Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 15 Recours à des testeurs internes
Summary What does Article 15 of the RTS on threat-led penetration testing say?
This article sets out the rules governing the use of internal testers when conducting a TLPT.
Rather than simply permitting or prohibiting internal testers, the article conditions their use on a series of specific organisational arrangements that financial entities must have in place.
These cover the need for a formal policy, safeguards to protect the entity's broader defensive capabilities during the test, and minimum team composition and employment tenure requirements.
The article also connects to Article 7(1) of this Regulation, which sets out tester requirements that the TLPT authority must consider when approving the use of internal testers, and to Article 27(2)(a) of DORA, which governs that approval itself.
Notably, testers from an ICT intra-group service provider are treated as internal testers for these purposes.
Important points:
- Establish a formal, documented, and periodically reviewed policy for managing internal testers, covering suitability, competence, conflicts of interest, team composition (a test lead plus at least two members), a 12-month employment requirement, and training provisions.
- Ensure that using internal testers does not negatively impact the entity's defensive or resilience capabilities or the availability of resources for ICT-related tasks during the TLPT.
- Disclose the use of internal testers in the test initiation information, the red team test report, and the TLPT summary findings report.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières mettent en place l’ensemble des modalités suivantes en ce qui concerne le recours à des testeurs internes:
l’établissement et la mise en œuvre d’une politique de gestion des testeurs internes dans le cadre d’un TIFM;
des mesures visant à garantir que le recours à des testeurs internes pour effectuer un TIFM n’a pas d’incidence négative sur les capacités générales de défense ou de résilience de l’entité financière en ce qui concerne les incidents liés aux TIC ni d’incidence significative sur la disponibilité des ressources consacrées aux tâches liées aux TIC durant un TIFM;
des mesures visant à garantir que les testeurs internes disposent de ressources et de capacités suffisantes pour effectuer un TIFM.
La politique visée au point a):
contient des critères permettant d’évaluer l’adéquation, les compétences et les conflits d’intérêts potentiels des testeurs internes et précise les responsabilités de gestion dans le cadre du processus de test;
est documentée et réexaminée périodiquement;
prévoit que l’équipe de test interne est composée d’un chef et d’au moins deux autres membres;
exige que tous les membres de l’équipe de test aient fait partie des salariés de l’entité financière ou d’un prestataire de services TIC intra-groupe pendant les 12 derniers mois;
prévoit des dispositions concernant la formation des testeurs internes à la réalisation de tests d’intrusion et de tests en équipe rouge.
Lorsqu’une autorité TIFM approuve le recours à des testeurs internes conformément à l’article 27, paragraphe 2, point a), du règlement (UE) 2022/2554, elle prend en considération les exigences énoncées à l’article 7, paragraphe 1, du présent règlement.
Lorsqu’elle a recours à des testeurs internes, l’entité financière veille à ce que cela soit mentionné dans les documents suivants:
les informations concernant le lancement du test visées à l’article 9;
le rapport de test de l’équipe rouge visé à l’article 12, paragraphe 2;
le rapport de synthèse résumant les conclusions pertinentes du TIFM visé à l’article 26, paragraphe 6, du règlement (UE) 2022/2554.
Les testeurs salariés d’un prestataire de services TIC intra-groupe sont considérés comme des testeurs internes de l’entité financière.
Relevant recitals
Considérant 12 Comprehensive criteria for TLPT providers
Les tests d’intrusion conventionnels fournissent une évaluation détaillée et utile des vulnérabilités techniques et de configuration qui porte souvent sur un seul système ou environnement pris isolément, mais, contrairement aux tests de l’équipe rouge fondés sur les renseignements, ils n’évaluent pas le scénario complet d’une attaque ciblée contre une entité dans son intégralité, ce qui comprend l’ensemble de son personnel, de ses processus et de ses technologies. Au cours du processus de sélection des prestataires de TIFM, les entités financières devraient donc veiller à ce que ces derniers disposent des compétences requises pour effectuer des tests d’équipe rouge fondés sur les renseignements, et pas seulement des tests d’intrusion. Il est donc nécessaire de définir des critères complets pour les testeurs, qui peuvent être aussi bien internes qu’externes, et les fournisseurs de renseignements sur les menaces, qui sont toujours externes. Lorsque les prestataires de TIFM appartiennent à la même entreprise, le personnel affecté à un TIFM devrait être suffisamment séparé.
Considérant 13 Exemptions from TLPT provider criteria
Dans certaines circonstances exceptionnelles, il peut arriver que les entités financières ne soient pas en mesure de conclure des contrats avec des prestataires de TIFM satisfaisant à l’ensemble des critères. Dès lors qu’elles sont en mesure de prouver l’indisponibilité de tels fournisseurs de renseignements sur les menaces, les entités financières devraient être autorisées à engager des personnes qui ne satisfont pas à l’ensemble des critères, pour autant qu’elles atténuent correctement les risques supplémentaires qui en résultent et que l’autorité TIFM évalue tous ces critères.
Considérant 27 Mix of internal and external testers considered 'internal'
L’article 26, paragraphe 8, premier alinéa, du règlement (UE) 2022/2554 impose aux entités financières d’engager des testeurs externes tous les trois tests. Lorsque les entités financières incluent dans l’équipe de testeurs à la fois des testeurs internes et externes, le TIFM doit être considéré, aux fins dudit article, comme effectué avec des testeurs internes.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
cyberattaque
(En. cyber-attack)
Definition
autorité publique
(En. public authority)
Definition
prestataires de TIFM
(En. TLPT providers)
Definition
entreprise mère
(En. parent undertaking)
Definition
équipe rouge
(En. red team)