateur doit-il modifier son mot contrôle des accès –
l'accès à l'application propre mot de passe au moment de de passe après la première connexion? Gestion des accès
de DFS sont envoyés leur inscription, et ce mot de passe doit des utilisateurs
selon des modalités être chiffré tout au long du processus de
intrinsèquement transmission au système de DFS. Lorsque
exposées à des des identifiants de première connexion
risques, telles que les à l'application de DFS sont envoyés aux
SMS ou les agents utilisateurs, s'assurer que ces derniers les
(DS: confidentialité reçoivent directement, sans l'intervention
des données). d'une tierce partie ou d'un agent. Il doit
ensuite être demandé aux utilisateurs de
changer leur mot de passe après la pre-
mière connexion.
Contrôle des – En l'absence d'un C12: Imposer aux utilisateurs internes, Existe-t-il un nombre maximum de tentatives Politique de
accès suivi des tentatives aux commerçants, aux agents et aux de connexion au-delà duquel le compte est contrôle des accès –
de connexion, les utilisateurs externes un nombre limite de verrouillé? Contrôle des accès
systèmes sont expo- tentatives de connexion pour l'accès aux aux systèmes et aux
sés aux attaques systèmes de DFS (base de données, sys- applications
par force brute (DS: tème d'exploitation, application).
contrôle des accès).
MNO Authentifi- – Transmission non C14: Les fournisseurs de DFS doivent trans- Les identifiants de connexion aux DFS sont-ils Politique de
cation sécurisée des identi- mettre à l'utilisateur ses identifiants de transmis à l'utilisateur par l'intermédiaire d'un contrôle des accès –
fiants de l'utilisateur connexion de manière sécurisée, par l'inter- canal distinct/hors bande? (Lorsque le compte Contrôle des accès
(DS: contrôle des médiaire d'un canal distinct (hors bande). est configuré par l'intermédiaire d'un canal aux systèmes et aux
accès) USSD, par exemple, l'envoi du mot de passe applications
à usage unique se fait-il par courrier électro-
nique ou appel vocal?)
MNO Sécurité des – Exposition du C15: Utiliser la translation d'adresse réseau Des mesures de contrôle techniques sont-elles Politique de sécurité
réseaux réseau interne à des pour limiter l'exposition de l'adresse IP et mises en place pour limiter l'exposition des des communica-
adversaires externes des informations de routage du système de adresses internes des systèmes de DFS (telles tions – Gestion de la
(DS: contrôle des DFS à des adversaires externes. que les adresses IP de la base de données)? sécurité des réseaux
accès)
Fournisseur Sécurité des – Protection insuffi- C16: Mettre en place une zone démilita- Des obstacles logiques sont-ils mis en place Politique de sécurité
de DFS réseaux sante des systèmes risée (DMZ) pour créer une séparation afin de limiter l'accès aux systèmes de DFS des communica-
internes contre des logique entre le système de DFS et l'en- pour tous les autres systèmes? (Sur le réseau, tions – Gestion de la
adversaires externes semble des autres systèmes internes par exemple, les systèmes de traitement sécurité des réseaux
(DS: contrôle des et externes, et empêcher les systèmes des DFS sont-ils protégés par des obstacles
accès) externes d'accéder directement aux sys- logiques et physiques permettant d'interdire
tèmes de DFS internes. l'accès aux utilisateurs internes non autorisés?)
Lignes directrices pour l’audit de sécurité des services financiers numériques 11
