ANNEX II
Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R1190_EN.II. Retour au Sommaire du niveau 1. Lien direct vers EUR-LEX.
Article I – ⬅️ | ➡️ Article III –
1.
Le document de spécification du périmètre du test doit contenir une liste de toutes les fonctions critiques ou importantes identifiées par l’entité financière.
2.
Les informations suivantes doivent être incluses pour chaque fonction critique ou importante identifiée:
a)
si la fonction critique ou importante n’est pas incluse dans le périmètre du TIFM, l’explication des raisons de cette non-inclusion;
b)
si la fonction critique ou importante est incluse dans le périmètre du TIFM:
i)
l’explication des raisons de son inclusion;
ii)
le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;
iii)
pour chaque système de TIC identifié:
1.
s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,
2.
les pays et territoires dans lesquels le système de TIC est utilisé,
3.
une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.# Table 1 in anx_I
| Élément d’information | Informations requises |
|---|---|
| Personne responsable du plan du projet, à savoir le chef de l’équipe chargée du contrôle | NomCoordonnées |
| Testeurs | ☐internes☐externes☐les deux |
| ☐ | internes |
| ☐ | externes |
| ☐ | les deux |
| Canaux de communication sélectionnés conformément à l’article 9, paragraphe 2, point d), et à l’article 9, paragraphe 4, point a), y compris:a)le système de cryptage à utiliser pour le courrier électroniqueb)les salles de données en ligne (data room) à utiliserc)la messagerie instantanée à utiliser | a) |
| a) | le système de cryptage à utiliser pour le courrier électronique |
| b) | les salles de données en ligne (data room) à utiliser |
| c) | la messagerie instantanée à utiliser |
| Nom de code du TIFM | |
| Le cas échéant, les fonctions critiques ou importantes que l’entité financière exerce dans d’autres États membres | 1.La liste des fonctions critiques ou importantes exercées dans un autre État membre2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées |
| 1. | La liste des fonctions critiques ou importantes exercées dans un autre État membre |
| 2. | Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées |
| Le cas échéant, les fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC | 3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant4.Pour chaque fonction, l’identification du prestataire tiers de services TIC |
| 3. | La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant |
| 4. | Pour chaque fonction, l’identification du prestataire tiers de services TIC |
| Dates limites prévues pour l’achèvement de: | |
| 1)la phase de préparation, conformément à l’article 9 | 1) |
| 1) | la phase de préparation, conformément à l’article 9 |
| 2)la phase de test, conformément aux articles 10 et 11 | 2) |
| 2) | la phase de test, conformément aux articles 10 et 11 |
| 3)la phase de clôture, conformément à l’article 12 | 3) |
| 3) | la phase de clôture, conformément à l’article 12 |
| 4)du plan de mesures correctives, conformément à l’article 13 | 4) |
| 4) | du plan de mesures correctives, conformément à l’article 13 |
Table 2 in anx_I
| ☐ | internes |
|---|
Table 3 in anx_I
| ☐ | externes |
|---|
Table 4 in anx_I
| ☐ | les deux |
|---|
Table 5 in anx_I
| a) | le système de cryptage à utiliser pour le courrier électronique |
|---|
Table 6 in anx_I
| b) | les salles de données en ligne (data room) à utiliser |
|---|
Table 7 in anx_I
| c) | la messagerie instantanée à utiliser |
|---|
Table 8 in anx_I
| 1. | La liste des fonctions critiques ou importantes exercées dans un autre État membre |
|---|
Table 9 in anx_I
| 2. | Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées |
|---|
Table 10 in anx_I
| 3. | La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant |
|---|
Table 11 in anx_I
| 4. | Pour chaque fonction, l’identification du prestataire tiers de services TIC |
|---|
Table 12 in anx_I
| 1) | la phase de préparation, conformément à l’article 9 |
|---|
Table 13 in anx_I
| 2) | la phase de test, conformément aux articles 10 et 11 |
|---|
Table 14 in anx_I
| 3) | la phase de clôture, conformément à l’article 12 |
|---|
Table 15 in anx_I
| 4) | du plan de mesures correctives, conformément à l’article 13 |
|---|
Table 1 in anx_II
| a) | si la fonction critique ou importante n’est pas incluse dans le périmètre du TIFM, l’explication des raisons de cette non-inclusion; |
|---|
Table 2 in anx_II
| b) | si la fonction critique ou importante est incluse dans le périmètre du TIFM:i)l’explication des raisons de son inclusion;ii)le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;iii)pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. | i) | l’explication des raisons de son inclusion; | ii) | le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante; | iii) | pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. | 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le système de TIC est utilisé, | 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| i) | l’explication des raisons de son inclusion; | ||||||||||||
| ii) | le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante; | ||||||||||||
| iii) | pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. | 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le système de TIC est utilisé, | 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. | ||||||
| 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, | ||||||||||||
| 2. | les pays et territoires dans lesquels le système de TIC est utilisé, | ||||||||||||
| 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. |
Table 3 in anx_II
| i) | l’explication des raisons de son inclusion; |
|---|
Table 4 in anx_II
| ii) | le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante; |
|---|
Table 5 in anx_II
| iii) | pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. | 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le système de TIC est utilisé, | 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. |
|---|---|---|---|---|---|---|---|
| 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, | ||||||
| 2. | les pays et territoires dans lesquels le système de TIC est utilisé, | ||||||
| 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. |
Table 6 in anx_II
| 1. | s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC, |
|---|
Table 7 in anx_II
| 2. | les pays et territoires dans lesquels le système de TIC est utilisé, |
|---|
Table 8 in anx_II
| 3. | une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau. |
|---|
Table 1 in anx_III
| 1. | Le périmètre global de la recherche en matière de renseignement, dont au moins les éléments suivants:a)les fonctions critiques ou importantes entrant dans le périmètre;b)leur localisation géographique;c)la langue officielle de l’UE utilisée;d)les prestataires tiers de services TIC concernés;e)la période au cours de laquelle les renseignements sont recueillis. | a) | les fonctions critiques ou importantes entrant dans le périmètre; | b) | leur localisation géographique; | c) | la langue officielle de l’UE utilisée; | d) | les prestataires tiers de services TIC concernés; | e) | la période au cours de laquelle les renseignements sont recueillis. |
|---|---|---|---|---|---|---|---|---|---|---|---|
| a) | les fonctions critiques ou importantes entrant dans le périmètre; | ||||||||||
| b) | leur localisation géographique; | ||||||||||
| c) | la langue officielle de l’UE utilisée; | ||||||||||
| d) | les prestataires tiers de services TIC concernés; | ||||||||||
| e) | la période au cours de laquelle les renseignements sont recueillis. |
Table 2 in anx_III
| a) | les fonctions critiques ou importantes entrant dans le périmètre; |
|---|
Table 3 in anx_III
| b) | leur localisation géographique; |
|---|
Table 4 in anx_III
| c) | la langue officielle de l’UE utilisée; |
|---|
Table 5 in anx_III
| d) | les prestataires tiers de services TIC concernés; |
|---|
Table 6 in anx_III
| e) | la période au cours de laquelle les renseignements sont recueillis. |
|---|
Table 7 in anx_III
| 2. | Une évaluation globale indiquant quels renseignements concrets exploitables peuvent être trouvés au sujet de l’entité financière, notamment:a)les noms d’utilisateur et les mots de passe des salariés;b)les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;c)la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;d)les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;g)le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière. | a) | les noms d’utilisateur et les mots de passe des salariés; | b) | les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière; | c) | la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables; | d) | les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque; | e) | les informations en vente sur le dark web; | f) | toute autre information pertinente disponible sur l’internet ou sur les réseaux publics; | g) | le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière. |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| a) | les noms d’utilisateur et les mots de passe des salariés; | ||||||||||||||
| b) | les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière; | ||||||||||||||
| c) | la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables; | ||||||||||||||
| d) | les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque; | ||||||||||||||
| e) | les informations en vente sur le dark web; | ||||||||||||||
| f) | toute autre information pertinente disponible sur l’internet ou sur les réseaux publics; | ||||||||||||||
| g) | le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière. |
Table 8 in anx_III
| a) | les noms d’utilisateur et les mots de passe des salariés; |
|---|
Table 9 in anx_III
| b) | les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière; |
|---|
Table 10 in anx_III
| c) | la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables; |
|---|
Table 11 in anx_III
| d) | les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque; |
|---|
Table 12 in anx_III
| e) | les informations en vente sur le dark web; |
|---|
Table 13 in anx_III
| f) | toute autre information pertinente disponible sur l’internet ou sur les réseaux publics; |
|---|
Table 14 in anx_III
| g) | le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière. |
|---|
Table 15 in anx_III
| 3. | L’analyse des renseignements sur les menaces à la lumière du panorama général de la menace et de la situation particulière de l’entité financière, y compris, au moins:a)l’environnement géopolitique;b)l’environnement économique;c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. | a) | l’environnement géopolitique; | b) | l’environnement économique; | c) | les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. |
|---|---|---|---|---|---|---|---|
| a) | l’environnement géopolitique; | ||||||
| b) | l’environnement économique; | ||||||
| c) | les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. |
Table 16 in anx_III
| a) | l’environnement géopolitique; |
|---|
Table 17 in anx_III
| b) | l’environnement économique; |
|---|
Table 18 in anx_III
| c) | les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. |
|---|
Table 19 in anx_III
| 4. | Les profils de menace des acteurs malveillants (personne/groupe spécifique ou catégorie générique) susceptibles de cibler l’entité financière, y compris les systèmes de l’entité financière que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, l’intention et la logique possibles du ciblage potentiel et le mode opératoire possible des auteurs des attaques. |
|---|
Table 20 in anx_III
| 5. | Les scénarios de menace: au moins trois scénarios de menace de bout en bout pour les profils de menace identifiés conformément au point 4 qui présentent les scores de gravité de la menace les plus élevés. Les scénarios de menace décrivent le chemin d’attaque de bout en bout et comprennent au moins:a)un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;b)un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;c)un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations. | a) | un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service; | b) | un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données; | c) | un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations. |
|---|---|---|---|---|---|---|---|
| a) | un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service; | ||||||
| b) | un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données; | ||||||
| c) | un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations. |
Table 21 in anx_III
| a) | un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service; |
|---|
Table 22 in anx_III
| b) | un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données; |
|---|
Table 23 in anx_III
| c) | un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations. |
|---|
Table 24 in anx_III
| 6. | Le cas échéant, une description du scénario non fondé sur la menace visé à l’article 10, paragraphe 4. |
|---|
Table 1 in anx_IV
| a) | les canaux et procédures de communication; |
|---|
Table 2 in anx_IV
| b) | les tactiques, techniques et procédures autorisées ou non autorisées lors de l’attaque, y compris les limites éthiques de l’ingénierie sociale; |
|---|
Table 3 in anx_IV
| c) | les mesures de gestion des risques à suivre par les testeurs; |
|---|
Table 4 in anx_IV
| d) | une description de chaque scénario, comprenant:i)l’acteur de la menace simulée;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;iv)les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;v)les drapeaux. | i) | l’acteur de la menace simulée; | ii) | son intention, sa motivation et ses objectifs; | iii) | la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent; | iv) | les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité; | v) | les drapeaux. |
|---|---|---|---|---|---|---|---|---|---|---|---|
| i) | l’acteur de la menace simulée; | ||||||||||
| ii) | son intention, sa motivation et ses objectifs; | ||||||||||
| iii) | la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent; | ||||||||||
| iv) | les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité; | ||||||||||
| v) | les drapeaux. |
Table 5 in anx_IV
| i) | l’acteur de la menace simulée; |
|---|
Table 6 in anx_IV
| ii) | son intention, sa motivation et ses objectifs; |
|---|
Table 7 in anx_IV
| iii) | la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent; |
|---|
Table 8 in anx_IV
| iv) | les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité; |
|---|
Table 9 in anx_IV
| v) | les drapeaux. |
|---|
Table 10 in anx_IV
| e) | une description détaillée de chaque chemin d’attaque prévu, en ce compris les prérequis et les éventuels coups de pouce à fournir par l’équipe chargée du contrôle, ainsi que les délais pour leur fourniture et leur utilisation potentielle; |
|---|
Table 11 in anx_IV
| f) | la programmation des activités de l’équipe rouge, y compris la planification chronologique de l’exécution de chaque scénario, décomposée au moins selon les trois phases qu’un testeur suit au cours de la phase de test, à savoir s’introduire dans les systèmes de TIC des entités financières, se déplacer dans les systèmes de TIC pour, au final exécuter des actions sur les objectifs puis, en bout de course, s’extraire des systèmes de TIC (phases d’entrée, de circulation et de sortie); |
|---|
Table 12 in anx_IV
| g) | les particularités de l’infrastructure des entités financières à prendre en considération lors des tests; |
|---|
Table 13 in anx_IV
| h) | le cas échéant, des informations complémentaires ou d’autres ressources nécessaires aux testeurs pour exécuter les scénarios. |
|---|
Table 1 in anx_V
| a) | des informations sur l’attaque menée, y compris:i)les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;ii)le résumé de chaque scénario;iii)les drapeaux atteints et non atteints;iv)les chemins d’attaque suivis avec succès et sans succès;v)les tactiques, techniques et procédures utilisées avec succès et sans succès;vi)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;vii)les coups de pouce fournis, le cas échéant; | i) | les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge; | ii) | le résumé de chaque scénario; | iii) | les drapeaux atteints et non atteints; | iv) | les chemins d’attaque suivis avec succès et sans succès; | v) | les tactiques, techniques et procédures utilisées avec succès et sans succès; | vi) | les écarts par rapport au plan de test de l’équipe rouge, le cas échéant; | vii) | les coups de pouce fournis, le cas échéant; |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| i) | les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge; | ||||||||||||||
| ii) | le résumé de chaque scénario; | ||||||||||||||
| iii) | les drapeaux atteints et non atteints; | ||||||||||||||
| iv) | les chemins d’attaque suivis avec succès et sans succès; | ||||||||||||||
| v) | les tactiques, techniques et procédures utilisées avec succès et sans succès; | ||||||||||||||
| vi) | les écarts par rapport au plan de test de l’équipe rouge, le cas échéant; | ||||||||||||||
| vii) | les coups de pouce fournis, le cas échéant; |
Table 2 in anx_V
| i) | les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge; |
|---|
Table 3 in anx_V
| ii) | le résumé de chaque scénario; |
|---|
Table 4 in anx_V
| iii) | les drapeaux atteints et non atteints; |
|---|
Table 5 in anx_V
| iv) | les chemins d’attaque suivis avec succès et sans succès; |
|---|
Table 6 in anx_V
| v) | les tactiques, techniques et procédures utilisées avec succès et sans succès; |
|---|
Table 7 in anx_V
| vi) | les écarts par rapport au plan de test de l’équipe rouge, le cas échéant; |
|---|
Table 8 in anx_V
| vii) | les coups de pouce fournis, le cas échéant; |
|---|
Table 9 in anx_V
| b) | toutes les actions dont les testeurs ont connaissance et qui ont été réalisées par l’équipe bleue pour reconstruire l’attaque et en atténuer les effets; |
|---|
Table 10 in anx_V
| c) | les vulnérabilités découvertes et autres constatations, y compris:i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matière de mesures correctives, avec indication de leur degré de priorité. | i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; | ii) | une analyse des causes originelles de la réussite des attaques menées à bien; | iii) | des recommandations en matière de mesures correctives, avec indication de leur degré de priorité. |
|---|---|---|---|---|---|---|---|
| i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; | ||||||
| ii) | une analyse des causes originelles de la réussite des attaques menées à bien; | ||||||
| iii) | des recommandations en matière de mesures correctives, avec indication de leur degré de priorité. |
Table 11 in anx_V
| i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; |
|---|
Table 12 in anx_V
| ii) | une analyse des causes originelles de la réussite des attaques menées à bien; |
|---|
Table 13 in anx_V
| iii) | des recommandations en matière de mesures correctives, avec indication de leur degré de priorité. |
|---|
Table 1 in anx_VI
| 1. | Pour chaque étape de l’attaque décrite par les testeurs dans le rapport de test de l’équipe rouge:a)une liste des actions offensives détectées;b)les entrées de journal (log entries) correspondant à ces détections. | a) | une liste des actions offensives détectées; | b) | les entrées de journal (log entries) correspondant à ces détections. |
|---|---|---|---|---|---|
| a) | une liste des actions offensives détectées; | ||||
| b) | les entrées de journal (log entries) correspondant à ces détections. |
Table 2 in anx_VI
| a) | une liste des actions offensives détectées; |
|---|
Table 3 in anx_VI
| b) | les entrées de journal (log entries) correspondant à ces détections. |
|---|
Table 4 in anx_VI
| 2. | L’évaluation des constatations et recommandations des testeurs. |
|---|
Table 5 in anx_VI
| 3. | Les preuves de l’attaque par les testeurs recueillies par l’équipe bleue. |
|---|
Table 6 in anx_VI
| 4. | L’analyse par l’équipe bleue des causes originelles de la réussite des attaques menées à bien par les testeurs. |
|---|
Table 7 in anx_VI
| 5. | La liste des enseignements tirés et les possibilités d’amélioration identifiées. |
|---|
Table 8 in anx_VI
| 6. | La liste des sujets à traiter dans le cadre de la collaboration violette. |
|---|
Table 1 in anx_VII
| a) | les parties concernées; |
|---|
Table 2 in anx_VII
| b) | le plan du projet; |
|---|
Table 3 in anx_VII
| c) | le périmètre validé, y compris la justification de l’inclusion ou de l’exclusion de fonctions critiques ou importantes et de systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes couvertes par le TIFM; |
|---|
Table 4 in anx_VII
| d) | les scénarios sélectionnés et tout écart important par rapport au rapport de renseignement sur les menaces ciblées; |
|---|
Table 5 in anx_VII
| e) | les chemins d’attaque exécutés et les tactiques, techniques et procédures utilisées; |
|---|
Table 6 in anx_VII
| f) | les drapeaux atteints et non atteints; |
|---|
Table 7 in anx_VII
| g) | les écarts par rapport au plan de test de l’équipe rouge, le cas échéant; |
|---|
Table 8 in anx_VII
| h) | les détections de l’équipe bleue, le cas échéant; |
|---|
Table 9 in anx_VII
| i) | la collaboration violette pendant la phase de test, le cas échéant, et les conditions associées; |
|---|
Table 10 in anx_VII
| j) | les coups de pouce utilisés, le cas échéant; |
|---|
Table 11 in anx_VII
| k) | les mesures de gestion des risques adoptées; |
|---|
Table 12 in anx_VII
| l) | les vulnérabilités identifiées et autres constatations, avec mention de leur criticité; |
|---|
Table 13 in anx_VII
| m) | une analyse des causes originelles de la réussite des attaques menées à bien; |
|---|
Table 14 in anx_VII
| n) | un plan de haut niveau pour les mesures correctives, établissant un lien entre les vulnérabilités et les autres constatations, leurs causes originelles et leur priorité en matière de mesures correctives; |
|---|
Table 15 in anx_VII
| o) | les enseignements tirés des retours d’information reçus. |
|---|
Table 1 in anx_VIII
| a) | concernant le TIFM réalisé:i)les dates de début et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le périmètre du test;iii)le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté;iv)le cas échéant, les autres entités financières impliquées dans le TIFM;v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;vi)en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;vii)la durée, en jours calendaires, de la phase active de test de l’équipe rouge; | i) | les dates de début et de fin du TIFM; | ii) | les fonctions critiques ou importantes incluses dans le périmètre du test; | iii) | le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté; | iv) | le cas échéant, les autres entités financières impliquées dans le TIFM; | v) | le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM; | vi) | en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | 1. | s’il a été fait appel à des testeurs internes; | 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | vii) | la durée, en jours calendaires, de la phase active de test de l’équipe rouge; |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| i) | les dates de début et de fin du TIFM; | ||||||||||||||||||
| ii) | les fonctions critiques ou importantes incluses dans le périmètre du test; | ||||||||||||||||||
| iii) | le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté; | ||||||||||||||||||
| iv) | le cas échéant, les autres entités financières impliquées dans le TIFM; | ||||||||||||||||||
| v) | le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM; | ||||||||||||||||||
| vi) | en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | 1. | s’il a été fait appel à des testeurs internes; | 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | ||||||||||||||
| 1. | s’il a été fait appel à des testeurs internes; | ||||||||||||||||||
| 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | ||||||||||||||||||
| vii) | la durée, en jours calendaires, de la phase active de test de l’équipe rouge; |
Table 2 in anx_VIII
| i) | les dates de début et de fin du TIFM; |
|---|
Table 3 in anx_VIII
| ii) | les fonctions critiques ou importantes incluses dans le périmètre du test; |
|---|
Table 4 in anx_VIII
| iii) | le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté; |
|---|
Table 5 in anx_VIII
| iv) | le cas échéant, les autres entités financières impliquées dans le TIFM; |
|---|
Table 6 in anx_VIII
| v) | le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM; |
|---|
Table 7 in anx_VIII
| vi) | en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; | 1. | s’il a été fait appel à des testeurs internes; | 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; |
|---|---|---|---|---|---|
| 1. | s’il a été fait appel à des testeurs internes; | ||||
| 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; |
Table 8 in anx_VIII
| 1. | s’il a été fait appel à des testeurs internes; |
|---|
Table 9 in anx_VIII
| 2. | si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa; |
|---|
Table 10 in anx_VIII
| vii) | la durée, en jours calendaires, de la phase active de test de l’équipe rouge; |
|---|
Table 11 in anx_VIII
| b) | lorsque plusieurs autorités TIFM ont été impliquées dans le TIFM, les autres autorités TIFM qui ont été impliquées, et en quelle qualité; |
|---|
Table 12 in anx_VIII
| c) | la liste des documents examinés par l’autorité TIFM aux fins de l’attestation. |
|---|