Disponible depuis plusieurs années, le protocole SCAP (Security Content Automation Protocol) est de plus en plus utilisé aux Etats-Unis mais aussi en Europe. Ses spécifications visent à faciliter et automatiser les échanges d’informations entre les outils de sécurité pour tous les types d’équipements connectés au réseau : inventaire, vulnérabilités, éléments de configuration et de durcissement. Régulièrement mis à jour et amélioré, le protocole s’adapte aux nouveaux besoins. SCAP est très intéressant pour mettre en place un suivi continu et le plus exhaustif possible de la sécurité opérationnelle. Cet article donne quelques clés pour comprendre l’intérêt de ce protocole et les mises en œuvre possibles.

Les spécifications du protocole

SCAP est assez largement utilisé et fait partie des basiques à connaitre pour les professionnels de la sécurité, par exemple dans le cadre du programme de la certification CISSP.

Le protocole définit les aspects suivants :

• Langages communs (XCCDF, OCIL, OVAL) pour mettre en forme les informations : checklists de sécurité, rapports, états de configuration, imports d’informations pertinentes à partir d’autres sources. OVAL (Open Vulnerability and Assessment Language) par exemple propose une standardisation pour industrialiser les activités de gestion des vulnérabilités , des correctifs et de mise en conformité.
• Formats (ARF, AI) pour l’identification des composants (modèles de données pour définir des identifiants uniques pour tous les composants du système d’information).
• Schémas de données (CPE, SWID, CCE, CVE) pour les inventaires des systèmes et des applications, les configurations sécurité et les vulnérabilités publiques. SWID (Software Identification) apporte ainsi des bénéfices dans le cadre de la gestion des licences, des vulnérabilités logicielles et des points de durcissements applicatifs. Ces éléments ne sont pas liés à un éditeur ou un fournisseur spécifique.
• Systèmes de scores (CCSS, CVSS) pour mesures les sévérités des vulnérabilités et des faiblesses de configuration. CVSS définit 4 scores de sévérité : basique, menace, environemental et supplémentaire. 
• Intégrité (TMSAD) pour les signatures électroniques (mise en forme sous format XML des informations liées aux schémas de signatures, hash – empreintes, clés cryptographiques).

Les améliorations

Les points ajoutés dans la deuxième version (SCAP v2) étendent son périmètre aux équipements réseaux, aux objets connectés (IoT) et aux appareils mobiles (smartphones, tablettes). L’intégration avec des protocoles de supervision réseaux vise à automatiser la fourniture des rapports. L’architecture SCAP comprend :

• Les composants du système d’information.
• Un serveur de collecte avec une possibilité d’interfaçage avec les outils de gestion CMDB (Configuration Management Database) quand ils existent. Ce point de collecte gère les accès aux composants en s’appuyant sur des protocoles standards comme NEA (Network Endpoint Assessment), SNMP (Simple Network Management Protocol) NETCONF (Network Configuration Protocol) ou encore MDM (Mobile Device Management) pour les tablettes et les smartphones.
• Un serveur de réconciliation. L’intérêt de ce serveur est de découpler la fonction de collecte et la fonction de gestion des données. Le serveur peut être répliqué en plusieurs points du système d’information et récupérer des informations d’autres bases pour les comparer. C’est cet équipement qui envoie les requêtes de demande de mise à jour au serveur de collecte.
• Un serveur hébergeant les contenus SCAP (checklists de configuration, vulnérabilités, tags SWID…) avec des possibilités de mises à jour automatiques avec les solutions ou les sites centralisant les informations (NIST, CIS, éditeurs de solutions de sécurité…).

Comme tout protocole, l’utilisation de SCAP est liée à la demande des grands groupes et à l’efficacité des solutions de sécurité compatibles. Les bénéfices sont réels pour améliorer et industrialiser des processus qui restent compliqués à mettre en œuvre, en particulier la gestion des vulnérabilités (vecteur PR-IP12 du référentiel de cybersécurité) et le durcissement des systèmes (security hardening). Un autre bénéfice pour les équipes qui gèrent de grosses infrastructures (hébergeurs et fournisseurs Cloud de services IaaS en particulier) réside dans l’intégration avec les outils et les processus ITIL en place. Cela rejoint d’autres initiatives pour harmoniser les référentiels de sécurité (OSCAL par exemple). Enfin, un inventaire sécurité, détaillé et à jour est très appréciable et fait gagner beaucoup de temps dans le cadre de la réponse aux incidents de sécurité. L'automatisation des taches dans ce processus est facilité par l'utilisation des outils de type SOAR.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :