RTS on threat-led penetration testing

Des entités financières peuvent avoir le même prestataire de services TIC intra-groupe ou appartenir au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et dépendre de l’utilisation de systèmes de TIC partagés. Dans ce cas, pour évaluer si une entité financière doit être soumise à des tests d’intrusion fondés sur la menace et si ces tests doivent être conduits au niveau de l’entité ou au niveau du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; (au moyen d’un TIFM commun), il est important que les autorités TIFM tiennent compte de la structure et du caractère systémique ou de l’importance pour le secteur financier de cette entité financière au niveau national ou au niveau de l’Union.

Pour être conforme au cadre TIBER-EU, il est nécessaire que la méthodologie des tests prévoie la participation des principaux participants suivants: l’entité financière, avec une équipe chargée du contrôle (correspondant à l’«équipe chargée du contrôle» de TIBER-EU) et une équipe bleue (correspondant à l’«équipe bleue» de TIBER-EU), et l’autorité TIFM, sous la forme d’une équipe de cybersécurité TIFM (correspondant aux «cyberéquipes TIBER» de TIBER-EU), un fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et des testeurs (les testeurs correspondant au «fournisseur de l’équipe rouge» de TIBER-EU).

Afin de faire en sorte que les TIFM bénéficient de l’expérience acquise dans le cadre de la mise en œuvre de TIBER-EU et de réduire les risques associés à l’exécution des TIFM, il convient de veiller à ce que les responsabilités des équipes de cybersécurité TIFM mises en place au niveau des autorités TIFM correspondent le plus étroitement possible à celles des équipes de cybersécurité de TIBER-EU. Par conséquent, les équipes de cybersécurité TIFM devraient comprendre des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; chargés de superviser les TIFM ainsi que de planifier et de coordonner les différents tests. Les équipes de cybersécurité TIFM devraient servir de point de contact unique pour la communication concernant les tests avec les parties prenantes internes et externes, pour la collecte et le traitement des retours d’information et des enseignements tirés des tests conduits précédemment, et pour l’assistance aux entités financières faisant l’objet de tests d’intrusion fondés sur la menace.

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue l’aurait détecté.

Comme le montre l’expérience acquise avec le cadre TIBER-EU s’agissant de l’«équipe chargée du contrôle», pour que les TIFM soient conduits en toute sécurité, il est indispensable de bien sélectionner le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;. Celui-ci devrait disposer, au sein de l’entité financière, du mandat nécessaire pour piloter tous les aspects des tests, sans en compromettre la confidentialité. Pour la même raison, les membres de l’équipe chargée du contrôle devraient avoir une connaissance approfondie de l’entité financière ainsi que du rôle du chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné; et de son positionnement stratégique, avoir l’ancienneté requise et avoir accès au conseil d’administration. Afin de réduire le risque de compromettre le TIFM, l’équipe chargée du contrôle devrait être aussi restreinte que possible.

Certains éléments de risque sont inhérents aux TIFM, étant donné que des fonctions critiques sont testées dans un environnement de production réel, ce qui est susceptible de provoquer des incidents de type «déni de service», des pannes système inattendues, de dommages à des systèmes critiques en environnement de production, ou la perte, l’altération ou la divulgation de données. Ces risques mettent en évidence la nécessité de solides mesures de gestion des risques. Afin de veiller à ce que les tests d’intrusion fondés sur la menace soient conduits de manière contrôlée tout au long du processus, il est très important que les entités financières soient à tout moment conscientes des risques particuliers qu’entraîne un TIFM et que ces risques soient atténués. À cet égard, sans préjudice des processus internes de l’entité financière et de la responsabilité et des délégations déjà confiées au chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;, des informations sur les mesures de gestion des risques liés aux TIFM ou, dans des cas particuliers, l’approbation de ces mesures par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière lui-même peuvent être appropriées. Pour être en mesure de fournir des services professionnels efficaces et hautement qualifiés et de réduire ces risques, il est également essentiel que les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; (collectivement appelés «prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;») possèdent le plus haut niveau possible de compétences et d’expertise et une expérience appropriée en matière de renseignement sur les menaces et de TIFM dans le secteur des services financiers.

Les tests d’intrusion conventionnels fournissent une évaluation détaillée et utile des s techniques et de configuration qui porte souvent sur un seul système ou environnement pris isolément, mais, contrairement aux tests de l’équipe rouge fondés sur les renseignements, ils n’évaluent pas le scénario complet d’une attaque ciblée contre une entité dans son intégralité, ce qui comprend l’ensemble de son personnel, de ses processus et de ses technologies. Au cours du processus de sélection des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;, les entités financières devraient donc veiller à ce que ces derniers disposent des compétences requises pour effectuer des tests d’équipe rouge fondés sur les renseignements, et pas seulement des tests d’intrusion. Il est donc nécessaire de définir des critères complets pour les testeurs, qui peuvent être aussi bien internes qu’externes, et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, qui sont toujours externes. Lorsque les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; appartiennent à la même entreprise, le personnel affecté à un TIFM devrait être suffisamment séparé.

Dans certaines circonstances exceptionnelles, il peut arriver que les entités financières ne soient pas en mesure de conclure des contrats avec des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; satisfaisant à l’ensemble des critères. Dès lors qu’elles sont en mesure de prouver l’indisponibilité de tels fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, les entités financières devraient être autorisées à engager des personnes qui ne satisfont pas à l’ensemble des critères, pour autant qu’elles atténuent correctement les risques supplémentaires qui en résultent et que l’autorité TIFM évalue tous ces critères.

Lorsque plusieurs entités financières et plusieurs autorités TIFM sont impliquées dans un TIFM, il convient de préciser les rôles de chaque partie dans le processus de TIFM afin de garantir une efficacité et une sécurité optimales du test. Aux fins des tests groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és, des exigences spécifiques sont nécessaires pour préciser le rôle de l’entité financière désignée, à savoir qu’elle devrait être chargée de fournir toute la documentation nécessaire à l’autorité TIFM chef de file et de surveiller le processus de test. L’entité financière désignée devrait également être chargée des aspects communs de l’évaluation de la gestion des risques. Nonobstant le rôle de l’entité financière désignée, les obligations de chaque entité financière participant au processus de TIFM groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é devraient rester inchangées au cours du test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é. Le même principe devrait s’appliquer dans le cas des TIFM communs.

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; et l’échange de retours d’information sur le TIFM.

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;.

L’entité financière devrait sélectionner les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui entreront dans le périmètre du TIFM. Pour sélectionner ces fonctions, l’entité financière devrait se fonder sur divers critères mesurant l’importance que chacune d’entre elles revêt pour l’entité financière elle-même et pour le secteur financier, au niveau de l’Union et au niveau national, non seulement sur le plan économique, mais aussi au regard du statut symbolique ou politique de la fonction. Afin de faciliter le passage à la phase de collecte de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, des informations détaillées sur le périmètre convenu du test devraient être fournies par l’équipe chargée du contrôle aux testeurs et aux fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; qui n’ont pas participé pas au processus de définition dudit périmètre.

Afin de fournir aux testeurs les informations nécessaires pour simuler une attaque réelle et réaliste contre les systèmes opérationnels qui sous-tendent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; devrait recueillir des renseignements ou des informations couvrant au moins deux domaines d’intérêt clés: les cibles, par l’identification des surfaces d’attaque potentielles dans l’ensemble de l’entité financière, et les menaces, par l’identification des acteurs de la menace pertinents et des scénarios de menace probables. Afin que le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; tienne compte des menaces pertinentes pour l’entité financière, les testeurs, l’équipe chargée du contrôle et les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient fournir un retour d’information sur le projet de rapport de renseignement sur les menaces. Le cas échéant, le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; peut utiliser un panorama général de la menace fourni par l’autorité TIFM pour le secteur financier d’un État membre en guise de référence pour le panorama national de la menace. D’après l’application du cadre TIBER-EU, le processus de collecte de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; dure généralement environ quatre semaines.

Afin que les testeurs puissent se faire une idée de la situation et examiner plus en détail le document de spécification du périmètre du test ainsi que le rapport de renseignement sur les menaces ciblées pour finaliser le plan de test de l’équipe rouge, il est essentiel que, avant la phase de test de l’équipe rouge du TIFM, les testeurs reçoivent du fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; des explications détaillées concernant le rapport de renseignement sur les menaces ciblées et une analyse des scénarios de menace possibles.

Afin de permettre aux testeurs de réaliser un test réaliste et exhaustif, dans le cadre duquel toutes les phases d’attaque sont exécutées et tous les drapeaux: des objectifs clés dans les systèmes de TIC soutenant les fonctions critiques ou importantes d’une entité financière que les testeurs tentent d’atteindre dans le cadre du test; atteints, il convient d’allouer un temps suffisant à la phase active de test de l’équipe rouge. D’après l’expérience acquise avec le cadre TIBER-EU, le délai alloué devrait être d’au moins 12 semaines et devrait être fixé en tenant compte du nombre de parties concernées, du périmètre du TIFM, des ressources de la ou des entités financières impliquées, de toute exigence externe éventuelle et de la disponibilité d’informations complémentaires fournies par l’entité financière.

Au cours de la phase active de test de l’équipe rouge, les testeurs devraient déployer une série de tactiques, de techniques et de procédures pour tester de manière adéquate les systèmes en environnement de production de l’entité financière. Ces tactiques, techniques et procédures devraient inclure, le cas échéant, la reconnaissance (c’est-à-dire la collecte du plus grand nombre possible d’informations sur une cible), l’instrumentalisation (c’est-à-dire l’analyse des informations sur l’infrastructure, les installations et les employés et la préparation des opérations spécifiques à la cible), la réalisation (c’est-à-dire le lancement actif de l’opération complète sur la cible), l’exploitation (où l’objectif des testeurs est de compromettre les serveurs et les réseaux de l’entité financière et de se servir de son personnel au moyen de l’ingénierie sociale), le contrôle et le mouvement (c’est-à-dire les tentatives de passer des systèmes compromis à d’autres systèmes vulnérables ou de grande valeur) et des actions sur la cible (par exemple l’obtention d’un accès plus large aux systèmes compromis et l’obtention d’un accès à des informations et données cibles préalablement convenues, comme prévu dans le plan de test de l’équipe rouge).

Lors de la réalisation d’un TIFM, les testeurs devraient agir en tenant compte du temps et des ressources dont ils disposent pour mener l’attaque, ainsi que des limites éthiques et juridiques. Si les testeurs ne sont pas en mesure de passer à l’étape suivante de l’attaque, telle que programmée, une assistance occasionnelle devrait leur être fournie par l’équipe chargée du contrôle, avec l’accord de l’autorité TIFM, sous la forme de «coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable;» (ou «leg-upsmeans the assistance or information provided by the control team to the testers to enable the testers to continue the execution of an attack path where they are not able to advance on their own, and where no other reasonable alternative exists, including for insufficient time or resources in a given TLPT;»). Ces coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable; peuvent être subdivisés grosso modo en deux catégories: «informations» et «accès». Ils peuvent ainsi consister en la fourniture d’un accès à des systèmes de TIC ou à des réseaux internes afin de permettre la poursuite du test et la préparation des étapes suivantes de l’attaque.

Durant la phase active de test de l’équipe rouge, si cela est nécessaire pour permettre la poursuite du TIFM, il y a lieu de recourir à une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue. Cela ne doit toutefois se faire qu’en dernier recours, dans des circonstances exceptionnelles et une fois toutes les autres options épuisées. Dans le cadre d’un tel exercice restreint de collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue;, les méthodes suivantes peuvent être utilisées: le «catch-and-release» (attraper et relâcher), où les testeurs tentent de poursuivre les scénarios, se font détecter puis reprennent les tests, le «war gaming» (jeu de guerre), qui permet de mettre en œuvre des scénarios plus complexes pour tester la prise de décision stratégique, ou le «collaborative proof-of-concept» (la validation de concept collaborative), qui permet aux testeurs et aux membres de l’équipe bleue de valider conjointement des mesures, outils ou techniques de sécurité spécifiques dans un environnement contrôlé et coopératif.

Le TIFM est destiné à être utilisé à des fins d’apprentissage, dans le but de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières. À ce titre, l’équipe bleue et les testeurs devraient rejouer l’attaque et revoir ensemble les mesures prises afin de tirer des enseignements du test, en collaboration avec les testeurs. Pour ce faire, et pour permettre à tous de bien se préparer, il convient, avant que les activités consistant à rejouer l’attaque ne soient menées, que les rapports de test des équipes rouge et bleue soient mis à la disposition de toutes les parties impliquées dans ces activités. En outre, au cours de la phase de clôture, il y a lieu d’organiser un exercice de collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; afin de maximiser l’expérience d’apprentissage. Les méthodes à employer pour cette collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; en phase de clôture devraient comprendre la discussion d’autres scénarios d’attaque, l’exploration d’autres scénarios sur les systèmes en environnement de production ou la réexploration, sur les systèmes en environnement de production, des scénarios planifiés que les testeurs n’ont pas été en mesure d’achever ou d’exécuter au cours de la phase de test.

Afin de faciliter l’expérience d’apprentissage de toutes les parties impliquées dans le TIFM, dans l’optique de tests futurs, et de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières, les parties concernées devraient s’échanger des retours d’information sur l’ensemble du processus et, en particulier, pointer les activités qui se sont bien déroulées et celles qui auraient pu être améliorées, ainsi que les aspects du processus de TIFM qui ont bien fonctionné et ceux qui pourraient être améliorés.

Les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554 et, si ce ne sont pas les mêmes autorités, les autorités TIFM, devraient coopérer afin d’intégrer des tests avancés dans les processus de surveillance existants, au moyen de tests d’intrusion fondés sur la menace. À cet égard, et afin de veiller à la bonne compréhension des résultats des tests d’intrusion fondés sur la menace et de la manière dont ces résultats devraient être interprétés, il convient, en particulier pour le rapport de synthèse des tests et les plans de mesures correctives, qu’une coopération étroite soit établie entre les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; qui ont participé au TIFM et les autorités de surveillance responsables.

L’article 26, paragraphe 8, premier alinéa, du règlement (UE) 2022/2554 impose aux entités financières d’engager des testeurs externes tous les trois tests. Lorsque les entités financières incluent dans l’équipe de testeurs à la fois des testeurs internes et externes, le TIFM doit être considéré, aux fins dudit article, comme effectué avec des testeurs internes.

Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers (les «autorités européennes de surveillance»), en accord avec la Banque centrale européenne.

Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(³)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées aux pensions professionnelles institués en application de l’article 37 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁴)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁵)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁶)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 20 août 2024,