ANNEX IIII

Info

🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R1190_EN.IIII. Retour au Sommaire du niveau 1. Lien direct vers EUR-LEX.

Article III – âŹ…ïž | âžĄïž Article V –

Le plan de test de l’équipe rouge doit contenir des informations sur tous les Ă©lĂ©ments suivants:

a)

les canaux et procédures de communication;

b)

les tactiques, techniques et procĂ©dures autorisĂ©es ou non autorisĂ©es lors de l’attaque, y compris les limites Ă©thiques de l’ingĂ©nierie sociale;

c)

les mesures de gestion des risques Ă  suivre par les testeurs;

d)

une description de chaque scénario, comprenant:

i)

l’acteur de la menace simulĂ©e;

ii)

son intention, sa motivation et ses objectifs;

iii)

la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent;

iv)

les aspects ciblĂ©s de confidentialitĂ©, d’intĂ©gritĂ©, de disponibilitĂ© et d’authenticitĂ©;

v)

les drapeaux.

e)

une description dĂ©taillĂ©e de chaque chemin d’attaque prĂ©vu, en ce compris les prĂ©requis et les Ă©ventuels coups de pouce Ă  fournir par l’équipe chargĂ©e du contrĂŽle, ainsi que les dĂ©lais pour leur fourniture et leur utilisation potentielle;

f)

la programmation des activitĂ©s de l’équipe rouge, y compris la planification chronologique de l’exĂ©cution de chaque scĂ©nario, dĂ©composĂ©e au moins selon les trois phases qu’un testeur suit au cours de la phase de test, Ă  savoir s’introduire dans les systĂšmes de TIC des entitĂ©s financiĂšres, se dĂ©placer dans les systĂšmes de TIC pour, au final exĂ©cuter des actions sur les objectifs puis, en bout de course, s’extraire des systĂšmes de TIC (phases d’entrĂ©e, de circulation et de sortie);

g)

les particularitĂ©s de l’infrastructure des entitĂ©s financiĂšres Ă  prendre en considĂ©ration lors des tests;

h)

le cas Ă©chĂ©ant, des informations complĂ©mentaires ou d’autres ressources nĂ©cessaires aux testeurs pour exĂ©cuter les scĂ©narios.# Table 1 in anx_I

ÉlĂ©ment d’informationInformations requises
Personne responsable du plan du projet, Ă  savoir le chef de l’équipe chargĂ©e du contrĂŽleNomCoordonnĂ©es
Testeurs☐internes☐externes☐les deux
☐internes
☐externes
☐les deux
Canaux de communication sĂ©lectionnĂ©s conformĂ©ment Ă  l’article 9, paragraphe 2, point d), et Ă  l’article 9, paragraphe 4, point a), y compris:a)le systĂšme de cryptage Ă  utiliser pour le courrier Ă©lectroniqueb)les salles de donnĂ©es en ligne (data room) Ă  utiliserc)la messagerie instantanĂ©e Ă  utilisera)
a)le systÚme de cryptage à utiliser pour le courrier électronique
b)les salles de données en ligne (data room) à utiliser
c)la messagerie instantanée à utiliser
Nom de code du TIFM
Le cas Ă©chĂ©ant, les fonctions critiques ou importantes que l’entitĂ© financiĂšre exerce dans d’autres États membres1.La liste des fonctions critiques ou importantes exercĂ©es dans un autre État membre2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercĂ©es
1.La liste des fonctions critiques ou importantes exercĂ©es dans un autre État membre
2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercĂ©es
Le cas Ă©chĂ©ant, les fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas Ă©chĂ©ant4.Pour chaque fonction, l’identification du prestataire tiers de services TIC
3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant
4.Pour chaque fonction, l’identification du prestataire tiers de services TIC
Dates limites prĂ©vues pour l’achĂšvement de:
1)la phase de prĂ©paration, conformĂ©ment Ă  l’article 91)
1)la phase de prĂ©paration, conformĂ©ment Ă  l’article 9
2)la phase de test, conformément aux articles 10 et 112)
2)la phase de test, conformément aux articles 10 et 11
3)la phase de clĂŽture, conformĂ©ment Ă  l’article 123)
3)la phase de clĂŽture, conformĂ©ment Ă  l’article 12
4)du plan de mesures correctives, conformĂ©ment Ă  l’article 134)
4)du plan de mesures correctives, conformĂ©ment Ă  l’article 13

Table 2 in anx_I

☐internes

Table 3 in anx_I

☐externes

Table 4 in anx_I

☐les deux

Table 5 in anx_I

a)le systÚme de cryptage à utiliser pour le courrier électronique

Table 6 in anx_I

b)les salles de données en ligne (data room) à utiliser

Table 7 in anx_I

c)la messagerie instantanée à utiliser

Table 8 in anx_I

1.La liste des fonctions critiques ou importantes exercĂ©es dans un autre État membre

Table 9 in anx_I

2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercĂ©es

Table 10 in anx_I

3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant

Table 11 in anx_I

4.Pour chaque fonction, l’identification du prestataire tiers de services TIC

Table 12 in anx_I

1)la phase de prĂ©paration, conformĂ©ment Ă  l’article 9

Table 13 in anx_I

2)la phase de test, conformément aux articles 10 et 11

Table 14 in anx_I

3)la phase de clĂŽture, conformĂ©ment Ă  l’article 12

Table 15 in anx_I

4)du plan de mesures correctives, conformĂ©ment Ă  l’article 13

Table 1 in anx_II

a)si la fonction critique ou importante n’est pas incluse dans le pĂ©rimĂštre du TIFM, l’explication des raisons de cette non-inclusion;

Table 2 in anx_II

b)si la fonction critique ou importante est incluse dans le pĂ©rimĂštre du TIFM:i)l’explication des raisons de son inclusion;ii)le ou les systĂšmes de TIC identifiĂ©s qui soutiennent cette fonction critique ou importante;iii)pour chaque systĂšme de TIC identifiĂ©:1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.i)l’explication des raisons de son inclusion;ii)le ou les systĂšmes de TIC identifiĂ©s qui soutiennent cette fonction critique ou importante;iii)pour chaque systĂšme de TIC identifiĂ©:1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.
i)l’explication des raisons de son inclusion;
ii)le ou les systÚmes de TIC identifiés qui soutiennent cette fonction critique ou importante;
iii)pour chaque systĂšme de TIC identifiĂ©:1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.
1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,
2.les pays et territoires dans lesquels le systÚme de TIC est utilisé,
3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.

Table 3 in anx_II

i)l’explication des raisons de son inclusion;

Table 4 in anx_II

ii)le ou les systÚmes de TIC identifiés qui soutiennent cette fonction critique ou importante;

Table 5 in anx_II

iii)pour chaque systĂšme de TIC identifiĂ©:1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le systĂšme de TIC est utilisĂ©,3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.
1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,
2.les pays et territoires dans lesquels le systÚme de TIC est utilisé,
3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.

Table 6 in anx_II

1.s’il est externalisĂ© et, dans l’affirmative, le nom du prestataire tiers de services TIC,

Table 7 in anx_II

2.les pays et territoires dans lesquels le systÚme de TIC est utilisé,

Table 8 in anx_II

3.une description de haut niveau du ou des drapeaux prĂ©liminaires, indiquant quel aspect de sĂ©curitĂ© touchant Ă  la confidentialitĂ©, Ă  l’intĂ©gritĂ©, Ă  l’authenticitĂ© ou Ă  la disponibilitĂ© est couvert par chaque drapeau.

Table 1 in anx_III

1.Le pĂ©rimĂštre global de la recherche en matiĂšre de renseignement, dont au moins les Ă©lĂ©ments suivants:a)les fonctions critiques ou importantes entrant dans le pĂ©rimĂštre;b)leur localisation gĂ©ographique;c)la langue officielle de l’UE utilisĂ©e;d)les prestataires tiers de services TIC concernĂ©s;e)la pĂ©riode au cours de laquelle les renseignements sont recueillis.a)les fonctions critiques ou importantes entrant dans le pĂ©rimĂštre;b)leur localisation gĂ©ographique;c)la langue officielle de l’UE utilisĂ©e;d)les prestataires tiers de services TIC concernĂ©s;e)la pĂ©riode au cours de laquelle les renseignements sont recueillis.
a)les fonctions critiques ou importantes entrant dans le périmÚtre;
b)leur localisation géographique;
c)la langue officielle de l’UE utilisĂ©e;
d)les prestataires tiers de services TIC concernés;
e)la période au cours de laquelle les renseignements sont recueillis.

Table 2 in anx_III

a)les fonctions critiques ou importantes entrant dans le périmÚtre;

Table 3 in anx_III

b)leur localisation géographique;

Table 4 in anx_III

c)la langue officielle de l’UE utilisĂ©e;

Table 5 in anx_III

d)les prestataires tiers de services TIC concernés;

Table 6 in anx_III

e)la période au cours de laquelle les renseignements sont recueillis.

Table 7 in anx_III

2.Une Ă©valuation globale indiquant quels renseignements concrets exploitables peuvent ĂȘtre trouvĂ©s au sujet de l’entitĂ© financiĂšre, notamment:a)les noms d’utilisateur et les mots de passe des salariĂ©s;b)les domaines ressemblants susceptibles d’ĂȘtre confondus avec les domaines officiels de l’entitĂ© financiĂšre;c)la reconnaissance technique: logiciels, systĂšmes et technologies vulnĂ©rables ou exploitables;d)les informations publiĂ©es par les salariĂ©s sur l’internet concernant l’entitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins d’une attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur l’internet ou sur les rĂ©seaux publics;g)le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s d’accĂšs aux locaux de l’entitĂ© financiĂšre.a)les noms d’utilisateur et les mots de passe des salariĂ©s;b)les domaines ressemblants susceptibles d’ĂȘtre confondus avec les domaines officiels de l’entitĂ© financiĂšre;c)la reconnaissance technique: logiciels, systĂšmes et technologies vulnĂ©rables ou exploitables;d)les informations publiĂ©es par les salariĂ©s sur l’internet concernant l’entitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins d’une attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur l’internet ou sur les rĂ©seaux publics;g)le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s d’accĂšs aux locaux de l’entitĂ© financiĂšre.
a)les noms d’utilisateur et les mots de passe des salariĂ©s;
b)les domaines ressemblants susceptibles d’ĂȘtre confondus avec les domaines officiels de l’entitĂ© financiĂšre;
c)la reconnaissance technique: logiciels, systÚmes et technologies vulnérables ou exploitables;
d)les informations publiĂ©es par les salariĂ©s sur l’internet concernant l’entitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins d’une attaque;
e)les informations en vente sur le dark web;
f)toute autre information pertinente disponible sur l’internet ou sur les rĂ©seaux publics;
g)le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s d’accĂšs aux locaux de l’entitĂ© financiĂšre.

Table 8 in anx_III

a)les noms d’utilisateur et les mots de passe des salariĂ©s;

Table 9 in anx_III

b)les domaines ressemblants susceptibles d’ĂȘtre confondus avec les domaines officiels de l’entitĂ© financiĂšre;

Table 10 in anx_III

c)la reconnaissance technique: logiciels, systÚmes et technologies vulnérables ou exploitables;

Table 11 in anx_III

d)les informations publiĂ©es par les salariĂ©s sur l’internet concernant l’entitĂ© financiĂšre, qui pourraient ĂȘtre utilisĂ©es aux fins d’une attaque;

Table 12 in anx_III

e)les informations en vente sur le dark web;

Table 13 in anx_III

f)toute autre information pertinente disponible sur l’internet ou sur les rĂ©seaux publics;

Table 14 in anx_III

g)le cas Ă©chĂ©ant, des informations de ciblage physique, y compris les modalitĂ©s d’accĂšs aux locaux de l’entitĂ© financiĂšre.

Table 15 in anx_III

3.L’analyse des renseignements sur les menaces Ă  la lumiĂšre du panorama gĂ©nĂ©ral de la menace et de la situation particuliĂšre de l’entitĂ© financiĂšre, y compris, au moins:a)l’environnement gĂ©opolitique;b)l’environnement Ă©conomique;c)les Ă©volutions technologiques et toute autre Ă©volution concernant les activitĂ©s dans le secteur des services financiers.a)l’environnement gĂ©opolitique;b)l’environnement Ă©conomique;c)les Ă©volutions technologiques et toute autre Ă©volution concernant les activitĂ©s dans le secteur des services financiers.
a)l’environnement gĂ©opolitique;
b)l’environnement Ă©conomique;
c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.

Table 16 in anx_III

a)l’environnement gĂ©opolitique;

Table 17 in anx_III

b)l’environnement Ă©conomique;

Table 18 in anx_III

c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.

Table 19 in anx_III

4.Les profils de menace des acteurs malveillants (personne/groupe spĂ©cifique ou catĂ©gorie gĂ©nĂ©rique) susceptibles de cibler l’entitĂ© financiĂšre, y compris les systĂšmes de l’entitĂ© financiĂšre que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, l’intention et la logique possibles du ciblage potentiel et le mode opĂ©ratoire possible des auteurs des attaques.

Table 20 in anx_III

5.Les scĂ©narios de menace: au moins trois scĂ©narios de menace de bout en bout pour les profils de menace identifiĂ©s conformĂ©ment au point 4 qui prĂ©sentent les scores de gravitĂ© de la menace les plus Ă©levĂ©s. Les scĂ©narios de menace dĂ©crivent le chemin d’attaque de bout en bout et comprennent au moins:a)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la disponibilitĂ© du service;b)un scĂ©nario qui inclut, sans s’y limiter, la compromission de l’intĂ©gritĂ© des donnĂ©es;c)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la confidentialitĂ© des informations.a)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la disponibilitĂ© du service;b)un scĂ©nario qui inclut, sans s’y limiter, la compromission de l’intĂ©gritĂ© des donnĂ©es;c)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la confidentialitĂ© des informations.
a)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la disponibilitĂ© du service;
b)un scĂ©nario qui inclut, sans s’y limiter, la compromission de l’intĂ©gritĂ© des donnĂ©es;
c)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la confidentialitĂ© des informations.

Table 21 in anx_III

a)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la disponibilitĂ© du service;

Table 22 in anx_III

b)un scĂ©nario qui inclut, sans s’y limiter, la compromission de l’intĂ©gritĂ© des donnĂ©es;

Table 23 in anx_III

c)un scĂ©nario qui inclut, sans s’y limiter, la compromission de la confidentialitĂ© des informations.

Table 24 in anx_III

6.Le cas Ă©chĂ©ant, une description du scĂ©nario non fondĂ© sur la menace visĂ© Ă  l’article 10, paragraphe 4.

Table 1 in anx_IV

a)les canaux et procédures de communication;

Table 2 in anx_IV

b)les tactiques, techniques et procĂ©dures autorisĂ©es ou non autorisĂ©es lors de l’attaque, y compris les limites Ă©thiques de l’ingĂ©nierie sociale;

Table 3 in anx_IV

c)les mesures de gestion des risques Ă  suivre par les testeurs;

Table 4 in anx_IV

d)une description de chaque scĂ©nario, comprenant:i)l’acteur de la menace simulĂ©e;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent;iv)les aspects ciblĂ©s de confidentialitĂ©, d’intĂ©gritĂ©, de disponibilitĂ© et d’authenticitĂ©;v)les drapeaux.i)l’acteur de la menace simulĂ©e;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) systĂšme(s) de TIC qui la (les) soutiennent;iv)les aspects ciblĂ©s de confidentialitĂ©, d’intĂ©gritĂ©, de disponibilitĂ© et d’authenticitĂ©;v)les drapeaux.
i)l’acteur de la menace simulĂ©e;
ii)son intention, sa motivation et ses objectifs;
iii)la (les) fonction(s) cible(s) et le(s) systÚme(s) de TIC qui la (les) soutiennent;
iv)les aspects ciblĂ©s de confidentialitĂ©, d’intĂ©gritĂ©, de disponibilitĂ© et d’authenticitĂ©;
v)les drapeaux.

Table 5 in anx_IV

i)l’acteur de la menace simulĂ©e;

Table 6 in anx_IV

ii)son intention, sa motivation et ses objectifs;

Table 7 in anx_IV

iii)la (les) fonction(s) cible(s) et le(s) systÚme(s) de TIC qui la (les) soutiennent;

Table 8 in anx_IV

iv)les aspects ciblĂ©s de confidentialitĂ©, d’intĂ©gritĂ©, de disponibilitĂ© et d’authenticitĂ©;

Table 9 in anx_IV

v)les drapeaux.

Table 10 in anx_IV

e)une description dĂ©taillĂ©e de chaque chemin d’attaque prĂ©vu, en ce compris les prĂ©requis et les Ă©ventuels coups de pouce Ă  fournir par l’équipe chargĂ©e du contrĂŽle, ainsi que les dĂ©lais pour leur fourniture et leur utilisation potentielle;

Table 11 in anx_IV

f)la programmation des activitĂ©s de l’équipe rouge, y compris la planification chronologique de l’exĂ©cution de chaque scĂ©nario, dĂ©composĂ©e au moins selon les trois phases qu’un testeur suit au cours de la phase de test, Ă  savoir s’introduire dans les systĂšmes de TIC des entitĂ©s financiĂšres, se dĂ©placer dans les systĂšmes de TIC pour, au final exĂ©cuter des actions sur les objectifs puis, en bout de course, s’extraire des systĂšmes de TIC (phases d’entrĂ©e, de circulation et de sortie);

Table 12 in anx_IV

g)les particularitĂ©s de l’infrastructure des entitĂ©s financiĂšres Ă  prendre en considĂ©ration lors des tests;

Table 13 in anx_IV

h)le cas Ă©chĂ©ant, des informations complĂ©mentaires ou d’autres ressources nĂ©cessaires aux testeurs pour exĂ©cuter les scĂ©narios.

Table 1 in anx_V

a)des informations sur l’attaque menĂ©e, y compris:i)les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiĂ©s dans le plan de test de l’équipe rouge;ii)le rĂ©sumĂ© de chaque scĂ©nario;iii)les drapeaux atteints et non atteints;iv)les chemins d’attaque suivis avec succĂšs et sans succĂšs;v)les tactiques, techniques et procĂ©dures utilisĂ©es avec succĂšs et sans succĂšs;vi)les Ă©carts par rapport au plan de test de l’équipe rouge, le cas Ă©chĂ©ant;vii)les coups de pouce fournis, le cas Ă©chĂ©ant;i)les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiĂ©s dans le plan de test de l’équipe rouge;ii)le rĂ©sumĂ© de chaque scĂ©nario;iii)les drapeaux atteints et non atteints;iv)les chemins d’attaque suivis avec succĂšs et sans succĂšs;v)les tactiques, techniques et procĂ©dures utilisĂ©es avec succĂšs et sans succĂšs;vi)les Ă©carts par rapport au plan de test de l’équipe rouge, le cas Ă©chĂ©ant;vii)les coups de pouce fournis, le cas Ă©chĂ©ant;
i)les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiĂ©s dans le plan de test de l’équipe rouge;
ii)le résumé de chaque scénario;
iii)les drapeaux atteints et non atteints;
iv)les chemins d’attaque suivis avec succùs et sans succùs;
v)les tactiques, techniques et procédures utilisées avec succÚs et sans succÚs;
vi)les Ă©carts par rapport au plan de test de l’équipe rouge, le cas Ă©chĂ©ant;
vii)les coups de pouce fournis, le cas échéant;

Table 2 in anx_V

i)les fonctions critiques ou importantes ciblĂ©es et les systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiĂ©s dans le plan de test de l’équipe rouge;

Table 3 in anx_V

ii)le résumé de chaque scénario;

Table 4 in anx_V

iii)les drapeaux atteints et non atteints;

Table 5 in anx_V

iv)les chemins d’attaque suivis avec succùs et sans succùs;

Table 6 in anx_V

v)les tactiques, techniques et procédures utilisées avec succÚs et sans succÚs;

Table 7 in anx_V

vi)les Ă©carts par rapport au plan de test de l’équipe rouge, le cas Ă©chĂ©ant;

Table 8 in anx_V

vii)les coups de pouce fournis, le cas échéant;

Table 9 in anx_V

b)toutes les actions dont les testeurs ont connaissance et qui ont Ă©tĂ© rĂ©alisĂ©es par l’équipe bleue pour reconstruire l’attaque et en attĂ©nuer les effets;

Table 10 in anx_V

c)les vulnérabilités découvertes et autres constatations, y compris:i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité.i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité.
i)une description de la vulnérabilité et des autres constatations, dont leur criticité;
ii)une analyse des causes originelles de la réussite des attaques menées à bien;
iii)des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité.

Table 11 in anx_V

i)une description de la vulnérabilité et des autres constatations, dont leur criticité;

Table 12 in anx_V

ii)une analyse des causes originelles de la réussite des attaques menées à bien;

Table 13 in anx_V

iii)des recommandations en matiÚre de mesures correctives, avec indication de leur degré de priorité.

Table 1 in anx_VI

1.Pour chaque Ă©tape de l’attaque dĂ©crite par les testeurs dans le rapport de test de l’équipe rouge:a)une liste des actions offensives dĂ©tectĂ©es;b)les entrĂ©es de journal (log entries) correspondant Ă  ces dĂ©tections.a)une liste des actions offensives dĂ©tectĂ©es;b)les entrĂ©es de journal (log entries) correspondant Ă  ces dĂ©tections.
a)une liste des actions offensives détectées;
b)les entrées de journal (log entries) correspondant à ces détections.

Table 2 in anx_VI

a)une liste des actions offensives détectées;

Table 3 in anx_VI

b)les entrées de journal (log entries) correspondant à ces détections.

Table 4 in anx_VI

2.L’évaluation des constatations et recommandations des testeurs.

Table 5 in anx_VI

3.Les preuves de l’attaque par les testeurs recueillies par l’équipe bleue.

Table 6 in anx_VI

4.L’analyse par l’équipe bleue des causes originelles de la rĂ©ussite des attaques menĂ©es Ă  bien par les testeurs.

Table 7 in anx_VI

5.La liste des enseignements tirĂ©s et les possibilitĂ©s d’amĂ©lioration identifiĂ©es.

Table 8 in anx_VI

6.La liste des sujets Ă  traiter dans le cadre de la collaboration violette.

Table 1 in anx_VII

a)les parties concernées;

Table 2 in anx_VII

b)le plan du projet;

Table 3 in anx_VII

c)le pĂ©rimĂštre validĂ©, y compris la justification de l’inclusion ou de l’exclusion de fonctions critiques ou importantes et de systĂšmes, processus et technologies de TIC identifiĂ©s qui soutiennent les fonctions critiques ou importantes couvertes par le TIFM;

Table 4 in anx_VII

d)les scénarios sélectionnés et tout écart important par rapport au rapport de renseignement sur les menaces ciblées;

Table 5 in anx_VII

e)les chemins d’attaque exĂ©cutĂ©s et les tactiques, techniques et procĂ©dures utilisĂ©es;

Table 6 in anx_VII

f)les drapeaux atteints et non atteints;

Table 7 in anx_VII

g)les Ă©carts par rapport au plan de test de l’équipe rouge, le cas Ă©chĂ©ant;

Table 8 in anx_VII

h)les dĂ©tections de l’équipe bleue, le cas Ă©chĂ©ant;

Table 9 in anx_VII

i)la collaboration violette pendant la phase de test, le cas échéant, et les conditions associées;

Table 10 in anx_VII

j)les coups de pouce utilisés, le cas échéant;

Table 11 in anx_VII

k)les mesures de gestion des risques adoptées;

Table 12 in anx_VII

l)les vulnérabilités identifiées et autres constatations, avec mention de leur criticité;

Table 13 in anx_VII

m)une analyse des causes originelles de la réussite des attaques menées à bien;

Table 14 in anx_VII

n)un plan de haut niveau pour les mesures correctives, établissant un lien entre les vulnérabilités et les autres constatations, leurs causes originelles et leur priorité en matiÚre de mesures correctives;

Table 15 in anx_VII

o)les enseignements tirĂ©s des retours d’information reçus.

Table 1 in anx_VIII

a)concernant le TIFM rĂ©alisĂ©:i)les dates de dĂ©but et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test;iii)le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM n’a pas Ă©tĂ© exĂ©cutĂ©;iv)le cas Ă©chĂ©ant, les autres entitĂ©s financiĂšres impliquĂ©es dans le TIFM;v)le cas Ă©chĂ©ant, les prestataires tiers de services TIC qui ont participĂ© au TIFM;vi)en ce qui concerne les testeurs:1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;vii)la durĂ©e, en jours calendaires, de la phase active de test de l’équipe rouge;i)les dates de dĂ©but et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test;iii)le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM n’a pas Ă©tĂ© exĂ©cutĂ©;iv)le cas Ă©chĂ©ant, les autres entitĂ©s financiĂšres impliquĂ©es dans le TIFM;v)le cas Ă©chĂ©ant, les prestataires tiers de services TIC qui ont participĂ© au TIFM;vi)en ce qui concerne les testeurs:1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;vii)la durĂ©e, en jours calendaires, de la phase active de test de l’équipe rouge;
i)les dates de début et de fin du TIFM;
ii)les fonctions critiques ou importantes incluses dans le périmÚtre du test;
iii)le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM n’a pas Ă©tĂ© exĂ©cutĂ©;
iv)le cas échéant, les autres entités financiÚres impliquées dans le TIFM;
v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;
vi)en ce qui concerne les testeurs:1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;
1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;
2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;
vii)la durĂ©e, en jours calendaires, de la phase active de test de l’équipe rouge;

Table 2 in anx_VIII

i)les dates de début et de fin du TIFM;

Table 3 in anx_VIII

ii)les fonctions critiques ou importantes incluses dans le périmÚtre du test;

Table 4 in anx_VIII

iii)le cas Ă©chĂ©ant, des informations sur les fonctions critiques ou importantes incluses dans le pĂ©rimĂštre du test pour lesquelles le TIFM n’a pas Ă©tĂ© exĂ©cutĂ©;

Table 5 in anx_VIII

iv)le cas échéant, les autres entités financiÚres impliquées dans le TIFM;

Table 6 in anx_VIII

v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;

Table 7 in anx_VIII

vi)en ce qui concerne les testeurs:1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;
1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;
2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;

Table 8 in anx_VIII

1.s’il a Ă©tĂ© fait appel Ă  des testeurs internes;

Table 9 in anx_VIII

2.si l’entitĂ© financiĂšre a eu recours Ă  l’article 5, paragraphe 3, deuxiĂšme alinĂ©a;

Table 10 in anx_VIII

vii)la durĂ©e, en jours calendaires, de la phase active de test de l’équipe rouge;

Table 11 in anx_VIII

b)lorsque plusieurs autorités TIFM ont été impliquées dans le TIFM, les autres autorités TIFM qui ont été impliquées, et en quelle qualité;

Table 12 in anx_VIII

c)la liste des documents examinĂ©s par l’autoritĂ© TIFM aux fins de l’attestation.