Partage d'informations DORA : échange de renseignements sur les cybermenaces
Le cinquième pilier de DORA encourage les entités financières à partager des informations et des renseignements sur les cybermenaces. Contrairement aux quatre autres piliers, le partage d'informations est volontaire, mais le règlement établit un cadre pour faciliter l'échange de confiance entre les acteurs du secteur financier.
Le partage de renseignements sur les menaces permet une détection plus rapide des attaques émergentes, des améliorations de la défense collective et une réduction de la duplication des efforts à travers le secteur.
Points clés
| Point | Résumé |
|---|---|
| Participation volontaire | Le partage d'informations est encouragé mais non obligatoire |
| Communautés de confiance | Le partage se fait entre entités ayant des intérêts compatibles |
| Types de contenu | Indicateurs de compromission, tactiques, techniques, alertes et outils de mitigation |
| Garanties requises | Doit protéger les informations confidentielles et les données personnelles |
| Notification réglementaire | Les participants doivent notifier leur autorité compétente |
Réponse rapide : DORA encourage les entités financières à participer volontairement à des arrangements de partage de renseignements sur les cybermenaces. Les participants peuvent échanger des indicateurs de compromission, des tactiques et techniques d'attaque, des alertes de sécurité et des outils de mitigation au sein de communautés de confiance. Bien que le partage soit volontaire, les participants doivent notifier leur autorité compétente, protéger les informations confidentielles et se conformer aux exigences de protection des données.
Pourquoi le partage d'informations est important
Le secteur financier fait face à des cybermenaces sophistiquées et coordonnées. Les attaquants ciblent souvent plusieurs institutions en utilisant des techniques similaires. Le partage d'informations offre plusieurs avantages :
| Avantage | Description |
|---|---|
| Détection plus précoce | Identifier les menaces ciblant vos pairs avant qu'elles ne vous atteignent |
| Défense collective | Améliorer la sécurité à travers le secteur en apprenant des autres |
| Réduction de la duplication | Éviter les efforts redondants d'analyse des menaces |
| Réponse plus rapide | Réagir plus rapidement aux schémas d'attaque émergents |
| Enrichissement du renseignement | Combiner les observations pour une meilleure compréhension des menaces |
Ce qui peut être partagé
L'article 45 de DORA spécifie les types d'informations qui peuvent être partagées au sein des communautés de confiance :
Renseignement sur les menaces
| Type | Exemples |
|---|---|
| Indicateurs de compromission (IOC) | Adresses IP malveillantes, noms de domaine, hashs de fichiers, URLs |
| Tactiques, techniques et procédures (TTP) | Méthodologies et comportements des attaquants |
| Alertes de sécurité | Avertissements sur les menaces ou campagnes actives |
| Informations sur les vulnérabilités | Détails des faiblesses exploitées ou exploitables |
| Renseignement sur les acteurs de la menace | Informations sur les groupes adverses et leurs motivations |
Ressources de mitigation
| Type | Exemples |
|---|---|
| Informations de configuration | Paramètres de sécurité recommandés |
| Règles de détection | Règles SIEM, règles YARA, signatures Snort |
| Outils de mitigation | Scripts, correctifs ou outils pour traiter les menaces |
| Bonnes pratiques | Recommandations pour améliorer la défense |
Arrangements de partage d'informations
Communautés de confiance
Le partage d'informations sous DORA se fait au sein de communautés de confiance d'entités financières ayant :
- Des intérêts et profils de risque compatibles
- Des relations de confiance appropriées
- Un engagement partagé pour une utilisation responsable
- Une capacité technique pour recevoir et traiter le renseignement
Cadre des arrangements
La participation implique généralement :
| Élément | Description |
|---|---|
| Critères d'adhésion | Qui peut participer |
| Règles de fonctionnement | Comment le partage fonctionne |
| Engagements de confidentialité | Protection des informations partagées |
| Restrictions d'utilisation | Utilisations permises du renseignement reçu |
| Infrastructure technique | Plateformes et protocoles d'échange |
Communautés existantes
Les entités financières peuvent participer à des communautés de partage établies :
- ISAC (Information Sharing and Analysis Centers) nationaux du secteur financier
- Groupes de partage du secteur financier européen
- Plateformes commerciales de renseignement sur les menaces
- Communautés de partage sponsorisées par des éditeurs
Garanties et protections
Protection de la confidentialité
Les informations partagées doivent être protégées de manière appropriée :
| Protection | Description |
|---|---|
| Confidentialité commerciale | Secrets commerciaux et informations concurrentielles |
| Sécurité opérationnelle | Détails qui pourraient aider les attaquants |
| Protection des sources | Identité des entités déclarantes quand demandé |
| Données personnelles | Conformité au RGPD et aux exigences de protection des données |
Traffic Light Protocol
De nombreuses communautés de partage utilisent le Traffic Light Protocol (TLP) pour indiquer la distribution permise :
| Niveau TLP | Distribution |
|---|---|
| TLP:RED | Destinataires nommés uniquement |
| TLP:AMBER | Distribution limitée au sein de l'organisation |
| TLP:GREEN | Distribution à l'échelle de la communauté |
| TLP:CLEAR | Distribution non restreinte |
Protection des données
Lorsque les informations partagées contiennent des données personnelles :
- Une base légale pour le traitement doit exister
- Les principes de minimisation des données s'appliquent
- La limitation des finalités doit être respectée
- Les droits RGPD doivent être accommodés
Notification réglementaire
Exigence de notification
Les entités financières participant à des arrangements de partage d'informations doivent notifier leur autorité compétente de leur participation.
La notification doit inclure :
- L'arrangement ou la communauté de partage
- Les types d'informations échangées
- Les règles opérationnelles régissant la participation
- Les garanties mises en œuvre
Partage réglementaire
Les autorités compétentes et les AES peuvent elles-mêmes partager des informations pertinentes sur les cybermenaces avec les entités financières pour :
- Alerter sur les menaces significatives
- Coordonner les réponses à l'échelle du secteur
- Soutenir la défense collective
Considérations de participation
Avantages de la participation
| Avantage | Impact |
|---|---|
| Visibilité sur les menaces | Conscience plus précoce des menaces pertinentes |
| Défense collective | Bénéficier des observations à l'échelle du secteur |
| Effets de réseau | La valeur augmente avec la participation |
| Alignement réglementaire | Démontre une posture de sécurité proactive |
Défis à traiter
| Défi | Mitigation |
|---|---|
| Préoccupations de confidentialité | Accords clairs sur l'utilisation et la distribution |
| Besoins en ressources | Commencer par la consommation avant la contribution |
| Variabilité de la qualité | Participer à des communautés sélectionnées |
| Incertitude juridique | Termes clairs et notification réglementaire |
Évaluation de la préparation
Avant de participer, évaluez votre préparation :
- Pouvez-vous consommer et agir sur le renseignement sur les menaces ?
- Avez-vous des ressources pour contribuer ?
- Des contrôles de confidentialité appropriés sont-ils en place ?
- La direction est-elle informée et favorable ?
Opérationnaliser le partage d'informations
Capacité de consommation
Pour bénéficier du renseignement partagé :
| Capacité | Description |
|---|---|
| Ingestion | Capacité de recevoir le renseignement dans des formats standards |
| Intégration | Connexion aux outils de surveillance de sécurité |
| Analyse | Capacité d'évaluer la pertinence et la fiabilité |
| Action | Processus pour répondre au renseignement pertinent |
Capacité de contribution
Pour contribuer efficacement :
| Capacité | Description |
|---|---|
| Détection | Capacité d'identifier les menaces valant la peine d'être partagées |
| Attribution | Marquage et contexte appropriés |
| Anonymisation | Suppression des informations sensibles |
| Distribution | Moyens techniques de partage |
Standards techniques
Des standards communs facilitent le partage :
- STIX : Structured Threat Information eXpression
- TAXII : Trusted Automated eXchange of Intelligence Information
- MISP : Malware Information Sharing Platform
- OpenIOC : Open Indicators of Compromise
Questions fréquentes
Le partage d'informations est-il obligatoire sous DORA ?
Non. Contrairement aux quatre autres piliers, le partage d'informations est volontaire. DORA établit un cadre pour faciliter le partage mais n'exige pas la participation.
Peut-on participer à plusieurs communautés de partage ?
Oui. Les entités financières peuvent participer à plusieurs arrangements. Assurez-vous de pouvoir respecter les engagements de chacun et gérer la confidentialité de manière appropriée entre les communautés.
Que faire si les informations partagées révèlent nos vulnérabilités ?
Partagez des informations correctement anonymisées. Concentrez-vous sur les attaques observées plutôt que sur les vulnérabilités spécifiques de vos systèmes. Utilisez les marquages TLP pour contrôler la distribution.
Comment commencer à participer ?
Commencez par consommer le renseignement avant de vous engager à contribuer. Rejoignez des communautés établies appropriées à votre secteur et votre taille. Développez la capacité interne de traiter et d'agir sur le renseignement.
Le partage crée-t-il une responsabilité ?
Des accords clairs doivent définir les termes de responsabilité. Le partage de bonne foi d'informations exactes à des fins de sécurité est généralement protégé, mais consultez un conseiller juridique concernant les arrangements spécifiques.
Comment Bastion peut vous aider
Bastion accompagne les entités financières dans le développement de capacités de partage d'informations :
- Évaluation de la préparation : Évaluation de la capacité actuelle à participer au partage
- Identification des communautés : Conseils sur les communautés de partage appropriées
- Conception opérationnelle : Développement de processus de consommation et de contribution
- Intégration technique : Connexion du renseignement sur les menaces aux opérations de sécurité
- Gouvernance : Politiques et procédures pour un partage responsable
Prêt à explorer le partage de renseignements sur les cybermenaces ? Parlez à notre équipe
Sources
- Article 45 de DORA - Arrangements de partage d'informations sur les cybermenaces et le renseignement
- Standard TLP de FIRST - Traffic Light Protocol pour le partage d'informations
- Projet MISP - Plateforme open source de renseignement sur les menaces