Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 27 Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
Summary What does Article 27 of the DORA regulation say?
This article directly supports Article 26, which establishes the requirement for threat-led penetration testing (TLPT).
Here, the focus shifts to the qualification standards that testers must meet in order to carry out TLPT on behalf of financial entities.
It sets out a baseline of criteria for all testers, adds further conditions specific to the use of internal testers, and places obligations on financial entities regarding how TLPT results are handled by external testers.
Important points:
- Only use testers for TLPT who meet specific standards of suitability, expertise, certification, independent assurance, and professional indemnity insurance coverage.
- When using internal testers, obtain approval from the relevant competent authority, and ensure the threat intelligence provider is external to the financial entity.
- Ensure that contracts with external testers require sound management of TLPT results, so that all data processing related to those results does not create risks to the financial entity.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin de réaliser des tests de pénétration fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:
possèdent l’aptitude et la réputation les plus élevées;
possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team;
sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;
fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;
sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.
Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10;
l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et
le fournisseur de renseignements sur les menaces est externe à l’entité financière.
Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.
Relevant recitals
Considérant 25 Inconsistent digital operational resilience testing requirements
Les exigences en matière de tests de résilience opérationnelle numérique ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique, ce qui, à son tour, peut fragmenter le marché intérieur.
Considérant 44 Costs of advanced digital resilience testing
Étant donné que seules les entités reconnues aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être supportés par un petit pourcentage d’entités financières.
Considérant 57 Harmonised TLPT requirements for cross-border financial entities
Les entités financières qui participent à des activités transfrontières et exercent leur liberté d’établissement ou de prestation de services dans l’Union devraient se conformer à un ensemble unique d’exigences de tests avancés (à savoir des tests de pénétration fondés sur la menace) dans leur État membre d’origine, qui devraient englober toutes les infrastructures de TIC que ces groupes financiers transfrontières détiennent dans les différentes juridictions dans lesquelles ils opèrent au sein de l’Union, ce qui permettrait à ces groupes financiers transfrontières de ne supporter les coûts associés aux tests liés aux TIC que dans une seule juridiction.
Considérant 61 Internal and external testers for TLPT
Afin de tirer parti des ressources internes disponibles au niveau de l’entreprise, le présent règlement devrait autoriser le recours à des testeurs internes aux fins de la réalisation de tests de pénétration fondés sur la menace, sous réserve de l’accord des autorités de contrôle, de l’absence de conflit d’intérêts et de l’alternance périodique entre le recours à des testeurs internes et à des testeurs externes (tous les trois tests), tout en exigeant que le fournisseur de renseignements sur les menaces dans le test soit toujours externe à l’entité financière. L’exécution des tests de pénétration fondés sur la menace devrait continuer de relever de la responsabilité intégrale de l’entité financière. Les attestations délivrées par les autorités ne devraient être fournies qu’à des fins de reconnaissance mutuelle et ne devraient empêcher aucune action de suivi nécessaire pour faire face au risque lié aux TIC auquel l’entité financière est exposée, ni être considérées comme une validation par les autorités de surveillance des capacités de gestion et d’atténuation du risque lié aux TIC d’une entité financière.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
tests de pénétration fondés sur la menace
(En. threat-led penetration testing (TLPT))
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
cyberattaque
(En. cyber-attack)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
autorité publique
(En. public authority)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)