Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Afin de réaliser des tests de pénétration fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:

a)	possèdent l’aptitude et la réputation les plus élevées;

b)	possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team;

c)	sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;

fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;

e)	sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.

2. Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:

a)	le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10;

b)	l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et

c)	le fournisseur de renseignements sur les menaces est externe à l’entité financière.

3. Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.

Spécificité Luxembourg

circulaire CSSF 24/847 et cadre TIBER-LU

Au Luxembourg, la CSSF est l'autorité unique désignée au titre de l'article 26(9) et (10) du DORA pour la supervision des TLPT, dans la continuité du cadre TIBER-LU déjà opérationnel depuis 2018. La circulaire CSSF 24/847 sur le reporting des incidents TIC et le cadre TIBER-LU précisent que tout recours à des testeurs internes doit faire l'objet d'une demande d'approbation formelle adressée au TIBER Cyber Team de la CSSF, avec démonstration documentée des ressources dédiées et de la séparation organisationnelle entre l'équipe red team et le fournisseur de threat intelligence (obligatoirement externe).

Pratique Luxgap : préparez votre dossier de testeurs au minimum 6 mois avant la fenêtre TLPT, car la CSSF exige un échange préalable de scoping avant validation, et la disponibilité des testeurs accrédités TIBER-EU est tendue sur la Place financière luxembourgeoise.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 27 est le verrou qualité du TLPT : un test red team mal encadré devient lui-même un incident opérationnel. La CSSF, en tant qu'autorité TLPT désignée au Luxembourg sous le cadre TIBER-LU, sanctionné deux dérives récurrentes : le recours à un prestataire de pentest généraliste sans certification d'accréditation reconnue (CREST, GIAC, ou équivalent national), et l'absence de police d'assurance responsabilité civile professionnelle couvrant explicitement les risques de mauvaise conduite et de négligence du testeur. Le piège vicieux : votre prestataire habituel de pentest applicatif n'a quasiment jamais le profil article 27, et l'entité financière reste responsable des dégâts causés sur ses systèmes de production.

Les critères de sélection que la CSSF vérifiera dans votre dossier TLPT

Accréditation formelle : organisme reconnu dans un État membre (CREST EU, TIBER-EU pool de testeurs, équivalents nationaux) ou adhésion documentée à un code éthique formel.
Expertise triple : threat intelligence, penetration testing et red team. Les trois compétences doivent être démontrées séparément, avec CV nominatifs des intervenants.
Assurance RC pro avec montants suffisants et clause explicite couvrant misconduct and négligence. La clause d'exclusion pour activité offensive est un motif de rejet immédiat.
Rapport d'assurance indépendant (type ISAE 3000) sur la gestion des données confidentielles collectées pendant l'engagement.
Séparation stricte : si vous mobilisez une équipe red team interne, le fournisseur de threat intelligence doit être externe (paragraphe 2.c), sans exception.
Approbation préalable CSSF pour tout testeur interne, avec démonstration de ressources dédiées et absence de conflits d'intérêts.
Clauses contractuelles sur le cycle de vie complet des résultats : génération, stockage, agrégation, communication, destruction.

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Tester Vetting Vault transforme la sélection et le suivi de vos testeurs red team en dossier opposable à la CSSF, prêt à être déposé le jour de la notification TLPT. L'outil agrège les bases CREST, TIBER-EU pool, les registres d'accréditation nationaux, les certifications individuelles (OSCP, GXPN, CRTO, GIAC) et croise en continu chaque intervenant nominatif avec les exigences de l'article 27, sans demander au CISO de constituer manuellement le dossier.

Vérifie automatiquement l'accréditation active de chaque prestataire candidat via API CREST et registres nationaux des États membres, avec horodatage cryptographique.
Scanne les polices RC pro fournies par le testeur et détecte les clauses d'exclusion sur les activités offensives, misconduct et négligence avec un agent LLM spécialisé contrats d'assurance.
Maintient un dossier nominatif par intervenant (CV, certifications individuelles, dates d'expiration, références TLPT/TIBER passées) avec alerte 90 jours avant expiration.
Génère le modèle de contrat externe article 27(3) couvrant la chaîne complète de traitement des résultats (génération, stockage, agrégation, communication, destruction) aligné sur les RTS TLPT des ESAs.
Détecte automatiquement les conflits d'intérêts : prestataire ayant aussi un mandat audit ou conseil sur les mêmes systèmes, via croisement avec votre registre fournisseurs Odoo ou SAP Ariba.
Produit un tester selection memorandum PDF horodaté et signé, opposable à la CSSF lors de la phase de scoping TLPT, démontrant la conformité article 27 point par point.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre TLPT. Demandez une démonstration sur votre short-list réelle de prestataires red team, avec un audit blanc gratuit sous 48h pour identifier les écarts article 27 avant votre prochain cycle TLPT.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace

Ils nous font confiance

Avant de discuter