Article 12 Phase de clôture

Summary What does Article 12 of the RTS on threat-led penetration testing say?

Article 12 governs the post-testing phase of a TLPT, picking up directly where Article 11 leaves off once the active red team testing phase has concluded.

It sets out a structured sequence of reporting, collaborative review, and feedback obligations that must be completed before the TLPT can be formally closed out.

The article moves the process from covert attack simulation into an open, collaborative phase — revealing the test to the blue team, exchanging reports between all parties, conducting a purple teaming exercise, and ultimately submitting a summary report to the TLPT authority for approval.

Important points:

The blue team must be informed that a TLPT took place, then produce its own report within 10 weeks of the end of the active testing phase — mirroring the red team report which testers must submit within 4 weeks.
Conduct a purple teaming exercise no later than 10 weeks after the active testing phase, replaying offensive and defensive actions and addressing vulnerabilities identified during the test.
Submit a summary report of the TLPT's relevant findings to the TLPT authority for approval within 8 weeks of the authority confirming that both the red team and blue team reports are complete.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. À l’issue de la phase active de test de l’équipe rouge, le chef de l’équipe chargée du contrôle informe l’équipe bleue qu’un TIFM a eu lieu.
1. Dans un délai de quatre semaines à compter de la fin de la phase active de test de l’équipe rouge, les testeurs soumettent à l’équipe chargée du contrôle le rapport de test de l’équipe rouge contenant les informations prévues à l’annexe V.
1. L’équipe chargée du contrôle transmet le rapport de test de l’équipe rouge à l’équipe bleue et aux gestionnaires de test sans retard injustifié.
2. À la demande des gestionnaires de test, le rapport visé au premier alinéa ne contient pas d’informations sensibles.
1. À la réception du rapport de test de l’équipe rouge, et au plus tard dix semaines après la fin de la phase active de test de l’équipe rouge, l’équipe bleue soumet à l’équipe chargée du contrôle un rapport de test de l’équipe bleue contenant les informations prévues à l’annexe VI. L’équipe chargée du contrôle communique le rapport de test de l’équipe bleue aux testeurs et aux gestionnaires de test sans retard injustifié.
2. À la demande des gestionnaires de test, le rapport visé au premier alinéa ne contient pas d’informations sensibles.
1. Au plus tard dix semaines après la fin de la phase active de test de l’équipe rouge, l’équipe bleue et les testeurs rejouent les actions offensives et défensives menées pendant le TIFM. L’équipe chargée du contrôle mène également un exercice de collaboration violette sur des sujets déterminés conjointement par l’équipe bleue et les testeurs, sur la base des vulnérabilités recensées lors du test et, le cas échéant, sur des questions qui n’ont pas pu être testées au cours de la phase active de test de l’équipe rouge.
1. À l’issue des exercices de «rejeu» et de collaboration violette, l’équipe chargée du contrôle, l’équipe bleue, les testeurs et les fournisseurs de renseignements sur les menaces se fournissent mutuellement un retour d’information sur le processus de TIFM. Les gestionnaires de test peuvent également fournir un retour d’information.
1. Une fois que l’autorité TIFM a notifié au chef de l’équipe chargée du contrôle qu’elle estime que les rapports de test des équipes bleue et rouge contiennent les informations prévues aux annexes V et VI, l’entité financière soumet pour approbation à l’autorité TIFM, dans un délai de huit semaines, le rapport de synthèse résumant les conclusions pertinentes du TIFM et contenant les éléments prévus à l’annexe VII, conformément à l’article 26, paragraphe 6, du règlement (UE) 2022/2554.
2. À la demande de l’autorité TIFM, le rapport visé au premier alinéa ne contient pas d’informations sensibles.

Relevant recitals

Considérant 8 Involvement of TLPT authorities in the phases

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

Considérant 15 Regular meetings involving all stakeholders

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette et l’échange de retours d’information sur le TIFM.

Considérant 16 Communication between test manager and control team

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM.

Considérant 24 Maximising the learning experience

Le TIFM est destiné à être utilisé à des fins d’apprentissage, dans le but de renforcer la résilience opérationnelle numérique des entités financières. À ce titre, l’équipe bleue et les testeurs devraient rejouer l’attaque et revoir ensemble les mesures prises afin de tirer des enseignements du test, en collaboration avec les testeurs. Pour ce faire, et pour permettre à tous de bien se préparer, il convient, avant que les activités consistant à rejouer l’attaque ne soient menées, que les rapports de test des équipes rouge et bleue soient mis à la disposition de toutes les parties impliquées dans ces activités. En outre, au cours de la phase de clôture, il y a lieu d’organiser un exercice de collaboration violette afin de maximiser l’expérience d’apprentissage. Les méthodes à employer pour cette collaboration violette en phase de clôture devraient comprendre la discussion d’autres scénarios d’attaque, l’exploration d’autres scénarios sur les systèmes en environnement de production ou la réexploration, sur les systèmes en environnement de production, des scénarios planifiés que les testeurs n’ont pas été en mesure d’achever ou d’exécuter au cours de la phase de test.

Considérant 25 Mutual feedback

Afin de faciliter l’expérience d’apprentissage de toutes les parties impliquées dans le TIFM, dans l’optique de tests futurs, et de renforcer la résilience opérationnelle numérique des entités financières, les parties concernées devraient s’échanger des retours d’information sur l’ensemble du processus et, en particulier, pointer les activités qui se sont bien déroulées et celles qui auraient pu être améliorées, ainsi que les aspects du processus de TIFM qui ont bien fonctionné et ceux qui pourraient être améliorés.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.