Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Annexe V Contenu du rapport de test de l’équipe rouge (article 12, paragraphe 2)
Le rapport de test de l’équipe rouge doit contenir des informations sur au moins tous les points suivants:
des informations sur l’attaque menée, y compris:
les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;
le résumé de chaque scénario;
les drapeaux atteints et non atteints;
les chemins d’attaque suivis avec succès et sans succès;
les tactiques, techniques et procédures utilisées avec succès et sans succès;
les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;
les coups de pouce fournis, le cas échéant;
toutes les actions dont les testeurs ont connaissance et qui ont été réalisées par l’équipe bleue pour reconstruire l’attaque et en atténuer les effets;
les vulnérabilités découvertes et autres constatations, y compris:
une description de la vulnérabilité et des autres constatations, dont leur criticité;
une analyse des causes originelles de la réussite des attaques menées à bien;
des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
vulnérabilité
(En. vulnerability)
Definition
fonction critique ou importante
(En. critical or important function)