ANNEX VI

Info

🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R1190_EN.VI. Retour au Sommaire du niveau 1. Lien direct vers EUR-LEX.

Article V – ⬅️ | ➡️ Article VII –

Le rapport de test de l’équipe bleue contient des informations sur au moins tous les points suivants:

1.

Pour chaque étape de l’attaque décrite par les testeurs dans le rapport de test de l’équipe rouge:

a)

une liste des actions offensives détectées;

b)

les entrées de journal (log entries) correspondant à ces détections.

2.

L’évaluation des constatations et recommandations des testeurs.

3.

Les preuves de l’attaque par les testeurs recueillies par l’équipe bleue.

4.

L’analyse par l’équipe bleue des causes originelles de la réussite des attaques menées à bien par les testeurs.

5.

La liste des enseignements tirés et les possibilités d’amélioration identifiées.

6.

La liste des sujets à traiter dans le cadre de la collaboration violette.# Table 1 in anx_I

Élément d’informationInformations requises
Personne responsable du plan du projet, à savoir le chef de l’équipe chargée du contrôleNomCoordonnées
Testeurs☐internes☐externes☐les deux
internes
externes
les deux
Canaux de communication sélectionnés conformément à l’article 9, paragraphe 2, point d), et à l’article 9, paragraphe 4, point a), y compris:a)le système de cryptage à utiliser pour le courrier électroniqueb)les salles de données en ligne (data room) à utiliserc)la messagerie instantanée à utilisera)
a)le système de cryptage à utiliser pour le courrier électronique
b)les salles de données en ligne (data room) à utiliser
c)la messagerie instantanée à utiliser
Nom de code du TIFM
Le cas échéant, les fonctions critiques ou importantes que l’entité financière exerce dans d’autres États membres1.La liste des fonctions critiques ou importantes exercées dans un autre État membre2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées
1.La liste des fonctions critiques ou importantes exercées dans un autre État membre
2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées
Le cas échéant, les fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant4.Pour chaque fonction, l’identification du prestataire tiers de services TIC
3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant
4.Pour chaque fonction, l’identification du prestataire tiers de services TIC
Dates limites prévues pour l’achèvement de:
1)la phase de préparation, conformément à l’article 91)
1)la phase de préparation, conformément à l’article 9
2)la phase de test, conformément aux articles 10 et 112)
2)la phase de test, conformément aux articles 10 et 11
3)la phase de clôture, conformément à l’article 123)
3)la phase de clôture, conformément à l’article 12
4)du plan de mesures correctives, conformément à l’article 134)
4)du plan de mesures correctives, conformément à l’article 13

Table 2 in anx_I

internes

Table 3 in anx_I

externes

Table 4 in anx_I

les deux

Table 5 in anx_I

a)le système de cryptage à utiliser pour le courrier électronique

Table 6 in anx_I

b)les salles de données en ligne (data room) à utiliser

Table 7 in anx_I

c)la messagerie instantanée à utiliser

Table 8 in anx_I

1.La liste des fonctions critiques ou importantes exercées dans un autre État membre

Table 9 in anx_I

2.Pour chaque fonction critique ou importante, l’indication du ou des États membres dans lesquels elles sont exercées

Table 10 in anx_I

3.La liste des fonctions critiques ou importantes soutenues par des prestataires tiers de services TIC, le cas échéant

Table 11 in anx_I

4.Pour chaque fonction, l’identification du prestataire tiers de services TIC

Table 12 in anx_I

1)la phase de préparation, conformément à l’article 9

Table 13 in anx_I

2)la phase de test, conformément aux articles 10 et 11

Table 14 in anx_I

3)la phase de clôture, conformément à l’article 12

Table 15 in anx_I

4)du plan de mesures correctives, conformément à l’article 13

Table 1 in anx_II

a)si la fonction critique ou importante n’est pas incluse dans le périmètre du TIFM, l’explication des raisons de cette non-inclusion;

Table 2 in anx_II

b)si la fonction critique ou importante est incluse dans le périmètre du TIFM:i)l’explication des raisons de son inclusion;ii)le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;iii)pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.i)l’explication des raisons de son inclusion;ii)le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;iii)pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.
i)l’explication des raisons de son inclusion;
ii)le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;
iii)pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.
1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,
2.les pays et territoires dans lesquels le système de TIC est utilisé,
3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.

Table 3 in anx_II

i)l’explication des raisons de son inclusion;

Table 4 in anx_II

ii)le ou les systèmes de TIC identifiés qui soutiennent cette fonction critique ou importante;

Table 5 in anx_II

iii)pour chaque système de TIC identifié:1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,2.les pays et territoires dans lesquels le système de TIC est utilisé,3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.
1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,
2.les pays et territoires dans lesquels le système de TIC est utilisé,
3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.

Table 6 in anx_II

1.s’il est externalisé et, dans l’affirmative, le nom du prestataire tiers de services TIC,

Table 7 in anx_II

2.les pays et territoires dans lesquels le système de TIC est utilisé,

Table 8 in anx_II

3.une description de haut niveau du ou des drapeaux préliminaires, indiquant quel aspect de sécurité touchant à la confidentialité, à l’intégrité, à l’authenticité ou à la disponibilité est couvert par chaque drapeau.

Table 1 in anx_III

1.Le périmètre global de la recherche en matière de renseignement, dont au moins les éléments suivants:a)les fonctions critiques ou importantes entrant dans le périmètre;b)leur localisation géographique;c)la langue officielle de l’UE utilisée;d)les prestataires tiers de services TIC concernés;e)la période au cours de laquelle les renseignements sont recueillis.a)les fonctions critiques ou importantes entrant dans le périmètre;b)leur localisation géographique;c)la langue officielle de l’UE utilisée;d)les prestataires tiers de services TIC concernés;e)la période au cours de laquelle les renseignements sont recueillis.
a)les fonctions critiques ou importantes entrant dans le périmètre;
b)leur localisation géographique;
c)la langue officielle de l’UE utilisée;
d)les prestataires tiers de services TIC concernés;
e)la période au cours de laquelle les renseignements sont recueillis.

Table 2 in anx_III

a)les fonctions critiques ou importantes entrant dans le périmètre;

Table 3 in anx_III

b)leur localisation géographique;

Table 4 in anx_III

c)la langue officielle de l’UE utilisée;

Table 5 in anx_III

d)les prestataires tiers de services TIC concernés;

Table 6 in anx_III

e)la période au cours de laquelle les renseignements sont recueillis.

Table 7 in anx_III

2.Une évaluation globale indiquant quels renseignements concrets exploitables peuvent être trouvés au sujet de l’entité financière, notamment:a)les noms d’utilisateur et les mots de passe des salariés;b)les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;c)la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;d)les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;g)le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.a)les noms d’utilisateur et les mots de passe des salariés;b)les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;c)la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;d)les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;e)les informations en vente sur le dark web;f)toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;g)le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.
a)les noms d’utilisateur et les mots de passe des salariés;
b)les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;
c)la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;
d)les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;
e)les informations en vente sur le dark web;
f)toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;
g)le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.

Table 8 in anx_III

a)les noms d’utilisateur et les mots de passe des salariés;

Table 9 in anx_III

b)les domaines ressemblants susceptibles d’être confondus avec les domaines officiels de l’entité financière;

Table 10 in anx_III

c)la reconnaissance technique: logiciels, systèmes et technologies vulnérables ou exploitables;

Table 11 in anx_III

d)les informations publiées par les salariés sur l’internet concernant l’entité financière, qui pourraient être utilisées aux fins d’une attaque;

Table 12 in anx_III

e)les informations en vente sur le dark web;

Table 13 in anx_III

f)toute autre information pertinente disponible sur l’internet ou sur les réseaux publics;

Table 14 in anx_III

g)le cas échéant, des informations de ciblage physique, y compris les modalités d’accès aux locaux de l’entité financière.

Table 15 in anx_III

3.L’analyse des renseignements sur les menaces à la lumière du panorama général de la menace et de la situation particulière de l’entité financière, y compris, au moins:a)l’environnement géopolitique;b)l’environnement économique;c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.a)l’environnement géopolitique;b)l’environnement économique;c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.
a)l’environnement géopolitique;
b)l’environnement économique;
c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.

Table 16 in anx_III

a)l’environnement géopolitique;

Table 17 in anx_III

b)l’environnement économique;

Table 18 in anx_III

c)les évolutions technologiques et toute autre évolution concernant les activités dans le secteur des services financiers.

Table 19 in anx_III

4.Les profils de menace des acteurs malveillants (personne/groupe spécifique ou catégorie générique) susceptibles de cibler l’entité financière, y compris les systèmes de l’entité financière que les acteurs malveillants sont les plus susceptibles de compromettre ou de cibler, la motivation, l’intention et la logique possibles du ciblage potentiel et le mode opératoire possible des auteurs des attaques.

Table 20 in anx_III

5.Les scénarios de menace: au moins trois scénarios de menace de bout en bout pour les profils de menace identifiés conformément au point 4 qui présentent les scores de gravité de la menace les plus élevés. Les scénarios de menace décrivent le chemin d’attaque de bout en bout et comprennent au moins:a)un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;b)un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;c)un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.a)un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;b)un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;c)un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.
a)un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;
b)un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;
c)un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.

Table 21 in anx_III

a)un scénario qui inclut, sans s’y limiter, la compromission de la disponibilité du service;

Table 22 in anx_III

b)un scénario qui inclut, sans s’y limiter, la compromission de l’intégrité des données;

Table 23 in anx_III

c)un scénario qui inclut, sans s’y limiter, la compromission de la confidentialité des informations.

Table 24 in anx_III

6.Le cas échéant, une description du scénario non fondé sur la menace visé à l’article 10, paragraphe 4.

Table 1 in anx_IV

a)les canaux et procédures de communication;

Table 2 in anx_IV

b)les tactiques, techniques et procédures autorisées ou non autorisées lors de l’attaque, y compris les limites éthiques de l’ingénierie sociale;

Table 3 in anx_IV

c)les mesures de gestion des risques à suivre par les testeurs;

Table 4 in anx_IV

d)une description de chaque scénario, comprenant:i)l’acteur de la menace simulée;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;iv)les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;v)les drapeaux.i)l’acteur de la menace simulée;ii)son intention, sa motivation et ses objectifs;iii)la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;iv)les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;v)les drapeaux.
i)l’acteur de la menace simulée;
ii)son intention, sa motivation et ses objectifs;
iii)la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;
iv)les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;
v)les drapeaux.

Table 5 in anx_IV

i)l’acteur de la menace simulée;

Table 6 in anx_IV

ii)son intention, sa motivation et ses objectifs;

Table 7 in anx_IV

iii)la (les) fonction(s) cible(s) et le(s) système(s) de TIC qui la (les) soutiennent;

Table 8 in anx_IV

iv)les aspects ciblés de confidentialité, d’intégrité, de disponibilité et d’authenticité;

Table 9 in anx_IV

v)les drapeaux.

Table 10 in anx_IV

e)une description détaillée de chaque chemin d’attaque prévu, en ce compris les prérequis et les éventuels coups de pouce à fournir par l’équipe chargée du contrôle, ainsi que les délais pour leur fourniture et leur utilisation potentielle;

Table 11 in anx_IV

f)la programmation des activités de l’équipe rouge, y compris la planification chronologique de l’exécution de chaque scénario, décomposée au moins selon les trois phases qu’un testeur suit au cours de la phase de test, à savoir s’introduire dans les systèmes de TIC des entités financières, se déplacer dans les systèmes de TIC pour, au final exécuter des actions sur les objectifs puis, en bout de course, s’extraire des systèmes de TIC (phases d’entrée, de circulation et de sortie);

Table 12 in anx_IV

g)les particularités de l’infrastructure des entités financières à prendre en considération lors des tests;

Table 13 in anx_IV

h)le cas échéant, des informations complémentaires ou d’autres ressources nécessaires aux testeurs pour exécuter les scénarios.

Table 1 in anx_V

a)des informations sur l’attaque menée, y compris:i)les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;ii)le résumé de chaque scénario;iii)les drapeaux atteints et non atteints;iv)les chemins d’attaque suivis avec succès et sans succès;v)les tactiques, techniques et procédures utilisées avec succès et sans succès;vi)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;vii)les coups de pouce fournis, le cas échéant;i)les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;ii)le résumé de chaque scénario;iii)les drapeaux atteints et non atteints;iv)les chemins d’attaque suivis avec succès et sans succès;v)les tactiques, techniques et procédures utilisées avec succès et sans succès;vi)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;vii)les coups de pouce fournis, le cas échéant;
i)les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;
ii)le résumé de chaque scénario;
iii)les drapeaux atteints et non atteints;
iv)les chemins d’attaque suivis avec succès et sans succès;
v)les tactiques, techniques et procédures utilisées avec succès et sans succès;
vi)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;
vii)les coups de pouce fournis, le cas échéant;

Table 2 in anx_V

i)les fonctions critiques ou importantes ciblées et les systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes en question, tels qu’identifiés dans le plan de test de l’équipe rouge;

Table 3 in anx_V

ii)le résumé de chaque scénario;

Table 4 in anx_V

iii)les drapeaux atteints et non atteints;

Table 5 in anx_V

iv)les chemins d’attaque suivis avec succès et sans succès;

Table 6 in anx_V

v)les tactiques, techniques et procédures utilisées avec succès et sans succès;

Table 7 in anx_V

vi)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;

Table 8 in anx_V

vii)les coups de pouce fournis, le cas échéant;

Table 9 in anx_V

b)toutes les actions dont les testeurs ont connaissance et qui ont été réalisées par l’équipe bleue pour reconstruire l’attaque et en atténuer les effets;

Table 10 in anx_V

c)les vulnérabilités découvertes et autres constatations, y compris:i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.i)une description de la vulnérabilité et des autres constatations, dont leur criticité;ii)une analyse des causes originelles de la réussite des attaques menées à bien;iii)des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.
i)une description de la vulnérabilité et des autres constatations, dont leur criticité;
ii)une analyse des causes originelles de la réussite des attaques menées à bien;
iii)des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.

Table 11 in anx_V

i)une description de la vulnérabilité et des autres constatations, dont leur criticité;

Table 12 in anx_V

ii)une analyse des causes originelles de la réussite des attaques menées à bien;

Table 13 in anx_V

iii)des recommandations en matière de mesures correctives, avec indication de leur degré de priorité.

Table 1 in anx_VI

1.Pour chaque étape de l’attaque décrite par les testeurs dans le rapport de test de l’équipe rouge:a)une liste des actions offensives détectées;b)les entrées de journal (log entries) correspondant à ces détections.a)une liste des actions offensives détectées;b)les entrées de journal (log entries) correspondant à ces détections.
a)une liste des actions offensives détectées;
b)les entrées de journal (log entries) correspondant à ces détections.

Table 2 in anx_VI

a)une liste des actions offensives détectées;

Table 3 in anx_VI

b)les entrées de journal (log entries) correspondant à ces détections.

Table 4 in anx_VI

2.L’évaluation des constatations et recommandations des testeurs.

Table 5 in anx_VI

3.Les preuves de l’attaque par les testeurs recueillies par l’équipe bleue.

Table 6 in anx_VI

4.L’analyse par l’équipe bleue des causes originelles de la réussite des attaques menées à bien par les testeurs.

Table 7 in anx_VI

5.La liste des enseignements tirés et les possibilités d’amélioration identifiées.

Table 8 in anx_VI

6.La liste des sujets à traiter dans le cadre de la collaboration violette.

Table 1 in anx_VII

a)les parties concernées;

Table 2 in anx_VII

b)le plan du projet;

Table 3 in anx_VII

c)le périmètre validé, y compris la justification de l’inclusion ou de l’exclusion de fonctions critiques ou importantes et de systèmes, processus et technologies de TIC identifiés qui soutiennent les fonctions critiques ou importantes couvertes par le TIFM;

Table 4 in anx_VII

d)les scénarios sélectionnés et tout écart important par rapport au rapport de renseignement sur les menaces ciblées;

Table 5 in anx_VII

e)les chemins d’attaque exécutés et les tactiques, techniques et procédures utilisées;

Table 6 in anx_VII

f)les drapeaux atteints et non atteints;

Table 7 in anx_VII

g)les écarts par rapport au plan de test de l’équipe rouge, le cas échéant;

Table 8 in anx_VII

h)les détections de l’équipe bleue, le cas échéant;

Table 9 in anx_VII

i)la collaboration violette pendant la phase de test, le cas échéant, et les conditions associées;

Table 10 in anx_VII

j)les coups de pouce utilisés, le cas échéant;

Table 11 in anx_VII

k)les mesures de gestion des risques adoptées;

Table 12 in anx_VII

l)les vulnérabilités identifiées et autres constatations, avec mention de leur criticité;

Table 13 in anx_VII

m)une analyse des causes originelles de la réussite des attaques menées à bien;

Table 14 in anx_VII

n)un plan de haut niveau pour les mesures correctives, établissant un lien entre les vulnérabilités et les autres constatations, leurs causes originelles et leur priorité en matière de mesures correctives;

Table 15 in anx_VII

o)les enseignements tirés des retours d’information reçus.

Table 1 in anx_VIII

a)concernant le TIFM réalisé:i)les dates de début et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le périmètre du test;iii)le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté;iv)le cas échéant, les autres entités financières impliquées dans le TIFM;v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;vi)en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;vii)la durée, en jours calendaires, de la phase active de test de l’équipe rouge;i)les dates de début et de fin du TIFM;ii)les fonctions critiques ou importantes incluses dans le périmètre du test;iii)le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté;iv)le cas échéant, les autres entités financières impliquées dans le TIFM;v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;vi)en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;vii)la durée, en jours calendaires, de la phase active de test de l’équipe rouge;
i)les dates de début et de fin du TIFM;
ii)les fonctions critiques ou importantes incluses dans le périmètre du test;
iii)le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté;
iv)le cas échéant, les autres entités financières impliquées dans le TIFM;
v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;
vi)en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;
1.s’il a été fait appel à des testeurs internes;
2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;
vii)la durée, en jours calendaires, de la phase active de test de l’équipe rouge;

Table 2 in anx_VIII

i)les dates de début et de fin du TIFM;

Table 3 in anx_VIII

ii)les fonctions critiques ou importantes incluses dans le périmètre du test;

Table 4 in anx_VIII

iii)le cas échéant, des informations sur les fonctions critiques ou importantes incluses dans le périmètre du test pour lesquelles le TIFM n’a pas été exécuté;

Table 5 in anx_VIII

iv)le cas échéant, les autres entités financières impliquées dans le TIFM;

Table 6 in anx_VIII

v)le cas échéant, les prestataires tiers de services TIC qui ont participé au TIFM;

Table 7 in anx_VIII

vi)en ce qui concerne les testeurs:1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;1.s’il a été fait appel à des testeurs internes;2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;
1.s’il a été fait appel à des testeurs internes;
2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;

Table 8 in anx_VIII

1.s’il a été fait appel à des testeurs internes;

Table 9 in anx_VIII

2.si l’entité financière a eu recours à l’article 5, paragraphe 3, deuxième alinéa;

Table 10 in anx_VIII

vii)la durée, en jours calendaires, de la phase active de test de l’équipe rouge;

Table 11 in anx_VIII

b)lorsque plusieurs autorités TIFM ont été impliquées dans le TIFM, les autres autorités TIFM qui ont été impliquées, et en quelle qualité;

Table 12 in anx_VIII

c)la liste des documents examinés par l’autorité TIFM aux fins de l’attestation.