SCAP est l'acronyme de Security Content Automation Protocol. Son objectif est d'appliquer une norme de sécurité déjà acceptée aux organisations qui n'en ont pas actuellement ou dont les implémentations sont faibles.
En d’autres termes, il permet aux administrateurs de la sécurité d’analyser des ordinateurs, des logiciels et d’autres périphériques sur la base d’une base de sécurité prédéterminée afin de déterminer si les correctifs de configuration et de logiciels sont mis en œuvre conformément au standard auquel ils sont comparés.
La base de données nationale sur les vulnérabilités (NVD) est le référentiel de contenu gouvernemental américain pour SCAP.
Remarque: Certaines normes de sécurité similaires à SCAP incluent SACM (Security Automation and Continuous Monitoring), CC (Critères communs), SWID (Identification de logiciel) et FIPS (Federal Information Processing Standards).
SCAP a deux composants principaux
Le protocole Security Content Automation Protocol comprend deux parties principales:
Contenu SCAP
Les modules de contenu SCAP sont des contenus librement disponibles développés par l'Institut national des normes et des technologies (NIST) et ses partenaires du secteur. Ils sont fabriqués à partir de configurations "sécurisées" agréées par le NIST et ses partenaires SCAP.
Un exemple serait la configuration de Federal Desktop Core, qui est une configuration renforcée pour la sécurité de certaines versions de Microsoft Windows. Le contenu sert de base pour la comparaison des systèmes analysés par les outils d'analyse SCAP.
Scanners SCAP
Un scanner SCAP est un outil qui compare la configuration et / ou le niveau de correctif d’un ordinateur ou d’une application cible à ceux de la ligne de base du contenu SCAP.
L'outil notera les écarts et produira un rapport. Certains scanners SCAP ont également la capacité de corriger l'ordinateur cible et de le mettre en conformité avec la norme de base.
Il existe de nombreux scanners SCAP commerciaux et à source ouverte disponibles en fonction des fonctionnalités souhaitées. Certains scanners sont destinés à une analyse au niveau de l'entreprise, tandis que d'autres sont destinés à un usage individuel sur un PC.
Vous pouvez trouver une liste des outils SCAP sur NVD. ThreatGuard, Tenable, Red Hat et IBM BigFix sont des exemples de produits SCAP.
Les éditeurs de logiciels dont le produit doit être validé comme étant conforme à SCAP peuvent contacter un laboratoire de validation SCAP accrédité par NVLAP.
