Article 5 Gestion des risques pour les TIFM

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM; l’aurait détecté.

Certains éléments de risque sont inhérents aux TIFM, étant donné que des fonctions critiques sont testées dans un environnement de production réel, ce qui est susceptible de provoquer des incidents de type «déni de service», des pannes système inattendues, de dommages à des systèmes critiques en environnement de production, ou la perte, l’altération ou la divulgation de données. Ces risques mettent en évidence la nécessité de solides mesures de gestion des risques. Afin de veiller à ce que les tests d’intrusion fondés sur la menace soient conduits de manière contrôlée tout au long du processus, il est très important que les entités financières soient à tout moment conscientes des risques particuliers qu’entraîne un TIFM et que ces risques soient atténués. À cet égard, sans préjudice des processus internes de l’entité financière et de la responsabilité et des délégations déjà confiées au chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;, des informations sur les mesures de gestion des risques liés aux TIFM ou, dans des cas particuliers, l’approbation de ces mesures par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(31) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable; de l’entité financière lui-même peuvent être appropriées. Pour être en mesure de fournir des services professionnels efficaces et hautement qualifiés et de réduire ces risques, il est également essentiel que les testeurs et les fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; (collectivement appelés «prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;») possèdent le plus haut niveau possible de compétences et d’expertise et une expérience appropriée en matière de renseignement sur les menaces et de TIFM dans le secteur des services financiers.