Disponible depuis plusieurs années, le protocole SCAP (Security Content Automation Protocol) est de plus en plus utilisé aux Etats-Unis mais aussi en Europe. Ses spécifications visent à faciliter et automatiser les échanges d’informations entre les outils de sécurité pour tous les types d’équipements connectés au réseau : inventaire, vulnérabilités, éléments de configuration et de durcissement. Régulièrement mis à jour et amélioré, le protocole s’adapte aux nouveaux besoins. SCAP est très intéressant pour mettre en place un suivi continu et le plus exhaustif possible de la sécurité opérationnelle. Cet article donne quelques clés pour comprendre l’intérêt de ce protocole et les mises en œuvre possibles.
La gestion des vulnérabilités et de leurs correctifs fait partie des fondamentaux de la sécurité opérationnelle. Les CVE sont utilisés depuis longtemps pour identifier et catégoriser les vulnérabilités publiques. La première liste CVE a été lancée par un groupe de travail issu du MITRE en 1999, connu aussi pour son catalogue ATT&CK beaucoup utilisé en CTI. Le FIRST, association de CSIRT très actif dans le domaine des vulnérabilités publie et met à jour le système CVSS qui fixe une note de criticité pour chaque vulnérabilité en fonction de paramètres déterminés par les spécifications. Le FIRST propose aussi depuis 2019 l’indicateur EPSS (Exploit Prediction Scoring System) pour évaluer la vraisemblance qu’une vulnérabilité puisse être exploitée. Le modèle a été présenté lors d’un Black Hat aux Etats-Unis. L’objectif est de mieux prioriser les processus de remédiation qui peuvent être lourds dans des groupes aux systèmes d’information complexes et répartis dans de nombreuses filiales et pays. Ce type de scoring est un exemple de mesure quantitative du risque, mis en œuvre par exemple dans la méthode FAIR.
