Article 9 Phase de préparation

Summary What does Article 9 of the RTS on threat-led penetration testing say?

Article 9 is a detailed, procedural article that maps out the entire preparation phase of a TLPT, from the moment a financial entity receives notification that it must conduct one, through to the point where the TLPT authority approves the scope and the testing phase can begin.

It builds directly on Article 2, which determines which financial entities are required to perform a TLPT in the first place, and sets the sequential steps that must be followed before any active testing commences.

The article establishes clear timelines, governance structures, and authority checkpoints throughout, including the formation of the control team, the submission of a scope specification document, the vetting and contracting of testers and threat intelligence providers, and the consultation on risk management measures.

Important points:

Submit TLPT initiation information to test managers within 3 months of notification, and a management body-approved scope specification document within 6 months of that same notification.
Set up a control team following validation by the TLPT authority, responsible for managing all aspects of the preparation phase including selecting testers and threat intelligence providers.
The TLPT authority must validate the compliance of selected testers and threat intelligence providers before contracts are signed, and can block contracting if requirements are not met.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Une entité financière identifiée conformément à l’article 26, paragraphe 8, troisième alinéa, du règlement (UE) 2022/2554 lance un TIFM à la suite d’une notification reçue de l’autorité TIFM indiquant qu’un TIFM doit être effectué.
1. Dans un délai de trois mois à compter de la réception de la notification visée au paragraphe 1, l’entité financière communique aux gestionnaires de test toutes les informations suivantes concernant le lancement du TIFM:
  1. une charte de projet comprenant un plan de projet de haut niveau, contenant les informations visées à l’annexe I;
  2. les coordonnées du chef de l’équipe chargée du contrôle;
  3. des informations sur le recours prévu à des testeurs internes ou externes, ou les deux, le cas échéant, comme indiqué à l’article 15;
  4. des informations sur les canaux de communication à utiliser pendant le TIFM;
  5. le nom de code du TIFM.
1. Lorsque les informations visées au paragraphe 2, points a) à e), sont complètes et garantissent l’adéquation et l’exécution effective du TIFM, l’autorité TIFM valide les informations relatives au lancement du TIFM de l’entité financière et en informe celle-ci.
1. À la suite de la validation, par l’autorité TIFM, des informations relatives au lancement du TIFM, l’entité financière met en place une équipe chargée du contrôle afin d’assister le chef de l’équipe chargée du contrôle dans ses tâches consistant à:
  1. définir les canaux et processus de communication au sein de l’équipe chargée du contrôle, avec les testeurs et les fournisseurs de renseignements sur les menaces pour toutes les questions liées au TIFM;
  2. informer l’organe de direction de l’entité financière de l’état d’avancement du TIFM et des risques associés;
  3. prendre des décisions fondées sur l’expertise en la matière tout au long du TIFM;
  4. exécuter le TIFM conformément au présent règlement;
  5. sélectionner le fournisseur de renseignements sur les menaces pour le TIFM;
  6. sélectionner les testeurs externes, les testeurs internes ou les deux;
  7. préparer le document de spécification du périmètre du test.
1. Lorsque l’autorité TIFM estime que la composition initiale de l’équipe chargée du contrôle et toute modification ultérieure apportée à celle-ci sont adéquates pour l’exécution des tâches visées au paragraphe 4, elle valide l’équipe chargée du contrôle et le notifie au chef de l’équipe.
1. Dans un délai de six mois à compter de la réception de la notification de l’autorité TIFM visée au paragraphe 1, l’entité financière soumet aux gestionnaires de test un document de spécification du périmètre du test contenant toutes les informations prévues à l’annexe II. L’organe de direction de l’entité financière approuve le document de spécification du périmètre du test.
1. Les entités financières prennent en considération les critères suivants pour l’inclusion de fonctions critiques ou importantes dans le périmètre du TIFM:
  1. la criticité ou l’importance de la fonction et son incidence possible sur le secteur financier et sur la stabilité financière au niveau de l’Union et au niveau national;
  2. l’importance de la fonction pour les opérations courantes de l’entité financière;
  3. l’interchangeabilité de la fonction;
  4. l’interconnexion avec d’autres fonctions;
  5. la localisation géographique de la fonction;
  6. la dépendance sectorielle d’autres entités à l’égard de la fonction;
  7. le cas échéant, des renseignements sur les menaces concernant la fonction.
1. L’équipe chargée du contrôle partage les informations relatives au lancement du TIFM ainsi que le document de spécification du périmètre du test avec les testeurs et les fournisseurs de renseignements sur les menaces une fois ceux-ci engagés. L’équipe chargée du contrôle informe les testeurs et les fournisseurs de renseignements sur les menaces de la procédure à suivre pour le test.
1. L’entité financière veille à ce que le recrutement ou l’affectation de testeurs et de fournisseurs de renseignements sur les menaces soit achevé(e) avant le début de la phase de test.
1. Avant le début de la phase de test, l’équipe chargée du contrôle consulte les gestionnaires de test sur l’évaluation des risques liés aux TIFM et sur les mesures de gestion des risques. L’équipe chargée du contrôle réexamine l’évaluation des risques ou les mesures de gestion des risques lorsque l’autorité TIFM estime qu’elles ne tiennent pas compte de manière adéquate des risques liés aux TIFM.
1. L’équipe chargée du contrôle évalue le respect, par les fournisseurs de renseignements sur les menaces et les testeurs qu’elle envisage d’associer au TIFM, des exigences énoncées à l’article 27 du règlement (UE) 2022/2554 et des dispositions de l’article 7, paragraphe 1, du présent règlement, et documente les résultats de cette évaluation. L’équipe chargée du contrôle sélectionne les fournisseurs de renseignements sur les menaces conformément à cette évaluation et à ses pratiques de gestion des risques. Avant de conclure un contrat avec les fournisseurs de renseignements sur les menaces et les testeurs externes sélectionnés, l’équipe chargée du contrôle fournit aux gestionnaires de test la preuve que ces fournisseurs de renseignements sur les menaces et ces testeurs respectent les exigences énoncées à l’article 27 du règlement (UE) 2022/2554 et les dispositions de l’article 7, paragraphe 1, du présent règlement. L’équipe chargée du contrôle ne procède pas à la passation de contrats avec les fournisseurs de renseignements sur les menaces et les testeurs externes sélectionnés si l’autorité TIFM estime que ceux-ci ne respectent pas les exigences énoncées à l’article 27 du règlement (UE) 2022/2554, les exigences énoncées à l’article 7, paragraphe 1, du présent règlement ou des exigences supplémentaires découlant des législations nationales en matière de sécurité conformément au droit de l’Union, ou si l’entité financière ne respecte pas les dispositions de l’article 7, paragraphe 2, premier alinéa, du présent règlement, ou encore si les conditions visées à l’article 7, paragraphe 2, deuxième alinéa, du présent règlement ne sont pas réunies.
1. Lorsque le document de spécification du périmètre du test est complet et garantit la réalisation d’un TIFM approprié et efficace, l’autorité TIFM approuve ce document et en informe le chef de l’équipe chargée du contrôle.

Relevant recitals

Considérant 7 Skills and capabilities of test managers

Conformément à la méthodologie du cadre TIBER-EU, les gestionnaires de test devraient disposer des compétences et des capacités nécessaires pour fournir des conseils et remettre en question les propositions des testeurs. L’expérience acquise avec le cadre TIBER-EU a démontré qu’il est utile qu’une équipe d’au moins deux gestionnaires soit affectée à chaque test. Afin de tenir compte du fait que le TIFM est utilisé pour encourager l’expérience d’apprentissage, en vue de préserver la confidentialité des tests, et à moins qu’elles n’aient des problèmes de ressources ou d’expertise, les autorités TIFM sont vivement encouragées à considérer que, pendant la durée d’un TIFM, les gestionnaires de test ne doivent pas exercer d’activités de surveillance sur l’entité financière faisant l’objet de ce TIFM.

Considérant 8 Involvement of TLPT authorities in the phases

Il importe, dans un souci de cohérence avec le cadre TIBER-EU, que l’autorité TIFM suive de près le processus de test à chacun de ses stades. Compte tenu de la nature des tests et des risques qui y sont associés, il est fondamental que l’autorité TIFM intervienne à chaque phase spécifique des tests. L’autorité TIFM devrait ainsi être consultée et valider les évaluations ou décisions des entités financières susceptibles, d’une part, d’influer sur l’efficacité des tests et, d’autre part, d’avoir une incidence sur les risques associés à ceux-ci. Les étapes fondamentales pour lesquelles une intervention spécifique de l’autorité TIFM est nécessaire comprennent la validation de certains documents essentiels relatifs aux tests, et la sélection de fournisseurs de renseignements sur les menaces et de testeurs et de mesures de gestion des risques. L’intervention des autorités TIFM, en particulier pour les validations, ne devrait pas entraîner de charge excessive pour ces autorités et devrait donc se limiter aux documents et décisions qui ont une incidence directe sur la conduite des TIFM. Grâce à leur participation active à chaque phase des tests, les autorités TIFM peuvent effectivement évaluer le respect, par les entités financières, des exigences applicables, ce qui devrait permettre à ces autorités de délivrer des attestations conformément à l’article 26, paragraphe 7, du règlement (UE) 2022/2554.

Considérant 10 Importance of the control team lead

Comme le montre l’expérience acquise avec le cadre TIBER-EU s’agissant de l’«équipe chargée du contrôle», pour que les TIFM soient conduits en toute sécurité, il est indispensable de bien sélectionner le chef de l’équipe chargée du contrôle. Celui-ci devrait disposer, au sein de l’entité financière, du mandat nécessaire pour piloter tous les aspects des tests, sans en compromettre la confidentialité. Pour la même raison, les membres de l’équipe chargée du contrôle devraient avoir une connaissance approfondie de l’entité financière ainsi que du rôle du chef de l’équipe chargée du contrôle et de son positionnement stratégique, avoir l’ancienneté requise et avoir accès au conseil d’administration. Afin de réduire le risque de compromettre le TIFM, l’équipe chargée du contrôle devrait être aussi restreinte que possible.

Considérant 15 Regular meetings involving all stakeholders

Comme en témoigne l’expérience acquise dans la mise en œuvre du cadre TIBER-EU, la tenue de réunions en présentiel ou virtuelles avec toutes les parties prenantes concernées (entités financières, autorités, testeurs et fournisseurs de renseignements sur les menaces) est le moyen le plus efficace de garantir la bonne conduite des tests. Des réunions en présentiel et des réunions virtuelles devraient donc avoir lieu à différentes étapes du processus, et notamment: pendant la phase de préparation lors du lancement du TIFM pour en finaliser le périmètre; pendant la phase de test pour finaliser le rapport du renseignement sur les menaces et le plan de test de l’équipe rouge et pour les mises à jour hebdomadaires; ainsi que pendant la phase de clôture pour rejouer les actions des testeurs et de l’équipe bleue, la collaboration violette et l’échange de retours d’information sur le TIFM.

Considérant 16 Communication between test manager and control team

Afin de garantir la bonne exécution du test d’intrusion fondé sur la menace, l’autorité TIFM devrait présenter clairement à l’entité financière ses attentes en ce qui concerne le test. À cet égard, les gestionnaires de test devraient veiller à ce qu’un flux approprié d’informations soit établi avec l’équipe chargée du contrôle au sein de l’entité financière et avec les prestataires de TIFM.

Considérant 17 Selection of critical or important functions

L’entité financière devrait sélectionner les fonctions critiques ou importantes qui entreront dans le périmètre du TIFM. Pour sélectionner ces fonctions, l’entité financière devrait se fonder sur divers critères mesurant l’importance que chacune d’entre elles revêt pour l’entité financière elle-même et pour le secteur financier, au niveau de l’Union et au niveau national, non seulement sur le plan économique, mais aussi au regard du statut symbolique ou politique de la fonction. Afin de faciliter le passage à la phase de collecte de renseignements sur les menaces, des informations détaillées sur le périmètre convenu du test devraient être fournies par l’équipe chargée du contrôle aux testeurs et aux fournisseurs de renseignements sur les menaces qui n’ont pas participé pas au processus de définition dudit périmètre.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.