Source: OJ L, 2025/1190, 18.6.2025Current language: FR
- Digital operational resilience in the financial sector
Digital operational resilience testing
- RTS on threat-led penetration testing
Article 7 Sélection des prestataires de TIFM
Summary What does Article 7 of the RTS on threat-led penetration testing say?
This is a detailed and notably granular article that sits at the heart of the regulation's quality assurance framework for TLPT providers.
Building on the broader risk management obligations established in Articles 5 and 6, Article 7 sets out the specific due diligence and conduct requirements that the control team must enforce when engaging external testers and threat intelligence providers.
It covers the vetting of credentials and experience, conflict of interest requirements, mandatory post-test restoration procedures, and a list of prohibited activities.
It also contains a limited exception allowing non-compliant providers to be used in exceptional circumstances, provided mitigating measures are adopted and recorded.
Important points:
- Ensure external testers and threat intelligence providers meet strict qualification standards, including minimum years of experience, reference requirements, professional indemnity insurance, and separation from blue team activities to avoid conflicts of interest.
- Require testers and threat intelligence providers to carry out full restoration procedures after testing, covering removal of malware, deactivation of command and control infrastructure, and secure deletion of compromised credentials.
- In exceptional circumstances, financial entities may engage providers that do not meet the requirements, but must adopt and record appropriate measures to mitigate the associated risks.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
L’équipe chargée du contrôle prend des mesures pour gérer les risques liés aux TIFM et veille en particulier à ce que, pour chaque TIFM:
le fournisseur de renseignements sur les menaces et les testeurs externes fournissent à l’équipe chargée du contrôle un curriculum vitæ détaillé et des copies de certifications qui, selon les normes du marché reconnues, sont adaptées à l’exercice de leurs activités;
le fournisseur de renseignements sur les menaces et le testeur externe soient dûment et entièrement couverts par des assurances de responsabilité civile professionnelle adéquates, y compris contre les risques de mauvaise conduite et de négligence;
le fournisseur de renseignements sur les menaces fournisse au moins trois références issues de missions antérieures dans le cadre de tests d’intrusion et de tests par équipe rouge;
les testeurs externes fournissent au moins cinq références issues de missions antérieures liées à des tests d’intrusion et à des tests par équipe rouge;
le personnel du fournisseur de renseignements sur les menaces affecté au TIFM:
soit composé d’au moins un cadre possédant un minimum de cinq années d’expérience dans le domaine du renseignement sur les menaces et d’au moins un autre membre ayant un minimum de deux ans d’expérience dans le domaine du renseignement sur les menaces;
présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, notamment dans les domaines suivants:
tactiques, techniques et procédures de collecte de renseignements;
connaissances géopolitiques, techniques et sectorielles;
compétences adéquates en matière de communication pour présenter clairement les résultats de l’engagement et en rendre compte;
ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins trois missions de renseignement sur les menaces dans le cadre de tests d’intrusion et de tests par équipe rouge;
n’exécute pas simultanément des tâches d’équipe bleue ou d’autres services susceptibles de présenter un conflit d’intérêts en ce qui concerne l’entité financière, le prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe participant au TIFM auquel il est affecté;
soit séparé du personnel du même prestataire de TIFM qui fournit des testeurs externes pour le même TIFM, et ne rende pas compte à celui-ci;
pour les testeurs externes, l’équipe rouge affectée au TIFM:
soit composée d’au moins un cadre possédant un minimum de cinq années d’expérience dans les tests d’intrusion et les tests par équipe rouge, ainsi que d’au moins deux autres testeurs ayant chacun un minimum de deux ans d’expérience dans les tests d’intrusion et les tests par équipe rouge;
présente un large éventail de connaissances et de compétences professionnelles d’un niveau approprié, y compris des connaissances sur l’activité de l’entité financière, la reconnaissance, la gestion des risques, le développement d’exploit, l’intrusion physique, l’ingénierie sociale, l’analyse de vulnérabilité, ainsi que des compétences adéquates en matière de communication afin de présenter clairement les résultats de l’engagement et d’en rendre compte;
ait déjà participé, si l’on considère la participation combinée de ses membres, à au moins cinq missions liées à des tests d’intrusion et à des tests par équipe rouge;
ne soit pas employée par un fournisseur de renseignements sur les menaces qui exécute simultanément des tâches d’équipe bleue pour une entité financière, un prestataire tiers de services TIC ou un prestataire de services TIC intra-groupe qui participe au TIFM, ni ne fournisse de services à ce fournisseur de renseignements sur les menaces;
soit séparée de tout membre du personnel du même prestataire de TIFM qui fournit simultanément des services de renseignement sur les menaces pour le même TIFM;
les testeurs et le fournisseur de renseignements sur les menaces mettent en œuvre des procédures de restauration à l’issue des tests, lesquelles comprennent la suppression sécurisée des informations relatives aux mots de passe, aux identifiants et aux autres clés secrètes compromises durant le TIFM, la communication sécurisée aux entités financières des comptes compromis, la collecte, le stockage, la gestion et l’élimination sécurisés d’autres données collectées au cours des tests;
outre les procédures de restauration à l’issue des tests visées au point g), les testeurs effectuent les procédures de restauration suivantes:
la désactivation des commandes et contrôles;
la mise en place de coupe-circuit («kill switch») assortis d’une date et d’un périmètre;
l’élimination des portes dérobées («backdoor») et autres logiciels malveillants;
la notification des violations potentielles;
les procédures de restauration de sauvegarde future qui pourraient concerner des logiciels malveillants ou des outils installés au cours du test;
le suivi des activités de l’équipe bleue et la notification de toute détection éventuelle à l’équipe chargée du contrôle;
les testeurs et le fournisseur de renseignements sur les menaces n’exercent aucune des activités suivantes ni n’y participent:
la destruction non autorisée d’équipements de l’entité financière et de ses éventuels prestataires tiers de services TIC;
la modification incontrôlée d’actifs informationnels et d’actifs de TIC de l’entité financière et de ses éventuels prestataires tiers de services TIC;
la compromission intentionnelle de la continuité de fonctions critiques ou importantes de l’entité financière;
l’inclusion non autorisée de systèmes situés hors du périmètre du test;
la divulgation non autorisée des résultats des tests.
L’équipe chargée du contrôle tient un registre de la documentation fournie par les testeurs et les fournisseurs de renseignements sur les menaces afin de prouver le respect du paragraphe 1, points a) à f).
Dans des circonstances exceptionnelles, les entités financières peuvent faire appel à des testeurs externes et à des fournisseurs de renseignements sur les menaces qui ne satisfont pas à une ou à plusieurs des exigences énoncées au paragraphe 1, points a) à f), à condition que ces entités financières adoptent des mesures appropriées pour atténuer les risques liés au non-respect de ces points et consignent ces mesures.
Relevant recitals
Considérant 12 Comprehensive criteria for TLPT providers
Les tests d’intrusion conventionnels fournissent une évaluation détaillée et utile des vulnérabilités techniques et de configuration qui porte souvent sur un seul système ou environnement pris isolément, mais, contrairement aux tests de l’équipe rouge fondés sur les renseignements, ils n’évaluent pas le scénario complet d’une attaque ciblée contre une entité dans son intégralité, ce qui comprend l’ensemble de son personnel, de ses processus et de ses technologies. Au cours du processus de sélection des prestataires de TIFM, les entités financières devraient donc veiller à ce que ces derniers disposent des compétences requises pour effectuer des tests d’équipe rouge fondés sur les renseignements, et pas seulement des tests d’intrusion. Il est donc nécessaire de définir des critères complets pour les testeurs, qui peuvent être aussi bien internes qu’externes, et les fournisseurs de renseignements sur les menaces, qui sont toujours externes. Lorsque les prestataires de TIFM appartiennent à la même entreprise, le personnel affecté à un TIFM devrait être suffisamment séparé.
Considérant 13 Exemptions from TLPT provider criteria
Dans certaines circonstances exceptionnelles, il peut arriver que les entités financières ne soient pas en mesure de conclure des contrats avec des prestataires de TIFM satisfaisant à l’ensemble des critères. Dès lors qu’elles sont en mesure de prouver l’indisponibilité de tels fournisseurs de renseignements sur les menaces, les entités financières devraient être autorisées à engager des personnes qui ne satisfont pas à l’ensemble des critères, pour autant qu’elles atténuent correctement les risques supplémentaires qui en résultent et que l’autorité TIFM évalue tous ces critères.
Considérant 27 Mix of internal and external testers considered 'internal'
L’article 26, paragraphe 8, premier alinéa, du règlement (UE) 2022/2554 impose aux entités financières d’engager des testeurs externes tous les trois tests. Lorsque les entités financières incluent dans l’équipe de testeurs à la fois des testeurs internes et externes, le TIFM doit être considéré, aux fins dudit article, comme effectué avec des testeurs internes.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
renseignements sur les menaces
(En. threat intelligence)
Definition
fournisseur de renseignements sur les menaces
(En. threat intelligence provider)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
équipe chargée du contrôle
(En. control team)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
autorité TIFM
(En. TLPT authority)
- l’autorité publique unique au sein du secteur financier désignée conformément à l’article 26, paragraphe 9, du règlement (UE) 2022/2554;
- l’autorité du secteur financier à laquelle l’exercice de tout ou partie des tâches liées aux tests d’intrusion fondés sur la menace (TIFM) est délégué conformément à l’article 26, paragraphe 10, du règlement (UE) 2022/2554;
- l’une des autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554;
Definition
filiale
(En. subsidiary)
Definition
services TIC
(En. ICT services)
Definition
prestataire de services TIC intra-groupe
(En. ICT intra-group service provider)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
équipe bleue
(En. blue team)
Definition
cyberattaque
(En. cyber-attack)
Definition
autorité publique
(En. public authority)
Definition
prestataires de TIFM
(En. TLPT providers)
Definition
vulnérabilité
(En. vulnerability)
Definition
tâches d’équipe bleue
(En. blue team tasks)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
entreprise mère
(En. parent undertaking)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)
Definition
équipe rouge
(En. red team)