1. Foire aux questions
Sont listées ci-dessous les questions les plus courantes pouvant se poser au sujet de la politique de marquage des informations opérationnelles de l’ANSSI.
☞ Cliquez sur les questions pour afficher les réponses.
1. Les informations reçues peuvent-elles être utilisées pour la protection de tout type de système d’information (ci-après « SI ») (ex. : SI d’importance vitale ou non, SI essentiel ou non) ?
Oui, à condition de respecter les exigences liées aux marquages TLP et PAP et de s’assurer de la pertinence d’emploi.
2. Pour la protection des SI de mon entité, les informations reçues peuvent-elles être diffusées à un prestataire (de détection, de réponse à incidents) ?
TLP:CLEAR | TLP:GREEN | TLP:AMBER | TLP:RED |
Oui, quel que soit le prestataire. | Oui, quel que soit le prestataire pour la protection exclusive des SI de l’entité. | Oui, quel que soit le prestataire pour la protection exclusive des SI de l’entité. | Non, sauf si la prestation est assurée par des ressources en régie. |
⚠ Attention : le prestataire ne bénéficie d’aucun droit de repartage, notamment avec d’autres clients, hormis pour le marquage TLP:CLEAR. ⚠
3. Les informations reçues peuvent-elles être diffusées à une entité de tutelle (Groupe) ou une entité filiale ?
TLP:CLEAR | TLP:GREEN | TLP:AMBER | TLP:RED |
Oui | Oui | Oui | Non |
⚠ Attention : si l’entité de tutelle ou l’entité filiale souhaite à son tour diffuser une information TLP:AMBER, elle doit en demander l’autorisation expresse à l’ANSSI. ⚠
4. Est-il possible de communiquer l’information reçue aux fournisseurs critiques de ma supply-chain (identifiés dans le cadre de mon appréciation des risques), pouvant avoir un impact sur la continuité de service ou la sécurité de mon entreprise ?
TLP:CLEAR | TLP:GREEN | TLP:AMBER | TLP:RED |
Oui | Oui | Non, sauf s’il existe un cadre contractuel entre le bénéficiaire et son fournisseur engageant les deux parties à garantir les contraintes de diffusion et d’utilisation définies par l’ANSSI |
Non |
⚠ Attention : le fournisseur ne bénéficie d’aucun droit de repartage hormis pour le marquage TLP:CLEAR. ⚠
5. Les informations reçues peuvent-elles être stockées ou utilisées en clair sur une infrastructure (IaaS) ou un service (SaaS) cloud public dédié à l’investigation, l’exploitation des journaux ou à la détection ?
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Oui | Oui |
⚠ Attention : cette infrastructure d’investigation ou de détection doit être cloisonnée du parc supervisé, potentiellement compromis. ⚠
6. Les informations reçues peuvent-elles être utilisées pour faire des recherches sur un parc en production, y compris dans le cloud ?
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Oui | Non |
7. Les informations reçues peuvent-elles être utilisées à travers une solution locale de détection et de réponse (ex. : Endpoint detection response) déployé sur des postes ou des serveurs de production ?
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Oui pour la détection Non pour le blocage |
Non |
8. Les recherches ou soumissions en source ouverte avec les informations reçues sont-elles autorisées ?
- S’agissant des recherches (ex. : utiliser des moteurs de recherche ou des bases publiques accessibles sur Internet pour pivoter sur les informations reçues) :
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Oui | Non |
- S’agissant des soumissions des informations reçues ou des fichiers les contenant, sur des services en ligne d’analyse, pouvant partager ces informations ou les résultats de ces analyses (ex. : Virus Total, urlscan, sandbox en ligne) :
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Non | Non |
⚠ Attention, de manière générale toute base publique de connaissance dispose de conditions d’utilisation pouvant différer selon l’offre souscrite. Vous devez vous assurer que l’offre que vous avez souscrite s’engage à ce que vos recherches ne soient pas repartagées avec des tiers. ⚠
9. Les recherches avec les informations reçues dans des bases publiques déconnectées des réseaux publics sont-elles autorisées (ex. : base publique répliquée sur une infrastructure non connectée à Internet) ?
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Oui | Oui |
10. Le blocage de flux réseau ou applicatif, sur la base des informations reçues, est-il possible (ex. : blocage d’une adresse IP sur un pare-feu ou d’une adresse Web sur un serveur mandataire) ?
PAP:CLEAR | PAP:GREEN | PAP:AMBER | PAP:RED |
Oui | Oui | Non | Non |
11. Est-il possible d’utiliser des informations reçues en PAP:RED sur un poste dédié et déconnecté du SI de production (et non exposé sur un réseau public) ?
Oui, cela peut être assimilé à une infrastructure dédiée aux investigations numériques ou à la détection.
12. Comment l’ANSSI considère-t-elle les informations marquées uniquement d’un TLP qu’elle reçoit de tiers ?
L’ANSSI applique l’interprétation de son marquage TLP/PAP uniquement aux informations qu’elle produit. Les informations reçues de l’extérieur et uniquement marquées d’un TLP seront interprétées conformément à la définition du FIRST. Toutefois l’ANSSI encourage ses partenaires à préciser les conditions d’utilisation de l’information communiquée en y apposant un PAP ou en indiquant dans cette communication quelles en sont les limites.
2. Quelques cas d’usage
Afin de faciliter la prise en main de la politique de marquage, quelques cas d’usage sont illustrés dans les tableaux ci-dessous. Pour chaque cas considéré de réception d’une information marquée TLP/PAP, il est précisé, qui peut utiliser l’information et sur quel périmètre.
Chasse sur parc (hunting)
TLP:CLEAR PAP:CLEAR |
Qui ? | N’importe qui |
TLP:AMBER PAP:AMBER |
Qui ? | Le bénéficiaire ou un prestataire |
Où ? | N’importe où | Où ? | Sur toute son infrastructure | ||
TLP:GREEN PAP:GREEN |
Qui ? | Un membre de la communauté |
TLP:AMBER PAP:RED |
Qui ? | Le bénéficiaire ou un prestataire |
Où ? | Sur toute son infrastructure | Où ? | Sur un SI d’investigation dédié, par exemple après avoir effectué une collecte d’éléments d’intérêt | ||
TLP:GREEN PAP:AMBER |
Qui ? | Un membre de la communauté |
TLP:RED PAP:AMBER |
Qui ? | Le bénéficiaire ou un prestataire en régie |
Où ? | Sur toute son infrastructure | Où ? | Sur toute son infrastructure | ||
TLP:AMBER PAP:GREEN |
Qui ? | Le bénéficiaire ou un prestataire |
TLP:RED PAP:RED |
Qui ? | Le bénéficiaire ou un prestataire en régie |
Où ? | Sur toute son infrastructure | Où ? | Sur un SI d’investigation dédié, par exemple après avoir effectué une collecte d’éléments d’intérêt |
Détection en temps réel
TLP:CLEAR PAP:CLEAR |
Qui ? | N’importe qui |
TLP:AMBER PAP:AMBER |
Qui ? | Le bénéficiaire ou un prestataire |
Où ? | N’importe où | Où ? | Sur l’infrastructure du bénéficiaire Sur l’infrastructure cloud du bénéficiaire si un accord existe avec le prestataire prévoyant un contrôle exclusif de ses données par le bénéficiaire |
||
TLP:GREEN PAP:GREEN |
Qui ? | Un membre de la communauté |
TLP:AMBER PAP:RED |
Qui ? | Le bénéficiaire ou un prestataire |
Où ? | Sur toute son infrastructure | Où ? | Sur un réseau d’investigation dédié | ||
TLP:GREEN PAP:AMBER |
Qui ? | Un membre de la communauté |
TLP:RED PAP:AMBER |
Qui ? | Le bénéficiaire ou un prestataire en régie |
Où ? | Sur toute son infrastructure | Où ? | Sur l’infrastructure du bénéficiaire Sur l’infrastructure cloud du bénéficiaire si un accord existe avec le prestataire prévoyant un contrôle exclusif de ses données par le bénéficiaire |
||
TLP:AMBER PAP:GREEN |
Qui ? | Le bénéficiaire ou un prestataire |
TLP:RED PAP:RED |
Qui ? | Le bénéficiaire ou un prestataire en régie |
Où ? | Sur toute son infrastructure | Où ? | Sur un réseau d’investigation dédié |
Blocage en temps réel
TLP:CLEAR PAP:CLEAR |
Qui ? | N’importe qui |
TLP:AMBER PAP:AMBER |
Qui ? | N/A |
Où ? | N’importe où | Où ? | N/A | ||
TLP:GREEN PAP:GREEN |
Qui ? | Un membre de la communauté |
TLP:AMBER PAP:RED |
Qui ? | N/A |
Où ? | Sur toute son infrastructure | Où ? | N/A | ||
TLP:GREEN PAP:AMBER |
Qui ? | N/A |
TLP:RED PAP:AMBER |
Qui ? | N/A |
Où ? | N/A | Où ? | N/A | ||
TLP:AMBER PAP:GREEN |
Qui ? | Le bénéficiaire ou un prestataire |
TLP:RED PAP:RED |
Qui ? | N/A |
Où ? | Sur toute son infrastructure | Où ? | N/A |