Comprenez le rôle des protocoles
Le respect des protocoles d'utilisation et de diffusion de l'information est essentiel en cybersécurité pour garantir la confidentialité, l'intégrité et la disponibilité des données.
Les conventions de marquage de l'information jouent un rôle majeur dans la gestion de l'information en cybersécurité, notamment pour :
Normaliser l'utilisation et l'échange des informations : Cela facilite la compréhension et l'utilisation cohérente de l'information au sein d'une organisation, en aidant à déterminer qui peut accéder à quelle information, comment elle doit être traitée.
Favoriser la convergence des pratiques de traitement de l'information : En établissant des conventions communes, vous pouvez vous assurer que les informations sont gérées de manière efficace et conforme.
Consolider les liens de confiance entre différentes communautés : En s'assurant que les informations sont correctement étiquetées et sécurisées, ces conventions renforcent le partage d’informations.
Protéger les systèmes d'informations : En vous assurant que seules les personnes autorisées ont accès aux informations sensibles, vous contribuez à renforcer la sécurité des données et à prévenir les incidents liés à la gestion de l’information.
Dans la suite de ce chapitre, je vous présente ce qu’il faut retenir des protocoles TLP et PAP, ça pourra toujours vous servir pour éviter de commettre l’irréparable !
Utilisez le TLP pour diffuser l’information
Le Traffic Light Protocol (TLP) est un protocole largement utilisé dans le domaine de la cybersécurité et d'autres secteurs pour formaliser les règles et les usages concernant la diffusion d'informations sensibles ou confidentielles. Le TLP a été initié par le FIRST (Forum of Incident Response and Security Teams) et a pour objectif d’aider les acteurs de la cybersécurité à gérer et à partager des informations tout en maintenant un équilibre entre la nécessité de partager des renseignements pertinents pour contrer les menaces et la protection des informations sensibles.
Le TLP est basé sur un système de couleurs, chaque couleur représentant le niveau de confidentialité et de restriction de diffusion associé à une information particulière.
L’ANSSI précise l’interprétation opérationnelle suivante des niveaux de TLP :
Niveau du TLP | Type d'information |
| Diffusion limitée au seul périmètre interne d’une entité juridique, sur la base du besoin d’en connaître. |
| Diffusion limitée à quelques entités identifiées, liées par un engagement (exemple : une communauté fermée). |
| Diffusion libre au sein d’une communauté (ouverte ou fermée) bien identifiée, repartage libre au sein de ces communautés (prestataires inclus). |
| Diffusion publique, sans restriction, partage libre entre les différentes communautés, y compris sur Internet. |
Voici quelques exemples d'informations en cybersécurité qui pourraient être classées selon les niveaux du Traffic Light Protocol (TLP) :
Niveau du TLP | Exemples d'information |
|
|
|
|
|
|
|
|
Utilisez le PAP pour exploiter l’information
Le PAP a été introduit en 2016 dans le cadre des taxonomies de la plateforme MISP (Malware Information Sharing Platform), qui est maintenue et développée par le CIRCL (Computer Incident Response Center Luxembourg).
Le PAP repose sur le principe de catégoriser les actions possibles en fonction des informations qu'elles pourraient révéler à un acteur malveillant donné. En d'autres termes, il établit des directives sur la manière dont les informations liées à la sécurité doivent être utilisées.
L’ANSSI précise l’interprétation opérationnelle suivante des niveaux de PAP :
Niveau de PAP | Type d'information |
| Utilisation limitée aux investigations numériques ou à la détection, sur des infrastructures dédiées. |
| Utilisation limitée à une exploitation passive de la donnée, c’est-à-dire aux seules actions non directement visibles des sources malveillantes. |
| Utilisation encadrée autorisant les interactions non intrusives avec des sources malveillantes. |
| Utilisation libre dans le respect des licences et de la loi, pas de contrainte relative à l’exploitation ou à la manipulation de l’information. |
En résumé
Le respect des protocoles d'utilisation et de diffusion de l'information en cybersécurité joue un rôle majeur dans la continuité des échanges entre divers acteurs, tout en garantissant le respect des bonnes pratiques en matière de gestion des informations sensibles.
Le Traffic Light Protocol (TLP) est un outil essentiel pour faciliter la diffusion d'informations dans le domaine de la cybersécurité en établissant des niveaux de sensibilité et des règles claires pour la diffusion d'informations.
Le Permissible Actions Protocol (PAP) est un outil qui établit des règles d’utilisation d’informations en fonction de la sensibilité des informations pour minimiser les risques de divulgation involontaire d'informations sensibles.
Vous pouvez désormais appliquer les protocoles d’utilisation et de diffusion des résultats de votre veille. Voyons maintenant comment l'amélioration continue des pratiques de veille peut renforcer la sécurité globale d’une entreprise.