Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières, autres que les microentreprises, établissent, maintiennent et réexaminent, en tenant compte des critères énoncés à l’article 4, paragraphe 2, un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC visé à l’article 6.

2. Le programme de tests de résilience opérationnelle numérique comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer conformément aux articles 25 et 26.

3. Lorsqu’elles exécutent le programme de tests de résilience opérationnelle numérique visé au paragraphe 1 du présent article, les entités financières, autres que les microentreprises, adoptent une approche fondée sur le risque tenant compte des critères énoncés à l’article 4, paragraphe 2, en prenant dûment en considération l’évolution du risque lié aux TIC, tout risque spécifique auquel l’entité financière concernée est ou pourrait être exposée, la criticité des actifs informationnels et des services fournis, ainsi que tout autre facteur que l’entité financière juge approprié.

4. Les entités financières, autres que les microentreprises, veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, les entités financières leur accordent des ressources suffisantes et veillent à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test.

5. Les entités financières, autres que les microentreprises, définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests et élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.

6. Les entités financières, autres que les microentreprises, veillent à soumettre, au moins une fois par an, tous les systèmes et applications de TIC qui soutiennent des fonctions critiques ou importantes à des tests appropriés.

Spécificité Luxembourg

Circulaire CSSF 22/806 et Circulaire CSSF 24/847

Au Luxembourg, la CSSF a précisé ses attentes en matière de tests de résilience via la circulaire CSSF 22/806 sur l'externalisation TIC et la circulaire CSSF 24/847 sur la gestion des risques TIC et le reporting d'incidents, qui complètent DORA et alignent les attentes prudentielles luxembourgeoises avec le règlement européen. La CSSF attend en particulier que le programme de tests soit présenté au comité de direction et que les conclusions des tests TLPT (article 26) soient partagées avec elle dans les délais fixés par les RTS.

Pratique Luxgap : pour les PSF de support et les fonds AIFM luxembourgeois, nous recommandons d'aligner le calendrier des tests article 24 avec le cycle de reporting ICAAP/ILAAP et de pré-positionner les conclusions dans le rapport SREP annuel adressé à la CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 24 transforme le test de résilience d'une bonne pratique en obligation programmatique annuelle. La CSSF sanctionné deux dérives en priorité lors de ses inspections sur place : le testing-theatre (un pentest annuel commandé à un prestataire qui livre toujours le même rapport générique, sans lien avec la cartographie réelle des fonctions critiques), et l'absence de boucle de remediation tracée (vulnérabilités identifiées en mars, toujours ouvertes en décembre, sans procédure de hiérarchisation documentée). Le paragraphe 6 est le piège le plus brutal : tous les systèmes TIC supportant une fonction critique ou importante doivent être testés au moins annuellement, ce qui exclut les rotations triennales encore pratiquées par beaucoup de fonds AIFM et PSF.

Les exigences structurantes à ne pas rater

Programme formalisé : pas un calendrier Excel, mais un document de gouvernance approuvé par l'organe de direction, intégré au cadre de gestion du risque TIC de l'article 6.
Approche fondée sur le risque : la fréquence et la profondeur des tests doivent être justifiées par la criticité des actifs (article 8 DORA) et l'évolution du paysage de menaces.
Indépendance des testeurs : un testeur interne est acceptable, mais la séparation organisationnelle avec les équipes développement et exploitation doit être démontrable (rattachement hiérarchique distinct, absence de conflit d'intérêts sur le périmètre testé).
Validation interne des corrections : ne pas confondre fermeture du ticket et validation de l'efficacité du correctif. La CSSF attend une méthodologie de re-test documentée.
Couverture annuelle exhaustive : chaque système supportant une fonction critique ou importante doit avoir au moins un test approprié par an, avec preuve traçable.

Comment Luxgap automatise ce risque

Notre Luxgap Resilience Testing Orchestrator transforme votre programme de tests DORA d'un calendrier statique en moteur de planification dynamique qui garantit la couverture annuelle exhaustive exigée au paragraphe 6, et matérialise la boucle de remediation opposable à la CSSF. L'outil se connecte à votre CMDB (ServiceNow, Jira, GLPI), à votre registre des fonctions critiques ou importantes (article 8), à vos scanners de vulnérabilités (Tenable, Qualys, Rapid7), à vos pipelines CI/CD (Azure DevOps, GitLab) et à vos rapports de pentest externes pour reconstituer en temps réel l'état de testabilité de chaque actif.

Détecte automatiquement les systèmes supportant une fonction critique ou importante qui n'ont pas été testés depuis plus de 12 mois et alerte le RSSI 90 jours avant l'échéance réglementaire.
Classifie chaque vulnérabilité identifiée par criticité métier (en croisant CVSS, exposition réseau, fonction critique impactée) et génère un plan de remediation hiérarchisé conforme au paragraphe 5.
Trace la chaîne complète découverte -> ticket -> correctif -> re-test -> validation interne avec horodatage cryptographique, pour démontrer que les faiblesses sont entièrement corrigées et non simplement closes.
Vérifie l'indépendance du testeur en analysant les rattachements RH (Workday, Sopra HR) et les historiques de commit Git pour signaler tout conflit d'intérêts sur le périmètre testé.
Produit un rapport annuel PDF scellé, opposable à la CSSF, qui démontre la couverture article 24(6) système par système, avec preuve de l'approche fondée sur le risque (article 24(3)).

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre cartographie réelle de fonctions critiques, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux constats CSSF avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique

Ils nous font confiance

Avant de discuter