Page 20 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 20
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
MNO Authentifi- – Mesures de C56: Il convient de mettre en place un Le fournisseur de DFS est-il impliqué dans le Gestion des actifs –
cation contrôle insuffisantes processus de recyclage des numéros processus de recyclage des cartes SIM des Traitement des
pour l'identification mobiles impliquant de communiquer avec utilisateurs du service? différents médias
et la vérification de les fournisseurs de DFS sur le recyclage ou
l'utilisateur avant tout la résiliation des numéros d'identification
échange ou recyclage d'abonné mobile (MSIN) (dans ce contexte,
de carte SIM (DS: le recyclage désigne la réaffectation par le
authentification) MNO d'un MSIN à un nouvel utilisateur).
Lorsqu'une carte SIM est recyclée, le MNO
signale un changement de numéro IMSI
pour le numéro de téléphone du compte
correspondant. Le fournisseur de DFS
doit alors bloquer l'accès au compte en
attendant de vérifier que le nouveau pro-
priétaire de la carte SIM est bien le titulaire
du compte.
Confiden- – Vol d'appareil C57: En cas de perte ou de vol de leur L'application ou le système d'exploitation Politique de sécurité
tialité mobile (DS: confiden- appareil, les utilisateurs des DFS doivent sous-jacent prennent-ils en charge la suppres- opérationnelle –
tialité des données) avoir la possibilité de chiffrer leurs données sion à distance des données des DFS ou de Procédures et
et de les effacer à distance. l'appareil mobile, et des mécanismes sont-ils responsabilités
mis en place pour assurer le chiffrement des opérationnelles
données en cas de perte ou de vol?
Fournisseur Contrôle des – Processus C58: Les fournisseurs de DFS doivent s'as- Des procédures sont-elles mises en place pour Politique de sécurité
de DFS accès d'échange et de recy- surer que des procédures sont mises en permettre au fournisseur de DFS de détecter opérationnelle –
clage de carte SIM[ii] place pour détecter et éviter les cas sus- les cas suspects d'échange et de recyclage de Procédures et
incorrects (DS: inté- pects d'échange et de recyclage de carte carte SIM? responsabilités
grité des données) SIM. Pour cela, ils doivent suivre les étapes opérationnelles
suivantes:
a) Vérifier que le numéro IMSI associé au
numéro de téléphone est resté le même.
S'il a changé, cela pourrait indiquer un
échange de carte SIM.
b) Dans ce cas, vérifier le numéro d'identité
internationale d'équipement mobile (IMEI)
du téléphone associé à la carte SIM. S'il
a changé également, cela indique une
probabilité élevée d'échange de carte SIM.
Dans ce cas, le fournisseur de DFS doit
bloquer le compte en attendant de pouvoir
procéder aux vérifications d'usage par
l'intermédiaire d'un appel vocal ou d'un
agent.
Fournisseur Détection – Modifications C59: Protéger le système contre les tenta- L'application stocke-t-elle les transactions Politique de sécurité
de DFS des fraudes non autorisées de tives de falsification et n'autoriser que les pour une transmission ultérieure? opérationnelle –
la configuration du transactions en ligne. Procédures et
système ainsi que des a) Assurer le suivi des fichiers de l'appli- responsabilités
données et des jour- opérationnelles
naux d'événements cation de DFS et les protéger contre les
tentatives de falsification et de modifica-
(DS: intégrité des tion en s'appuyant sur des outils de suivi
données)
destinés à préserver leur intégrité, par
exemple à travers le calcul des sommes de
contrôle ou la vérification des signatures
numériques.
b) La politique du fournisseur de DFS ou du
commerçant ne doit pas permettre d'uti-
liser la solution de paiement mobile pour
autoriser les transactions hors ligne ou
pour stocker une transaction en vue d'une
transmission ultérieure sur le serveur.
Fournisseur Authentifi- – Vérification insuf- C60: Utiliser une authentification forte à Les utilisateurs sont-ils soumis à une procé- Politique de
de DFS cation fisante des accès ou facteurs multiples pour l'accès des utilisateurs dure d'authentification à facteurs multiples? contrôle des accès –
des données d'entrée et des fournisseurs tiers aux systèmes Contrôle des accès
des utilisateurs (DS: de DFS, par exemple grâce à des jetons aux systèmes et aux
authentification) d'accès ou une vérification biométrique. applications
L'usage de ces méthodes d'authentification
favorise la non-répudiation de l'origine.
18 Lignes directrices pour l’audit de sécurité des services financiers numériques
