Annexe V Contenu du rapport de test de l’équipe rouge (Article 12, paragraphe 2)

les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; en question, tels qu’identifiés dans le plan de test de l’équipe rouge;

le résumé de chaque scénario;

les drapeaux atteints et non atteints;

les chemins d’attaque suivis avec succès et sans succès;

les tactiques, techniques et procédures utilisées avec succès et sans succès;

les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;

les coups de pouce fournis, le cas échéant;

une description de la vulnérabilité et des autres constatations, dont leur criticité;

une analyse des causes originelles de la réussite des attaques menées à bien;

des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.