Politique de partage et d’utilisation des informations à caractère opérationnel


English version
Version 1 (16/11/2022)

L’ANSSI est amenée à partager des informations à caractère opérationnel de natures diverses (ex. : indicateurs de compromission, rapports d’analyse), avec différents types de communautés et d’entités. Ces informations doivent, dans certains cas, être utilisées avec précaution.

Dans ce contexte, formaliser les règles et les usages en matière de diffusion et d’utilisation des informations partagées participe à consolider les liens de confiance propices aux échanges, qu’il s’agisse d’éléments techniques ou non.

Au-delà de la problématique de diffusion, il ne faut pas oublier que l’utilisation des informations partagées, par exemple d’indicateurs de compromission, est susceptible de renseigner un observateur extérieur sur l’état des connaissances acquises ou encore sur des capacités de détection.

Convenir d’un marquage lisible et compréhensible permet de normaliser les échanges, sans nuire à l’efficacité opérationnelle, et favorise la convergence des pratiques en contribuant à homogénéiser le traitement de l’information.

Afin de répondre à ces besoins, l’ANSSI applique un double marquage sur les informations à caractère opérationnel qu’elle communique :

  • marquage TLP (Traffic Light Protocol), pour la diffusion des informations ;
  • marquage PAP (Permissible Actions Protocol), pour l’utilisation des informations.

En associant ces deux conventions de marquage internationalement connues, l’objectif est d’offrir une granularité assez fine tant en matière de partage que d’utilisation des informations.

NB : ce marquage opérationnel ne se substitue pas aux marquages de protection (ex. : Diffusion restreinte) ou de classification (ex. : Secret, Très Secret) et aux règles associées prévues par la réglementation (l’IGI 1300 en France).

 

Le marquage TLP/PAP utilisé par l’ANSSI, les différentes politiques de partage qu’elle applique et les précautions de sécurité associées sont décrits plus en détail dans les sections ci-dessous. Afin de faciliter la prise en main de ce double marquage, une foire aux questions (FAQ) ainsi que quelques exemples de cas d’usage sont également disponibles.

1. Marquage TLP pour la diffusion

Initié par le FIRST (Forum of Incident Response and Security Teams) qui en partage une définition faisant référence, le Traffic Light Protocol (TLP) est une convention largement utilisée par les acteurs de la réponse à incidents.

Avec une échelle de quatre niveaux associés à une couleur, le TLP permet de préciser comment une information donnée peut être partagée.

En cohérence avec ses besoins opérationnels et les usages constatés, et pour chacun des niveaux de TLP, l’ANSSI précise dans le tableau ci-dessous l’interprétation opérationnelle applicable pour les informations qu’elle produit et qu’elle partage.

Interprétation opérationnelle des différents niveaux de TLP
applicables aux informations partagées par l’ANSSI
TLP:RED
Diffusion limitée au seul périmètre interne d’une entité juridique, sur la base du besoin d’en connaître.

Par exemple :
  • un bénéficiaire peut partager à tout ou partie d’une équipe interne bien identifiée et sur la base du besoin d’en connaître mais le repartage au-delà de l’entité juridique est interdit ;
  • un bénéficiaire peut partager avec ses prestataires en régie qui ont le besoin d’en connaître.
TLP:AMBER
Diffusion limitée à quelques entités identifiées, liées par un engagement (ex: une communauté fermée).

Par exemple :
  • un bénéficiaire peut partager avec ses prestataires en régie et externes, ses filiales et son groupe ;
  • un prestataire peut partager avec, ou utiliser au profit de tous ses clients.
TLP:GREEN
Diffusion libre au sein d’une communauté (ouverte ou fermée) bien identifiée, repartage libre au sein de ces communautés (prestataires inclus).

Par exemple :
  • un bénéficiaire peut partager avec ses prestataires, son groupe, ses filiales, ses partenaires et les pairs de sa communauté sans pour autant diffuser l’information publiquement ;
  • un prestataire peut partager avec ses clients, son groupe, ses filiales, et les pairs de son secteur sans pour autant diffuser l’information publiquement.
TLP:CLEAR
Diffusion publique, sans restriction, partage libre entre les différentes communautés, y compris sur Internet.

Une communauté est un ensemble d’acteurs qui partagent des intérêts, des contraintes voire des règles communes pour résoudre une problématique ou rendre un service. Elle est dite ouverte si les acteurs sont liés de manière informelle: l’appartenance y est généralement implicite ; elle est dite fermée si les acteurs sont liés de manière formelle, par exemple à travers une charte, un contrat ou une réglementation: l’appartenance y est nécessairement explicite.

NB : dans la version TLP 1.0, le marquage TLP:CLEAR était dénommé TLP:WHITE ; d’anciennes publications peuvent donc contenir ce marquage avec une définition équivalente.
 

2. Marquage PAP pour l’utilisation

Le Permissible Action Protocol (PAP) a été introduit en 2016 dans les taxonomies de la plateforme MISP (Malware Information Sharing Platform), maintenue et développée par le CIRCL.

Le PAP précise jusqu’à quel point une information donnée peut être exposée. L’approche consiste à définir des catégories d’actions possibles en fonction des informations qu’elles sont susceptibles de révéler à un acteur malveillant donné. Comme le TLP, le PAP comporte quatre niveaux qui respectent un code couleur identique.

L’ANSSI précise ci-dessous son interprétation pour chacun des niveaux de PAP.

Interprétation opérationnelle des différents niveaux de PAP applicables aux informations partagées par l’ANSSI
PAP:RED
Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
  • seules les personnes ayant le besoin d’en connaître ont accès à ces infrastructures ;
  • ces infrastructures sont protégées des réseaux publics (ex.: Internet) et des infrastructures communes du système d’information (ci-après « SI ») de l’entité ;
  • afin de ne rien révéler des capacités de détection, seules des actions non visibles par un potentiel attaquant sont autorisées, telles que par exemple des recherches hors production sur des éléments collectés préalablement ;
  • les interactions directes ou indirectes, ainsi que les requêtes sur des services tiers, ne sont pas autorisées.

Par exemple :

  • après collecte d’éléments réseaux/systèmes/évenementiels, remontés sur un réseau maîtrisé et isolé depuis lequel un bénéficiaire peut surveiller ses infrastructures pour confirmer l’absence d’une menace spécifique ou détecter son apparition ;
  • un prestataire peut exploiter l’information sur un SI d’investigation / de détection pour le compte de ses clients (nécessite l’export d’information du SI client vers son SI dédié).

L’usage de services IaaS/SaaS spécialisés en la matière est autorisé si le contrat permet de garantir la confidentialité des données manipulées.

PAP:AMBER
Utilisation limitée à une exploitation passive de la donnée, c’est-à-dire aux seules actions non directement visibles des sources malveillantes.

Par exemple:
  • un bénéficiaire peut faire de la recherche en source ouverte ou consulter une base de connaissance en ligne, pour mieux qualifier l’information ;
  • un bénéficiaire peut utiliser l’information au sein d’une infrastructure compromise pour identifier un élément malveillant (ex. : détecter la présence d’un code malveillant lors d’une chasse sur parc)

Les interactions, même indirectes, avec le système ou l’infrastructure de l’attaquant sont interdites.

PAP:GREEN
Utilisation encadrée autorisant les interactions non intrusives avec des sources malveillantes.

Par exemple :
  • un bénéficiaire peut bloquer, au niveau d’un pare-feu, du trafic malveillant entrant en provenance d’une adresse IP ;
  • un bénéficiaire peut bloquer, au niveau d’un serveur mandataire, du trafic malveillant sortant à destination d’une adresse Web.
PAP:CLEAR
Utilisation libre dans le respect des licences et de la loi, pas de contrainte relative à l’exploitation ou à la manipulation de l’information.

NB : par cohérence avec le renommage de TLP:WHITE en TLP:CLEAR, l’ANSSI a choisi de privilégier désormais l’appellation PAP:CLEAR.
 

3. Politiques de partage appliquées par l’ANSSI

En combinant les marquages de diffusion (TLP) et d’utilisation (PAP) décrits précédemment, il devient possible de définir plusieurs politiques de marquage avec suffisamment de granularité pour couvrir les situations opérationnelles les plus courantes. Néanmoins, certaines associations TLP/PAP sont volontairement non applicables (N/A) :

 
PAP:RED
PAP:AMBER
PAP:GREEN
PAP:CLEAR
TLP:RED
P1 P2 N/A N/A
TLP:AMBER
P3 P4 P5 N/A
TLP:GREEN
N/A P6 P7 NA
TLP:CLEAR
N/A N/A N/A P8

 

Seules huit associations de marquage TLP/PAP cohérentes ont donc été retenues par l’ANSSI, elles sont décrites plus en détails ci-dessous. Pour chacune d’entre elles, des exemples de contexte dans lesquels elles ont vocation à s’appliquer sont donnés.

P1 : TLP:RED/PAP:RED (cliquer pour une description détaillée)

P1
TLP:RED
PAP:RED
Cette politique est, par exemple, appropriée quand la source malveillante ne doit pas suspecter qu’elle a été identifiée, afin de permettre de se protéger efficacement d’elle à l’avenir.
Diffusion Diffusion limitée au seul périmètre interne d’une entité, sur la base du besoin d’en connaître ; cela peut concerner une ou plusieurs personnes bien identifiées, ou bien une ou plusieurs personnes au sein d’une unité organisationnelle ou d’une équipe projet, en incluant les prestataires en régie qui interviennent sur le périmètre des infrastructures visées, sans autre forme de rediffusion possible de leur part.
Utilisation Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
  • seules les personnes ayant le besoin d’en connaître ont accès à ces infrastructures ;
  • ces infrastructures sont protégées des réseaux publics (ex.: Internet) et des infrastructures communes du système d’information (ci-après « SI ») de l’entité ;
  • afin de ne rien révéler des capacités de détection, seules des actions non visibles par un potentiel attaquant sont autorisées, telles que par exemple des recherches hors production sur des éléments collectés préalablement ;
  • les interactions directes ou indirectes, ainsi que les requêtes sur des services tiers, ne sont pas autorisées.

 

P2 : TLP:RED/PAP:AMBER (cliquer pour une description détaillée)

P2
TLP:RED
PAP:AMBER
Cette politique est, par exemple, appropriée dans le cas d’une intervention sur un parc suspecté compromis.
Diffusion Diffusion limitée au seul périmètre interne d’une entité, sur la base du besoin d’en connaître ; cela peut concerner une ou plusieurs personnes bien identifiées, ou bien une ou plusieurs personnes au sein d’une unité organisationnelle ou d’une équipe projet, en incluant les prestataires en régie qui interviennent sur le périmètre des infrastructures visées, sans autre forme de rediffusion possible de leur part.
Utilisation Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner).
Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis.
Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches.

 

P3 : TLP:AMBER/PAP:RED (cliquer pour une description détaillée)

P3
TLP:AMBER
PAP:RED
Cette politique est appropriée pour des besoins similaires à ceux de la politique P1 (la source malveillante ne doit pas suspecter qu’elle a été identifiée), mais pour un périmètre de diffusion plus large, ce qui signifie qu’elle est pertinente dans des cas où un besoin de protection concerne plusieurs entités, ou un sous-ensemble d’une communauté.
Diffusion Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part.
Utilisation Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
  • seules les personnes ayant le besoin d’en connaître ont accès à ces infrastructures ;
  • ces infrastructures sont protégées des réseaux publics (ex.: Internet) et des infrastructures communes du système d’information (ci-après « SI ») de l’entité ;
  • afin de ne rien révéler des capacités de détection, seules des actions non visibles par un potentiel attaquant sont autorisées, telles que par exemple des recherches hors production sur des éléments collectés préalablement ;
  • les interactions directes ou indirectes, ainsi que les requêtes sur des services tiers, ne sont pas autorisées.

 

P4 : TLP:AMBER/PAP:AMBER (cliquer pour une description détaillée)

P4
TLP:AMBER
PAP:AMBER
Cette politique est, par exemple, appropriée dans les cas où l’on souhaite toucher des entités qui subissent une menace en particulier ou sont sujettes à une même campagne malveillante. Selon les cas, les entités recevant l’information pourront être directement concernées ou bien être des prestataires agissant au bénéfice de leurs clients :

– dans le premier cas, le ciblage est limitatif, le périmètre des récipiendaires est connu ;

– dans le second cas, les prestataires sont autonomes pour identifier les organisations susceptibles d’être concernées.
Diffusion Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part.
Utilisation Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner).
Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis.
Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches (ex. : service d’analyse et de partage de résultats en ligne).

 

P5 : TLP:AMBER/PAP:GREEN (cliquer pour une description détaillée)

P5
TLP:AMBER
PAP:GREEN
Cette politique est, par exemple, appropriée dans les cas où l’on souhaite permettre à des entités identifiées d’adopter une attitude proactive contre la menace, comme bloquer le trafic en provenance d’une source malveillante.
Diffusion Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part.
Utilisation Potentiellement active et visible des sources malveillantes tant qu’elle n’est pas intrusive, ce qui peut inclure le blocage de la source du trafic malveillant.

 

P6 : TLP:GREEN/PAP:AMBER (cliquer pour une description détaillée)

P6
TLP:GREEN
PAP:AMBER
Cette politique est appropriée pour des besoins similaires à ceux de la politique P4 mais pour un périmètre de diffusion plus large, permettant ainsi de toucher une communauté entière. Il s’agira plus probablement d’un secteur et cela pourra mener à un partage très large, sans pour autant qu’il soit public. À la différence de la politique P4, la communauté sera plus à même d’échanger entre ses membres, typiquement au moyen d’un club utilisateur, le niveau TLP:GREEN favorisant les échanges intra-communautés. Il s’agira davantage d’une communauté de bénéficiaires qui utilisera l’information pour protéger ses infrastructures (en faisant appel au besoin à leurs prestataires).
Diffusion Une ou plusieurs communautés ouvertes bien identifiées
Utilisation Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner).
Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis.
Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches.

 

P7 : TLP:GREEN/PAP:GREEN (cliquer pour une description détaillée)

P7
TLP:GREEN
PAP:GREEN
Cette politique est appropriée pour diffuser largement une information qui pourra être utilisée directement.
Diffusion Une ou plusieurs communautés ouvertes bien identifiées.
Utilisation Potentiellement active et visible de la source malveillante tant qu’elle n’est pas intrusive, ce qui peut inclure le blocage de la source du trafic malveillant.

 

P8 : TLP:CLEAR/PAP:CLEAR (cliquer pour une description détaillée)

P8
TLP:CLEAR
PAP:CLEAR
Cette politique est appropriée pour la diffusion publique d’une information à caractère opérationnel.
Diffusion Diffusion publique.
Utilisation Utilisation libre dans le respect des licences et de la loi.

 

 

En dehors du TLP:GREEN et du TLP:CLEAR, il n’est pas possible, pour un tiers ayant reçu une information indirectement de l’ANSSI, de repartager cette information à son tour.

En cas de besoin, il devra contacter l’ANSSI, de concert avec le récipiendaire initial, qui formalisera son accord ou se chargera de partager l’information avec ce nouvel interlocuteur.

 

4. Précautions de sécurité

La politique de marquage de l’ANSSI n’a pas vocation à imposer des contraintes de protection de l’information.

Néanmoins, et compte tenu des marquages TLP et PAP, les parties sont vivement incitées à appliquer les mesures décrites dans le tableau ci-après. Le cas échéant, ces mesures peuvent être décrites plus précisément dans un cadre contractuel.

  TLP:RED PAP:RED TLP:RED PAP:AMBER TLP:AMBER PAP:RED TLP:AMBER PAP:AMBER TLP:AMBER PAP:GREEN TLP:GREEN PAP:AMBER TLP:GREEN PAP:GREEN TLP:CLEAR PAP:CLEAR
Formaliser un cadre d’échange

Ces associations ne requièrent pas de mesures spécifiques.

Il convient cependant de rester attentif aux modalités d’usage et de diffusion de l’information partagée.

Chiffrer les données en transit
Assurer la traçabilité du transfert
Contrôler l’accès aux données stockées
Assurer la traçabilité des accès      

 

Le tableau ci-dessous précise les mesures de sécurité listées ci-dessus ; elles sont volontairement génériques et doivent être adaptées ou complétées en fonction des situations considérées.

  Mesures de sécurité associées
Formaliser un cadre d’échange

Le transfert de données doit être formellement encadré au préalable.

Ex. : conditions générales d’utilisation, Open Licence, contrat existant
auquel viennent se greffer quelques clauses supplémentaires si nécessaire.

Chiffrer les données en transit

La confidentialité des données en transit sur une infrastructure non maîtrisée doit être assurée.

Ex. : chiffrement des liens (ex. : TLS, SSH, SFTP, IPSec)
ou chiffrement de la donnée (ex. : Zed!, S/MIME, PGP, archive Zip chiffrée,
utilisation d’une bibliothèque cryptographique).

Assurer la traçabilité du transfert

Le transfert de la donnée doit être tracé : il doit être possible de déterminer
l’organisation source, l’organisation destinataire, et quand il a été effectué.

Ex. : conservation d’un courriel, journaux techniques ou fonctionnels,
utilisation de GPG ou de certificats X.509 (authentification mutuelle),
PV ou compte-rendu de réunion.

Contrôler l’accès aux données stockées

Les données et leurs sauvegardes doivent être stockées de sorte à en préserver
la confidentialité (vis-à-vis d’autres équipes internes ou de tiers).

Ex. : chiffrement des espaces de stockage, contrôle d’accès nominatif,
utilisation d’une infrastructure dédiée.

Assurer la traçabilité des accès

L’accès aux données doit être tracé (qui, quand, pourquoi) et un historique doit
être maintenu dans le temps, conformément aux exigences réglementaires applicables.

Ex. : journaux fonctionnels et techniques du contrôle d’accès (niveau donné, applicatif ou système),
PV ou compte-rendu de réunion.

 

Il est de la responsabilité des parties prenantes de mettre en œuvre les mesures de sécurité appropriées au regard des attentes exprimées par les politiques définies précédemment. Elles doivent être mises en œuvre de manière homogène sur l’ensemble du cycle de vie de l’information.

Les informations qui ne sont plus utilisées doivent être détruites si l’Agence en fait la demande expresse. Sinon elles ont vocation à être archivées, dans le respect des contraintes associées à leur niveau de marquage.

Le destinataire de l’information peut toujours contacter l’Agence pour confirmer le niveau de marquage ou pour faire évoluer les mesures relatives à l’archivage. Il est aussi libre de supprimer l’information quand il juge qu’elle n’est plus pertinente, par exemple à la fin de la période d’intérêt.

 

 
FAQ ET CAS D’USAGE