SSI – Traffic Light Protocol

Guide d'utilisation et standards d'usages de la classification TLP

firstDepuis quelques mois, j’utilise un système de diffusion des documents dans le domaine de la CyberSécurité qui complète de façon pragmatique les différentes politiques de sécurité en œuvre au sein des entreprises où j’interviens. Le Traffic Light Protocol ou plus communément le TLP. Cet article s’appuie sur le document officiel Traffic Light Protocol Standard du First version 1.0.

Ce protocole de communication a été initialement conçu pour permettre la classification lors d’une diffusion des documents sensibles dans le cadre d’un CERT/CSIRT avec le bon niveau de lecture. Pour une question de simplicité, seulement 4 couleurs sont associées au niveau de diffusion pour permettre une qualification de l’audience de celui-ci.

Un second avantage des 4 couleurs, c’est qu’il oblige le rédacteur/diffuseur du document à se poser la bonne question sur qui/quand/comment on va lire mon document. Celui-ci contient des informations sensibles. Le FIRST organisme qui fédère les CERT/CSIRT (Computer Emergency Response Team) est garant du standard TLP. J’applique bien le mot standard et non norme. Nous ne sommes pas dans un processus de normalisation type ISO.

Le protocole TLP permet de manière simple et intuitive d’indiquer quand et comment une information  sensible peut être partagée et avec qui aussi bien par E-mail que par document. Il peut aussi être utilisé dans certain système de publication automatisé comme un sharepoint mais devra dans ce cas être couplé à une politique de gestion des droits/habilitations en sus. Ce n’est pas clairement le but et l’usage du TLP. L’usage actuel fait du TLP est essentiellement par courriel & document.

Un particularité intéressante du protocole TLP est que le diffuseur de la source est responsable de la diffusion de l’information et les destinataires s’engagent à respecter le niveau de diffusion du document. Les destinataires s’engagent à respecter ce mode de partage de l’information. Dans mon cas personnel, je remets toujours une explication du TLP au début du doc ou de l’email pour ne pas entendre « Je ne savais pas, j’avais pas compris…. ».

Au cas où un destinataire souhaite diffuser le document à une personne autre, il devra toujours demander à la source de celui-ci la permission de le diffuser.

1. Définition des codes TLP

1.1 TLP:RED : Utilisé pour diffuser de l’information sensible exclusivement aux destinataires. Les informations reçues peuvent être utilisées à condition qu’il n’y ait aucun impact sur les aspects de réputation, vie privée ou des actes/opérations non autorisés. Les destinataires ne peuvent pas partager l’information TLP:RED avec aucune personne même à un niveau hiérarchique supérieur en dehors des membres la diffusion. Cela peut être compliqué parfois mais vos responsables y compris DG membres du comex acceptent ce niveau de classification après une explication des différents types et les raisons. Je n’ai jamais eu le moindre problème avec des N+10 qui n’ont pas l’habitude d’entendre « Non, cela ne vous concerne pas, vous n’êtes pas habilité »…grand moment de solitude de votre responsable N+1 😉 . le TLP:RED peut aussi être utilisé en réunion et les informations partagées lors de celle-ci ne doivent pas sortir de la réunion. Pour pouvoir partager une information TLP:RED vous devrez toujours avoir l’autorisation de l’émetteur de celle-ci.

1.2 TLP:AMBER : Utilisé pour diffuser une informations sensible au sein du département de l’entreprise voir au niveau de l’entreprise. On utilise généralement ce niveau de diffusion quand on demande un complément d’information, aide au sein de l’entreprise (Expert IT, Juridique…). On l’utilise aussi quand un risque d’image, d’atteinte à la vie privée ou d’acte malveillant/non autorisé est décrit. Les destinataires d’une information TLP:AMBER peuvent partager l’information uniquement avec les membres de l’entreprise ou des clients de celle-ci pour se protéger des actes de malveillances (Piratage informatique, détournement de fonds, vol de données dans notre cas). L’émetteur de l’information est libre de restreindre la diffusion du document à l’interne voir à un département à sa discretion.

1.3 TLP:GREEN : Diffusion limitée du document, restreinte à la communauté (sacrés anglo-saxons avec leur communauté !). Les informations sensibles diffusées sont classifiées en TLP:GREEN à la communauté (Experts sécurité de l’entreprise, Groupe de juriste, Direction Générale…) pour qu’il y ait une prise de conscience de la menace décrite dans le document par exemple ou encore une sensibilisation à celle-ci. Les informations TLP:GREEN peuvent être partagées avec des partenaires, entreprises du même secteur mais en aucun cas par des canaux publics comme les réseaux sociaux par exemple ou encore un mail sur une boite générique. Ces informations ne sont pas destinées à être diffusées en public.

1.4 TLP:WHITE : TLP:WHITELa diffusion n’est pas restreinte, on l’utilise quand on considère que l’information contenue dans le document comporte un risque prévisible faible et que l’utilisation de l’information sensible ne portera pas/peu préjudice à l’entreprise conformément aux règles et procédures de l’entreprise pour la diffusion publique d’un document.

2. Utilisation du TLP

2.1 Comment utiliser le TLP dans un E-Mail

Le TLP utilisé dans un E-Mail doit apparaître dans le domaine du possible dans le sujet et le début du corps du message avant même le contenu du message lui-même. Le code couleur TLP utilisé doit être en majuscule.

Exemple: TLP:AMBER, TLP:WHITE, TLP:RED ou encore TLP:GREEN

2.2 Comment utiliser le TLP dans un document

La désignation du TLP doit être incluse avec le code couleur associé dans l’entête et le pied de page du document (Header/footer) obligatoirement. Pour éviter une confusion avec les templates de nos amis de la communication qui adorent mettre plein de blabla sur nos docs, j’utilise une police de taille 12 au minimum compatible avec le document.

Capture d’écran 2016-08-28 à 7.21.58 PM

 

Voila vous êtes prêts à classifier vos documents sensibles en plus de votre classification interne.

Enjoy TLP Codes 🙂