Comment se conformer à l'article T.8 du RTS TLPT (UE 2025/1190) ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article T.8 du RTS TLPT (UE 2025/1190) (UE 2025/1190). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLe piège fatal au Luxembourg : confondre pentest classique et TLPT TIBER-LU. Beaucoup d'entités financieres luxembourgeoises pensent qu'un test d'intrusion annuel commande a leur prestataire habituel suffit a couvrir l'article 26 de DORA. C'est faux. La CSSF, autorité TLPT au sens de l'article 46 de DORA, sanctionné les entités qui demarrent un TIBER-LU sans avoir notifié préalablement tiber@cssf.lu, qui choisissent un Threat Intelligence ou Red Team Provider non conforme au RTS sous-traitance 2025/532, ou qui ne respectent pas le sequencement officiel du TIBER-LU Implementation Document du 20 juin 2025. La BCL co-supervise et peut refuser de delivrer l'attestation finale.Les 6 pièges TIBER-LU spécifiques au LuxembourgCroire que TIBER-LU est optionnel : pour une entité identifiée par la CSSF selon les critères du RTS 2025/1190, le test est obligatoire tous les 3 ans, pas un exercice volontaire.Sous-estimer la White Team interne : seuls 3 a 5 dirigeants connaissent l'existence du test. Une fuite vers le SOC ou le RSSI invalide tout le scénario et impose de recommencer.Choisir un Red Team Provider non eligible : le prestataire doit respecter les critères TIBER-EU revises (independance, certifications, assurance), et son contrat doit être conforme aux circulaires CSSF 22/806 et 25/882 sur la sous-traitance TIC.Definir un périmètre trop etroit : le TLPT porté sur les fonctions critiques ou importantes en production reelle, pas sur un environnement de test. Beaucoup tentent de restreindre, la CSSF refuse le scope.Négliger la phase de remédiation : le rapport final doit alimenter le registre des risques TIC au sens de la circulaire CSSF 20/750. Un TIBER-LU sans plan de remédiation trace est un TIBER-LU non valide.Oublier les prestataires TIC tiers critiques : si votre core banking est externalisé chez eBRC, LuxConnect ou un cloud souverain, ils entrent dans le périmètre et leurs contrats doivent autoriser le test (clause d'audit etendue).Comment Luxgap automatise ce risqueNotre Luxgap TIBER Orchestrator transforme la nebuleuse TIBER-LU en un projet pilote, balise et opposable a la CSSF. L'outil pilote l'intégralité du cycle de 9 a 12 mois en orchestrant la White Team confidentielle, en validant l'eligibilite des prestataires Threat Intelligence et Red Team selon les critères TIBER-EU 2025, et en generant chaque livrable attendu par tiber@cssf.lu au format exact du TIBER-LU Implementation Document du 20 juin 2025.Evalue automatiquement votre eligibilite TLPT selon les critères du RTS 2025/1190 (taille, fonctions critiques, interconnexion) et produit une note d'auto-positionnement defendable face a la CSSF.Hébergé la White Team dans un espace chiffre cloisonne avec audit trail horodate, sans contamination du SI metier et sans visibilite pour le SOC ou le RSSI cible.Vérifié en temps reel la conformité contractuelle de vos prestataires Red Team et Threat Intelligence aux circulaires CSSF 22/806, 25/882 et au RTS 2025/532 (certification...

TIBER-LU et le rôle de la CSSF : la mise en oeuvre luxembourgeoise

Ils nous font confiance

Avant de discuter