SCAP (Security Content Automation Protocol) est un protocole utilisé aux États-Unis et en Europe. Il a pour vocation de servir de passerelle / pont entre les différents outils de sécurité pour tous les types d’équipements connectés au réseau : inventaire, vulnérabilités, éléments de configuration et de durcissement, cela en facilitant et automatisant les échanges d’informations. Cet outil est intéressant pour instaurer un suivi continu et exhaustif de la sécurité opérationnelle.
https://www.prosica.fr/blog/49-le-protocole-scap-security-content-automation-protocol.html définie les aspects du protocole :
Langages communs (XCCDF, OCIL, OVAL) pour mettre en forme les informations : checklists de sécurité, rapports, états de configuration, imports d’informations pertinentes à partir d’autres sources. OVAL (Open Vulnerability and Assessment Language) par exemple, propose une standardisation pour industrialiser les activités de gestion des vulnérabilités, des correctifs et de mise en conformité.
Formats (ARF, AI) pour l’identification des composants (modèles de données pour définir des identifiants uniques pour tous les composants du système d’information).
Schémas de données (CPE, SWID, CCE, CVE) pour les inventaires des systèmes et des applications, les configurations de sécurité et les vulnérabilités publiques. SWID (Software Identification) apporte ainsi des bénéfices dans le cadre de la gestion des licences, des vulnérabilités logicielles et des points de durcissements applicatifs. Ces éléments ne sont pas liés à un éditeur ou un fournisseur spécifique.
Systèmes de scores (CCSS, CVSS) pour mesurer les sévérités des vulnérabilités et des faiblesses de configuration. CVSS propose, par exemple, trois scores de sévérité : basique, temporel (en fonction de l’évolution de la vulnérabilité dans le temps, par exemple, exploitation publique disponible) et environnemental (au regard du contexte d’utilisation du système).
Intégrité (TMSAD) pour les signatures électroniques (mise en forme sous format XML des informations liées aux schémas de signatures, hash – empreintes, clés cryptographiques)