Présentation de TLP : protocole de communication de données

Dans ce court article je vais vous présenter TLP (Traffic Light Protocol), qui est un protocole pour faciliter le partage de l'information, notamment en fonction de la couleur du feu. Ce protocole est largement utilisé dans le monde de la cybersécurité et connais depuis quelques semaines ça toute nouvelle version la 2.0.

TLP n'est pas :

Alors premier point important TLP n'est pas un système de classification de données, mais bien un protocole de communication d'informations. Donc ne l'utilisez pas pour faire la classification de vos données ce n'est pas fait pour cela.

Qui est derrière TLP ?

Alors pour une fois, ce n'est pas l'OWASP qui est à l'origine du document mais le FIRST[1]. Le FIRST c'est :

FIRST aspire à rassembler des équipes de réponse aux incidents et de sécurité de tous les pays du monde afin de garantir un internet sûr pour tous.

Donc une organisation de porter mondiale qui va produire et publier des standards pour le monde de la cybersécurité.

TLP comment ça marche ?

Comme son nom l'indique : Traffic Light Protocol (feux de circulations) vous allez trouver 4 couleurs de feux que vous pouvez utiliser en fonction de la diffusibilité du document. Attention le standard impose pour qu'il soit compréhensible de tous de ne pas changer les libellés des feux et de conserver la casse.

Ainsi voici les quatre feux du protocole (pris depuis le site du FIRST) :

Le site du FIRST explique ensuite quand les utiliser, donc en fonction des destinataires et à qui peut être diffusé un document ou une information vous pouvez appliquer les règles suivante, petit exemple sur le blog on est en TLP:CLEAR  car c'est ouvert à tous, si jamais je faisais un contenu payant par exemple je pourrais utiliser TLP:AMBER pour ces ressources.

Le descriptif des différents feux :

(traduction du site du FIRST directement)

TLP:RED = Pour les yeux et les oreilles des destinataires individuels uniquement, aucune autre divulgation. Les sources peuvent utiliser TLP:RED lorsque les informations ne peuvent pas être traitées efficacement sans risque significatif pour la vie privée, la réputation ou les opérations des organisations concernées. Les destinataires ne peuvent donc pas partager les informations TLP:RED avec qui que ce soit. Dans le contexte d'une réunion, par exemple, les informations TLP:RED sont limitées aux personnes présentes à la réunion.

TLP:AMBER = Divulgation limitée, les destinataires ne peuvent diffuser ces informations que sur la base du besoin d'en connaître au sein de leur organisation et de ses clients. Notez que TLP:AMBER+STRICT restreint le partage à l'organisation uniquement. Les sources peuvent utiliser TLP:AMBER lorsque l'information nécessite un soutien pour être traitée efficacement, mais qu'elle présente un risque pour la vie privée, la réputation ou les opérations si elle est partagée en dehors des organisations concernées. Les destinataires peuvent partager les informations TLP:AMBER avec les membres de leur propre organisation et leurs clients, mais uniquement sur la base du besoin d'en connaître, afin de protéger leur organisation et ses clients et d'éviter tout préjudice supplémentaire. Note : si la source veut restreindre le partage à l'organisation uniquement, elle doit spécifier TLP:AMBER+STRICT.

TLP:GREEN = Divulgation limitée, les destinataires peuvent la diffuser au sein de leur communauté. Les sources peuvent utiliser TLP:GREEN lorsque l'information est utile pour accroître la sensibilisation au sein de leur communauté. Les destinataires peuvent partager les informations TLP:GREEN avec leurs pairs et les organisations partenaires au sein de leur communauté, mais pas via des canaux accessibles au public. Les informations de TLP:GREEN ne peuvent pas être partagées en dehors de la communauté. Note : lorsque le terme "communauté" n'est pas défini, il s'agit de la communauté de la cybersécurité/défense.

TLP:CLEAR = Les destinataires peuvent diffuser cette information dans le monde entier, il n'y a pas de limite à la divulgation. Les sources peuvent utiliser TLP:CLEAR lorsque les informations présentent un risque minimal ou nul de mauvaise utilisation, conformément aux règles et procédures applicables à la diffusion publique. Sous réserve des règles standard de copyright, les informations de TLP:CLEAR peuvent être partagées sans restriction.

Comment utiliser le TLP

La aussi le FIRST vous fait des recommandations, notamment pour les e-mails il est recommandé de placer le feu utilisé directement dans l'objet de l'e-mail. Bon là pour le coup vous ne pourrez pas respecter le code couleur, mais respectez bien la casse !

Vous pouvez aussi si vous avez des salons de discussion sur Slack, Discord, Teams, Shadline ou autre, l'ajouter dans le nom des salons ajouter au début le feu qui sera utilisé pour toutes les discussions du salon. C'est d'ailleurs ce qui est fait sur le Shadline du CESIN[2].

Si vous souhaitez l'utiliser dans un document, vous devrez l'ajouter sur toutes les pages (ce qui va de soi en fait), même si le FIRST recommande une présence en entête et en pied de page, à mon sens l'un ou l'autre est suffisant. Autre recommandation pour les documents ne le mettez pas en tout petit ce n'est pas le but du tout du protocole. Vous devez le garder lisible et visible avec au minimum une taille de police de 12 px voir plus ça ne fera pas de mal.

Conseil dans un document n'hésitez pas en préambule à rappeler ce qu'est le TLP en reprenant les informations sur le site du FIRST comme je l'ai fait au-dessus, ainsi si votre interlocuteur ne connait pas TLP, il ne risque pas de diffuser l'information trop largement en fonction du feu choisi.

Pourquoi utiliser TLP ?

Alors utiliser TLP, c'est utiliser au final un protocole simple et connue d'un grand nombre des acteurs de la cybersécurité. Il est simple à comprendre et la mise en oeuvre reste simple. Vous pourrez donc rapidement le mettre en application sur vos documents et autres communication.

L'idée c'est aussi d'indiquer clairement à un destinataire de document s'il peut largement le diffuser ou pas, par exemple un audit de sécurité est souvent communiqué en TLP:AMBER.

Conclusion

On va être honnête j'ai appris ce qu'était le TLP via des documents reçus qui l'utilisaient et lors de mon arrivé au CESIN. Et c'est vraiment un outil génial et ultra simple à mettre en oeuvre, comme vous pouvez vous en rendre compte sur le site du FIRST cela tien en une toute petite page web : https://www.first.org/tlp/

Liens :

[1] : https://www.first.org/
[2] : https://www.cesin.fr/

Crédit photo : Image de gstudioimagen sur Freepik