Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 10 Phase de test: renseignements sur les menaces
À la suite de l’approbation du document de spécification du périmètre du test par l’autorité TIFM, le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; analyse les renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; génériques et sectoriels pertinents pour l’entité financière. Lorsqu’un panorama générique de la menace a été fourni par l’autorité TIFM pour le secteur financier d’un État membre, le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; peut l’utiliser en guise de référence pour le panorama national de la menace. Le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; recense les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les vulnérabilités existantes ou potentielles concernant l’entité financière. En outre, il recueille des informations et analyse des renseignements concrets, exploitables et contextualisés sur les cibles et les menaces concernant l’entité financière, y compris en consultant l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; et les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;.
Le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; présente les menaces pertinentes et les renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; ciblées et propose les scénarios requis à l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test;, aux testeurs et aux gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;. Les scénarios proposés diffèrent en fonction des acteurs de la menace identifiés et des tactiques, techniques et procédures associées et ciblent chacune des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; incluses dans le périmètre du TIFM.
Le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné; sélectionne au moins trois scénarios pour réaliser le TIFM sur la base de tous les éléments suivants:
la recommandation du fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et la nature, axée sur les menaces, de chaque scénario;
les contributions fournies par les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;;
la faisabilité de l’exécution des scénarios proposés, sur la base du jugement d’expert des testeurs;
la taille, la complexité et le profil de risque global de l’entité financière ainsi que la nature, l’ampleur et la complexité de ses services, activités et opérations.
Seul un des scénarios sélectionnés peut ne pas être fondé sur la menace et peut être fondé sur une menace prospective et potentiellement fictive présentant une valeur prédictive, anticipative, opportuniste ou prospective élevée, compte tenu de l’évolution attendue du panorama de la menace concernant l’entité financière.
Pour les TIFM groupés, sans préjudice des scénarios ciblant directement les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières participant aux tests, au moins un scénario inclut les systèmes, processus et technologies de TIC sous-jacents pertinents du prestataire tiers de services TIC qui soutiennent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières incluses dans le périmètre.
Lorsque le test est un TIFM commun impliquant un prestataire de services TIC intra-groupe, sans préjudice des scénarios ciblant directement les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières participant au test, au moins un scénario inclut les systèmes, processus et technologies de TIC sous-jacents pertinents du prestataire de services TIC intra-groupe qui soutiennent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières incluses dans le périmètre.
Le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; fournit le rapport de renseignement sur les menaces ciblées à l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test;, en ce compris les scénarios sélectionnés conformément aux paragraphes 3 et 4. Le rapport de renseignement sur les menaces contient les informations prévues à l’annexe III.
L’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; soumet le rapport de renseignement sur les menaces ciblées au gestionnaire de test pour approbation. Lorsque le rapport de renseignement sur les menaces ciblées est complet et garantit la réalisation d’un TIFM efficace, l’autorité du TIFM l’approuve et en informe le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;.
Relevant recitals
Considérant 8 Involvement of TLPT authorities in the phases
Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.
Considérant 15 Regular meetings involving all stakeholders
Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;, la collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; et l’échange de retours d’information sur le TIFM.
Considérant 16 Communication between test manager and control team
Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; au sein de l’entité financière et avec les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;.
Considérant 18 The threat intelligence report
Afin de fournir aux testeurs les informations nécessaires pour simuler une attaque réelle et réaliste contre les systèmes opérationnels qui sous-tendent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; devrait recueillir des renseignements ou des informations couvrant au moins deux domaines d’intérêt clés: les cibles, par l’identification des surfaces d’attaque potentielles dans l’ensemble de l’entité financière, et les menaces, par l’identification des acteurs de la menace pertinents et des scénarios de menace probables. Afin que le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; tienne compte des menaces pertinentes pour l’entité financière, les testeurs, l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; et les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient fournir un retour d’information sur le projet de rapport de renseignement sur les menaces. Le cas échéant, le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; peut utiliser un panorama général de la menace fourni par l’autorité TIFM pour le secteur financier d’un État membre en guise de référence pour le panorama national de la menace. D’après l’application du cadre TIBER-EU, le processus de collecte de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; dure généralement environ quatre semaines.
Considérant 19 Presentation of the threat intelligence report
Afin que les testeurs puissent se faire une idée de la situation et examiner plus en détail le document de spécification du périmètre du test ainsi que le rapport de renseignement sur les menaces ciblées pour finaliser le plan de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);, il est essentiel que, avant la phase de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); du TIFM, les testeurs reçoivent du fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; des explications détaillées concernant le rapport de renseignement sur les menaces ciblées et une analyse des scénarios de menace possibles.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.