Test des outils et systèmes de TIC

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Le programme de tests de résilience opérationnelle numérique visé à l’article 24 prévoit, conformément aux critères énoncés à l’article 4, paragraphe 2, l’exécution de tests appropriés, tels que des évaluations et des analyses de vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des écarts, des examens de la sécurité physique, des questionnaires et des solutions logicielles de balayage, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout et des tests de pénétration.

2. Les dépositaires centraux de titres et les contreparties centrales procèdent à des évaluations de la vulnérabilité avant tout déploiement ou redéploiement d’applications et composantes d’infrastructures nouvelles ou existantes et de services TIC nouveaux ou existants qui soutiennent des fonctions critiques ou importantes de l’entité financière.

3. Les microentreprises effectuent les tests visés au paragraphe 1 en combinant une approche fondée sur les risques avec une planification stratégique des tests des TIC, en tenant dûment compte de la nécessité de maintenir une approche équilibrée entre, d’une part, l’ampleur des ressources et le temps à consacrer aux tests des TIC prévus au présent article et, d’autre part, l’urgence, le type de risque, la criticité des actifs informationnels et des services fournis, ainsi que tout autre facteur pertinent, y compris la capacité de l’entité financière à prendre des risques calculés.

Spécificité Luxembourg

Circulaires CSSF 24/847, 22/806 et 20/750

Au Luxembourg, la CSSF a publié la circulaire CSSF 24/847 sur la notification des incidents TIC et précisé ses attentes en matière de tests de résilience via les circulaires CSSF 22/806 et 20/750 (gouvernance TIC et externalisation). Les PSF de support et les banques sous surveillance directe doivent démontrer la couverture des douze techniques de l'article 25 dans le rapport ICAAP/ILAAP annuel et lors des inspections sur place SREP. Clearstream, en tant que CSD, est explicitement visée par le paragraphe 2 et doit produire l'évaluation de vulnérabilité pré-déploiement pour chaque release T2S.

Pratique Luxgap : pour les entités CSSF non-microentreprises, exigez de votre RSSI une matrice de couverture des douze techniques par fonction critique avant chaque comité de direction trimestriel, et conservez les preuves d'exécution horodatées pendant minimum cinq ans (durée d'archivage CSSF).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 25 liste douze types de tests TIC attendus, mais la CSSF ne sanctionné pas l'absence de tests : elle sanctionné le catalogue incomplet et le défaut de traçabilité. En pratique, les entités financières luxembourgeoises font des pentests annuels et des scans Nessus mensuels, puis cochent la case. Lors d'un contrôle, la CSSF demande la cartographie complète des douze techniques, la justification du choix par actif critique, et les preuves d'exécution horodatées. C'est là que tout s'effondre : les revues de code source ne sont jamais documentées, les analyses de sources ouvertes (OSINT) n'existent pas, et les tests de bout en bout sont confondus avec des recettes fonctionnelles.

Les douze techniques de test exigées et le piège de la matrice de couverture

L'article 25(1) impose une batterie de tests, pas un menu à la carte. Pour chaque fonction critique ou importante (CIF), vous devez démontrer quelles techniques sont appliquées, à quelle fréquence, et pourquoi les autres ne le sont pas. Les douze techniques à mapper :

Vulnerability assessments et scans automatisés (Nessus, Qualys, Rapid7)
Open source analyses (OSINT, fuites Pastebin, dark web, HIBP, certificats expirés)
Network security assessments (segmentation, firewall rules review)
Gap analyses par rapport aux référentiels (ISO 27001, NIST CSF, CIS)
Physical security reviews (datacenter eBRC, LuxConnect, salles serveurs)
Questionnaires et scanning software (SBOM, dépendances tierces)
Source code reviews quand le code est disponible (SAST, SCA)
Scenario-based tests (ransomware, fraude au virement, compromission AD)
Compatibility testing (versions OS, navigateurs, mobile)
Performance testing (charge, stress, endurance)
End-to-end testing (parcours client complet, pas recette unitaire)
Penetration testing (l'article 26 TLPT vient au-dessus pour les entités significatives)

Le paragraphe 2 ajoute une obligation spécifique aux CSD et CCP : évaluation de vulnérabilité avant chaque déploiement. Au Luxembourg, cela vise notamment Clearstream et LCH. Le paragraphe 3 ouvre une porte aux microentreprises (approche fondée sur les risques), mais la majorité des PSF luxembourgeois ne sont pas microentreprises au sens DORA et ne peuvent pas s'en prévaloir.

Comment Luxgap automatise ce risque

Notre Luxgap Testing Coverage Matrix transforme l'obligation déclarative de l'article 25 en une matrice vivante qui se remplit toute seule depuis vos outils de test existants. Plutôt que de demander à votre RSSI de tenir un Excel des douze techniques par CIF, l'outil pull en continu les rapports d'exécution depuis Nessus, Qualys, Burp Suite, SonarQube, Checkmarx, Defender for Cloud, et corrèle chaque preuve à la fonction critique concernée dans votre registre DORA.

Mappe automatiquement chaque CIF déclarée à la CSSF aux douze techniques de test de l'article 25(1) et calcule un taux de couverture en temps réel.
Détecte les angles morts critiques (typiquement OSINT et revue de code source) que la CSSF cible en priorité lors des inspections sur place.
Aspire les rapports d'exécution depuis Nessus, Qualys, Tenable.io, Rapid7, Burp Suite Enterprise, SonarQube, Checkmarx, GitLab SAST, Defender Vulnerability Management et les horodate cryptographiquement.
Déclenche une alerte Teams ou Slack instantanée quand un CSD ou une CCP déploie une nouvelle application sans évaluation de vulnérabilité préalable, en application de l'article 25(2).
Produit le dossier de preuves opposable à la CSSF, scellé par horodatage qualifié eIDAS, qui démontre la conformité article 25 sur les douze derniers mois.
Génère la justification fondée sur les risques pour les techniques non appliquées, prête à être présentée en inspection.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre CSSF. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos fonctions critiques réelles, avec un audit blanc gratuit sous 48h pour mesurer votre taux de couverture article 25 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Test des outils et systèmes de TIC

Ils nous font confiance

Avant de discuter