Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
1. Afin de réaliser des tests de pénétration fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:
| a) | possèdent l’aptitude et la réputation les plus élevées; |
| b) | possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team; |
| c) | sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels; |
| d) | fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière; |
| e) | sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence. |
2. Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
| a) | le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10; |
| b) | l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et |
| c) | le fournisseur de renseignements sur les menaces est externe à l’entité financière. |
3. Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.
Au Luxembourg, les tests de penetration fondes sur la menacé sont opérés via le cadre TIBER-LU, place sous l'autorité de la CSSF en tant qu'autorité competente désignée au sens de l'article 26. La selection des testeurs et l'eventuel recours a des testeurs internes doivent être valides selon les modalites TIBER-LU, conformément au règlement delegue (UE) 2025/1190 qui précisé les exigences TLPT.
Pratique Luxgap : verifiez en amont que votre prestataire figure dans un schema d'accreditation reconnu par la CSSF et faites approuver tout recours a une red team interne avant la phase de conception, sous peine de voir le test rejete.