Art. 27 Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace | DORA regulation | DORA

1. Afin de réaliser des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, les entités financières ont uniquement recours à des testeurs qui:
  1. possèdent l’aptitude et la réputation les plus élevées;
  2. possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team;
  3. sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;
  4. fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;
  5. sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.
1. Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
  1. le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique désignée conformément à l’article 26, paragraphes 9 et 10;
  2. l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et
  3. le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; est externe à l’entité financière.
1. Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.