Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Article 7 Sélection des prestataires de TIFM

    1. L’équipe chargée du contrôle prend des mesures pour gérer les risques liés aux TIFM et veille en particulier à ce que, pour chaque TIFM:

      1. le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et les testeurs externes fournissent à l’équipe chargée du contrôle un curriculum vitæ détaillé et des copies de certifications qui, selon les normes du marché reconnues, sont adaptées à l’exercice de leurs activités;

      2. le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et le testeur externe soient dûment et entièrement couverts par des assurances de responsabilité civile professionnelle adéquates, y compris contre les risques de mauvaise conduite et de négligence;

      3. le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; fournisse au moins trois références issues de missions antérieures dans le cadre de tests d’intrusion et de tests par équipe rouge;

      4. les testeurs externes fournissent au moins cinq références issues de missions antérieures liées à des tests d’intrusion et à des tests par équipe rouge;

      5. le personnel du fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; affecté au TIFM:

        1. soit composé d’au moins un cadre possédant un minimum de cinq années d’expérience dans le domaine du renseignement sur les menaces et d’au moins un autre membre ayant un minimum de deux ans d’expérience dans le domaine du renseignement sur les menaces;

        2. présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, notamment dans les domaines suivants:

          1. tactiques, techniques et procédures de collecte de renseignements;

          2. connaissances géopolitiques, techniques et sectorielles;

          3. compétences adéquates en matière de communication pour présenter clairement les résultats de l’engagement et en rendre compte;

        3. ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins trois missions de renseignement sur les menaces dans le cadre de tests d’intrusion et de tests par équipe rouge;

        4. n’exécute pas simultanément des tâches d’équipe bleue: les tâches qui sont généralement exécutées par l’équipe bleue, telles que le centre d’opérations de sécurité (SOC), les services d’infrastructure TIC, les services d’assistance et les services de gestion des incidents au niveau opérationnel; ou d’autres services susceptibles de présenter un conflit d’intérêts en ce qui concerne l’entité financière, le prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe participant au TIFM auquel il est affecté;

        5. soit séparé du personnel du même prestataire de TIFM qui fournit des testeurs externes pour le même TIFM, et ne rende pas compte à celui-ci;

      6. pour les testeurs externes, l’équipe rouge affectée au TIFM:

        1. soit composée d’au moins un cadre possédant un minimum de cinq années d’expérience dans les tests d’intrusion et les tests par équipe rouge, ainsi que d’au moins deux autres testeurs ayant chacun un minimum de deux ans d’expérience dans les tests d’intrusion et les tests par équipe rouge;

        2. présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, y compris des connaissances sur l’activité de l’entité financière, la reconnaissance, la gestion des risques, le développement d’exploit, l’intrusion physique, l’ingénierie sociale, l’analyse de vulnérabilité, ainsi que des compétences adéquates en matière de communication afin de présenter clairement les résultats de l’engagement et d’en rendre compte;

        3. ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins cinq missions liées à des tests d’intrusion et à des tests par équipe rouge;

        4. ne soit pas employée par un fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; qui exécute simultanément des tâches d’équipe bleue: les tâches qui sont généralement exécutées par l’équipe bleue, telles que le centre d’opérations de sécurité (SOC), les services d’infrastructure TIC, les services d’assistance et les services de gestion des incidents au niveau opérationnel; pour une entité financière, un prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe qui participe au TIFM, ni ne fournisse de services à ce fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;;

        5. soit séparée de tout membre du personnel du même prestataire de TIFM qui fournit simultanément des services de renseignement sur les menaces pour le même TIFM;

      7. les testeurs et le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; mettent en œuvre des procédures de restauration à l’issue des tests, lesquelles comprennent la suppression sécurisée des informations relatives aux mots de passe, aux identifiants et aux autres clés secrètes compromises durant le TIFM, la communication sécurisée aux entités financières des comptes compromis, la collecte, le stockage, la gestion et l’élimination sécurisés d’autres données collectées au cours des tests;

      8. outre les procédures de restauration à l’issue des tests visées au point g), les testeurs effectuent les procédures de restauration suivantes:

        1. la désactivation des commandes et contrôles;

        2. la mise en place de coupe-circuit («kill switch») assortis d’une date et d’un périmètre;

        3. l’élimination des portes dérobées («backdoor») et autres logiciels malveillants;

        4. la notification des violations potentielles;

        5. les procédures de restauration de sauvegarde future qui pourraient concerner des logiciels malveillants ou des outils installés au cours du test;

        6. le suivi des activités de l’équipe bleue et la notification de toute détection éventuelle à l’équipe chargée du contrôle;

      9. les testeurs et le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; n’exercent aucune des activités suivantes ni n’y participent:

        1. la destruction non autorisée d’équipements de l’entité financière et de ses éventuels prestataires tiers de services TIC;

        2. la modification incontrôlée d’actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et d’actifs de TIC de l’entité financière et de ses éventuels prestataires tiers de services TIC;

        3. la compromission intentionnelle de la continuité de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière;

        4. l’inclusion non autorisée de systèmes situés hors du périmètre du test;

        5. la divulgation non autorisée des résultats des tests.

    1. L’équipe chargée du contrôle tient un registre de la documentation fournie par les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; afin de prouver le respect du paragraphe 1, points a) à f).

    2. Dans des circonstances exceptionnelles, les entités financières peuvent faire appel à des testeurs externes et à des fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; qui ne satisfont pas à une ou à plusieurs des exigences énoncées au paragraphe 1, points a) à f), à condition que ces entités financières adoptent des mesures appropriées pour atténuer les risques liés au non-respect de ces points et consignent ces mesures.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod