Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2022R2554_EN.27. Ouvrir le PDF.
Article 26 – Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace ⬅️ | ➡️ Article 28 – Principes généraux
Article 27 - Exigences applicables aux testeurs afin de réaliser des tests de pénétration fondés sur la menace
1.
Afin de réaliser des tests de pénétration fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:
a)
possèdent l’aptitude et la réputation les plus élevées;
b)
possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration et de tests en mode red team;
c)
sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;
d)
fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;
e)
sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.
2.
Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
a)
le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10;
b)
l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et
c)
le fournisseur de renseignements sur les menaces est externe à l’entité financière.
3.
Les entités financières veillent à ce que les contrats conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que le traitement de données correspondant, y compris la génération, le stockage, l’agrégation, l’élaboration, le projet, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière. Gestion des risques liés aux prestataires tiers de services TIC
Principes clés pour une bonne gestion des risques liés aux prestataires tiers de services TIC