Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Article 5 Gestion des risques pour les TIFM

    1. Au cours de la phase de préparation visée à l’article 9, l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; évalue les risques associés au test des systèmes en environnement de production des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, y compris les incidences potentielles sur:

      1. le secteur financier;

      2. la stabilité financière au niveau de l’Union ou au niveau national.

    2. L’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; examine ces incidences tout au long des tests.

    1. Aux fins de l’évaluation et de la gestion des risques, l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; tient compte au moins des types de risques suivants liés:

      1. au fait d’accorder au fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et aux testeurs externes, le cas échéant, l’accès à des informations sensibles: des informations qui peuvent facilement être exploitées pour mener des attaques contre les systèmes de TIC de l’entité financière, la propriété intellectuelle, des données commerciales confidentielles ou des données à caractère personnel, qui, si elles tombaient entre les mains d’acteurs malveillants, pourraient porter directement ou indirectement préjudice à l’entité financière et à son écosystème; sur l’entité financière;

      2. au non-respect, par le TIFM, du règlement (UE) 2022/2554 et du présent règlement lorsque ce non-respect entraîne l’absence de l’attestation visée à l’article 26, paragraphe 7, du règlement (UE) 2022/2554, y compris lorsque ce non-respect est dû à des violations de la confidentialité du TIFM ou à une conduite non éthique;

      3. à une remontée des incidents et des crises;

      4. à la phase active de l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités des testeurs, et à ses incidences potentielles sur des tiers;

      5. à l’activité de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;, et à ses incidences potentielles sur des tiers;

      6. à la restauration incomplète des systèmes touchés par le TIFM.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod