Annexe III | Contenu du rapport de renseignement sur les menaces ciblées (Article 10, paragraphe 5)

Le rapport de renseignement sur les menaces ciblées contient des informations sur tous les points suivants:

Le périmètre global de la recherche en matière de renseignement, dont au moins les éléments suivants:
1. les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; entrant dans le périmètre;
2. leur localisation géographique;
3. la langue officielle de l’UE utilisée;
4. les prestataires tiers de services TIC concernés;
5. la période au cours de laquelle les renseignements sont recueillis.
Une évaluation globale indiquant quels renseignements concrets exploitables peuvent être trouvés au sujet de l’entité financière, notamment:
1. les noms d’utilisateur et les mots de passe des salariés;
2. les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;
3. la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;
4. les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;
5. les informations en vente sur le dark web;
6. toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;
7. le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.
L’analyse des renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; à la lumière du panorama général de la menace et de la situation particulière de l’entité financière, y compris, au moins:
1. l’environnement géopolitique;
2. l’environnement économique;
3. les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.
Les profils de menace des acteurs malveillants (personne/groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; spécifique ou catégorie générique) susceptibles de cibler l’entité financière, y compris les systèmes de l’entité financière que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, l’intention et la logique possibles du ciblage potentiel et le mode opératoire possible des auteurs des attaques.
Les scénarios de menace: au moins trois scénarios de menace de bout en bout pour les profils de menace identifiés conformément au point 4 qui présentent les scores de gravité de la menace les plus élevés. Les scénarios de menace décrivent le chemin d’attaque de bout en bout et comprennent au moins:
1. un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;
2. un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;
3. un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.
Le cas échéant, une description du scénario non fondé sur la menace visé à l’article 10, paragraphe 4.