Page 22 - Lignes directrices pour l'audit de sécurité des services financiers numériques
P. 22
(continue)
Politique ou
Entité DFS Catégorie Risques et Mesures de contrôle Question de vérification de la sécurité procédure
concernée vulnérabilités
applicable
MNO Sécurité des – Absence de protec- C75: Surveiller et contrôler l'usage du suivi Le MNO a-t-il mis en place des mesures de Politique de
réseaux tion du trafic sensible MSC-MAP et des analyseurs de protocole contrôle pour limiter l'accès au suivi MAP et contrôle des accès –
et faiblesse des pra- pour l'infrastructure USSD et SMS afin de l'usage des analyseurs de protocole sur le Gestion des accès
tiques de chiffrement limiter l'accès interne aux transmissions réseau interne? (Dans le protocole MAP, les des utilisateurs
(DS: sécurité des SMS et USSD en texte clair. messages SMS et USSD sont transmis en texte
communications) clair.)
MNO Sécurité des – Absence de protec- C76: Vérifier la légitimité de la transaction La validation des transactions s'opère-t-elle Politique de
réseaux tion du trafic sensible grâce à une procédure d'approbation bidi- grâce à l'emploi d'un mot de passe à usage contrôle des accès –
et faiblesse des pra- rectionnelle avec envoi d'un mot de passe unique? Gestion des accès
tiques de chiffrement à usage unique au numéro de téléphone des utilisateurs
(DS: sécurité des original [iv]
communications)
MNO Confiden- – Absence de protec- C77: Avoir recours à des pratiques de Les algorithmes et les clés de chiffrement Cryptogra-
tialité tion du trafic sensible chiffrement solides afin de garantir la utilisés sont-ils suffisamment solides pour phie – Mesures
et faiblesse des pra- confidentialité et l'intégrité des données au protéger les codes PIN et les données des de contrôle
tiques de chiffrement moment de leur entrée, de leur traitement utilisateurs? cryptographiques
(DS: sécurité des et de leur stockage sur le réseau du fournis-
communications) seur de DFS.
MNO Contrôle des – Absence de protec- C78: Limiter le nombre de sessions de DFS Des mesures de contrôle sont-elles mises en Politique de
accès tion du trafic sensible par utilisateur. Autoriser une seule session à place pour empêcher les connexions simulta- contrôle des accès –
et faiblesse des pra- la fois par utilisateur, quel que soit le canal nées à plusieurs canaux? Contrôle des accès
tiques de chiffrement d'accès (STK, USSD ou HTTPS); un compte aux systèmes et aux
(DS: sécurité des d'utilisateur de DFS ne doit pas être acces- Le fournisseur de DFS autorise-t-il une seule applications
session d'utilisateur à la fois pour se connecter
communications) sible sur plusieurs canaux à la fois.
au réseau de DFS? (Une connexion simultanée
à plusieurs canaux peut indiquer une faille de
sécurité.)
MNO Sécurité des – Absence de protec- C79: L'opérateur de réseau mobile doit Le MNO a-t-il mis en place le protocole SS7 et Politique de sécurité
réseaux tion du trafic sensible déployer le protocole SS7 et les contrôleurs les contrôleurs de signalisation de diamètre des communica-
et faiblesse des pra- de signalisation de diamètre recommandés afin de limiter les menaces liées à des attaques tions – Gestion de la
tiques de chiffrement par la GSM Association (FS.11, FS.07, IR.82, SS7? sécurité des réseaux
(DS: sécurité des and IR.88) afin de limiter les menaces liées
communications) à des attaques SS7 [3].
Fournisseur Confiden- – Protection insuffi- C80: Protéger et sauvegarder les données Les données et les formulaires d'inscription Gestion des actifs –
de DFS tialité sante des données d'inscription des utilisateurs des DFS; des utilisateurs des DFS sont-ils stockés et Traitement des
d'inscription des uti- lorsque des formulaires physiques sont transmis de manière sécurisée, et protégés différents médias
lisateurs des DFS (DS: utilisés, les stocker et les transmettre de contre les fuites de données grâce au contrôle
authentification) manière sécurisée. d'accès basé sur les rôles (RBAC), au chiffre-
ment des données, etc.?
Fournisseur Sécurité des – Faiblesse du chif- C81: Appliquer des normes de chiffrement Le protocole de chiffrement TLS utilisé est-il Sécurité des com-
de DFS réseaux frement (DS: sécurité solides aux communications avec les API, suffisamment sûr (v1.2 ou supérieures en munications – Trans-
des communications) telles que le protocole TLS v1.2 et normes juillet 2020)? fert d'informations
supérieures.
L'application utilise-t-elle les dernières ver-
sions du protocole TLS?
L'application utilise-t-elle une version obsolète
du protocole TLS?
Fournisseur Sécurité des – Contrôle et suivi C82: Élargir les processus de détection des Des mesures de contrôle opérationnelles Politique de
de DFS réseaux insuffisants de l'accès menaces afin d'inclure de manière explicite sont-elles mises en place pour détecter les sécurité opéra-
des utilisateurs au les menaces liées aux API. menaces liées aux API? tionnelle – Gestion
système de DFS (DS: des vulnérabilités
contrôle des accès) Des mesures de contrôle opérationnelles techniques
sont-elles mises en place pour détecter les
applications dangereuses ou malveillantes?
Fournisseur Contrôle des – Contrôle et suivi C83: Limiter l'accès à la connexion à dis- Des mesures de contrôle sont-elles mises en Politique de
de DFS accès insuffisants de l'accès tance et limiter les privilèges des sessions à place pour limiter l'accès aux systèmes de contrôle des accès –
des utilisateurs au distance pour l'accès aux systèmes internes DFS, en particulier pour les utilisateurs qui ont Gestion des accès
système de DFS (DS: de DFS. recours à une connexion à distance? des utilisateurs
contrôle des accès)
Fournisseur Confiden- – Contrôle et suivi C84: Limiter la durée de vie des certificats Le certificat TLS est-il encore valide (il ne doit Politique de sécurité
de DFS tialité insuffisants de l'accès TLS à 825 jours. pas dater de plus de 825 jours)? des communica-
des utilisateurs au tions – Gestion de la
système de DFS (DS: sécurité des réseaux
contrôle des accès)
20 Lignes directrices pour l’audit de sécurité des services financiers numériques
