Obligations légales en terme de sécurité des prestaires de service de paiement - MelvinCou/cash-manager GitHub Wiki

Il s'agit d'un bref résumé des attentes en terme de sécurité définit au niveau national et européen. Plus de détails dans ces deux liens :

Loi européenne : https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2081899/ddd9a896-c088-4624-a60e-30a6a233f32e/Guidelines%20on%20the%20security%20measures%20under%20PSD2%20%28EBA-GL-2017-17%29_FR.pdf?retry=1

Loi française (Banque de France) : https://www.banque-france.fr/system/files/2023-08/banque_de_france_espace_declarants_referentiel-de-securite-des-interfaces-d-acces-2019-02-22-1138.pdf

Gestion des risques

Ces deux textes insistent particulièrement sur le maintien d'une documentation précise sur la gestion des risques, comportant ces 3 étapes :

  1. Identification du risque : date, nom, description brève de ce risque, ses effets
  2. Évaluation du risque : donner sa probabilité (entre rare, courant, fréquent) et sa gravité (mineur, significatif, grave, catastrophique). On peut déjà déterminer s'il s'agit d'un risque acceptable, à réduire, ou innaceptable via le diagramme de Farmer : image
  1. Élaboration d'un plan d'atténuation voire suppression du risque : réflexion et création d'une solution permettant d'éliminer ce risque, ou de pouvoir le prévenir pour avoir une réponse rapide et adaptée s'il se produisait

Méthode de défense en profondeur

Méthode consistant à mettre en œuvre des contrôles à plusieurs niveaux visant les personnes, les procédés et la technologie, chaque niveau servant de filet de sécurité aux niveaux précédents. Par exemple la mise de l'authentification à deux facteurs, la segmentation en réseaux, les multiples pare-feu.

Architecture permettant la séparation des fonctions

Une architecture en microservice respectant les principes SOLID est à privilégier. Ils insistent aussi sur une bonne séparation des environnements de développement, test et production.

Sécurisation des flux/sessions de communications

Un chiffrement sécurisé doit être utilisé entre les différentes parties concernées. De plus, une session de communication s'appuie sur les éléments suivants :

  1. un identifiant unique, non prédictible, de la session
  2. des mécanismes de sécurité pour l'enregistrement détaillé de l'opération, y compris son numéro, les horodatages, et toutes les données pertinentes de l'opération.
  3. horodatage fondé sur un système unifié de représentation du temps.

Monitoring/suivi des transactions

Une méthode de suivi des transactions doit être mis en place pour détecter les anomalies éventuelles, avec analyse du contenu à la recherche de code malveillants. Lors d'une erreur, envoie d'un message de notification de l'erreur.

Archivage

Toute opération effectuée doit être traçable pour éventuellement un audit a posteriori, y compris les cas d'erreur ou d’événements imprévus lors de l'authentification, ou lors de la transaction même, etc...

Registre des risques

Nom du risque Date Description brève Conséquences Probabilité Gravité Priorité Solution d'atténuation