Le Security Content Automation Protocol (SCAP) est un protocole regroupant un ensemble de standards dans le but d'uniformiser et faciliter l'automatisation de la gestion des vulnérabilités ainsi que la mesure et l'évaluation de politique de conformité d'un système déployé dans une organisation.

SCAP est publié par le National Institute of Standards and Technology (NIST). Un exemple d'implémentation de SCAP est OpenSCAP^[1].

Pour se protéger des menaces de cybersécurité, les organisations ont un besoin constant de surveiller les systèmes et les applications qu'elles déploient.

SCAP regroupe un ensemble de standards ouverts largement utilisés dans les cycles logiciels et les problèmes de configuration relatant la sécurité des systèmes d'information.

Le protocole SCAP définit comment ces différents standards (aussi appelés composant SCAP) sont combinés.

Langages

• Extensible Configuration Checklist Description Format (XCCDF)
• Open Vulnerability and Assessment Language (en) (OVAL)
• Open Checklist Interactive Language (OCIL)
• Asset Identification (AID)
• Asset Reporting Format (ARF)

Schéma d’Identification

• Common Configuration Enumeration (CCE)
• Common Platform Enumeration (CPE)
• Common Vulnerabilities and Exposures (CVE)
• Software Identification (SWID) Tags

Métriques

• Common Vulnerability Scoring System (CVSS)
• Common Configuration Scoring System (CCSS)

Intégrité

• Trust Model for Security Automation Data (TMSAD)

• SCAP 1.0 a été publié en novembre 2009, elle comprend les standards XCCDF, OVAL, CCE, CPE, CVE et CVSS.
• SCAP 1.1 a été publié en février 2011, elle vient ajouter le standard OCIL
• SCAP 1.2 a été publié en septembre 2011, elle vient ajouter les standards AI, ARF, CCSS et TMSAD
• SCAP 1.3 a été publié en février 2018, elle vient ajouter le standard SWID
• SCAP v2 La version 2 du protocole SCAP est en préparation.

Il permettra de surveiller et signaler l'état de l'installation et de la configuration du logiciel au fur et à mesure que cet état se modifie. Le reporting événementiel sera utilisé pour prendre en charge l'inventaire logiciel et la gestion des vulnérabilités.

SCAP sera également étendu pour inclure des protocoles de transport permettant la communication sécurisée et interopérable des informations d'automatisation de la sécurité.

SCAP v2 adoptera des standards internationaux pour résoudre les problèmes et les lacunes de SCAP v1.

• Notices d'autorité :

  • LCCN
  • Israël
• (en) https://csrc.nist.gov/projects/Security-Content-Automation-Protocol
• (en) https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol-v2

• Portail de la sécurité des systèmes d'information