Article 5 Gestion des risques pour les TIFM

Summary What does Article 5 of the RTS on threat-led penetration testing say?

Article 5 sets out the risk assessment obligations that apply to the control team during the TLPT process.

It sits within the broader preparation framework established by Article 9, and essentially requires the control team to think carefully about the dangers inherent in running live penetration tests against critical systems — both to the financial entity itself and to the wider financial sector.

Crucially, this is not a one-time exercise; the control team must keep reviewing those risks throughout the entire testing period.

The article also provides a minimum list of risk categories that must be factored into the assessment, ranging from the risks of giving external testers access to sensitive information, to the possibility of data corruption or service interruption caused by either the attacking (red) or defending (blue) teams, to the risk that systems are not fully restored after testing concludes.

Important points:

The control team must conduct a risk assessment at the preparation stage and continue reviewing it throughout the testing process.
The risk assessment must cover, at minimum, six specific risk areas, including risks from granting access to sensitive information, compliance failures, crisis escalation, red team and blue team activities, and incomplete system restoration.
The scope of concern explicitly extends beyond the financial entity itself to include potential impacts on the broader financial sector and financial stability at Union or national level.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Au cours de la phase de préparation visée à l’article 9, l’équipe chargée du contrôle évalue les risques associés au test des systèmes en environnement de production des fonctions critiques ou importantes de l’entité financière, y compris les incidences potentielles sur:
  1. le secteur financier;
  2. la stabilité financière au niveau de l’Union ou au niveau national.
2. L’équipe chargée du contrôle examine ces incidences tout au long des tests.
1. Aux fins de l’évaluation et de la gestion des risques, l’équipe chargée du contrôle tient compte au moins des types de risques suivants liés:
  1. au fait d’accorder au fournisseur de renseignements sur les menaces et aux testeurs externes, le cas échéant, l’accès à des informations sensibles sur l’entité financière;
  2. au non-respect, par le TIFM, du règlement (UE) 2022/2554 et du présent règlement lorsque ce non-respect entraîne l’absence de l’attestation visée à l’article 26, paragraphe 7, du règlement (UE) 2022/2554, y compris lorsque ce non-respect est dû à des violations de la confidentialité du TIFM ou à une conduite non éthique;
  3. à une remontée des incidents et des crises;
  4. à la phase active de l’équipe rouge, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités des testeurs, et à ses incidences potentielles sur des tiers;
  5. à l’activité de l’équipe bleue, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités de l’équipe bleue, et à ses incidences potentielles sur des tiers;
  6. à la restauration incomplète des systèmes touchés par le TIFM.

Relevant recitals

Considérant 9 Secrecy of the TLPT

La confidentialité du TIFM est de la plus haute importance pour garantir que les conditions du test soient réalistes. Pour cette raison, les tests devraient être effectués en secret, et des précautions devraient être prises pour en préserver la confidentialité, notamment grâce au choix de noms de code conçus pour empêcher l’identification des TIFM par des tiers. Si les membres du personnel chargés de la sécurité de l’équipe financière devaient apprendre qu’un TIFM est prévu ou en cours, il est probable qu’ils seraient plus attentifs et plus vigilants que dans des conditions de travail normales, ce qui altérerait les résultats des tests. Les membres du personnel de l’entité financière qui ne font pas partie de l’équipe chargée du contrôle ne devraient donc être informés qu’un TIFM est prévu ou en cours que s’il existe des raisons valables de le faire, et moyennant l’accord préalable des gestionnaires de test, notamment pour garantir la confidentialité du test dans l’hypothèse où un membre de l’équipe bleue l’aurait détecté.

Considérant 11 Managing inherent risks of a TLPT

Certains éléments de risque sont inhérents aux TIFM, étant donné que des fonctions critiques sont testées dans un environnement de production réel, ce qui est susceptible de provoquer des incidents de type «déni de service», des pannes système inattendues, de dommages à des systèmes critiques en environnement de production, ou la perte, l’altération ou la divulgation de données. Ces risques mettent en évidence la nécessité de solides mesures de gestion des risques. Afin de veiller à ce que les tests d’intrusion fondés sur la menace soient conduits de manière contrôlée tout au long du processus, il est très important que les entités financières soient à tout moment conscientes des risques particuliers qu’entraîne un TIFM et que ces risques soient atténués. À cet égard, sans préjudice des processus internes de l’entité financière et de la responsabilité et des délégations déjà confiées au chef de l’équipe chargée du contrôle, des informations sur les mesures de gestion des risques liés aux TIFM ou, dans des cas particuliers, l’approbation de ces mesures par l’organe de direction de l’entité financière lui-même peuvent être appropriées. Pour être en mesure de fournir des services professionnels efficaces et hautement qualifiés et de réduire ces risques, il est également essentiel que les testeurs et les fournisseurs de renseignements sur les menaces (collectivement appelés «prestataires de TIFM») possèdent le plus haut niveau possible de compétences et d’expertise et une expérience appropriée en matière de renseignement sur les menaces et de TIFM dans le secteur des services financiers.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.