TLP
Qu'est-ce que TLP ?
TLPTLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
Le Traffic Light Protocol (TLP) est un systeme de marquage non technique en quatre couleurs, standardise par FIRST et utilise par les CSIRT, ISAC et gouvernements du monde entier. Les niveaux actuels de TLP 2.0 sont CLEAR (anciennement WHITE, partage sans restriction), GREEN (communaute), AMBER (limite a l'organisation du destinataire et a ses clients selon le besoin d'en connaitre), AMBER+STRICT (organisation du destinataire uniquement) et RED (destinataires nommes uniquement, sans redistribution). TLP n'impose pas de controle technique : il etablit des attentes communes pour que les analystes echangent des informations sensibles sans ambiguite. Les etiquettes apparaissent dans les entetes, les markings STIX et les niveaux de diffusion MISP.
● Exemples
- 01
Un bulletin CERT marque TLP:AMBER+STRICT doit rester dans l'organisation destinataire.
- 02
Un event MISP tague TLP:GREEN peut circuler au sein d'une communaute sectorielle.
● Questions fréquentes
Qu'est-ce que TLP ?
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie TLP ?
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
Comment fonctionne TLP ?
Le Traffic Light Protocol (TLP) est un systeme de marquage non technique en quatre couleurs, standardise par FIRST et utilise par les CSIRT, ISAC et gouvernements du monde entier. Les niveaux actuels de TLP 2.0 sont CLEAR (anciennement WHITE, partage sans restriction), GREEN (communaute), AMBER (limite a l'organisation du destinataire et a ses clients selon le besoin d'en connaitre), AMBER+STRICT (organisation du destinataire uniquement) et RED (destinataires nommes uniquement, sans redistribution). TLP n'impose pas de controle technique : il etablit des attentes communes pour que les analystes echangent des informations sensibles sans ambiguite. Les etiquettes apparaissent dans les entetes, les markings STIX et les niveaux de diffusion MISP.
Comment se défendre contre TLP ?
Les défenses contre TLP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de TLP ?
Noms alternatifs courants : Protocole feu tricolore, TLP 2.0.
● Termes liés
- defense-ops№ 1105
STIX
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
- defense-ops№ 684
MISP
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
- defense-ops№ 1133
TAXII Protocol
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
- defense-ops№ 771
OTX
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.