Page 18 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 18
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournis- Disponibilité – Défaillance du sys- C44: – Mettre en place des mesures de Des politiques sont-elles mises en place pour Politique de sécurité
seurs tiers tème du fournisseur contrôle procédurales et techniques, en assurer la gestion du système en cas d'indis- opérationnelle –
de DFS ou du MNO commun avec les fournisseurs de services, ponibilité du réseau? Procédures et
obligeant les agents afin d'assurer une gestion efficace du sys- responsabilités
et les parties tierces tème en cas d'indisponibilité. Par exemple, opérationnelles
à se tourner vers des prévoir des mesures pour la gestion hors
processus hors ligne ligne des transactions (telles que des
(DS: disponibilité) échanges de carte SIM) en cas d'accès
intermittent au système de DFS. Mettre en
place des vérifications supplémentaires
pour les transferts de fonds et les paie-
ments des parties tierces en cas d'accès
intermittent au système de DFS ou du
fournisseur tiers.
Fournisseur Authentifi- – Contrôle insuffisant C45: Utiliser l'authentification à facteurs La connexion aux comptes du système de DFS Politique de
de DFS cation et non sécurisé des multiples ou une combinaison de plusieurs est-elle soumise à une procédure d'authentifi- contrôle des accès –
accès aux comptes modes d'authentification pour l'accès aux cation à facteurs multiples? Gestion des accès
d'utilisateurs (DS: comptes du système de DFS. des utilisateurs
contrôle des accès)
Contrôle des – Pratiques de res- C46: – Désactiver les comptes et les Les comptes par défaut sont-ils supprimés du Politique de
accès tauration non testées identifiants de connexion par défaut et système de DFS et de l'ensemble des systèmes contrôle des accès –
(DS: disponibilité) les supprimer des bases de données, des connectés à ceux des DFS? Gestion des accès
applications, des systèmes d'exploitation et des utilisateurs
de toute autre interface d'accès en contact
avec le système de production de DFS.
Fournisseur Contrôle des – Pratiques de res- C47: Examiner les comptes liés à l'installa- Les comptes de l'éditeur des DFS et du Politique de
de DFS accès tauration non testées tion, à l'éditeur et à l'assistance technique, système d'assistance technique sont-ils contrôle des accès –
(DS: disponibilité) ainsi que les points d'accès aux systèmes désactivés lorsqu'ils n'ont plus aucune tâche Gestion des accès
et aux infrastructures de DFS. L'ensemble à effectuer? des utilisateurs
de ces comptes doivent être désactivés
ou associés à des profils d'utilisateurs
complets.
Fournisseur Disponibilité – Mesures de pro- C48: Après chaque modification des sys- Des tests de bout en bout sont-ils mis en Acquisition, déve-
de DFS tection des données tèmes de DFS, du MNO, des fournisseurs de œuvre lorsque les systèmes de DFS font l'objet loppement et
insuffisantes; par services et des parties tierces, procéder à d'une modification ou d'une mise à niveau? maintenance des
exemple, incapacité des tests de bout en bout et inclure notam- Les tests de bout en bout peuvent notam- systèmes d'infor-
à mettre en œuvre ment des tests de régression et de capacité ment inclure des tests de capacité, des tests mation – Sécurité
l'atomicité des tran- dans les tests de validation. Prévoir éga- de sécurité, des tests de la qualité de service, des processus de
sactions, ouvrant lement un plan de basculement ou une des tests de validation des utilisateurs, etc. développement
ainsi la voie à des procédure en cas de coupure du réseau. et d'assistance
transactions en état technique
d'achèvement partiel
(DS: intégrité des
données)
Fournisseur Disponibilité – Mesures de pro- C49: Programmer des sauvegardes régu- Le fournisseur de DFS a-t-il programmé des Politique de
de DFS tection des données lières des systèmes de DFS. Procéder à la sauvegardes régulières? sécurité opération-
insuffisantes; par vérification régulière des sauvegardes et nelle – Politique de
exemple, incapacité prévoir un stockage sécurisé, hors ligne et Les sauvegardes sont-elles chiffrées et stoc- sauvegarde
kées sur un site externe?
à mettre en œuvre sur un site externe, en adoptant un format
l'atomicité des tran- chiffré.
sactions, ouvrant
ainsi la voie à des
transactions en état
d'achèvement partiel
(DS: intégrité des
données)
16 Lignes directrices pour l’audit de sécurité des services financiers numériques
