Initiatives pour
En tant qu'autorité nationale en matière de cybersécurité, le CCB a développé plusieurs initiatives destinées à des publics spécifiques, qui sont présentées ici.
Le Traffic Light Protocol (TLP)
Le Centre pour la cybersécurité Belgique (CCB) utilise le « Traffic Light Protocol », ou TLP en abrégé. Ce protocole a été développé afin de faciliter et d'encourager l'échange d'informations de manière sécurisée.
Qu'est-ce que le TLP ?
Le protocole exige que la personne qui envoie des informations leur attribue une couleur à l'aide d'un code couleur. Cette couleur indique si et de quelle manière ces informations peuvent être diffusées. Une personne qui reçoit des informations et estime que certaines d'entre elles peuvent être diffusées à plus grande échelle doit d'abord demander l'autorisation de l'expéditeur.
Pourquoi utiliser le TLP?
Le CCB travaille en étroite collaboration avec diverses organisations (internationales) afin d'identifier les incidents cybernétiques et de coordonner les réponses à ces incidents. De telles activités nécessitent une confiance mutuelle entre toutes les parties concernées. Des règles et des accords clairs en matière de partage d'informations peuvent garantir cette confiance mutuelle. Nous considérons donc que l'application correcte et le respect du TLP sont d'une importance capitale.
Le TLP fournit un système simple et intuitif pour indiquer quand et comment les informations sensibles peuvent être diffusées au sein de la communauté mondiale de la cybersécurité. Le partage de ces informations garantit une collaboration plus fréquente et plus efficace entre le CCB et ses partenaires.
Qui utilise le TLP?
Outre le CCB, de nombreux services publics et entreprises privées à travers le monde utilisent le TLP :
- Équipes nationales et organisationnelles d'intervention en cas d'urgence informatique (CERT) et équipes d'intervention en cas d'incident de sécurité informatique (CSIRT)
- Organismes internationaux de normalisation et de coordination
- Secteur privé et fournisseurs de cybersécurité
- Agences de renseignement gouvernementales et forces de l'ordre
Les couleurs et leur signification
Étiquettes TLP: Les quatre étiquettes TLP sont les suivantes : TLP:RED, TLP:AMBER, TLP:GREEN et TLP:CLEAR
En août 2022, la version 2 a été publiée par le FIRST, le développeur du TLP. Deux changements importants ont été apportés par rapport à la première version :
- TLP:WHITE est remplacé par TLP:CLEAR
- TLP:AMBER+STRICT est introduit pour indiquer que les informations ne peuvent être partagées qu'au sein de l'organisation du destinataire.
Utilisation
Selon FIRST, les directives d'utilisation du TLP sont les suivantes :
Dans les messages (e-mails, chats) :
Les messages portant la mention TLP doivent inclure la mention TLP de l'information, ainsi que toute restriction supplémentaire, directement avant l'information elle-même. La mention TLP doit apparaître dans l'objet de l'e-mail. Le cas échéant, indiquez la fin du texte auquel la mention TLP s'applique.
Dans les documents :
Les documents étiquetés TLP doivent indiquer l'étiquette TLP de l'information, ainsi que toute restriction supplémentaire, dans l'en-tête de chaque page. L'étiquette TLP doit être en caractères de 12 points ou plus pour les utilisateurs malvoyants. Il est recommandé d'aligner les étiquettes TLP à droite.
La norme FIRST prévoit l'utilisation de couleurs sur fond noir. Le CCB choisit toutefois parfois de s'écarter de cette exigence pour des raisons pratiques.
Sous forme écrite, toutes les étiquettes TLP NE DOIVENT PAS contenir d'espaces et DOIVENT être en majuscules. Les étiquettes TLP DOIVENT rester dans leur forme originale, même lorsqu'elles sont utilisées dans d'autres langues : le contenu peut être traduit, mais pas les étiquettes.
🔴 TLP:RED (ROUGE)
À l'usage exclusif des yeux et des oreilles des destinataires individuels, aucune divulgation supplémentaire.
Les sources peuvent utiliser TLP:RED lorsque les informations ne peuvent être exploitées efficacement sans risque significatif pour la confidentialité, la réputation ou les opérations des organisations concernées.
Les destinataires ne peuvent donc partager les informations TLP:RED avec quiconque. Dans le contexte d'une réunion, par exemple, les informations TLP:RED sont limitées aux personnes présentes à la réunion.
🟠 TLP:AMBER (ORANGE)
Divulgation limitée, les destinataires ne peuvent diffuser ces informations qu'aux personnes qui ont besoin de les connaître au sein de leur organisation et de leurs clients.
Les sources peuvent utiliser TLP:AMBER lorsque les informations nécessitent un soutien pour être exploitées efficacement, mais présentent un risque pour la vie privée, la réputation ou les activités si elles sont partagées en dehors des organisations concernées.
Les destinataires peuvent partager les informations TLP:AMBER avec les membres de leur propre organisation et ses clients, mais uniquement en cas de nécessité absolue afin de protéger leur organisation et ses clients et d'éviter tout préjudice supplémentaire.
TLP:AMBER+STRICT
Les mêmes règles que TLP:AMBER s'appliquent (voir ci-dessus), mais TLP:AMBER+STRICT limite le partage à l'organisation uniquement.
🟢TLP:GREEN (VERT)
Divulgation limitée, les destinataires peuvent diffuser cette information au sein de leur communauté.
Les sources peuvent utiliser TLP:GREEN lorsque les informations sont utiles pour sensibiliser leur communauté au sens large.
Les destinataires peuvent partager les informations TLP:GREEN avec leurs pairs et les organisations partenaires au sein de leur communauté, mais pas via des canaux accessibles au public. Les informations TLP:GREEN ne peuvent pas être partagées en dehors de la communauté.
Remarque : lorsque le terme « communauté » n'est pas défini, il faut supposer qu'il s'agit de la communauté de la cybersécurité/défense.
⚪ TLP:CLEAR (CLAIR)
Les destinataires peuvent diffuser ces informations dans le monde entier, il n'y a aucune limite à leur divulgation.
Les sources peuvent utiliser TLP:CLEAR lorsque les informations présentent un risque minimal ou nul d'utilisation abusive, conformément aux règles et procédures applicables en matière de divulgation publique. Sous réserve des règles standard en matière de droits d'auteur, les informations TLP:CLEAR peuvent être partagées sans restriction.
-
Lorsque des informations sont partagées sous le label TLP:GREEN, que signifie le terme « communauté » ?
Lorsqu'il appose le label TLP:GREEN sur des informations, l'expéditeur doit définir la communauté. Nous définissons une communauté comme un ensemble limité d'entités et/ou de personnes. Les communautés peuvent être un groupe de partage, un secteur industriel, la communauté des forces de l'ordre, etc. Si ce label n'est pas présent, la communauté est supposée être la communauté de la cybersécurité/défense.
-
Comment partager des informations TLP:AMBER avec des organisations mères, des filiales ou des clients ?
Les données TLP:AMBER peuvent être partagées avec les organisations mères, les filiales ou les clients, comme décrit dans le protocole. Cependant, avant de partager les informations avec ces entités, le label doit être changé en TLP:AMBER+STRICT afin de les empêcher de partager les informations avec leurs organisations apparentées sans l'autorisation de l'auteur.
Par exemple, si un fournisseur de cybersécurité reçoit des informations TLP:AMBER, il peut les partager avec certains de ses principaux clients. Pour empêcher que les informations ne soient partagées au-delà des restrictions fixées, le fournisseur de cybersécurité les étiquette d'abord avec TLP:AMBER-STRICT. Ainsi, les clients du fournisseur ne peuvent pas partager les informations plus loin.
N'oubliez pas que si l'auteur avait eu l'intention de partager les informations avec une communauté plus large, il aurait utilisé l'étiquette TLP:GREEN.
-
Comment partager des informations si aucune des étiquettes TLP ne correspond à mes besoins ?
En tant qu'auteur, vous avez la possibilité d'ajouter des règles de partage supplémentaires à l'étiquette TLP. Vous pouvez ainsi restreindre le partage à certaines organisations, certains États, etc.
-
Que faire lorsque j'ai vraiment besoin de partager des informations avec une partie, mais que je ne peux pas le faire en raison des restrictions appliquées ?
En tant que destinataire, vous pouvez demander à l'auteur des informations s'il peut les partager lui-même avec la partie concernée ou modifier le code TLP et/ou les restrictions supplémentaires appliquées.