Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Article 7 Sélection des prestataires de TIFM

    1. L’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; prend des mesures pour gérer les risques liés aux TIFM et veille en particulier à ce que, pour chaque TIFM:

      1. le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et les testeurs externes fournissent à l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; un curriculum vitæ détaillé et des copies de certifications qui, selon les normes du marché reconnues, sont adaptées à l’exercice de leurs activités;

      2. le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; et le testeur externe soient dûment et entièrement couverts par des assurances de responsabilité civile professionnelle adéquates, y compris contre les risques de mauvaise conduite et de négligence;

      3. le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; fournisse au moins trois références issues de missions antérieures dans le cadre de tests d’intrusion et de tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);;

      4. les testeurs externes fournissent au moins cinq références issues de missions antérieures liées à des tests d’intrusion et à des tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);;

      5. le personnel du fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; affecté au TIFM:

        1. soit composé d’au moins un cadre possédant un minimum de cinq années d’expérience dans le domaine du renseignement sur les menaces et d’au moins un autre membre ayant un minimum de deux ans d’expérience dans le domaine du renseignement sur les menaces;

        2. présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, notamment dans les domaines suivants:

          1. tactiques, techniques et procédures de collecte de renseignements;

          2. connaissances géopolitiques, techniques et sectorielles;

          3. compétences adéquates en matière de communication pour présenter clairement les résultats de l’engagement et en rendre compte;

        3. ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins trois missions de renseignement sur les menaces dans le cadre de tests d’intrusion et de tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);;

        4. n’exécute pas simultanément des tâches d’équipe bleue: les tâches qui sont généralement exécutées par l’équipe bleue, telles que le centre d’opérations de sécurité (SOC), les services d’infrastructure TIC, les services d’assistance et les services de gestion des incidents au niveau opérationnel; ou d’autres services susceptibles de présenter un conflit d’intérêts en ce qui concerne l’entité financière, le prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe participant au TIFM auquel il est affecté;

        5. soit séparé du personnel du même prestataire de TIFM qui fournit des testeurs externes pour le même TIFM, et ne rende pas compte à celui-ci;

      6. pour les testeurs externes, l’équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM); affectée au TIFM:

        1. soit composée d’au moins un cadre possédant un minimum de cinq années d’expérience dans les tests d’intrusion et les tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);, ainsi que d’au moins deux autres testeurs ayant chacun un minimum de deux ans d’expérience dans les tests d’intrusion et les tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);;

        2. présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, y compris des connaissances sur l’activité de l’entité financière, la reconnaissance, la gestion des risques, le développement d’exploit, l’intrusion physique, l’ingénierie sociale, l’analyse de vulnérabilité: une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités;, ainsi que des compétences adéquates en matière de communication afin de présenter clairement les résultats de l’engagement et d’en rendre compte;

        3. ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins cinq missions liées à des tests d’intrusion et à des tests par équipe rouge: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);;

        4. ne soit pas employée par un fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; qui exécute simultanément des tâches d’équipe bleue: les tâches qui sont généralement exécutées par l’équipe bleue, telles que le centre d’opérations de sécurité (SOC), les services d’infrastructure TIC, les services d’assistance et les services de gestion des incidents au niveau opérationnel; pour une entité financière, un prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe qui participe au TIFM, ni ne fournisse de services à ce fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;;

        5. soit séparée de tout membre du personnel du même prestataire de TIFM qui fournit simultanément des services de renseignement sur les menaces pour le même TIFM;

      7. les testeurs et le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; mettent en œuvre des procédures de restauration à l’issue des tests, lesquelles comprennent la suppression sécurisée des informations relatives aux mots de passe, aux identifiants et aux autres clés secrètes compromises durant le TIFM, la communication sécurisée aux entités financières des comptes compromis, la collecte, le stockage, la gestion et l’élimination sécurisés d’autres données collectées au cours des tests;

      8. outre les procédures de restauration à l’issue des tests visées au point g), les testeurs effectuent les procédures de restauration suivantes:

        1. la désactivation des commandes et contrôles;

        2. la mise en place de coupe-circuit («kill switch») assortis d’une date et d’un périmètre;

        3. l’élimination des portes dérobées («backdoor») et autres logiciels malveillants;

        4. la notification des violations potentielles;

        5. les procédures de restauration de sauvegarde future qui pourraient concerner des logiciels malveillants ou des outils installés au cours du test;

        6. le suivi des activités de l’équipe bleue: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM; et la notification de toute détection éventuelle à l’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test;;

      9. les testeurs et le fournisseur de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; n’exercent aucune des activités suivantes ni n’y participent:

        1. la destruction non autorisée d’équipements de l’entité financière et de ses éventuels prestataires tiers de services TIC;

        2. la modification incontrôlée d’actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et d’actifs de TIC de l’entité financière et de ses éventuels prestataires tiers de services TIC;

        3. la compromission intentionnelle de la continuité de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière;

        4. l’inclusion non autorisée de systèmes situés hors du périmètre du test;

        5. la divulgation non autorisée des résultats des tests.

    1. L’équipe chargée du contrôle: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test; tient un registre de la documentation fournie par les testeurs et les fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; afin de prouver le respect du paragraphe 1, points a) à f).

    2. Dans des circonstances exceptionnelles, les entités financières peuvent faire appel à des testeurs externes et à des fournisseurs de renseignements sur les menaces: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes; qui ne satisfont pas à une ou à plusieurs des exigences énoncées au paragraphe 1, points a) à f), à condition que ces entités financières adoptent des mesures appropriées pour atténuer les risques liés au non-respect de ces points et consignent ces mesures.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod