L’ANSSI est amenée à partager des informations à caractère opérationnel de natures diverses (ex. : indicateurs de compromission, rapports d’analyse), avec différents types de communautés et d’entités. Ces informations doivent, dans certains cas, être utilisées avec précaution.
Dans ce contexte, formaliser les règles et les usages en matière de diffusion et d’utilisation des informations partagées participe à consolider les liens de confiance propices aux échanges, qu’il s’agisse d’éléments techniques ou non.
Au-delà de la problématique de diffusion, il ne faut pas oublier que l’utilisation des informations partagées, par exemple d’indicateurs de compromission, est susceptible de renseigner un observateur extérieur sur l’état des connaissances acquises ou encore sur des capacités de détection.
Convenir d’un marquage lisible et compréhensible permet de normaliser les échanges, sans nuire à l’efficacité opérationnelle, et favorise la convergence des pratiques en contribuant à homogénéiser le traitement de l’information.
Afin de répondre à ces besoins, l’ANSSI applique un double marquage sur les informations à caractère opérationnel qu’elle communique :
- marquage TLP (Traffic Light Protocol), pour la diffusion des informations ;
- marquage PAP (Permissible Actions Protocol), pour l’utilisation des informations.
En associant ces deux conventions de marquage internationalement connues, l’objectif est d’offrir une granularité assez fine tant en matière de partage que d’utilisation des informations.
Le marquage TLP/PAP utilisé par l’ANSSI, les différentes politiques de partage qu’elle applique et les précautions de sécurité associées sont décrits plus en détail dans les sections ci-dessous. Afin de faciliter la prise en main de ce double marquage, une foire aux questions (FAQ) ainsi que quelques exemples de cas d’usage sont également disponibles.
1. Marquage TLP pour la diffusion
Initié par le FIRST (Forum of Incident Response and Security Teams) qui en partage une définition faisant référence, le Traffic Light Protocol (TLP) est une convention largement utilisée par les acteurs de la réponse à incidents.
Avec une échelle de quatre niveaux associés à une couleur, le TLP permet de préciser comment une information donnée peut être partagée.
En cohérence avec ses besoins opérationnels et les usages constatés, et pour chacun des niveaux de TLP, l’ANSSI précise dans le tableau ci-dessous l’interprétation opérationnelle applicable pour les informations qu’elle produit et qu’elle partage.
| Interprétation opérationnelle des différents niveaux de TLP applicables aux informations partagées par l’ANSSI |
|
|---|---|
|
TLP:RED
|
Diffusion limitée au seul périmètre interne d’une entité juridique, sur la base du besoin d’en connaître. Par exemple :
|
|
TLP:AMBER
|
Diffusion limitée à quelques entités identifiées, liées par un engagement (ex: une communauté fermée). Par exemple :
|
|
TLP:GREEN
|
Diffusion libre au sein d’une communauté (ouverte ou fermée) bien identifiée, repartage libre au sein de ces communautés (prestataires inclus). Par exemple :
|
|
TLP:CLEAR
|
Diffusion publique, sans restriction, partage libre entre les différentes communautés, y compris sur Internet. |
Une communauté est un ensemble d’acteurs qui partagent des intérêts, des contraintes voire des règles communes pour résoudre une problématique ou rendre un service. Elle est dite ouverte si les acteurs sont liés de manière informelle: l’appartenance y est généralement implicite ; elle est dite fermée si les acteurs sont liés de manière formelle, par exemple à travers une charte, un contrat ou une réglementation: l’appartenance y est nécessairement explicite.
NB : dans la version TLP 1.0, le marquage TLP:CLEAR était dénommé TLP:WHITE ; d’anciennes publications peuvent donc contenir ce marquage avec une définition équivalente.
2. Marquage PAP pour l’utilisation
Le Permissible Action Protocol (PAP) a été introduit en 2016 dans les taxonomies de la plateforme MISP (Malware Information Sharing Platform), maintenue et développée par le CIRCL.
Le PAP précise jusqu’à quel point une information donnée peut être exposée. L’approche consiste à définir des catégories d’actions possibles en fonction des informations qu’elles sont susceptibles de révéler à un acteur malveillant donné. Comme le TLP, le PAP comporte quatre niveaux qui respectent un code couleur identique.
L’ANSSI précise ci-dessous son interprétation pour chacun des niveaux de PAP.
| Interprétation opérationnelle des différents niveaux de PAP applicables aux informations partagées par l’ANSSI | |
|---|---|
|
PAP:RED
|
Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
Par exemple :
L’usage de services IaaS/SaaS spécialisés en la matière est autorisé si le contrat permet de garantir la confidentialité des données manipulées. |
|
PAP:AMBER
|
Utilisation limitée à une exploitation passive de la donnée, c’est-à-dire aux seules actions non directement visibles des sources malveillantes. Par exemple:
Les interactions, même indirectes, avec le système ou l’infrastructure de l’attaquant sont interdites. |
|
PAP:GREEN
|
Utilisation encadrée autorisant les interactions non intrusives avec des sources malveillantes. Par exemple :
|
|
PAP:CLEAR
|
Utilisation libre dans le respect des licences et de la loi, pas de contrainte relative à l’exploitation ou à la manipulation de l’information. |
NB : par cohérence avec le renommage de TLP:WHITE en TLP:CLEAR, l’ANSSI a choisi de privilégier désormais l’appellation PAP:CLEAR.
3. Politiques de partage appliquées par l’ANSSI
En combinant les marquages de diffusion (TLP) et d’utilisation (PAP) décrits précédemment, il devient possible de définir plusieurs politiques de marquage avec suffisamment de granularité pour couvrir les situations opérationnelles les plus courantes. Néanmoins, certaines associations TLP/PAP sont volontairement non applicables (N/A) :
|
PAP:RED
|
PAP:AMBER
|
PAP:GREEN
|
PAP:CLEAR
|
|
|
TLP:RED
|
P1 | P2 | N/A | N/A |
|
TLP:AMBER
|
P3 | P4 | P5 | N/A |
|
TLP:GREEN
|
N/A | P6 | P7 | NA |
|
TLP:CLEAR
|
N/A | N/A | N/A | P8 |
Seules huit associations de marquage TLP/PAP cohérentes ont donc été retenues par l’ANSSI, elles sont décrites plus en détails ci-dessous. Pour chacune d’entre elles, des exemples de contexte dans lesquels elles ont vocation à s’appliquer sont donnés.
P1 : TLP:RED/PAP:RED (cliquer pour une description détaillée)
| P1
TLP:RED
PAP:RED
|
Cette politique est, par exemple, appropriée quand la source malveillante ne doit pas suspecter qu’elle a été identifiée, afin de permettre de se protéger efficacement d’elle à l’avenir. |
|---|---|
| Diffusion | Diffusion limitée au seul périmètre interne d’une entité, sur la base du besoin d’en connaître ; cela peut concerner une ou plusieurs personnes bien identifiées, ou bien une ou plusieurs personnes au sein d’une unité organisationnelle ou d’une équipe projet, en incluant les prestataires en régie qui interviennent sur le périmètre des infrastructures visées, sans autre forme de rediffusion possible de leur part. |
| Utilisation |
Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
|
P2 : TLP:RED/PAP:AMBER (cliquer pour une description détaillée)
| P2
TLP:RED
PAP:AMBER
|
Cette politique est, par exemple, appropriée dans le cas d’une intervention sur un parc suspecté compromis. |
|---|---|
| Diffusion | Diffusion limitée au seul périmètre interne d’une entité, sur la base du besoin d’en connaître ; cela peut concerner une ou plusieurs personnes bien identifiées, ou bien une ou plusieurs personnes au sein d’une unité organisationnelle ou d’une équipe projet, en incluant les prestataires en régie qui interviennent sur le périmètre des infrastructures visées, sans autre forme de rediffusion possible de leur part. |
| Utilisation |
Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner). Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis. Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches. |
P3 : TLP:AMBER/PAP:RED (cliquer pour une description détaillée)
| P3
TLP:AMBER
PAP:RED
|
Cette politique est appropriée pour des besoins similaires à ceux de la politique P1 (la source malveillante ne doit pas suspecter qu’elle a été identifiée), mais pour un périmètre de diffusion plus large, ce qui signifie qu’elle est pertinente dans des cas où un besoin de protection concerne plusieurs entités, ou un sous-ensemble d’une communauté. |
|---|---|
| Diffusion | Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part. |
| Utilisation |
Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées :
|
P4 : TLP:AMBER/PAP:AMBER (cliquer pour une description détaillée)
| P4
TLP:AMBER
PAP:AMBER
|
Cette politique est, par exemple, appropriée dans les cas où l’on souhaite toucher des entités qui subissent une menace en particulier ou sont sujettes à une même campagne malveillante. Selon les cas, les entités recevant l’information pourront être directement concernées ou bien être des prestataires agissant au bénéfice de leurs clients : – dans le premier cas, le ciblage est limitatif, le périmètre des récipiendaires est connu ; – dans le second cas, les prestataires sont autonomes pour identifier les organisations susceptibles d’être concernées. |
|---|---|
| Diffusion | Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part. |
| Utilisation |
Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner). Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis. Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches (ex. : service d’analyse et de partage de résultats en ligne). |
P5 : TLP:AMBER/PAP:GREEN (cliquer pour une description détaillée)
| P5
TLP:AMBER
PAP:GREEN
|
Cette politique est, par exemple, appropriée dans les cas où l’on souhaite permettre à des entités identifiées d’adopter une attitude proactive contre la menace, comme bloquer le trafic en provenance d’une source malveillante. |
|---|---|
| Diffusion | Une ou plusieurs entités juridiques bien identifiées (qui peuvent appartenir à des communautés fermées distinctes), avec lesquelles elles entretiennent un lien contractuel (ou plus généralement un lien formel), sans repartage possible de leur part. |
| Utilisation | Potentiellement active et visible des sources malveillantes tant qu’elle n’est pas intrusive, ce qui peut inclure le blocage de la source du trafic malveillant. |
P6 : TLP:GREEN/PAP:AMBER (cliquer pour une description détaillée)
| P6
TLP:GREEN
PAP:AMBER
|
Cette politique est appropriée pour des besoins similaires à ceux de la politique P4 mais pour un périmètre de diffusion plus large, permettant ainsi de toucher une communauté entière. Il s’agira plus probablement d’un secteur et cela pourra mener à un partage très large, sans pour autant qu’il soit public. À la différence de la politique P4, la communauté sera plus à même d’échanger entre ses membres, typiquement au moyen d’un club utilisateur, le niveau TLP:GREEN favorisant les échanges intra-communautés. Il s’agira davantage d’une communauté de bénéficiaires qui utilisera l’information pour protéger ses infrastructures (en faisant appel au besoin à leurs prestataires). |
|---|---|
| Diffusion | Une ou plusieurs communautés ouvertes bien identifiées |
| Utilisation |
Passive et non directement visible des sources malveillantes (si ces dernières font la démarche de se renseigner). Utilisation pour de la détection, des levées de doute, des campagnes de recherches, des recherches sur les journaux de serveurs, etc. au besoin sur parc compromis. Potentiellement de la recherche en sources ouvertes dans la mesure où une source malveillante ne pourrait pas observer les recherches. |
P7 : TLP:GREEN/PAP:GREEN (cliquer pour une description détaillée)
| P7
TLP:GREEN
PAP:GREEN
|
Cette politique est appropriée pour diffuser largement une information qui pourra être utilisée directement. |
|---|---|
| Diffusion | Une ou plusieurs communautés ouvertes bien identifiées. |
| Utilisation | Potentiellement active et visible de la source malveillante tant qu’elle n’est pas intrusive, ce qui peut inclure le blocage de la source du trafic malveillant. |
P8 : TLP:CLEAR/PAP:CLEAR (cliquer pour une description détaillée)
| P8
TLP:CLEAR
PAP:CLEAR
|
Cette politique est appropriée pour la diffusion publique d’une information à caractère opérationnel. |
|---|---|
| Diffusion | Diffusion publique. |
| Utilisation | Utilisation libre dans le respect des licences et de la loi. |
En dehors du TLP:GREEN et du TLP:CLEAR, il n’est pas possible, pour un tiers ayant reçu une information indirectement de l’ANSSI, de repartager cette information à son tour.
En cas de besoin, il devra contacter l’ANSSI, de concert avec le récipiendaire initial, qui formalisera son accord ou se chargera de partager l’information avec ce nouvel interlocuteur.
4. Précautions de sécurité
La politique de marquage de l’ANSSI n’a pas vocation à imposer des contraintes de protection de l’information.
Néanmoins, et compte tenu des marquages TLP et PAP, les parties sont vivement incitées à appliquer les mesures décrites dans le tableau ci-après. Le cas échéant, ces mesures peuvent être décrites plus précisément dans un cadre contractuel.
| TLP:RED PAP:RED | TLP:RED PAP:AMBER | TLP:AMBER PAP:RED | TLP:AMBER PAP:AMBER | TLP:AMBER PAP:GREEN | TLP:GREEN PAP:AMBER | TLP:GREEN PAP:GREEN | TLP:CLEAR PAP:CLEAR | |
| Formaliser un cadre d’échange | ✔ | ✔ | ✔ | ✔ | ✔ |
Ces associations ne requièrent pas de mesures spécifiques. Il convient cependant de rester attentif aux modalités d’usage et de diffusion de l’information partagée. |
||
|---|---|---|---|---|---|---|---|---|
| Chiffrer les données en transit | ✔ | ✔ | ✔ | ✔ | ✔ | |||
| Assurer la traçabilité du transfert | ✔ | ✔ | ✔ | ✔ | ✔ | |||
| Contrôler l’accès aux données stockées | ✔ | ✔ | ✔ | ✔ | ✔ | |||
| Assurer la traçabilité des accès | ✔ | ✔ | ||||||
Le tableau ci-dessous précise les mesures de sécurité listées ci-dessus ; elles sont volontairement génériques et doivent être adaptées ou complétées en fonction des situations considérées.
| Mesures de sécurité associées | |
| Formaliser un cadre d’échange |
Le transfert de données doit être formellement encadré au préalable. Ex. : conditions générales d’utilisation, Open Licence, contrat existant |
|---|---|
| Chiffrer les données en transit |
La confidentialité des données en transit sur une infrastructure non maîtrisée doit être assurée. Ex. : chiffrement des liens (ex. : TLS, SSH, SFTP, IPSec) |
| Assurer la traçabilité du transfert |
Le transfert de la donnée doit être tracé : il doit être possible de déterminer Ex. : conservation d’un courriel, journaux techniques ou fonctionnels, |
| Contrôler l’accès aux données stockées |
Les données et leurs sauvegardes doivent être stockées de sorte à en préserver Ex. : chiffrement des espaces de stockage, contrôle d’accès nominatif, |
| Assurer la traçabilité des accès |
L’accès aux données doit être tracé (qui, quand, pourquoi) et un historique doit Ex. : journaux fonctionnels et techniques du contrôle d’accès (niveau donné, applicatif ou système), |
Il est de la responsabilité des parties prenantes de mettre en œuvre les mesures de sécurité appropriées au regard des attentes exprimées par les politiques définies précédemment. Elles doivent être mises en œuvre de manière homogène sur l’ensemble du cycle de vie de l’information.
Les informations qui ne sont plus utilisées doivent être détruites si l’Agence en fait la demande expresse. Sinon elles ont vocation à être archivées, dans le respect des contraintes associées à leur niveau de marquage.
Le destinataire de l’information peut toujours contacter l’Agence pour confirmer le niveau de marquage ou pour faire évoluer les mesures relatives à l’archivage. Il est aussi libre de supprimer l’information quand il juge qu’elle n’est plus pertinente, par exemple à la fin de la période d’intérêt.
