Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
1. Afin de réaliser des tests de pénétration fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:
| a) | possèdent l’aptitude et la réputation les plus élevées; |
| b) | possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team; |
| c) | sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels; |
| d) | fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière; |
| e) | sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence. |
2. Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
| a) | le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10; |
| b) | l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et |
| c) | le fournisseur de renseignements sur les menaces est externe à l’entité financière. |
3. Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.