Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Annexe III Contenu du rapport de renseignement sur les menaces ciblées (article 10, paragraphe 5)
Le rapport de renseignement sur les menaces ciblées contient des informations sur tous les points suivants:
Le périmètre global de la recherche en matière de renseignement, dont au moins les éléments suivants:
les fonctions critiques ou importantes entrant dans le périmètre;
leur localisation géographique;
la langue officielle de l’UE utilisée;
les prestataires tiers de services TIC concernés;
la période au cours de laquelle les renseignements sont recueillis.
Une évaluation globale indiquant quels renseignements concrets exploitables peuvent être trouvés au sujet de l’entité financière, notamment:
les noms d’utilisateur et les mots de passe des salariés;
les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;
la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;
les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;
les informations en vente sur le dark web;
toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;
le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.
L’analyse des renseignements sur les menaces à la lumière du panorama général de la menace et de la situation particulière de l’entité financière, y compris, au moins:
l’environnement géopolitique;
l’environnement économique;
les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.
Les profils de menace des acteurs malveillants (personne/groupe spécifique ou catégorie générique) susceptibles de cibler l’entité financière, y compris les systèmes de l’entité financière que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, l’intention et la logique possibles du ciblage potentiel et le mode opératoire possible des auteurs des attaques.
Les scénarios de menace: au moins trois scénarios de menace de bout en bout pour les profils de menace identifiés conformément au point 4 qui présentent les scores de gravité de la menace les plus élevés. Les scénarios de menace décrivent le chemin d’attaque de bout en bout et comprennent au moins:
un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;
un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;
un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.
Le cas échéant, une description du scénario non fondé sur la menace visé à l’article 10, paragraphe 4.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
cyberattaque
(En. cyber-attack)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)