EMEA Compliance User Group

Avec plus de 70% des organisations reconnaissant que la formation des employés concernant les problématiques de sécurité est un risque majeur, il est de plus important que jamais que ces entreprises aient les moyens d’effectuer un suivi de l’état de la sensibilisation à la sécurité et de mesurer l’application des processus et contrôles non techniques.

CCS Assessment Manager v11.0 (CCS AM), un module de Control Compliance Suite, permet au client de valider si les procédures de sécurité de leur organisation sont bien comprises et appliquées et éventuellement répondre aux exigences réglementaires. Il permet aussi de valider que les employés ont bien compris leur rôles dans la prévention des risques liés à la sécurité informatique.

CCS Assessment Manager aide à évaluer la position de conformité IT et non IT de l’organisation en utilisant des évaluations à base de questionnaires. Les évaluations de CCS AM sont basées sur des questionnaires conformes au standard OCIL (Voir détails du standard ci-dessous) créés ou importés par les administrateurs CCS AM et ensuite distribués aux destinataires pour évaluation.

CCS AM est architecturé autour de plusieurs composants :

• CCS AM Server, qui fournit les services à différentes interfaces (Utilisateur et Administrateur)
• CCS AM Admin Win32 Client, utilisé pour la création des questionnaires
• CCS AM Web Portals (Admin), pour la gestion des évaluations (planification, attribution aux destinataires)
• CCS AM Web Portals (Utilisateur), pour recevoir les évaluations et répondre aux questionnaires

Nouveautés dans la console CCS Assessment Manager

Possibilité de créer et éditer des questionnaires au format OCIL

• Possibilité d’importer des questionnaires au format OCIL. Il est toujours possible d’importer des questionnaires au format CCS AM 10.5. Celui-ci sera converti au format OCIL.

Exemple de questionnaire : https://nvd.nist.gov/ocil/General-Mitre-OCIL-1.xml

Nouveautés dans le portail d’administration

Le portail administrateur de CCS Assessment Manager apporte des modifications dans l’interface facilitant l’utilisation de la console. Les administrateurs peuvent maintenant exécuter les tâches suivantes :

• Revoir et publier des questionnaires
• Lancer une évaluation, ajouter des destinataires
• Suivre la progression des réponses des destinataires
• Envoyer des rappels aux destinataires n’ayant pas encore répondus aux évaluations.
• Collecter et revoir les réponses
• Créer des rapports

Nouveautés dans le portail utilisateur

Délégation multi-niveau pour les évaluations de conformité

Le portail web de CCS AM vous permet de déléguer une évaluation que vous avez reçue. Lors de la réception des réponses, vous pouvez transmettre les réponses agrégées. Il est possible de paramétrer des dates butoirs de réponses. Il n’y a aucune limite dans le nombre de niveau de délégation.

• Possibilité d’accepter ou de réassigner les évaluations à d’autres personnes déléguées
• Possibilité de refuser une évaluation

En tant que destinataire, vous pouvez refuser une évaluation si le sujet n’est pas ou plus dans vos responsabilités. Cette option n’est disponible que dans le mode Evaluation de Conformité

• Support pour l’agrégation des réponses

Le portail utilisateur permet l’agrégation des résultats des différents délégués avant de soumettre la réponse globale à l’évaluation. Ceci n’est possible que dans le mode Evaluation de Conformité

• Possibilité de choisir la langue du portail utilisateur

Amélioration dans CCS Assessment Manager 11.0

CCS Assessment Manager 11.0 a été amélioré afin de supporter:

• CCS Assessment Manager 11.0 support le 2^eme niveau d’internationalisation du portail web utilisateur.
• CCS Assessment Manager 11.0 contient un kit d’installation commun pour le client CCS Assessment Manager et le serveur CCS Assessment Manager. Un paquet séparé existe pour l’installation du contenu, ISO compris.
• CCS Assessment Manager 11.0 contient des packs de langue suivants:
  • English
  • German
  • French
  • Spanish
  • Italian
  • Simplified Chinese
  • Japanese
  • Korean

CCS AM 11.0 adopte le format OCIL pour la structure des questionnaires. OCIL est un composant d’une norme appelée SCAP. Les paragraphes suivants décrivent brièvement la norme et le composant OCIL.

Security Content Automation Protocol (SCAP)

SCAP (Security Content Automation Protocol) est une synthèse de cahier de spécifications interopérable tiré d'idées communautaires. La participation communautaire est une grande force pour SCAP, parce que la communauté de sécurité assure que la plus large gamme possible de cas est reflétée dans les fonctionnalités SCAP.

SCAP (on prononce “es-cap”)  combine un certain nombre de standards ouverts qui sont utilisés pour énumérer les failles logiciels et les problèmes de configuration liées à la sécurité. Ils mesurent des systèmes pour trouver des vulnérabilités et offre des méthodes de calcul sur résultats afin d'évaluer l'impact possible. C'est une méthode pour l'utilisation de ces standards ouverts pour la gestion de la vulnérabilité, la mesure et l'évaluation automatisées de conformité des politiques. SCAP définit comment les normes suivantes (désignées sous le nom composants SCAP) sont combinées :

Composants SCAP

• Common Vulnerabilities and Exposures (CVE)
• Common Configuration Enumeration (CCE)
• Common Platform Enumeration (CPE)
• Common Vulnerability Scoring System (CVSS)
• Extensible Configuration Checklist Description Format (XCCDF)
• Open Vulnerability and Assessment Language (OVAL)

Amélioration dans SCAP version 1.1

• Open Checklist Interactive Language (OCIL) Version 2.0

Amélioration dans SCAP version 1.2

• Asset Identification
• Asset Reporting Format (ARF)
• Common Configuration Scoring System (CCSS)
• Trust Model for Security Automation Data (TMSAD)

Open Checklist Interactive Language (OCIL)

OCIL (Open Checklist Interactive Language)  définit une structure pour exprimer une suite de questions présentée à un utilisateur et les procédures associées pour interpréter les réponses. Bien qu’OCIL ait été développée pour une utilisation dans un contexte de contrôle de sécurité IT, l’utilisation d’OCIL n’est en aucun cas limitée à cet unique cas. Les autres utilisations sont les enquêtes, examen, suivi de projet.

Dans la sécurité IT, les organisations s’appuient sur des politiques de sécurité qui détaillent l’information qui doit être sécurisée et les procédures associées permettant de le protéger. Pour vérifier la conformité de ces règles de sécurité, les agences fédérales américaines ont déjà implémentées des technologies de sécurité qui support SCAP. OCIL est considérée comme un composant émergeant et n’est donc inclus dans SCAP que depuis la version 1.1. OCIL peut de toute façon être utilisée en conjonction avec d’autre composants de SCAP comme XCCDF pour supporter les cas ou des langages de contrôle bas niveau (comme OVAL) sont incapable d’automatiser un control particulier. En résumé, OCIL fournit une approche standard pour définir et évaluer des contrôles de sécurité non-automatisés (ou manuels).

La liste suivante définit les fonctionnalités supportées par OCIL:

• Définition des questions (type booléen, Choix, numérique ou Texte)
• Assignation des réponses possibles aux questions que l’utilisateur pour choisir
• Définition d’action à prendre résultant des réponses utilisateur
• Possibilité d’énumération de l’ensemble des résultats