Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 10 Phase de test: renseignements sur les menaces
Summary What does Article 10 of the RTS on threat-led penetration testing say?
Article 10 governs the threat intelligence phase of a TLPT, which kicks off once the scope specification document has been approved under Article 9.
It places the threat intelligence provider at the centre of this phase, requiring them to research and analyse the threat landscape relevant to the financial entity, identify cyber threats and vulnerabilities, and translate this into concrete, realistic attack scenarios.
Those scenarios are then presented to the control team, testers, and test managers, before the control team lead selects at least three to form the basis of the actual test.
The article closes with the completed threat intelligence report being submitted by the control team for TLPT authority approval, which acts as the gateway into the next testing phase.
Important points:
- The threat intelligence provider is required to analyse both generic and entity-specific threats, identify vulnerabilities, and propose distinct scenarios targeting each critical or important function in scope.
- Select at least three scenarios to conduct the TLPT, with no more than one permitted to be non-threat-led.
- In pooled or joint TLPTs involving ICT third-party or intra-group service providers, at least one scenario must cover the service provider's underlying ICT systems supporting the financial entities' critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
À la suite de l’approbation du document de spécification du périmètre du test par l’autorité TIFM, le fournisseur de renseignements sur les menaces analyse les renseignements sur les menaces génériques et sectoriels pertinents pour l’entité financière. Lorsqu’un panorama générique de la menace a été fourni par l’autorité TIFM pour le secteur financier d’un État membre, le fournisseur de renseignements sur les menaces peut l’utiliser en guise de référence pour le panorama national de la menace. Le fournisseur de renseignements sur les menaces recense les cybermenaces et les vulnérabilités existantes ou potentielles concernant l’entité financière. En outre, il recueille des informations et analyse des renseignements concrets, exploitables et contextualisés sur les cibles et les menaces concernant l’entité financière, y compris en consultant l’équipe chargée du contrôle et les gestionnaires de test.
Le fournisseur de renseignements sur les menaces présente les menaces pertinentes et les renseignements sur les menaces ciblées et propose les scénarios requis à l’équipe chargée du contrôle, aux testeurs et aux gestionnaires de test. Les scénarios proposés diffèrent en fonction des acteurs de la menace identifiés et des tactiques, techniques et procédures associées et ciblent chacune des fonctions critiques ou importantes incluses dans le périmètre du TIFM.
Le chef de l’équipe chargée du contrôle sélectionne au moins trois scénarios pour réaliser le TIFM sur la base de tous les éléments suivants:
la recommandation du fournisseur de renseignements sur les menaces et la nature, axée sur les menaces, de chaque scénario;
les contributions fournies par les gestionnaires de test;
la faisabilité de l’exécution des scénarios proposés, sur la base du jugement d’expert des testeurs;
la taille, la complexité et le profil de risque global de l’entité financière ainsi que la nature, l’ampleur et la complexité de ses services, activités et opérations.
Seul un des scénarios sélectionnés peut ne pas être fondé sur la menace et peut être fondé sur une menace prospective et potentiellement fictive présentant une valeur prédictive, anticipative, opportuniste ou prospective élevée, compte tenu de l’évolution attendue du panorama de la menace concernant l’entité financière.
Pour les TIFM groupés, sans préjudice des scénarios ciblant directement les fonctions critiques ou importantes des entités financières participant aux tests, au moins un scénario inclut les systèmes, processus et technologies de TIC sous-jacents pertinents du prestataire tiers de services TIC qui soutiennent les fonctions critiques ou importantes des entités financières incluses dans le périmètre.
Lorsque le test est un TIFM commun impliquant un prestataire de services TIC intra-groupe, sans préjudice des scénarios ciblant directement les fonctions critiques ou importantes des entités financières participant au test, au moins un scénario inclut les systèmes, processus et technologies de TIC sous-jacents pertinents du prestataire de services TIC intra-groupe qui soutiennent les fonctions critiques ou importantes des entités financières incluses dans le périmètre.
Le fournisseur de renseignements sur les menaces fournit le rapport de renseignement sur les menaces ciblées à l’équipe chargée du contrôle, en ce compris les scénarios sélectionnés conformément aux paragraphes 3 et 4. Le rapport de renseignement sur les menaces contient les informations prévues à l’annexe III.
L’équipe chargée du contrôle soumet le rapport de renseignement sur les menaces ciblées au gestionnaire de test pour approbation. Lorsque le rapport de renseignement sur les menaces ciblées est complet et garantit la réalisation d’un TIFM efficace, l’autorité du TIFM l’approuve et en informe le chef de l’équipe chargée du contrôle.
Relevant recitals
Considérant 8 Involvement of TLPT authorities in the phases
Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.
Considérant 15 Regular meetings involving all stakeholders
Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette et l’échange de retours d’information sur le TIFM.
Considérant 16 Communication between test manager and control team
Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM.
Considérant 18 The threat intelligence report
Afin de fournir aux testeurs les informations nécessaires pour simuler une attaque réelle et réaliste contre les systèmes opérationnels qui sous-tendent les fonctions critiques ou importantes de l’entité financière, le fournisseur de renseignements sur les menaces devrait recueillir des renseignements ou des informations couvrant au moins deux domaines d’intérêt clés: les cibles, par l’identification des surfaces d’attaque potentielles dans l’ensemble de l’entité financière, et les menaces, par l’identification des acteurs de la menace pertinents et des scénarios de menace probables. Afin que le fournisseur de renseignements sur les menaces tienne compte des menaces pertinentes pour l’entité financière, les testeurs, l’équipe chargée du contrôle et les gestionnaires de test devraient fournir un retour d’information sur le projet de rapport de renseignement sur les menaces. Le cas échéant, le fournisseur de renseignements sur les menaces peut utiliser un panorama général de la menace fourni par l’autorité TIFM pour le secteur financier d’un État membre en guise de référence pour le panorama national de la menace. D’après l’application du cadre TIBER-EU, le processus de collecte de renseignements sur les menaces dure généralement environ quatre semaines.
Considérant 19 Presentation of the threat intelligence report
Afin que les testeurs puissent se faire une idée de la situation et examiner plus en détail le document de spécification du périmètre du test ainsi que le rapport de renseignement sur les menaces ciblées pour finaliser le plan de test de l’équipe rouge, il est essentiel que, avant la phase de test de l’équipe rouge du TIFM, les testeurs reçoivent du fournisseur de renseignements sur les menaces des explications détaillées concernant le rapport de renseignement sur les menaces ciblées et une analyse des scénarios de menace possibles.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
TIFM commun
(En. joint TLPT)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
équipe chargée du contrôle
(En. control team)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
collaboration violette
(En. purple teaming)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
équipe bleue
(En. blue team)
Definition
cyberattaque
(En. cyber-attack)
Definition
gestionnaires de test
(En. test managers)
Definition
autorité publique
(En. public authority)
Definition
chef de l’équipe chargée du contrôle
(En. control team lead)
Definition
prestataires de TIFM
(En. TLPT providers)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
entreprise mère
(En. parent undertaking)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
équipe rouge
(En. red team)