Page 21 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 21
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
Fournisseur Authentifi- – Vérification insuf- C61: Comparer les données entrantes Le fournisseur de DFS procède-t-il à une vérifi- Sécurité des com-
de DFS cation fisante des accès ou aux valeurs attendues dans le schéma de cation de la signature XML des données pour munications – Trans-
des données d'entrée données associé à l'API; pour les requêtes les requêtes issues des API et du canal USSD? fert d'informations
des utilisateurs (DS: issues du canal USSD, procéder à une vérifi- Par exemple: validation des données d'entrée,
authentification) cation de la signature XML. vérification des montants, détection de la
présence de caractères spéciaux dans les
montants, contrôle des devises, etc.
Fournisseur Authentifi- – Vérification insuf- C62: Utiliser des systèmes d'analyse Le système de DFS est-il en mesure de Politique de
de DFS cation fisante des accès ou permettant de vérifier la vélocité des utili- détecter des transactions inhabituelles en contrôle des accès –
des données d'entrée sateurs entre les transactions et surveiller s'appuyant sur le profil de l'utilisateur? Contrôle des accès
des utilisateurs (DS: les horaires des transactions afin de mettre aux systèmes et aux
authentification) en place des procédures d'autorisation Le fournisseur de DFS procède-t-il à des véri- applications
fications fondées sur le profil de transaction
complémentaires.
de l'utilisateur (par exemple, des agents intel-
ligents procédant à des transactions tardives
ou des utilisateurs procédant à des transac-
tions depuis deux endroits différents)?
Fournisseur Authentifi- – Vérification insuf- C63: Quelle que soit la méthode utilisée L'application de DFS stocke-t-elle ou trans- Gestion des actifs –
de DFS cation fisante des accès ou pour produire les reçus (courriers électro- met-elle le numéro PAN ou les données Traitement des
des données d'entrée niques, SMS, imprimante reliée au réseau, SAD en texte clair par SMS ou par courrier différents médias
des utilisateurs (DS: etc.), le numéro de compte principal (de électronique?
authentification) l'anglais Primary Account Number, ou PAN)
ne doit pas apparaître, conformément
aux lois, aux réglementations et aux poli-
tiques en vigueur en matière de cartes de
paiement. La politique et les pratiques du
fournisseur de DFS et du commerçant ne
doivent pas permettre l'usage de canaux
non sécurisés tels que les courriers élec-
troniques et les SMS pour l'envoi des PAN
ou des données d'identification sensibles
(de l'anglais Sensitive authentication data,
ou SAD).
MNO Sécurité des – Vulnérabilités C70: S'assurer que l'ensemble des données Les algorithmes et les clés de chiffrement Cryptogra-
réseaux SS7 inhérentes [iii] sensibles des utilisateurs, telles que les utilisés sont-ils suffisamment solides pour phie – Mesures
(DS: sécurité des codes PIN et les mots de passe, sont stoc- protéger les codes PIN et les données des de contrôle
communications) kées de manière sécurisée et protégées par utilisateurs? cryptographiques
des algorithmes de chiffrement, tant sur le
réseau interne qu'au repos, afin de limiter
les menaces internes auxquelles elles
peuvent être exposées.
MNO Sécurité des – Vulnérabilités C71: Utiliser des pare-feu pour détecter et Le MNO a-t-il mis en place un pare-feu pour Politique de sécurité
réseaux SS7 inhérentes [iii] limiter les attaques exploitant des vulnéra- détecter et se protéger contre les attaques des communica-
(DS: sécurité des bilités SS7. externes exploitant des vulnérabilités SS7 tions – Gestion de la
communications) (par exemple, une protection pare-feu contre sécurité des réseaux
l'interception du trafic d'abonné, l'accès USSD
non autorisé et l'usurpation de carte SIM)?
MNO Contrôle des – Interception des C72: Vérifier que le numéro IMEI de l'appa- Le fournisseur de DFS procède-t-il à la vérifica- Politique de
accès transactions USSD reil à l'origine de la transaction correspond tion en temps réel de l'appareil de l'utilisateur contrôle des accès –
réalisées depuis un bien au numéro IMEI enregistré pour le avant le traitement d'une transaction? Contrôle des accès
terminal mobile téléphone de la personne titulaire du aux systèmes et aux
(DS: sécurité des compte (par un système d'attaque de applications
communications) l'homme du milieu, il est possible de cloner
la carte SIM en utilisant un numéro IMEI
différent).
MNO Sécurité des – Absence de protec- C73: Surveiller la vélocité de l'utilisateur Avant de traiter les transactions, le fournisseur Politique de
réseaux tion du trafic sensible en comparant la localisation du téléphone de DFS procède-t-il à des vérifications fondées contrôle des accès –
et faiblesse des pra- à l'origine des transactions à la dernière sur la détection intelligente de la géovélocité? Contrôle des accès
tiques de chiffrement localisation connue du téléphone (dernier aux systèmes et aux
(DS: sécurité des SMS ou appel entrant ou sortant). applications
communications)
MNO Sécurité des – Absence de protec- C74: Les MNO doivent imposer l'usage Le MNO impose-t-il l'usage d'un code PUK sur Sécurité des com-
réseaux tion du trafic sensible d'une clé personnelle de déverrouillage les cartes SIM afin d'atténuer les risques liés munications – Trans-
et faiblesse des pra- (code PUK) sur les cartes SIM afin d'offrir au vol des cartes SIM associées à des comptes fert d'informations
tiques de chiffrement une sécurité supplémentaire en cas de de DFS?
(DS: sécurité des perte ou de vol de l'appareil mobile.
communications)
Lignes directrices pour l’audit de sécurité des services financiers numériques 19
