jeudi 27 juin 2013

Produits de sécurité : le référentiel SCAP du Homeland Security (DHS)

Si le DHS (Department of Homeland Security - Ministère américain de la sécurité intérieure) continue de faire monter en puissance le système Einstein 3 (1), il travaille de concert avec le NIST sur un autre facette de l'automatisation de la sécurité. SCAP alias Security Content Automation Protocol (Protocole automatique de contenu sécurité) doit permettre de définir un environnement de standards et de spécifications interopérables.


Plus simplement, SCAP permet de définir un référentiel commun donc des (bonnes) pratiques autour d'une méthodologie entièrement orientée vers la sécurité pour le matériel, le logiciel et les vulnérabilités. L'acquisition de nouveaux produits et la gestion des configurations qui est visée à travers cette initiative qui doit, justement, automatiser le plus possible ce processus "systèmes d'information" stratégique.

La version 1.2 de SCAP, la version actuelle, comprend une quinzaine d'items et de composants (2). Sur le principe des CESTI et du COFRAC en France, des laboratoires indépendants sont accrédités par le NIST afin de valider les produits de sécurité conformes aux exigences SCAP pour un usage gouvernemental. Pour le moment, 43 produits de 32 entreprises différentes ont été validés sur ce principe. Un nombre à rapprocher de la liste des produits qualifiés par l'ANSSI en France.

(1) système automatique fédéral de détection et de prévention des intrusions réseaux
(2) dont les spécifications techniques de SCAP - NIST SP 800-126 Rév. 2, les outils, les langages, l'énumération et les vulnérabilités, les métriques, etc.


Inspiré par :
http://gcn.com/articles/2013/06/17/nist-dhs-push-security-automation.aspx 

Aucun commentaire: