Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806

Article 26

Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises, qui sont identifiées conformément au paragraphe 8, troisième alinéa, du présent article effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.

2. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes d’une entité financière et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.

Les entités financières recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes et des services TIC, y compris ceux qui soutiennent des fonctions critiques ou importantes qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.

Les entités financières évaluent quelles fonctions critiques ou importantes doivent être couvertes par les tests de pénétration fondés sur la menace. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par les autorités compétentes.

3. Lorsque des prestataires tiers de services TIC sont inclus dans le champ d’application du test de pénétration fondé sur la menace, l’entité financière prend les mesures et garanties nécessaires pour assurer la participation de ces prestataires tiers de services TIC à ce test, et conserve à tout moment l’entière responsabilité de veiller au respect du présent règlement.

4. Sans préjudice du paragraphe 2, premier et deuxième alinéas, lorsque l’on peut raisonnablement s’attendre à ce que la participation d’un prestataire tiers de services TIC au test de pénétration fondé sur la menace, visée au paragraphe 3, ait une incidence négative sur la qualité ou sur la sécurité des services que le prestataire tiers de services TIC fournit à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement, ou sur la confidentialité des données liées à ces services, l’entité financière et le prestataire tiers de services TIC peuvent convenir par écrit que le prestataire tiers de services TIC conclut directement des accords contractuels avec un testeur externe, aux fins de la réalisation, sous la direction d’une entité financière désignée, d’un test groupé de pénétration fondé sur la menace associant plusieurs entités financières (test groupé) auxquelles le prestataire tiers de services TIC fournit des services TIC.

Ce test groupé couvre la gamme pertinente de services TIC qui soutiennent des fonctions critiques ou importantes sous-traitées par les entités financières au prestataire tiers de services TIC concerné. Le test groupé est considéré comme un test de pénétration fondé sur la menace réalisé par les entités financières participant au test groupé.

Le nombre d’entités financières participant au test groupé est dûment calibré compte tenu de la complexité et des types de services concernés.

5. Les entités financières procèdent, avec la coopération de prestataires tiers de services TIC et d’autres parties concernées, y compris les testeurs mais à l’exception des autorités compétentes, à des contrôles efficaces de la gestion des risques afin d’atténuer les risques d’incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants au sein de l’entité financière elle-même, de ses contreparties ou du secteur financier.

6. À l’issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, l’entité financière et, s’il y a lieu, les testeurs externes fournissent à l’autorité, désignée conformément au paragraphe 9 ou 10, une synthèse des conclusions pertinentes, les plans de mesures correctives et la documentation démontrant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences.

7. Les autorités fournissent aux entités financières une attestation qui confirme que le test a été effectué conformément aux exigences, comme prouvé dans la documentation, afin de permettre la reconnaissance mutuelle des tests de pénétration fondés sur la menace entre les autorités compétentes. L’entité financière notifie à l’autorité compétente concernée l’attestation, la synthèse des conclusions pertinentes et les plans de mesures correctives.

Sans préjudice de ladite attestation, les entités financières restent à tout moment pleinement responsables de l’incidence des tests visée au paragraphe 4.

8. Pour réaliser les tests de pénétration fondés sur la menace, les entités financières font appel à des testeurs, conformément à l’article 27. Lorsque des entités financières ont recours à des testeurs internes aux fins de la réalisation de ces tests, elles engagent un testeur externe tous les trois tests.

Les établissements de crédit qui sont classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 ont uniquement recours à des testeurs externes conformément à l’article 27, paragraphe 1, points a) à e).

Les autorités compétentes désignent les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace en tenant compte des critères énoncés à l’article 4, paragraphe 2, sur la base d’une appréciation des éléments suivants:

a)	les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier;

b)	les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant;

c)	le profil du risque lié aux TIC spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.

9. Les États membres peuvent désigner une autorité publique unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace dans le secteur financier au niveau national, et leur confient toutes les compétences et tâches nécessaires à cet effet.

10. En l’absence de désignation conformément au paragraphe 9 du présent article, et sans préjudice du pouvoir de désigner les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace, une autorité compétente peut déléguer l’exercice de tout ou partie des tâches visées au présent article et à l’article 27 à une autre autorité nationale du secteur financier.

11. Les AES élaborent, en accord avec la BCE, des projets conjoints de normes techniques de réglementation conformément au cadre TIBER-EU afin de préciser:

a)	les critères utilisés aux fins de l’application du paragraphe 8, deuxième alinéa;

b)	les exigences et normes régissant le recours à des testeurs internes;

les exigences concernant:

i)	la portée du test de pénétration fondé sur la menace visé au paragraphe 2;

ii)	la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;

iii)	les stades de résultats, de clôture et de correction des tests;

le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des tests de pénétration fondés sur la menace et pour la facilitation de la reconnaissance mutuelle de ces tests, dans le contexte des entités financières qui opèrent dans plus d’un État membre, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.

Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

CSSF TIBER-LU framework (2024) et loi du 1er aout 2024 portant mise en oeuvre du reglement DORA

Au Luxembourg, la CSSF est l'autorité competente pour DORA et a publie en 2024 le cadre TIBER-LU, co-pilote avec la BCL, qui constitue la methodologie obligatoire de mise en oeuvre de l'article 26. Le TLPT Cyber Team de la CSSF valide le scope specification document, supervise le test et delivre l'attestation finale. Pour les établissements de credit significant sous supervision BCE (Spuerkeess, BIL, BGL BNP Paribas, etc.), la BCE est co-autorite via le MSU.

Pratique Luxgap : engagez le dialogue avec le TLPT Cyber Team CSSF des la désignation, et pre-cadrez le scope 6 mois avant la phase de preparation officielle pour eviter un rejet du scope specification document qui repoussera votre fenetre de test de 12 mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 26 impose aux entités financieres significatives désignées par la CSSF un TLPT (Threat-Led Penetration Test) tous les trois ans, sur les systèmes de production en direct, couvrant les fonctions critiques ou importantes, y compris celles externalisees. Le piège n'est pas de payer un pentest : c'est de croire qu'un pentest applicatif classique suffit. Le TLPT suit le framework TIBER-EU (transpose TIBER-LU par la BCL et la CSSF), exige un threat intelligence provider distinct du red team provider, et la portee doit être validee par la CSSF avant le lancement. Les sanctions visent surtout les entités qui ont sous-dimensionne le scope (oubli d'un prestataire cloud critique, exclusion de la fonction paiement, scenarios non realistes) ou qui ont realise un test en environnement de pre-production au lieu du live.

Les 6 pièges opérationnels qui font echouer un TLPT

Scope incomplet : oublier de cartographier les sous-traitants TIC (M365, Swift, Temenos, prestataires cloud) qui soutiennent les fonctions critiques. La CSSF rejette le scope specification document.
Confusion testeurs internes / externes : un établissement de credit classe significant par la BCE (article 6(4) règlement 1024/2013) ne peut PAS utiliser de testeurs internes, même une fois sur trois.
Absence de pooled testing : quand plusieurs entités financieres partagent le même prestataire TIC critique (par ex. eBRC, LuxConnect), un test groupe est souvent la seule option viable. Négliger cette option fait exploser les couts et le risque opérationnel.
Risk management controls insuffisants : pas de white team structuree, pas de procédure de leg-up, pas de plan de rollback. Un test sur production qui derape entraine la responsabilité pleine de l'entité (art. 26(7)).
Attestation non transmise : la synthese, le plan de remediation et l'attestation doivent être notifiés a la CSSF. Oubli = non-conformite formelle.
Frequence non adaptee : la CSSF peut augmenter la frequence selon le profil de risque. Se contenter du minimum triennal sans dialogue prudentiel est une erreur.

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Orchestrator transforme la corvee de coordination d'un TLPT (12 a 15 mois de cycle, 4 a 6 prestataires impliques, 3 autorités a tenir informees) en un cockpit unique qui produit une preuve opposable a la CSSF. L'outil branche un agent IA specialise sur votre cartographie applicative (CMDB ServiceNow, Defender for Cloud, Azure Resource Graph, AWS Config, Temenos, Swift Alliance) et reconstitue automatiquement la chaîne complète des systèmes soutenant chaque fonction critique ou importante, y compris les dependances tierces caches dans vos contrats Odoo et vos factures eBRC / LuxConnect.

Genere automatiquement le scope specification document aligne TIBER-LU, pret a soumettre a la CSSF, avec la justification du choix des fonctions critiques couvertes selon les critères de l'article 4(2).
Detecte les prestataires TIC tiers concernes par le scope et propose la qualification pooled testing quand plusieurs entités financieres luxembourgeoises partagent le même fournisseur critique.
Calcule un score d'eligibilite au TLPT base sur l'impact systemique, la maturite TIC et le profil de risque, et anticipe la désignation CSSF avant qu'elle ne survienne.
Vérifié en continu la conformité des testeurs envisages aux exigences de l'article 27 (certifications, independance, assurance, experience TIBER), et bloque la contractualisation d'un testeur non qualifié.
Pilote la white team, trace chaque décision de leg-up et archive les risk management controls exiges au paragraphe 5, avec horodatage cryptographique opposable.
Produit le dossier final (synthese, plan de remediation, documentation de conformité) au format attendu par la CSSF, et suit la notification de l'attestation pour la reconnaissance mutuelle européenne.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre prudentiel. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour évaluer votre exposition au TLPT et anticiper la désignation CSSF avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace

Ils nous font confiance

Avant de discuter