Cadre et enjeux opérationnels en cybersécurité
Le partage d’informations opérationnelles sensibles est essentiel à l’efficacité des équipes en charge de la cybersécurité. Toutefois, la diffusion et l’utilisation de ces informations doivent être précisément encadrées afin d’éviter tout risque de compromission supplémentaire ou de révélation involontaire des capacités de défense.
Le Permissible Actions Protocol (PAP) répond précisément à cette problématique en définissant explicitement les conditions d’utilisation des informations sensibles échangées entre acteurs.
Origine et contexte d’application du PAP
Introduit en 2016 au sein des taxonomies de la plateforme MISP (Malware Information Sharing Platform), le PAP a été initialement développé et maintenu par le CIRCL (Computer Incident Response Center Luxembourg).
Ce protocole complète le marquage TLP (Traffic Light Protocol), largement utilisé pour encadrer la diffusion des informations sensibles, en définissant clairement les actions autorisées vis-à-vis des informations partagées.
Bien qu’aucune source OSINT ne le confirme explicitement, il est reconnu que le BSI (Bundesamt für Sicherheit in der Informationstechnik), autorité allemande en matière de sécurité informatique, a également promu l’adoption du PAP dans ses processus internes et dans ses recommandations en cybersécurity opérationnelle.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) utilise ainsi un double marquage combinant TLP et PAP, afin de bénéficier d’une granularité optimale tant en termes de partage que d’utilisation.
Fonctionnement détaillé du PAP
Le PAP comporte quatre niveaux distincts, chacun correspondant à une couleur, définissant clairement le périmètre d’utilisation des informations partagées :
PAP:RED
L’utilisation des informations est strictement limitée aux investigations numériques ou à la détection sur des infrastructures dédiées, protégées et isolées. Aucune interaction directe ou indirecte avec l’infrastructure potentiellement compromise ou des services externes n’est autorisée.
Par exemple :
- Investigations sur des réseaux isolés afin de confirmer ou infirmer la présence d’une menace précise sans interactions visibles.
PAP:AMBER
Les informations peuvent être utilisées uniquement de manière passive, sans que cela soit visible par des sources malveillantes. Toute interaction directe ou indirecte avec l’infrastructure malveillante reste interdite.
Par exemple :
- Vérification passive en interne afin de détecter la présence éventuelle d’un malware dans un parc informatique.
PAP:GREEN
Permet des interactions non intrusives avec les sources malveillantes. À ce niveau, des actions telles que le blocage de trafic suspect au niveau des pare-feu ou des serveurs mandataires sont autorisées.
Par exemple :
- Blocage d’une adresse IP malveillante via des règles firewall.
PAP:CLEAR
Utilisation libre des informations, sans contrainte particulière autre que le respect des lois en vigueur.
Ce niveau s’applique aux informations dont la diffusion publique ne présente aucun risque opérationnel.
Associations TLP/PAP définies par l’ANSSI
L’ANSSI a établi huit associations pertinentes combinant TLP et PAP afin de couvrir l’ensemble des scénarios opérationnels usuels. Certaines combinaisons sont volontairement écartées afin d’éviter des incohérences :
- TLP:RED/PAP:RED : Information très sensible avec utilisation très restreinte.
- TLP:RED/PAP:AMBER : Diffusion interne uniquement, usage passif autorisé.
- TLP:AMBER/PAP:RED : Diffusion limitée à une communauté restreinte, utilisation strictement interne.
- TLP:AMBER/PAP:AMBER : Communauté restreinte, utilisation passive uniquement.
- TLP:AMBER/PAP:GREEN : Communauté restreinte, interactions non intrusives autorisées.
- TLP:GREEN/PAP:AMBER : Communauté élargie, utilisation passive uniquement.
- TLP:GREEN/PAP:GREEN : Communauté élargie, interactions non intrusives autorisées.
- TLP:CLEAR/PAP:CLEAR : Information publique, usage totalement libre.
Le repartage des informations au-delà de la communauté initiale est strictement encadré, sauf pour les niveaux GREEN et CLEAR.
Précautions et bonnes pratiques associées
Bien que le marquage PAP ne constitue pas une classification réglementaire officielle telle que définie par l’IGI 1300 (Instruction Générale Interministérielle en France), il implique des précautions opérationnelles spécifiques. Les parties impliquées sont encouragées à :
- Formaliser un cadre clair d’échange (clauses contractuelles, accords explicites).
- Assurer la confidentialité par chiffrement des données en transit (TLS, SSH, SFTP).
- Garantir la traçabilité des transferts et des accès aux données.
- Contrôler strictement l’accès aux informations stockées pour préserver la confidentialité.
Ces précautions garantissent que les informations sensibles restent protégées tout au long de leur cycle de vie, jusqu’à leur destruction ou archivage réglementaire.
Le mot de la fin
Le protocole PAP est un dispositif essentiel pour sécuriser l’utilisation des informations opérationnelles en cybersécurité. En complément du TLP, il permet une gestion précise des risques opérationnels et facilite la coopération entre entités publiques et privées dans la lutte contre les menaces informatiques.
Sa mise en œuvre rigoureuse, soutenue par des acteurs reconnus comme l’ANSSI et le BSI, contribue directement à renforcer la sécurité collective dans le cyberespace.
Sources utilisées pour cette analyse
- ANSSI – Politique de partage et d’utilisation des informations à caractère opérationnel (TLP/PAP) https://www.cert.ssi.gouv.fr/csirt/politique-partage/
- ANSSI – FAQ sur les marquages TLP et PAP https://www.cert.ssi.gouv.fr/csirt/tlp-pap_faq/
- FIRST (Forum of Incident Response and Security Teams) – Traffic Light Protocol https://www.first.org/tlp/
- CIRCL – Malware Information Sharing Platform (MISP) https://www.circl.lu/services/misp-malware-information-sharing-platform/
- Bundesamt für Sicherheit in der Informationstechnik (BSI) (promotion interne, aucune source OSINT confirmée disponible à ce jour) https://www.bsi.bund.de
