Les normes de facto sont adoptées, reconnues et largement utilisées par l’industrie et ses clients, et ne sont pas officiellement approuvées par les SDO.
Il existe des normes de facto pour les équipes de sécurité, y compris les équipes de réponses aux incidents de cybersécurité (CSIRT) et les équipes de réponse aux incidents de sécurité des produits (PSIRT). Par exemple :
Cette norme fournit un ensemble de règles hautement pragmatique et mondialement accepté en matière de partage de l’information. Cette norme est adoptée par les équipes accréditées par TI pour tout le partage d’informations.
Ressource : définitions du Traffic Light Protocol
TLP :ROUGE = Pas de diffusion, informations exclusivement destinées aux participants
TLP : ORANGE = Divulgation limitée aux organisations des participants
TLP : VERT = Diffusion limitée, informations destinées à la communauté
TLP :BLANC = Informations libres de diffusion
En utilisant le modèle ou le formulaire de cette norme, un CSIRT peut communiquer à ses membres les services qu’il propose, sa politique et ses procédures, et les attentes de l’équipe de ses membres. Depuis mai 2009, il est obligatoire de remplir et de publier le formulaire RFC-2350 pour les équipes accréditées par TI.
FIRST, avec le soutien de la communauté des Groupes de travail CSIRT (TF-CSIRT) et de l’Union Internationale des Télécommunications (UIT), gère l’infrastructure des Services CSIRT. L’infrastructure fournit une liste complète des services que les CSIRT pourraient éventuellement fournir à ses membres.
SIM3 prend en charge la mesure de maturité de la réponse à un incident ou de l’équipe de sécurité, en fonction de quatre critères : organisation, aspects humains, outils et processus. Ce modèle prend en charge l’infrastructure de Certification TI et est utilisé dans l’auto-évaluation des équipes.
Le code fournit des conseils relatifs aux exigences en termes informationnels, de coopération, de gestion juridique et de gestion des vulnérabilités. L’utilisation du Code de pratiques de TI CSIRT est recommandée, mais facultative pour les équipes accréditées TI
La taxonomie fournit une classification et des exemples d’incidents de sécurité, ainsi qu’une description/explication. Des travaux plus approfondis sont nécessaires pour gérer la taxonomie et assister à la mise en œuvre de systèmes à double-ticket ou de systèmes de partage automatique pour l’utiliser.