Marquage TLP et PAP : FAQ


Version 1 (16/11/2022)

1. Foire aux questions

Sont listées ci-dessous les questions les plus courantes pouvant se poser au sujet de la politique de marquage des informations opérationnelles de l’ANSSI.

Cliquez sur les questions pour afficher les réponses.

1. Les informations reçues peuvent-elles être utilisées pour la protection de tout type de système d’information (ci-après « SI ») (ex. : SI d’importance vitale ou non, SI essentiel ou non) ?

Oui, à condition de respecter les exigences liées aux marquages TLP et PAP et de s’assurer de la pertinence d’emploi.

2. Pour la protection des SI de mon entité, les informations reçues peuvent-elles être diffusées à un prestataire (de détection, de réponse à incidents) ?
TLP:CLEAR TLP:GREEN TLP:AMBER TLP:RED
Oui, quel que soit le prestataire. Oui, quel que soit le prestataire pour la protection exclusive des SI de l’entité. Oui, quel que soit le prestataire pour la protection exclusive des SI de l’entité. Non, sauf si la prestation est assurée par des ressources en régie.

⚠  Attention : le prestataire ne bénéficie d’aucun droit de repartage, notamment avec d’autres clients, hormis pour le marquage TLP:CLEAR.  ⚠

3. Les informations reçues peuvent-elles être diffusées à une entité de tutelle (Groupe) ou une entité filiale ?
TLP:CLEAR TLP:GREEN TLP:AMBER TLP:RED
Oui Oui Oui Non

⚠ Attention : si l’entité de tutelle ou l’entité filiale souhaite à son tour diffuser une information TLP:AMBER, elle doit en demander l’autorisation expresse à l’ANSSI. ⚠

4. Est-il possible de communiquer l’information reçue aux fournisseurs critiques de ma supply-chain (identifiés dans le cadre de mon appréciation des risques), pouvant avoir un impact sur la continuité de service ou la sécurité de mon entreprise ?
TLP:CLEAR TLP:GREEN TLP:AMBER TLP:RED
Oui Oui Non, sauf s’il existe un cadre contractuel entre le bénéficiaire et son fournisseur
engageant les deux parties à garantir les contraintes de diffusion et d’utilisation définies par l’ANSSI
Non

⚠  Attention : le fournisseur ne bénéficie d’aucun droit de repartage hormis pour le marquage TLP:CLEAR.  ⚠

5. Les informations reçues peuvent-elles être stockées ou utilisées en clair sur une infrastructure (IaaS) ou un service (SaaS) cloud public dédié à l’investigation, l’exploitation des journaux ou à la détection ?
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Oui Oui

⚠ Attention : cette infrastructure d’investigation ou de détection doit être cloisonnée du parc supervisé, potentiellement compromis.  ⚠

6. Les informations reçues peuvent-elles être utilisées pour faire des recherches sur un parc en production, y compris dans le cloud ?
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Oui Non
7. Les informations reçues peuvent-elles être utilisées à travers une solution locale de détection et de réponse (ex. : Endpoint detection response) déployé sur des postes ou des serveurs de production ?
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Oui pour la détection

Non pour le blocage
Non
8. Les recherches ou soumissions en source ouverte avec les informations reçues sont-elles autorisées ?
  • S’agissant des recherches (ex. : utiliser des moteurs de recherche ou des bases publiques accessibles sur Internet pour pivoter sur les informations reçues) :
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Oui Non

 

  • S’agissant des soumissions des informations reçues ou des fichiers les contenant, sur des services en ligne d’analyse, pouvant partager ces informations ou les résultats de ces analyses (ex. : Virus Total, urlscan, sandbox en ligne) :
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Non Non

⚠ Attention, de manière générale toute base publique de connaissance dispose de conditions d’utilisation pouvant différer selon l’offre souscrite. Vous devez vous assurer que l’offre que vous avez souscrite s’engage à ce que vos recherches ne soient pas repartagées avec des tiers. ⚠

9. Les recherches avec les informations reçues dans des bases publiques déconnectées des réseaux publics sont-elles autorisées (ex. : base publique répliquée sur une infrastructure non connectée à Internet) ?
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Oui Oui
10. Le blocage de flux réseau ou applicatif, sur la base des informations reçues, est-il possible (ex. : blocage d’une adresse IP sur un pare-feu ou d’une adresse Web sur un serveur mandataire) ?
PAP:CLEAR PAP:GREEN PAP:AMBER PAP:RED
Oui Oui Non Non
11. Est-il possible d’utiliser des informations reçues en PAP:RED sur un poste dédié et déconnecté du SI de production (et non exposé sur un réseau public) ?

Oui, cela peut être assimilé à une infrastructure dédiée aux investigations numériques ou à la détection.

12. Comment l’ANSSI considère-t-elle les informations marquées uniquement d’un TLP qu’elle reçoit de tiers ?

L’ANSSI applique l’interprétation de son marquage TLP/PAP uniquement aux informations qu’elle produit. Les informations reçues de l’extérieur et uniquement marquées d’un TLP seront interprétées conformément à la définition du FIRST. Toutefois l’ANSSI encourage ses partenaires à préciser les conditions d’utilisation de l’information communiquée en y apposant un PAP ou en indiquant dans cette communication quelles en sont les limites.

2. Quelques cas d’usage

Afin de faciliter la prise en main de la politique de marquage, quelques cas d’usage sont illustrés dans les tableaux ci-dessous. Pour chaque cas considéré de réception d’une information marquée TLP/PAP, il est précisé, qui peut utiliser l’information et sur quel périmètre.

Chasse sur parc (hunting)
TLP:CLEAR
PAP:CLEAR
Qui ? N’importe qui TLP:AMBER
PAP:AMBER
Qui ? Le bénéficiaire ou un prestataire
Où ? N’importe où Où ? Sur toute son infrastructure
TLP:GREEN
PAP:GREEN
Qui ? Un membre de la communauté TLP:AMBER
PAP:RED
Qui ? Le bénéficiaire ou un prestataire
Où ? Sur toute son infrastructure Où ? Sur un SI d’investigation dédié, par exemple après avoir effectué une collecte d’éléments d’intérêt
TLP:GREEN
PAP:AMBER
Qui ? Un membre de la communauté TLP:RED
PAP:AMBER
Qui ? Le bénéficiaire ou un prestataire en régie
Où ? Sur toute son infrastructure Où ? Sur toute son infrastructure
TLP:AMBER
PAP:GREEN
Qui ? Le bénéficiaire ou un prestataire TLP:RED
PAP:RED
Qui ? Le bénéficiaire ou un prestataire en régie
Où ? Sur toute son infrastructure Où ? Sur un SI d’investigation dédié, par exemple après avoir effectué une collecte d’éléments d’intérêt

Détection en temps réel
TLP:CLEAR
PAP:CLEAR
Qui ? N’importe qui TLP:AMBER
PAP:AMBER
Qui ? Le bénéficiaire ou un prestataire
Où ? N’importe où Où ? Sur l’infrastructure du bénéficiaire

Sur l’infrastructure cloud du bénéficiaire si un accord existe avec le prestataire prévoyant un contrôle exclusif de ses données par le bénéficiaire
TLP:GREEN
PAP:GREEN
Qui ? Un membre de la communauté TLP:AMBER
PAP:RED
Qui ? Le bénéficiaire ou un prestataire
Où ? Sur toute son infrastructure Où ? Sur un réseau d’investigation dédié
TLP:GREEN
PAP:AMBER
Qui ? Un membre de la communauté TLP:RED
PAP:AMBER
Qui ? Le bénéficiaire ou un prestataire en régie
Où ? Sur toute son infrastructure Où ? Sur l’infrastructure du bénéficiaire

Sur l’infrastructure cloud du bénéficiaire si un accord existe avec le prestataire prévoyant un contrôle exclusif de ses données par le bénéficiaire
TLP:AMBER
PAP:GREEN
Qui ? Le bénéficiaire ou un prestataire TLP:RED
PAP:RED
Qui ? Le bénéficiaire ou un prestataire en régie
Où ? Sur toute son infrastructure Où ? Sur un réseau d’investigation dédié

Blocage en temps réel
TLP:CLEAR
PAP:CLEAR
Qui ? N’importe qui TLP:AMBER
PAP:AMBER
Qui ? N/A
Où ? N’importe où Où ? N/A
TLP:GREEN
PAP:GREEN
Qui ? Un membre de la communauté TLP:AMBER
PAP:RED
Qui ? N/A
Où ? Sur toute son infrastructure Où ? N/A
TLP:GREEN
PAP:AMBER
Qui ? N/A TLP:RED
PAP:AMBER
Qui ? N/A
Où ? N/A Où ? N/A
TLP:AMBER
PAP:GREEN
Qui ? Le bénéficiaire ou un prestataire TLP:RED
PAP:RED
Qui ? N/A
Où ? Sur toute son infrastructure Où ? N/A

 
 
RETOUR VERS LA POLITIQUE DE PARTAGE ET D’UTILISATION