Comment se conformer à l'article T.5 du RTS TLPT (UE 2025/1190) ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article T.5 du RTS TLPT (UE 2025/1190) (UE 2025/1190). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLe TLPT n'est pas un pentest annuel qu'on commande a un prestataire en oubliant l'autorité. La CSSF et la BCL, dans le cadre TIBER-LU, sanctionnent deux derives majeures : le saucissonnage des phases (entités qui lancent le red teaming avant validation formelle du scope par l'autorité) et la phase de cloture batclee (rapport de synthese envoye sans plan de remédiation date, sans validation du white team lead, sans attestation finale). Sans reconnaissance formelle du test par l'autorité competente, le TLPT est juridiquement inexistant au sens de l'article 26 de DORA, et le cycle de trois ans recommence a zero.Les livrables minimaux par phase que la CSSF vérifiéPréparation : scoping document signe par le control team, identification des fonctions critiques en production reelle, registre des risques de l'exercice (continuite, données clients, prestataires TIC inclus au sens des circulaires CSSF 22/806 et 25/882), plan de gestion de crise dedie.Threat intelligence : Targeted Threat Intelligence Report produit par un fournisseur TI independant, avec scénarios TTP mappes MITRE ATT&CK, flags definis avec le white team, et validation formelle avant bascule en red teaming.Red teaming : Red Team Test Plan approuve, journal d'exécution horodate, preservation de la preuve technique, leg-up procédures documentees si un scénario est bloque, durée effective de 10 a 12 semaines minimum.Cloture : Red Team Test Report, Blue Team Report, Replay Workshop documente, Remédiation Plan avec proprietaires et echeances, Test Summary Report et Attestation conjointe entité / autorité.Boucle de remédiation : intégration dans le cadre de gestion des risques TIC au sens de la circulaire CSSF 20/750, suivi des actions correctives jusqu'à cloture.Comment Luxgap automatise ce risqueNotre Luxgap TLPT Orchestrator transforme un TLPT de 10 mois en chaîne de production tracee phase par phase, livrable par livrable, opposable a la CSSF et a la BCL. L'outil orchestre le white team, la red team, le fournisseur de threat intelligence et le control team dans un espace chiffre commun, avec horodatage cryptographique de chaque artefact (RFC 3161) pour garantir l'intégrité forensique du dossier de reconnaissance.Genere automatiquement les modèles de livrables conformes au RTS 2025/1190 et a la méthodologie TIBER-EU revisee 11 fevrier 2025 (scoping document, TTIR, RTTP, RT report, BT report, summary report, attestation).Vérifié en temps reel que chaque phase a recu la validation formelle de l'autorité avant que la phase suivante puisse demarrer, bloquant techniquement tout demarrage prematurement du red teaming.Connecte le périmètre de test au registre des prestataires TIC au sens du RTS sous-traitance 2025/532 et des circulaires CSSF 22/806 et 25/882, pour materialiser l'inclusion des sous-traitants critiques dans le scope.Suit les flags, les leg-ups et la chaîne de preuve technique de la red team avec scellement horodate, opposable en cas de contestation d'un scénario.A...

Les phases du TLPT : préparation, threat intelligence, red teaming, clôture

Ils nous font confiance

Avant de discuter