ANNEX IIII
đ Retour au Sommaire. đŹđ§ Version Anglaise: 2025R1190_EN.IIII. Retour au Sommaire du niveau 1. Lien direct vers EUR-LEX.
Article III â âŹ
ïž | âĄïž Article V â
Le plan de test de lâĂ©quipe rouge doit contenir des informations sur tous les Ă©lĂ©ments suivants:
a)
les canaux et procédures de communication;
b)
les tactiques, techniques et procĂ©dures autorisĂ©es ou non autorisĂ©es lors de lâattaque, y compris les limites Ă©thiques de lâingĂ©nierie sociale;
c)
les mesures de gestion des risques Ă suivre par les testeurs;
d)
une description de chaque scénario, comprenant:
i)
lâacteur de la menace simulĂ©e;
ii)
son intention, sa motivation et ses objectifs;
iii)
la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent;
iv)
les aspects ciblĂ©s de confidentialitĂ©, dâintĂ©gritĂ©, de disponibilitĂ© et dâauthenticitĂ©;
v)
les drapeaux.
e)
une description dĂ©taillĂ©e de chaque chemin dâattaque prĂ©vu, en ce compris les prĂ©requis et les Ă©ventuels coups de pouce Ă fournir par lâĂ©quipe chargĂ©e du contrĂŽle, ainsi que les dĂ©lais pour leur fourniture et leur utilisation potentielle;
f)
la programmation des activitĂ©s de lâĂ©quipe rouge, y compris la planification chronologique de lâexĂ©cution de chaque scĂ©nario, dĂ©composĂ©e au moins selon les trois phases quâun testeur suit au cours de la phase de test, Ă savoir sâintroduire dans les systĂšmes de TIC des entitĂ©s financiĂšres, se dĂ©placer dans les systĂšmes de TIC pour, au final exĂ©cuter des actions sur les objectifs puis, en bout de course, sâextraire des systĂšmes de TIC (phases dâentrĂ©e, de circulation et de sortie);
g)
les particularitĂ©s de lâinfrastructure des entitĂ©s financiĂšres Ă prendre en considĂ©ration lors des tests;
h)
le cas Ă©chĂ©ant, des informations complĂ©mentaires ou dâautres ressources nĂ©cessaires aux testeurs pour exĂ©cuter les scĂ©narios.# Table 1 in anx_I
| ĂlĂ©ment dâinformation | Informations requises |
|---|
| Personne responsable du plan du projet, Ă savoir le chef de lâĂ©quipe chargĂ©e du contrĂŽle | NomCoordonnĂ©es |
| Testeurs | âinternesâexternesâles deux |
| â | internes |
| â | externes |
| â | les deux |
| Canaux de communication sĂ©lectionnĂ©s conformĂ©ment Ă lâarticle 9, paragraphe 2, point d), et Ă lâarticle 9, paragraphe 4, point a), y compris:a)le systĂšme de cryptage Ă utiliser pour le courrier Ă©lectroniqueb)les salles de donnĂ©es en ligne (data room) Ă utiliserc)la messagerie instantanĂ©e Ă utiliser | a) |
| a) | le systÚme de cryptage à utiliser pour le courrier électronique |
| b) | les salles de données en ligne (data room) à utiliser |
| c) | la messagerie instantanée à utiliser |
| Nom de code du TIFM | |
| Le cas Ă©chĂ©ant, les fonctions critiques ou importantes que lâentitĂ© financiĂšre exerce dans dâautres Ătats membres | 1.La liste des fonctions critiques ou importantes exercĂ©es dans un autre Ătat membre2.Pour chaque fonction critique ou importante, lâindication du ou des Ătats membres dans lesquels elles sont exercĂ©es |
| 1. | La liste des fonctions critiques ou importantes exercĂ©es dans un autre Ătat membre |
| 2. | Pour chaque fonction critique ou importante, lâindication du ou des Ătats membres dans lesquels elles sont exercĂ©es |
| Le cas Ă©chĂ©ant, les fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC | 3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas Ă©chĂ©ant4.Pour chaque fonction, lâidentification du prestataire tiers de services TIC |
| 3. | La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant |
| 4. | Pour chaque fonction, lâidentification du prestataire tiers de services TIC |
| Dates limites prĂ©vues pour lâachĂšvement de: | |
| 1)la phase de prĂ©paration, conformĂ©ment Ă lâarticle 9 | 1) |
| 1) | la phase de prĂ©paration, conformĂ©ment Ă lâarticle 9 |
| 2)la phase de test, conformément aux articles 10 et 11 | 2) |
| 2) | la phase de test, conformément aux articles 10 et 11 |
| 3)la phase de clĂŽture, conformĂ©ment Ă lâarticle 12 | 3) |
| 3) | la phase de clĂŽture, conformĂ©ment Ă lâarticle 12 |
| 4)du plan de mesures correctives, conformĂ©ment Ă lâarticle 13 | 4) |
| 4) | du plan de mesures correctives, conformĂ©ment Ă lâarticle 13 |
Table 2 in anx_I
Table 3 in anx_I
Table 4 in anx_I
Table 5 in anx_I
| a) | le systÚme de cryptage à utiliser pour le courrier électronique |
|---|
Table 6 in anx_I
| b) | les salles de données en ligne (data room) à utiliser |
|---|
Table 7 in anx_I
| c) | la messagerie instantanée à utiliser |
|---|
Table 8 in anx_I
| 1. | La liste des fonctions critiques ou importantes exercĂ©es dans un autre Ătat membre |
|---|
Table 9 in anx_I
| 2. | Pour chaque fonction critique ou importante, lâindication du ou des Ătats membres dans lesquels elles sont exercĂ©es |
|---|
Table 10 in anx_I
| 3. | La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant |
|---|
Table 11 in anx_I
| 4. | Pour chaque fonction, lâidentification du prestataire tiers de services TIC |
|---|
Table 12 in anx_I
| 1) | la phase de prĂ©paration, conformĂ©ment Ă lâarticle 9 |
|---|
Table 13 in anx_I
| 2) | la phase de test, conformément aux articles 10 et 11 |
|---|
Table 14 in anx_I
| 3) | la phase de clĂŽture, conformĂ©ment Ă lâarticle 12 |
|---|
Table 15 in anx_I
| 4) | du plan de mesures correctives, conformĂ©ment Ă lâarticle 13 |
|---|
Table 1 in anx_II
| a) | si la fonction critique ou importante nâest pas incluse dans le pĂ©rimĂštre du TIFM, lâexplication des raisons de cette non-inclusion; |
|---|
Table 2 in anx_II
| b) | si la fonction critique ou importante est incluse dans le pĂ©rimĂštre du TIFM:i)lâexplication des raisons de son inclusion;ii)le ou les systĂšmes de TIC identifiĂ©s qui soutiennent cette fonction critique ou importante;iii)pour chaque systĂšme de TIC identifiĂ©:1.sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | i) | lâexplication des raisons de son inclusion; | ii) | le ou les systĂšmes de TIC identifiĂ©s qui soutiennent cette fonction critique ou importante; | iii) | pour chaque systĂšme de TIC identifiĂ©:1.sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©, | 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. |
|---|
| i) | lâexplication des raisons de son inclusion; | | | | | | | | | | | | |
| ii) | le ou les systÚmes de TIC identifiés qui soutiennent cette fonction critique ou importante; | | | | | | | | | | | | |
| iii) | pour chaque systĂšme de TIC identifiĂ©:1.sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©, | 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | | | | | | |
| 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, | | | | | | | | | | | | |
| 2. | les pays et territoires dans lesquels le systÚme de TIC est utilisé, | | | | | | | | | | | | |
| 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | | | | | | | | | | | | |
Table 3 in anx_II
| i) | lâexplication des raisons de son inclusion; |
|---|
Table 4 in anx_II
| ii) | le ou les systÚmes de TIC identifiés qui soutiennent cette fonction critique ou importante; |
|---|
Table 5 in anx_II
| iii) | pour chaque systĂšme de TIC identifiĂ©:1.sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, | 2. | les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©, | 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. |
|---|
| 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, | | | | | | |
| 2. | les pays et territoires dans lesquels le systÚme de TIC est utilisé, | | | | | | |
| 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. | | | | | | |
Table 6 in anx_II
| 1. | sâil est externalisĂ© et, dans lâaffirmative, le nom du prestataire tiers de services TIC, |
|---|
Table 7 in anx_II
| 2. | les pays et territoires dans lesquels le systÚme de TIC est utilisé, |
|---|
Table 8 in anx_II
| 3. | une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă la confidentialitĂ©, Ă lâintĂ©gritĂ©, Ă lâauthenticitĂ© ou Ă la disponibilitĂ© est couvert par chaque drapeau. |
|---|
Table 1 in anx_III
| 1. | Le pĂ©rimĂštre global de la recherche en matiĂšre de renseignement, dont au moins les Ă©lĂ©ments suivants:a)les fonctions critiques ou importantes entrant dans le pĂ©rimĂštre;b)leur localisation gĂ©ographique;c)la langue officielle de lâUE utilisĂ©e;d)les prestataires tiers de services TIC concernĂ©s;e)la pĂ©riode au cours de laquelle les renseignements sont recueillis. | a) | les fonctions critiques ou importantes entrant dans le pĂ©rimĂštre; | b) | leur localisation gĂ©ographique; | c) | la langue officielle de lâUE utilisĂ©e; | d) | les prestataires tiers de services TIC concernĂ©s; | e) | la pĂ©riode au cours de laquelle les renseignements sont recueillis. |
|---|
| a) | les fonctions critiques ou importantes entrant dans le périmÚtre; | | | | | | | | | | |
| b) | leur localisation géographique; | | | | | | | | | | |
| c) | la langue officielle de lâUE utilisĂ©e; | | | | | | | | | | |
| d) | les prestataires tiers de services TIC concernés; | | | | | | | | | | |
| e) | la période au cours de laquelle les renseignements sont recueillis. | | | | | | | | | | |
Table 2 in anx_III
| a) | les fonctions critiques ou importantes entrant dans le périmÚtre; |
|---|
Table 3 in anx_III
| b) | leur localisation géographique; |
|---|
Table 4 in anx_III
| c) | la langue officielle de lâUE utilisĂ©e; |
|---|
Table 5 in anx_III
| d) | les prestataires tiers de services TIC concernés; |
|---|
Table 6 in anx_III
| e) | la période au cours de laquelle les renseignements sont recueillis. |
|---|
Table 7 in anx_III
| 2. | Une Ă©valuation globale indiquant quels renseignements concrets exploitables peuvent ĂȘtre trouvĂ©s au sujet de lâentitĂ© financiĂšre, notamment:a)les noms dâutilisateur et les mots de passe des salariĂ©s;b)les domaines ressemblants susceptibles dâĂȘtre confondus avec les domaines officiels de lâentitĂ© financiĂšre;c)la reconnaissance technique: logiciels, systĂšmes et technologies vulnĂ©rables ou exploitables;d)les informations publiĂ©es par les salariĂ©s sur lâinternet concernant lâentitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins dâune attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur lâinternet ou sur les rĂ©seaux publics;g)le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s dâaccĂšs aux locaux de lâentitĂ© financiĂšre. | a) | les noms dâutilisateur et les mots de passe des salariĂ©s; | b) | les domaines ressemblants susceptibles dâĂȘtre confondus avec les domaines officiels de lâentitĂ© financiĂšre; | c) | la reconnaissance technique: logiciels, systĂšmes et technologies vulnĂ©rables ou exploitables; | d) | les informations publiĂ©es par les salariĂ©s sur lâinternet concernant lâentitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins dâune attaque; | e) | les informations en vente sur le dark web; | f) | toute autre information pertinente disponible sur lâinternet ou sur les rĂ©seaux publics; | g) | le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s dâaccĂšs aux locaux de lâentitĂ© financiĂšre. |
|---|
| a) | les noms dâutilisateur et les mots de passe des salariĂ©s; | | | | | | | | | | | | | | |
| b) | les domaines ressemblants susceptibles dâĂȘtre confondus avec les domaines officiels de lâentitĂ© financiĂšre; | | | | | | | | | | | | | | |
| c) | la reconnaissance technique: logiciels, systÚmes et technologies vulnérables ou exploitables; | | | | | | | | | | | | | | |
| d) | les informations publiĂ©es par les salariĂ©s sur lâinternet concernant lâentitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins dâune attaque; | | | | | | | | | | | | | | |
| e) | les informations en vente sur le dark web; | | | | | | | | | | | | | | |
| f) | toute autre information pertinente disponible sur lâinternet ou sur les rĂ©seaux publics; | | | | | | | | | | | | | | |
| g) | le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s dâaccĂšs aux locaux de lâentitĂ© financiĂšre. | | | | | | | | | | | | | | |
Table 8 in anx_III
| a) | les noms dâutilisateur et les mots de passe des salariĂ©s; |
|---|
Table 9 in anx_III
| b) | les domaines ressemblants susceptibles dâĂȘtre confondus avec les domaines officiels de lâentitĂ© financiĂšre; |
|---|
Table 10 in anx_III
| c) | la reconnaissance technique: logiciels, systÚmes et technologies vulnérables ou exploitables; |
|---|
Table 11 in anx_III
| d) | les informations publiĂ©es par les salariĂ©s sur lâinternet concernant lâentitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins dâune attaque; |
|---|
Table 12 in anx_III
| e) | les informations en vente sur le dark web; |
|---|
Table 13 in anx_III
| f) | toute autre information pertinente disponible sur lâinternet ou sur les rĂ©seaux publics; |
|---|
Table 14 in anx_III
| g) | le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s dâaccĂšs aux locaux de lâentitĂ© financiĂšre. |
|---|
Table 15 in anx_III
| 3. | Lâanalyse des renseignements sur les menaces Ă la lumiĂšre du panorama gĂ©nĂ©ral de la menace et de la situation particuliĂšre de lâentitĂ© financiĂšre, y compris, au moins:a)lâenvironnement gĂ©opolitique;b)lâenvironnement Ă©conomique;c)les Ă©volutions technologiques et toute autre Ă©volution concernant les activitĂ©s dans le secteur des services financiers. | a) | lâenvironnement gĂ©opolitique; | b) | lâenvironnement Ă©conomique; | c) | les Ă©volutions technologiques et toute autre Ă©volution concernant les activitĂ©s dans le secteur des services financiers. |
|---|
| a) | lâenvironnement gĂ©opolitique; | | | | | | |
| b) | lâenvironnement Ă©conomique; | | | | | | |
| c) | les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. | | | | | | |
Table 16 in anx_III
| a) | lâenvironnement gĂ©opolitique; |
|---|
Table 17 in anx_III
| b) | lâenvironnement Ă©conomique; |
|---|
Table 18 in anx_III
| c) | les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers. |
|---|
Table 19 in anx_III
| 4. | Les profils de menace des acteurs malveillants (personne/groupe spĂ©cifique ou catĂ©gorie gĂ©nĂ©rique) susceptibles de cibler lâentitĂ© financiĂšre, y compris les systĂšmes de lâentitĂ© financiĂšre que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, lâintention et la logique possibles du ciblage potentiel et le mode opĂ©ratoire possible des auteurs des attaques. |
|---|
Table 20 in anx_III
| 5. | Les scĂ©narios de menace: au moins trois scĂ©narios de menace de bout en bout pour les profils de menace identifiĂ©s conformĂ©ment au point 4 qui prĂ©sentent les scores de gravitĂ© de la menace les plus Ă©levĂ©s. Les scĂ©narios de menace dĂ©crivent le chemin dâattaque de bout en bout et comprennent au moins:a)un scĂ©nario qui inclut, sans sây limiter, la compromission de la disponibilitĂ© du service;b)un scĂ©nario qui inclut, sans sây limiter, la compromission de lâintĂ©gritĂ© des donnĂ©es;c)un scĂ©nario qui inclut, sans sây limiter, la compromission de la confidentialitĂ© des informations. | a) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la disponibilitĂ© du service; | b) | un scĂ©nario qui inclut, sans sây limiter, la compromission de lâintĂ©gritĂ© des donnĂ©es; | c) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la confidentialitĂ© des informations. |
|---|
| a) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la disponibilitĂ© du service; | | | | | | |
| b) | un scĂ©nario qui inclut, sans sây limiter, la compromission de lâintĂ©gritĂ© des donnĂ©es; | | | | | | |
| c) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la confidentialitĂ© des informations. | | | | | | |
Table 21 in anx_III
| a) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la disponibilitĂ© du service; |
|---|
Table 22 in anx_III
| b) | un scĂ©nario qui inclut, sans sây limiter, la compromission de lâintĂ©gritĂ© des donnĂ©es; |
|---|
Table 23 in anx_III
| c) | un scĂ©nario qui inclut, sans sây limiter, la compromission de la confidentialitĂ© des informations. |
|---|
Table 24 in anx_III
| 6. | Le cas Ă©chĂ©ant, une description du scĂ©nario non fondĂ© sur la menace visĂ© Ă lâarticle 10, paragraphe 4. |
|---|
Table 1 in anx_IV
| a) | les canaux et procédures de communication; |
|---|
Table 2 in anx_IV
| b) | les tactiques, techniques et procĂ©dures autorisĂ©es ou non autorisĂ©es lors de lâattaque, y compris les limites Ă©thiques de lâingĂ©nierie sociale; |
|---|
Table 3 in anx_IV
| c) | les mesures de gestion des risques Ă suivre par les testeurs; |
|---|
Table 4 in anx_IV
| d) | une description de chaque scĂ©nario, comprenant:i)lâacteur de la menace simulĂ©e;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent;iv)les aspects ciblĂ©s de confidentialitĂ©, dâintĂ©gritĂ©, de disponibilitĂ© et dâauthenticitĂ©;v)les drapeaux. | i) | lâacteur de la menace simulĂ©e; | ii) | son intention, sa motivation et ses objectifs; | iii) | la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent; | iv) | les aspects ciblĂ©s de confidentialitĂ©, dâintĂ©gritĂ©, de disponibilitĂ© et dâauthenticitĂ©; | v) | les drapeaux. |
|---|
| i) | lâacteur de la menace simulĂ©e; | | | | | | | | | | |
| ii) | son intention, sa motivation et ses objectifs; | | | | | | | | | | |
| iii) | la (les) fonction(s) cible(s) et le(s) systÚme(s) de TIC qui la (les) soutiennent; | | | | | | | | | | |
| iv) | les aspects ciblĂ©s de confidentialitĂ©, dâintĂ©gritĂ©, de disponibilitĂ© et dâauthenticitĂ©; | | | | | | | | | | |
| v) | les drapeaux. | | | | | | | | | | |
Table 5 in anx_IV
| i) | lâacteur de la menace simulĂ©e; |
|---|
Table 6 in anx_IV
| ii) | son intention, sa motivation et ses objectifs; |
|---|
Table 7 in anx_IV
| iii) | la (les) fonction(s) cible(s) et le(s) systÚme(s) de TIC qui la (les) soutiennent; |
|---|
Table 8 in anx_IV
| iv) | les aspects ciblĂ©s de confidentialitĂ©, dâintĂ©gritĂ©, de disponibilitĂ© et dâauthenticitĂ©; |
|---|
Table 9 in anx_IV
Table 10 in anx_IV
| e) | une description dĂ©taillĂ©e de chaque chemin dâattaque prĂ©vu, en ce compris les prĂ©requis et les Ă©ventuels coups de pouce Ă fournir par lâĂ©quipe chargĂ©e du contrĂŽle, ainsi que les dĂ©lais pour leur fourniture et leur utilisation potentielle; |
|---|
Table 11 in anx_IV
| f) | la programmation des activitĂ©s de lâĂ©quipe rouge, y compris la planification chronologique de lâexĂ©cution de chaque scĂ©nario, dĂ©composĂ©e au moins selon les trois phases quâun testeur suit au cours de la phase de test, Ă savoir sâintroduire dans les systĂšmes de TIC des entitĂ©s financiĂšres, se dĂ©placer dans les systĂšmes de TIC pour, au final exĂ©cuter des actions sur les objectifs puis, en bout de course, sâextraire des systĂšmes de TIC (phases dâentrĂ©e, de circulation et de sortie); |
|---|
Table 12 in anx_IV
| g) | les particularitĂ©s de lâinfrastructure des entitĂ©s financiĂšres Ă prendre en considĂ©ration lors des tests; |
|---|
Table 13 in anx_IV
| h) | le cas Ă©chĂ©ant, des informations complĂ©mentaires ou dâautres ressources nĂ©cessaires aux testeurs pour exĂ©cuter les scĂ©narios. |
|---|
Table 1 in anx_V
| a) | des informations sur lâattaque menĂ©e, y compris:i)les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels quâidentifiĂ©s dans le plan de test de lâĂ©quipe rouge;ii)le rĂ©sumĂ© de chaque scĂ©nario;iii)les drapeaux atteints et non atteints;iv)les chemins dâattaque suivis avec succĂšs et sans succĂšs;v)les tactiques, techniques et procĂ©dures utilisĂ©es avec succĂšs et sans succĂšs;vi)les Ă©carts par rapport au plan de test de lâĂ©quipe rouge, le cas Ă©chĂ©ant;vii)les coups de pouce fournis, le cas Ă©chĂ©ant; | i) | les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels quâidentifiĂ©s dans le plan de test de lâĂ©quipe rouge; | ii) | le rĂ©sumĂ© de chaque scĂ©nario; | iii) | les drapeaux atteints et non atteints; | iv) | les chemins dâattaque suivis avec succĂšs et sans succĂšs; | v) | les tactiques, techniques et procĂ©dures utilisĂ©es avec succĂšs et sans succĂšs; | vi) | les Ă©carts par rapport au plan de test de lâĂ©quipe rouge, le cas Ă©chĂ©ant; | vii) | les coups de pouce fournis, le cas Ă©chĂ©ant; |
|---|
| i) | les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels quâidentifiĂ©s dans le plan de test de lâĂ©quipe rouge; | | | | | | | | | | | | | | |
| ii) | le résumé de chaque scénario; | | | | | | | | | | | | | | |
| iii) | les drapeaux atteints et non atteints; | | | | | | | | | | | | | | |
| iv) | les chemins dâattaque suivis avec succĂšs et sans succĂšs; | | | | | | | | | | | | | | |
| v) | les tactiques, techniques et procédures utilisées avec succÚs et sans succÚs; | | | | | | | | | | | | | | |
| vi) | les Ă©carts par rapport au plan de test de lâĂ©quipe rouge, le cas Ă©chĂ©ant; | | | | | | | | | | | | | | |
| vii) | les coups de pouce fournis, le cas échéant; | | | | | | | | | | | | | | |
Table 2 in anx_V
| i) | les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels quâidentifiĂ©s dans le plan de test de lâĂ©quipe rouge; |
|---|
Table 3 in anx_V
| ii) | le résumé de chaque scénario; |
|---|
Table 4 in anx_V
| iii) | les drapeaux atteints et non atteints; |
|---|
Table 5 in anx_V
| iv) | les chemins dâattaque suivis avec succĂšs et sans succĂšs; |
|---|
Table 6 in anx_V
| v) | les tactiques, techniques et procédures utilisées avec succÚs et sans succÚs; |
|---|
Table 7 in anx_V
| vi) | les Ă©carts par rapport au plan de test de lâĂ©quipe rouge, le cas Ă©chĂ©ant; |
|---|
Table 8 in anx_V
| vii) | les coups de pouce fournis, le cas échéant; |
|---|
Table 9 in anx_V
| b) | toutes les actions dont les testeurs ont connaissance et qui ont Ă©tĂ© rĂ©alisĂ©es par lâĂ©quipe bleue pour reconstruire lâattaque et en attĂ©nuer les effets; |
|---|
Table 10 in anx_V
| c) | les vulnérabilités découvertes et autres constatations, y compris:i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité. | i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; | ii) | une analyse des causes originelles de la réussite des attaques menées à bien; | iii) | des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité. |
|---|
| i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; | | | | | | |
| ii) | une analyse des causes originelles de la réussite des attaques menées à bien; | | | | | | |
| iii) | des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité. | | | | | | |
Table 11 in anx_V
| i) | une description de la vulnérabilité et des autres constatations, dont leur criticité; |
|---|
Table 12 in anx_V
| ii) | une analyse des causes originelles de la réussite des attaques menées à bien; |
|---|
Table 13 in anx_V
| iii) | des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité. |
|---|
Table 1 in anx_VI
| 1. | Pour chaque Ă©tape de lâattaque dĂ©crite par les testeurs dans le rapport de test de lâĂ©quipe rouge:a)une liste des actions offensives dĂ©tectĂ©es;b)les entrĂ©es de journal (log entries) correspondant Ă ces dĂ©tections. | a) | une liste des actions offensives dĂ©tectĂ©es; | b) | les entrĂ©es de journal (log entries) correspondant Ă ces dĂ©tections. |
|---|
| a) | une liste des actions offensives détectées; | | | | |
| b) | les entrées de journal (log entries) correspondant à ces détections. | | | | |
Table 2 in anx_VI
| a) | une liste des actions offensives détectées; |
|---|
Table 3 in anx_VI
| b) | les entrées de journal (log entries) correspondant à ces détections. |
|---|
Table 4 in anx_VI
| 2. | LâĂ©valuation des constatations et recommandations des testeurs. |
|---|
Table 5 in anx_VI
| 3. | Les preuves de lâattaque par les testeurs recueillies par lâĂ©quipe bleue. |
|---|
Table 6 in anx_VI
| 4. | Lâanalyse par lâĂ©quipe bleue des causes originelles de la rĂ©ussite des attaques menĂ©es Ă bien par les testeurs. |
|---|
Table 7 in anx_VI
| 5. | La liste des enseignements tirĂ©s et les possibilitĂ©s dâamĂ©lioration identifiĂ©es. |
|---|
Table 8 in anx_VI
| 6. | La liste des sujets Ă traiter dans le cadre de la collaboration violette. |
|---|
Table 1 in anx_VII
| a) | les parties concernées; |
|---|
Table 2 in anx_VII
Table 3 in anx_VII
| c) | le pĂ©rimĂštre validĂ©, y compris la justification de lâinclusion ou de lâexclusion de fonctions critiques ou importantes et de systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes couvertes par le TIFM; |
|---|
Table 4 in anx_VII
| d) | les scénarios sélectionnés et tout écart important par rapport au rapport de renseignement sur les menaces ciblées; |
|---|
Table 5 in anx_VII
| e) | les chemins dâattaque exĂ©cutĂ©s et les tactiques, techniques et procĂ©dures utilisĂ©es; |
|---|
Table 6 in anx_VII
| f) | les drapeaux atteints et non atteints; |
|---|
Table 7 in anx_VII
| g) | les Ă©carts par rapport au plan de test de lâĂ©quipe rouge, le cas Ă©chĂ©ant; |
|---|
Table 8 in anx_VII
| h) | les dĂ©tections de lâĂ©quipe bleue, le cas Ă©chĂ©ant; |
|---|
Table 9 in anx_VII
| i) | la collaboration violette pendant la phase de test, le cas échéant, et les conditions associées; |
|---|
Table 10 in anx_VII
| j) | les coups de pouce utilisés, le cas échéant; |
|---|
Table 11 in anx_VII
| k) | les mesures de gestion des risques adoptées; |
|---|
Table 12 in anx_VII
| l) | les vulnérabilités identifiées et autres constatations, avec mention de leur criticité; |
|---|
Table 13 in anx_VII
| m) | une analyse des causes originelles de la réussite des attaques menées à bien; |
|---|
Table 14 in anx_VII
| n) | un plan de haut niveau pour les mesures correctives, établissant un lien entre les vulnérabilités et les autres constatations, leurs causes originelles et leur priorité en matiÚre de mesures correctives; |
|---|
Table 15 in anx_VII
| o) | les enseignements tirĂ©s des retours dâinformation reçus. |
|---|
Table 1 in anx_VIII
| a) | concernant le TIFM rĂ©alisĂ©:i)les dates de dĂ©but et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test;iii)le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM nâa pas Ă©tĂ© exĂ©cutĂ©;iv)le cas Ă©chĂ©ant, les autres entitĂ©s financiĂšres impliquĂ©es dans le TIFM;v)le cas Ă©chĂ©ant, les prestataires tiers de services TIC qui ont participĂ© au TIFM;vi)en ce qui concerne les testeurs:1.sâil a Ă©tĂ© fait appel Ă des testeurs internes;2.si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a;vii)la durĂ©e, en jours calendaires, de la phase active de test de lâĂ©quipe rouge; | i) | les dates de dĂ©but et de fin du TIFM; | ii) | les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test; | iii) | le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM nâa pas Ă©tĂ© exĂ©cutĂ©; | iv) | le cas Ă©chĂ©ant, les autres entitĂ©s financiĂšres impliquĂ©es dans le TIFM; | v) | le cas Ă©chĂ©ant, les prestataires tiers de services TIC qui ont participĂ© au TIFM; | vi) | en ce qui concerne les testeurs:1.sâil a Ă©tĂ© fait appel Ă des testeurs internes;2.si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; | 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | vii) | la durĂ©e, en jours calendaires, de la phase active de test de lâĂ©quipe rouge; |
|---|
| i) | les dates de début et de fin du TIFM; | | | | | | | | | | | | | | | | | | |
| ii) | les fonctions critiques ou importantes incluses dans le périmÚtre du test; | | | | | | | | | | | | | | | | | | |
| iii) | le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM nâa pas Ă©tĂ© exĂ©cutĂ©; | | | | | | | | | | | | | | | | | | |
| iv) | le cas échéant, les autres entités financiÚres impliquées dans le TIFM; | | | | | | | | | | | | | | | | | | |
| v) | le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM; | | | | | | | | | | | | | | | | | | |
| vi) | en ce qui concerne les testeurs:1.sâil a Ă©tĂ© fait appel Ă des testeurs internes;2.si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; | 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | | | | | | | | | | | | | | |
| 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; | | | | | | | | | | | | | | | | | | |
| 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | | | | | | | | | | | | | | | | | | |
| vii) | la durĂ©e, en jours calendaires, de la phase active de test de lâĂ©quipe rouge; | | | | | | | | | | | | | | | | | | |
Table 2 in anx_VIII
| i) | les dates de début et de fin du TIFM; |
|---|
Table 3 in anx_VIII
| ii) | les fonctions critiques ou importantes incluses dans le périmÚtre du test; |
|---|
Table 4 in anx_VIII
| iii) | le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM nâa pas Ă©tĂ© exĂ©cutĂ©; |
|---|
Table 5 in anx_VIII
| iv) | le cas échéant, les autres entités financiÚres impliquées dans le TIFM; |
|---|
Table 6 in anx_VIII
| v) | le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM; |
|---|
Table 7 in anx_VIII
| vi) | en ce qui concerne les testeurs:1.sâil a Ă©tĂ© fait appel Ă des testeurs internes;2.si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; | 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; |
|---|
| 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; | | | | |
| 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; | | | | |
Table 8 in anx_VIII
| 1. | sâil a Ă©tĂ© fait appel Ă des testeurs internes; |
|---|
Table 9 in anx_VIII
| 2. | si lâentitĂ© financiĂšre a eu recours Ă lâarticle 5, paragraphe 3, deuxiĂšme alinĂ©a; |
|---|
Table 10 in anx_VIII
| vii) | la durĂ©e, en jours calendaires, de la phase active de test de lâĂ©quipe rouge; |
|---|
Table 11 in anx_VIII
| b) | lorsque plusieurs autorités TIFM ont été impliquées dans le TIFM, les autres autorités TIFM qui ont été impliquées, et en quelle qualité; |
|---|
Table 12 in anx_VIII
| c) | la liste des documents examinĂ©s par lâautoritĂ© TIFM aux fins de lâattestation. |
|---|