Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 15 Recours à des testeurs internes
Les entités financières mettent en place l’ensemble des modalités suivantes en ce qui concerne le recours à des testeurs internes:
l’établissement et la mise en œuvre d’une politique de gestion des testeurs internes dans le cadre d’un TIFM;
des mesures visant à garantir que le recours à des testeurs internes pour effectuer un TIFM n’a pas d’incidence négative sur les capacités générales de défense ou de résilience de l’entité financière en ce qui concerne les incidents liés aux TIC ni d’incidence significative sur la disponibilité des ressources consacrées aux tâches liées aux TIC durant un TIFM;
des mesures visant à garantir que les testeurs internes disposent de ressources et de capacités suffisantes pour effectuer un TIFM.
La politique visée au point a):
contient des critères permettant d’évaluer l’adéquation, les compétences et les conflits d’intérêts potentiels des testeurs internes et précise les responsabilités de gestion dans le cadre du processus de test;
est documentée et réexaminée périodiquement;
prévoit que l’équipe de test interne est composée d’un chef et d’au moins deux autres membres;
exige que tous les membres de l’équipe de test aient fait partie des salariés de l’entité financière ou d’un prestataire de services TIC intra-groupe pendant les 12 derniers mois;
prévoit des dispositions concernant la formation des testeurs internes à la réalisation de tests d’intrusion et de tests en équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);.
Lorsqu’une autorité TIFM approuve le recours à des testeurs internes conformément à l’article 27, paragraphe 2, point a), du règlement (UE) 2022/2554, elle prend en considération les exigences énoncées à l’article 7, paragraphe 1, du présent règlement.
Lorsqu’elle a recours à des testeurs internes, l’entité financière veille à ce que cela soit mentionné dans les documents suivants:
les informations concernant le lancement du test visées à l’article 9;
le rapport de test de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); visé à l’article 12, paragraphe 2;
le rapport de synthèse résumant les conclusions pertinentes du TIFM visé à l’article 26, paragraphe 6, du règlement (UE) 2022/2554.
Les testeurs salariés d’un prestataire de services TIC intra-groupe sont considérés comme des testeurs internes de l’entité financière.
Relevant recitals
Considérant 12 Comprehensive criteria for TLPT providers
Les tests d’intrusion conventionnels fournissent une évaluation détaillée et utile des vulnérabilités techniques et de configuration qui porte souvent sur un seul système ou environnement pris isolément, mais, contrairement aux tests de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); fondés sur les renseignements, ils n’évaluent pas le scénario complet d’une attaque ciblée contre une entité dans son intégralité, ce qui comprend l’ensemble de son personnel, de ses processus et de ses technologies. Au cours du processus de sélection des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;, les entités financières devraient donc veiller à ce que ces derniers disposent des compétences requises pour effectuer des tests d’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); fondés sur les renseignements, et pas seulement des tests d’intrusion. Il est donc nécessaire de définir des critères complets pour les testeurs, qui peuvent être aussi bien internes qu’externes, et les fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;, qui sont toujours externes. Lorsque les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; appartiennent à la même entreprise, le personnel affecté à un TIFM devrait être suffisamment séparé.
Considérant 13 Exemptions from TLPT provider criteria
Dans certaines circonstances exceptionnelles, il peut arriver que les entités financières ne soient pas en mesure de conclure des contrats avec des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; satisfaisant à l’ensemble des critères. Dès lors qu’elles sont en mesure de prouver l’indisponibilité de tels fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;, les entités financières devraient être autorisées à engager des personnes qui ne satisfont pas à l’ensemble des critères, pour autant qu’elles atténuent correctement les risques supplémentaires qui en résultent et que l’autorité TIFM évalue tous ces critères.
Considérant 27 Mix of internal and external testers considered 'internal'
L’article 26, paragraphe 8, premier alinéa, du règlement (UE) 2022/2554 impose aux entités financières d’engager des testeurs externes tous les trois tests. Lorsque les entités financières incluent dans l’équipe de testeurs à la fois des testeurs internes et externes, le TIFM doit être considéré, aux fins dudit article, comme effectué avec des testeurs internes.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.