Annexe IV | Contenu du plan de test de l’équipe rouge (Article 11, paragraphe 1)

Le plan de test de l’équipe rouge doit contenir des informations sur tous les éléments suivants:

les canaux et procédures de communication;
les tactiques, techniques et procédures autorisées ou non autorisées lors de l’attaque, y compris les limites éthiques de l’ingénierie sociale;
les mesures de gestion des risques à suivre par les testeurs;
une description de chaque scénario, comprenant:
1. l’acteur de la menace simulée;
2. son intention, sa motivation et ses objectifs;
3. la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;
4. les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;
5. les drapeaux.
une description détaillée de chaque chemin d’attaque prévu, en ce compris les prérequis et les éventuels coups de pouce à fournir par l’équipe chargée du contrôle, ainsi que les délais pour leur fourniture et leur utilisation potentielle;
la programmation des activités de l’équipe rouge, y compris la planification chronologique de l’exécution de chaque scénario, décomposée au moins selon les trois phases qu’un testeur suit au cours de la phase de test, à savoir s’introduire dans les systèmes de TIC des entités financières, se déplacer dans les systèmes de TIC pour, au final exécuter des actions sur les objectifs puis, en bout de course, s’extraire des systèmes de TIC (phases d’entrée, de circulation et de sortie);
les particularités de l’infrastructure des entités financières à prendre en considération lors des tests;
le cas échéant, des informations complémentaires ou d’autres ressources nécessaires aux testeurs pour exécuter les scénarios.