– Les établissements assujettis procèdent au moins une fois par an à des tests de vulnérabilité et à des tests d’intrusion sur tout ou partie de leur système d’information, en veillant à ce que ces tests portent sur les activités essentielles ou sur les éléments pertinents et sensibles.
Ils peuvent y procéder par des équipes spécialisées internes ou par des sociétés spécialisées disposant d’une expertise reconnue.
Ils font une synthèse circonstanciée de ces tests (décrivant les références de l’entreprise ayant procédé aux tests, la nature de ceux-ci, les éléments ciblés, le mode opératoire, les principales constatations, les mesures à mettre en œuvre) à l’organe délibérant et lui rendent compte de la correction rapide des déficiences identifiées.
Ils transmettent les principaux résultats des tests, comprenant les mesures identifiées ou prises pour la correction rapide des déficiences, dans le cadre du rapport sur le contrôle interne communiqué au Secrétariat Général de la COBAC. a
