Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 1 Définitions
Summary What does Article 1 of the RTS on threat-led penetration testing say?
This is the foundational definitions article for the regulation, establishing a precise shared vocabulary that underpins every subsequent obligation and procedure.
It is notably comprehensive, defining 18 terms that span the key actors, roles, and concepts involved in threat-led penetration testing (TLPT).
The definitions cover the parties involved in a test — such as the control team, blue team, red team, and threat intelligence provider — as well as the mechanics of testing itself, including concepts like flags, attack paths, leg-ups, and purple teaming.
It also clarifies the different formats a TLPT can take, distinguishing between joint TLPTs and pooled TLPTs, the latter being referenced directly from Regulation (EU) 2022/2554 (DORA), of which this regulation is an implementing measure.
Important points:
- Understand the distinction between the red team (the testers executing attacks), the blue team (the defenders, unaware of the TLPT), and the control team (the financial entity's staff managing the test) — these roles carry specific obligations throughout the regulation.
- The "TLPT authority" has a broad definition, covering designated national authorities, delegated authorities, and competent authorities under DORA, meaning oversight of a TLPT may rest with different bodies depending on jurisdiction.
- Joint TLPTs and pooled TLPTs are defined as distinct arrangements, a distinction that matters for how multiple financial entities and their authorities coordinate under later articles.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Aux fins du présent règlement, on entend par:
«équipe chargée du contrôle»: l’équipe qui est composée de membres du personnel de l’entité financière testée et, si cela est pertinent au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), de membres du personnel de ses prestataires tiers de services et de toute autre partie, et qui gère le test;
«chef de l’équipe chargée du contrôle»: le membre du personnel de l’entité financière qui est responsable de la conduite de toutes les activités liées aux tests d’intrusion fondés sur la menace (TIFM) pour l’entité financière dans le cadre d’un test donné;
«équipe bleue»: les membres du personnel de l’entité financière et, le cas échéant, les membres du personnel des prestataires tiers de services de l’entité financière et de toute autre partie jugée pertinente au regard du périmètre du test d’intrusion fondé sur la menace (TIFM), des prestataires tiers de services de l’entité financière, qui défendent l’utilisation des réseaux et des systèmes d’information par une entité financière en maintenant sa posture de sécurité face aux attaques simulées ou réelles et qui n’ont pas connaissance du TIFM;
«tâches d’équipe bleue»: les tâches qui sont généralement exécutées par l’équipe bleue, telles que le centre d’opérations de sécurité (SOC), les services d’infrastructure TIC, les services d’assistance et les services de gestion des incidents au niveau opérationnel;
«équipe rouge»: les testeurs, internes ou externes, affectés à, ou engagés pour, un test d’intrusion fondé sur la menace (TIFM);
«collaboration violette»: une activité de test collaborative impliquant à la fois les testeurs et l’équipe bleue;
«autorité compétente en matière de tests d’intrusion fondés sur la menace» ou «autorité TIFM»: l’une des entités suivantes:
l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
«équipe de cybersécurité TIFM»: les membres du personnel qui, au sein des autorités TIFM, sont responsables des questions liées aux tests d’intrusion fondés sur la menace (TIFM);
«gestionnaires de test»: les membres du personnel désignés pour diriger les activités de l’autorité TIFM pour un test d’intrusion fondé sur la menace (TIFM) spécifique afin de contrôler le respect du présent règlement;
«fournisseur de renseignements sur les menaces»: les experts qui sont engagés par l’entité financière pour chaque test d’intrusion fondé sur la menace (TIFM) et sont externes à l’entité financière et aux éventuels prestataires de services TIC intra-groupe, et qui collectent et analysent des renseignements sur les menaces ciblées pertinents pour les entités financières dans le périmètre d’un exercice spécifique de TIFM et élaborent des scénarios de menace correspondants pertinents et réalistes;
«prestataires de TIFM»: les testeurs et les fournisseurs de renseignements sur les menaces;
«coup de pouce»: l’assistance ou les informations fournies par l’équipe chargée du contrôle aux testeurs pour leur permettre de poursuivre l’exécution d’un chemin d’attaque lorsqu’ils ne sont pas en mesure de continuer seuls, notamment par manque de temps ou de ressources lors d’un test d’intrusion fondé sur la menace (TIFM) donné, et qu’il n’existe pas d’autre solution raisonnable;
«chemin d’attaque»: la voie suivie par les testeurs au cours de la phase active de test de l’équipe rouge, lors d’un test d’intrusion fondé sur la menace (TIFM), pour atteindre les drapeaux spécifiés pour ce test;
«drapeaux»: des objectifs clés dans les systèmes de TIC soutenant les fonctions critiques ou importantes d’une entité financière que les testeurs tentent d’atteindre dans le cadre du test;
«informations sensibles»: des informations qui peuvent facilement être exploitées pour mener des attaques contre les systèmes de TIC de l’entité financière, la propriété intellectuelle, des données commerciales confidentielles ou des données à caractère personnel, qui, si elles tombaient entre les mains d’acteurs malveillants, pourraient porter directement ou indirectement préjudice à l’entité financière et à son écosystème;
«groupement»: toutes les entités financières participant à un test groupé d’intrusion fondé sur la menace (TIFM groupé) conformément à l’article 26, paragraphe 4, du règlement (UE) 2022/2554;
«État membre d’accueil»: l’État membre d’accueil conformément au droit sectoriel de l’Union applicable à chaque entité financière;
«test commun d’intrusion fondé sur la menace» ou «TIFM commun»: un test d’intrusion fondé sur la menace (TIFM), autre qu’un test groupé d’intrusion fondé sur la menace (TIFM groupé) au sens de l’article 26, paragraphe 4, du règlement (UE) 2022/2554, impliquant plusieurs entités financières utilisant le même prestataire de services TIC intra-groupe, ou appartenant à un même groupe et partageant des systèmes de TIC.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
coup de pouce
(En. leg-up)
Definition
informations sensibles
(En. sensitive information)
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
État membre d’accueil
(En. host Member State)
Definition
TIFM commun
(En. joint TLPT)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
équipe chargée du contrôle
(En. control team)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
collaboration violette
(En. purple teaming)
Definition
chemin d’attaque
(En. attack path)
Definition
groupement
(En. pool)
Definition
équipe de cybersécurité TIFM
(En. TLPT Cyber Team)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
autorité compétente en matière de tests d’intrusion fondés sur la menace
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
équipe bleue
(En. blue team)
Definition
cyberattaque
(En. cyber-attack)
Definition
gestionnaires de test
(En. test managers)
Definition
autorité publique
(En. public authority)
Definition
chef de l’équipe chargée du contrôle
(En. control team lead)
Definition
prestataires de TIFM
(En. TLPT providers)
Definition
tâches d’équipe bleue
(En. blue team tasks)
Definition
test commun d’intrusion fondé sur la menace
(En. joint TLPT)
Definition
entreprise mère
(En. parent undertaking)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
drapeaux
(En. flags)
Definition
équipe rouge
(En. red team)