Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Preamble Recitals


Considérant 1 Relation to the TIBER-EU framework

Le présent règlement a été élaboré conformément au cadre TIBER-EU et reproduit la méthodologie, le processus et la structure des tests d’intrusion fondés sur la menace (TIFM) décrits dans TIBER-EU. Les entités financières soumises à des TIFM peuvent se référer au cadre TIBER-EU, ou à l’une de ses transpositions nationales, et l’appliquer, dans la mesure où ce cadre ou cette transposition est conforme aux exigences énoncées aux articles 26 et 27 du règlement (UE) 2022/2554 et dans le présent règlement. La désignation d’une autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique au sein du secteur financier chargée des questions liées aux tests d’intrusion fondés sur la menace au niveau national conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554 devrait être sans préjudice des compétences confiées à des autorités au niveau de l’Union en ce qui concerne la surveillance de certaines entités financières conformément à l’article 46 dudit règlement, par exemple, à la Banque centrale européenne pour les établissements de crédit classés comme importants, qui doivent être considérées comme compétentes pour les questions liées aux tests d’intrusion fondés sur la menace. Lorsque seule une partie des tâches liées aux tests d’intrusion fondés sur la menace est déléguée à une autre autorité nationale du secteur financier conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554, l’autorité compétente de l’entité financière visée à l’article 46 dudit règlement devrait rester l’autorité chargée des tâches liées aux TIFM qui n’ont pas été déléguées.

Considérant 2 Exclusions from the scope

Compte tenu de la complexité des tests d’intrusion fondés sur la menace et des risques y afférents, leur utilisation devrait être limitée aux entités financières pour lesquelles elle est justifiée. Par conséquent, les autorités responsables des questions relatives aux TIFM (les «autorités TIFM», au niveau de l’Union ou au niveau national) devraient exclure du champ d’application des TIFM les entités financières qui exercent leurs activités dans des sous-secteurs essentiels de services financiers pour lesquels un TIFM n’est pas justifié. Cela signifie que des établissements de crédit, des établissements de paiement et de monnaie électronique, des dépositaires centraux de titres, des contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, des plates-formes de négociation et des entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance, même s’ils remplissent les critères quantitatifs, pourraient être dispensés de l’exigence de TIFM à la lumière d’une évaluation globale de leur profil de risque lié aux TIC et de la maturité de leurs TIC, de leur incidence sur le secteur financier et des préoccupations relatives à la stabilité financière.

Considérant 3 Considerations of other financial entities for inclusion

Les autorités TIFM devraient évaluer, à la lumière d’une évaluation globale du profil de risque lié aux TIC et de la maturité des TIC, de l’incidence sur le secteur financier et des préoccupations relatives à la stabilité financière, s’il convient qu’un type d’entité financière autre que les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, les dépositaires centraux de titres, les plates-formes de négociation et les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance soit soumis à des TIFM. L’évaluation visant à déterminer si ces entités financières satisfont à ces critères qualitatifs devrait viser à identifier, au moyen d’indicateurs intersectoriels et objectifs, les entités financières pour lesquelles un TIFM est approprié. Dans le même temps, l’évaluation visant à déterminer si une entité financière satisfait à ces critères qualitatifs devrait faire en sorte que les entités soumises à des tests d’intrusion fondés sur la menace soient uniquement celles pour lesquelles un tel test est justifié. La question de savoir si une entité financière satisfait à ces critères qualitatifs devrait également être évaluée à la lumière de l’évolution des nouveaux marchés et de l’importance croissante que prendront à l’avenir de nouveaux acteurs du marché pour le secteur financier, dont les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs; agréés conformément à l’article 59 du règlement (UE) 2023/1114 du Parlement européen et du Conseil(2)Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (JO L 150 du 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj)..

Considérant 4 Assessment on national or EU level and at group or entity level

Des entités financières peuvent avoir le même prestataire de services TIC intra-groupe ou appartenir au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et dépendre de l’utilisation de systèmes de TIC partagés. Dans ce cas, pour évaluer si une entité financière doit être soumise à des tests d’intrusion fondés sur la menace et si ces tests doivent être conduits au niveau de l’entité ou au niveau du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; (au moyen d’un TIFM commun), il est important que les autorités TIFM tiennent compte de la structure et du caractère systémique ou de l’importance pour le secteur financier de cette entité financière au niveau national ou au niveau de l’Union.

Considérant 5 Organisational mirror of TIBER-EU

Pour être conforme au cadre TIBER-EU, il est nécessaire que la méthodologie des tests prévoie la participation des principaux participants suivants: l’entité financière, avec une équipe chargée du contrôle (correspondant à l’«équipe chargée du contrôle» de TIBER-EU) et une équipe bleue (correspondant à l’«équipe bleue» de TIBER-EU), et l’autorité TIFM, sous la forme d’une équipe de cybersécurité TIFM (correspondant aux «cyberéquipes TIBER» de TIBER-EU), un fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et des testeurs (les testeurs correspondant au «fournisseur de l’équipe rouge» de TIBER-EU).

Considérant 6 Responsibility of TLPT cyber teams in line with TIBER-EU

Afin de faire en sorte que les TIFM bénéficient de l’expérience acquise dans le cadre de la mise en œuvre de TIBER-EU et de réduire les risques associés à l’exécution des TIFM, il convient de veiller à ce que les responsabilités des équipes de cybersécurité TIFM mises en place au niveau des autorités TIFM correspondent le plus étroitement possible à celles des équipes de cybersécurité de TIBER-EU. Par conséquent, les équipes de cybersécurité TIFM devraient comprendre des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; chargés de superviser les TIFM ainsi que de planifier et de coordonner les différents tests. Les équipes de cybersécurité TIFM devraient servir de point de contact unique pour la communication concernant les tests avec les parties prenantes internes et externes, pour la collecte et le traitement des retours d’information et des enseignements tirés des tests conduits précédemment, et pour l’assistance aux entités financières faisant l’objet de tests d’intrusion fondés sur la menace.

Considérant 7 Skills and capabilities of test managers

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Considérant 8 Involvement of TLPT authorities in the phases

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

Considérant 9 Secrecy of the TLPT

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue l’aurait détecté.

Considérant 10 Importance of the control team lead

Comme le montre l’expérience acquise avec le cadre TIBER-EU s’agissant de l’«équipe chargée du contrôle», pour que les TIFM soient conduits en toute sécurité, il est indispensable de bien sélectionner le chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;. Celui-ci devrait disposer, au sein de l’entité financière, du mandat nécessaire pour piloter tous les aspects des tests, sans en compromettre la confidentialité. Pour la même raison, les membres de l’équipe chargée du contrôle devraient avoir une connaissance approfondie de l’entité financière ainsi que du rôle du chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné; et de son positionnement stratégique, avoir l’ancienneté requise et avoir accès au conseil d’administration. Afin de réduire le risque de compromettre le TIFM, l’équipe chargée du contrôle devrait être aussi restreinte que possible.

Considérant 11 Managing inherent risks of a TLPT

Certains éléments de risque sont inhérents aux TIFM, étant donné que des fonctions critiques sont testées dans un environnement de production réel, ce qui est susceptible de provoquer des incidents de type «déni de service», des pannes système inattendues, de dommages à des systèmes critiques en environnement de production, ou la perte, l’altération ou la divulgation de données. Ces risques mettent en évidence la nécessité de solides mesures de gestion des risques. Afin de veiller à ce que les tests d’intrusion fondés sur la menace soient conduits de manière contrôlée tout au long du processus, il est très important que les entités financières soient à tout moment conscientes des risques particuliers qu’entraîne un TIFM et que ces risques soient atténués. À cet égard, sans préjudice des processus internes de l’entité financière et de la responsabilité et des délégations déjà confiées au chef de l’équipe chargée du contrôle: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;, des informations sur les mesures de gestion des risques liés aux TIFM ou, dans des cas particuliers, l’approbation de ces mesures par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière lui-même peuvent être appropriées. Pour être en mesure de fournir des services professionnels efficaces et hautement qualifiés et de réduire ces risques, il est également essentiel que les testeurs et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; (collectivement appelés «prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;») possèdent le plus haut niveau possible de compétences et d’expertise et une expérience appropriée en matière de renseignement sur les menaces et de TIFM dans le secteur des services financiers.

Considérant 12 Comprehensive criteria for TLPT providers

Les tests d’intrusion conventionnels fournissent une évaluation détaillée et utile des s techniques et de configuration qui porte souvent sur un seul système ou environnement pris isolément, mais, contrairement aux tests de l’équipe rouge fondés sur les renseignements, ils n’évaluent pas le scénario complet d’une attaque ciblée contre une entité dans son intégralité, ce qui comprend l’ensemble de son personnel, de ses processus et de ses technologies. Au cours du processus de sélection des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;, les entités financières devraient donc veiller à ce que ces derniers disposent des compétences requises pour effectuer des tests d’équipe rouge fondés sur les renseignements, et pas seulement des tests d’intrusion. Il est donc nécessaire de définir des critères complets pour les testeurs, qui peuvent être aussi bien internes qu’externes, et les fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, qui sont toujours externes. Lorsque les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; appartiennent à la même entreprise, le personnel affecté à un TIFM devrait être suffisamment séparé.

Considérant 13 Exemptions from TLPT provider criteria

Dans certaines circonstances exceptionnelles, il peut arriver que les entités financières ne soient pas en mesure de conclure des contrats avec des prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces; satisfaisant à l’ensemble des critères. Dès lors qu’elles sont en mesure de prouver l’indisponibilité de tels fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, les entités financières devraient être autorisées à engager des personnes qui ne satisfont pas à l’ensemble des critères, pour autant qu’elles atténuent correctement les risques supplémentaires qui en résultent et que l’autorité TIFM évalue tous ces critères.

Considérant 14 Multiple financial entities and TLPT authorities

Lorsque plusieurs entités financières et plusieurs autorités TIFM sont impliquées dans un TIFM, il convient de préciser les rôles de chaque partie dans le processus de TIFM afin de garantir une efficacité et une sécurité optimales du test. Aux fins des tests groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és, des exigences spécifiques sont nécessaires pour préciser le rôle de l’entité financière désignée, à savoir qu’elle devrait être chargée de fournir toute la documentation nécessaire à l’autorité TIFM chef de file et de surveiller le processus de test. L’entité financière désignée devrait également être chargée des aspects communs de l’évaluation de la gestion des risques. Nonobstant le rôle de l’entité financière désignée, les obligations de chaque entité financière participant au processus de TIFM groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é devraient rester inchangées au cours du test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é. Le même principe devrait s’appliquer dans le cas des TIFM communs.

Considérant 15 Regular meetings involving all stakeholders

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; et l’échange de retours d’information sur le TIFM.

Considérant 16 Communication between test manager and control team

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM: les testeurs et les fournisseurs de renseignements sur les menaces;.

Considérant 17 Selection of critical or important functions

L’entité financière devrait sélectionner les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui entreront dans le périmètre du TIFM. Pour sélectionner ces fonctions, l’entité financière devrait se fonder sur divers critères mesurant l’importance que chacune d’entre elles revêt pour l’entité financière elle-même et pour le secteur financier, au niveau de l’Union et au niveau national, non seulement sur le plan économique, mais aussi au regard du statut symbolique ou politique de la fonction. Afin de faciliter le passage à la phase de collecte de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;, des informations détaillées sur le périmètre convenu du test devraient être fournies par l’équipe chargée du contrôle aux testeurs et aux fournisseurs de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; qui n’ont pas participé pas au processus de définition dudit périmètre.

Considérant 18 The threat intelligence report

Afin de fournir aux testeurs les informations nécessaires pour simuler une attaque réelle et réaliste contre les systèmes opérationnels qui sous-tendent les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; devrait recueillir des renseignements ou des informations couvrant au moins deux domaines d’intérêt clés: les cibles, par l’identification des surfaces d’attaque potentielles dans l’ensemble de l’entité financière, et les menaces, par l’identification des acteurs de la menace pertinents et des scénarios de menace probables. Afin que le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; tienne compte des menaces pertinentes pour l’entité financière, les testeurs, l’équipe chargée du contrôle et les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; devraient fournir un retour d’information sur le projet de rapport de renseignement sur les menaces. Le cas échéant, le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; peut utiliser un panorama général de la menace fourni par l’autorité TIFM pour le secteur financier d’un État membre en guise de référence pour le panorama national de la menace. D’après l’application du cadre TIBER-EU, le processus de collecte de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; dure généralement environ quatre semaines.

Considérant 19 Presentation of the threat intelligence report

Afin que les testeurs puissent se faire une idée de la situation et examiner plus en détail le document de spécification du périmètre du test ainsi que le rapport de renseignement sur les menaces ciblées pour finaliser le plan de test de l’équipe rouge, il est essentiel que, avant la phase de test de l’équipe rouge du TIFM, les testeurs reçoivent du fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; des explications détaillées concernant le rapport de renseignement sur les menaces ciblées et une analyse des scénarios de menace possibles.

Considérant 20 Duration of the red team test phase

Afin de permettre aux testeurs de réaliser un test réaliste et exhaustif, dans le cadre duquel toutes les phases d’attaque sont exécutées et tous les drapeaux: des objectifs clés dans les systèmes de TIC soutenant les fonctions critiques ou importantes d’une entité financière que les testeurs tentent d’atteindre dans le cadre du test; atteints, il convient d’allouer un temps suffisant à la phase active de test de l’équipe rouge. D’après l’expérience acquise avec le cadre TIBER-EU, le délai alloué devrait être d’au moins 12 semaines et devrait être fixé en tenant compte du nombre de parties concernées, du périmètre du TIFM, des ressources de la ou des entités financières impliquées, de toute exigence externe éventuelle et de la disponibilité d’informations complémentaires fournies par l’entité financière.

Considérant 21 Range of TTPs throughout kill chain

Au cours de la phase active de test de l’équipe rouge, les testeurs devraient déployer une série de tactiques, de techniques et de procédures pour tester de manière adéquate les systèmes en environnement de production de l’entité financière. Ces tactiques, techniques et procédures devraient inclure, le cas échéant, la reconnaissance (c’est-à-dire la collecte du plus grand nombre possible d’informations sur une cible), l’instrumentalisation (c’est-à-dire l’analyse des informations sur l’infrastructure, les installations et les employés et la préparation des opérations spécifiques à la cible), la réalisation (c’est-à-dire le lancement actif de l’opération complète sur la cible), l’exploitation (où l’objectif des testeurs est de compromettre les serveurs et les réseaux de l’entité financière et de se servir de son personnel au moyen de l’ingénierie sociale), le contrôle et le mouvement (c’est-à-dire les tentatives de passer des systèmes compromis à d’autres systèmes vulnérables ou de grande valeur) et des actions sur la cible (par exemple l’obtention d’un accès plus large aux systèmes compromis et l’obtention d’un accès à des informations et données cibles préalablement convenues, comme prévu dans le plan de test de l’équipe rouge).

Considérant 22 Leg-ups

Lors de la réalisation d’un TIFM, les testeurs devraient agir en tenant compte du temps et des ressources dont ils disposent pour mener l’attaque, ainsi que des limites éthiques et juridiques. Si les testeurs ne sont pas en mesure de passer à l’étape suivante de l’attaque, telle que programmée, une assistance occasionnelle devrait leur être fournie par l’équipe chargée du contrôle, avec l’accord de l’autorité TIFM, sous la forme de «coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable;» (ou «leg-upsmeans the assistance or information provided by the control team to the testers to enable the testers to continue the execution of an attack path where they are not able to advance on their own, and where no other reasonable alternative exists, including for insufficient time or resources in a given TLPT;»). Ces coups de pouce: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable; peuvent être subdivisés grosso modo en deux catégories: «informations» et «accès». Ils peuvent ainsi consister en la fourniture d’un accès à des systèmes de TIC ou à des réseaux internes afin de permettre la poursuite du test et la préparation des étapes suivantes de l’attaque.

Considérant 23 Limited purple teaming as alternative to continued testing

Durant la phase active de test de l’équipe rouge, si cela est nécessaire pour permettre la poursuite du TIFM, il y a lieu de recourir à une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue. Cela ne doit toutefois se faire qu’en dernier recours, dans des circonstances exceptionnelles et une fois toutes les autres options épuisées. Dans le cadre d’un tel exercice restreint de collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue;, les méthodes suivantes peuvent être utilisées: le «catch-and-release» (attraper et relâcher), où les testeurs tentent de poursuivre les scénarios, se font détecter puis reprennent les tests, le «war gaming» (jeu de guerre), qui permet de mettre en œuvre des scénarios plus complexes pour tester la prise de décision stratégique, ou le «collaborative proof-of-concept» (la validation de concept collaborative), qui permet aux testeurs et aux membres de l’équipe bleue de valider conjointement des mesures, outils ou techniques de sécurité spécifiques dans un environnement contrôlé et coopératif.

Considérant 24 Maximising the learning experience

Le TIFM est destiné à être utilisé à des fins d’apprentissage, dans le but de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières. À ce titre, l’équipe bleue et les testeurs devraient rejouer l’attaque et revoir ensemble les mesures prises afin de tirer des enseignements du test, en collaboration avec les testeurs. Pour ce faire, et pour permettre à tous de bien se préparer, il convient, avant que les activités consistant à rejouer l’attaque ne soient menées, que les rapports de test des équipes rouge et bleue soient mis à la disposition de toutes les parties impliquées dans ces activités. En outre, au cours de la phase de clôture, il y a lieu d’organiser un exercice de collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; afin de maximiser l’expérience d’apprentissage. Les méthodes à employer pour cette collaboration violette: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue; en phase de clôture devraient comprendre la discussion d’autres scénarios d’attaque, l’exploration d’autres scénarios sur les systèmes en environnement de production ou la réexploration, sur les systèmes en environnement de production, des scénarios planifiés que les testeurs n’ont pas été en mesure d’achever ou d’exécuter au cours de la phase de test.

Considérant 25 Mutual feedback

Afin de faciliter l’expérience d’apprentissage de toutes les parties impliquées dans le TIFM, dans l’optique de tests futurs, et de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières, les parties concernées devraient s’échanger des retours d’information sur l’ensemble du processus et, en particulier, pointer les activités qui se sont bien déroulées et celles qui auraient pu être améliorées, ainsi que les aspects du processus de TIFM qui ont bien fonctionné et ceux qui pourraient être améliorés.

Considérant 26 Cooperation between the TLPT and supervisory authorities

Les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554 et, si ce ne sont pas les mêmes autorités, les autorités TIFM, devraient coopérer afin d’intégrer des tests avancés dans les processus de surveillance existants, au moyen de tests d’intrusion fondés sur la menace. À cet égard, et afin de veiller à la bonne compréhension des résultats des tests d’intrusion fondés sur la menace et de la manière dont ces résultats devraient être interprétés, il convient, en particulier pour le rapport de synthèse des tests et les plans de mesures correctives, qu’une coopération étroite soit établie entre les gestionnaires de test: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement; qui ont participé au TIFM et les autorités de surveillance responsables.

Considérant 27 Mix of internal and external testers considered 'internal'

L’article 26, paragraphe 8, premier alinéa, du règlement (UE) 2022/2554 impose aux entités financières d’engager des testeurs externes tous les trois tests. Lorsque les entités financières incluent dans l’équipe de testeurs à la fois des testeurs internes et externes, le TIFM doit être considéré, aux fins dudit article, comme effectué avec des testeurs internes.

Considérant 28 Draft regulatory technical standards by the ESAs in agreement with ECB

Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers (les «autorités européennes de surveillance»), en accord avec la Banque centrale européenne.

Considérant 29 Open public consultations

Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels qu’il implique et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) no 1093/2010 du Parlement européen et du Conseil(3)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées aux pensions professionnelles institués en application de l’article 37 du règlement (UE) no 1094/2010 du Parlement européen et du Conseil(4)Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil(5)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Considérant 30 Opinion from the European Data Protection Supervisor

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 20 août 2024,

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod