5 recommandations critiques de sécurité pour ArcGIS Enterprise 2025
Les recommandations de sécurité pour les produits et opérations Esri évoluent à mesure que de nouvelles fonctionnalités sont disponibles et que des configurations moins sécurisées peuvent être supprimées. Cette annonce couvre trois nouvelles recommandations de configuration de sécurité essentielles que les administrateurs d'ArcGIS Enterprise doivent impérativement valider :
- Configurer les proxys autorisés
- Supprimer les clés API héritées
- Supprimer l'authentification du proxy direct
Je profite également de cet article pour rappeler deux autres recommandations de sécurité, plus générales et intemporelles :
- Importance des mises à jour de produits
- Suivre le site consacré à la sécurité des solutions Esri
1. Configurer la liste autorisée des proxys Portal for ArcGIS (allowedProxyHosts)
ArcGIS Enterprise inclut un proxy de partage qui doit toujours être configuré par l'administrateur IT afin de réduire le risque d'attaques par déni de service (DoS) ou par falsification de requête côté serveur (SSRF) exploitant ses opérations. La propriété allowedProxyHosts était initialement répertoriée comme élément de profil avancé dans le guide de renforcement d'ArcGIS Enterprise en raison de difficultés d'implémentation potentielles.
Esri l'a toutefois déplacée vers le profil de base, ce qui signifie que TOUTES les organisations doivent la configurer. Vous consulterez l'annexe J pour plus de détails sur les instructions de configuration dans le dernier guide de renforcement. On notera également qu'Esri travaille à la désactivation de l'utilisation du proxy de partage par défaut pour les nouveaux déploiements à partir de la version 12.0 d'ArcGIS Enterprise. En attendant, configurez toujours allowedProxyHosts.
2. Suppression des clés API héritées
Esri a introduit de nouvelles clés API dans ArcGIS Location Platform, ArcGIS Online et ArcGIS Enterprise. Ces clés intègrent des mécanismes de sécurité renforcés et peuvent être étendues pour une sécurité nettement renforcée. Bien qu'ArcGIS Enterprise ne puisse pas créer ni traiter de clés API héritées, certains clients les ont intégrées à leur déploiement ArcGIS Enterprise en les ajoutant à des URL appelant ArcGIS Online et Location Platform. Les clés API héritées sont intrinsèquement non sécurisées, car elles ne sont pas étendues et n'expirent jamais. Bien qu'Esri autorise les clés API héritées à fonctionner pour accéder aux services ArcGIS jusqu'à leur retrait en 2026, les clients doivent immédiatement adopter les nouvelles informations d'identification de clé API et supprimer les clés API héritées de tous les systèmes ArcGIS.
3. Éviter l'authentification par proxy direct
Si votre organisation nécessite le routage de tout le trafic Internet de vos systèmes ArcGIS Enterprise vers un proxy géré par votre organisation, veuillez vous assurer des points suivants. L'authentification de base utilisée entre ArcGIS Enterprise et le système de proxy direct d'un client a été intégrée il y a de nombreuses années pour réduire l'accès des systèmes utilisant le proxy direct pour communiquer avec les systèmes Internet. En raison de la fréquence à laquelle nous avons constaté des configurations incorrectes de proxys directs lors de l'utilisation de l'authentification de base, Esri recommande désormais fortement de NE PAS UTILISER l'authentification de base entre ArcGIS Enterprise et les proxys directs, et d'utiliser plutôt des communications restreintes standard entre les systèmes, telles que les contrôles d'accès réseau. Cette recommandation a été ajoutée dans le dernier guide de renforcement d'ArcGIS Enterprise en tant que recommandation de sécurité du profil de base (voir page 46). Esri envisage de supprimer la prise en charge de l'authentification de base avec les proxys directs des clients dans les prochaines versions en raison du risque qu'elle peut présenter.
4. L'importance des mises à jour de produits
Rappelons ici que l'utilisation de produits dont le cycle de vie est mature ou retiré constitue un déploiement extrêmement risqué et ne doit PAS être exposée au réseau Internet. Cela inclut par exemple ArcGIS Enterprise 11.0 et ArcGIS Enterprise 10.9 et bien entendu des versions antérieures. Esri recommande vivement de maintenir vos systèmes à jour avec au moins les versions de disponibilité générale de nos produits, voire la dernière version.
5. Suivre les informations de sécurité publiées sur le Trust Center ArcGIS
Suivre les annonces publiées par Esri sur le Trust Center ArcGIS est essentiel pour garantir l'intégrité, la confidentialité et la disponibilité des systèmes ArcGIS que vous administrez. Ce portail centralise les alertes de sécurité, les correctifs critiques, les mises à jour logicielles et les meilleures pratiques en matière de cybersécurité pour l’ensemble des produits Esri. En consultant régulièrement ces informations ou en souscrivant au flux RSS des annonces, vous pouvez anticiper les vulnérabilités, appliquer les correctifs à temps et vous conformer aux exigences réglementaires ou sectorielles en matière de sécurité informatique.
Vous y trouverez par exemple l'outil ArcGIS Security Adviser créé par l'équipe Esri "Software Security and Privacy" et fournit des outils aux administrateurs d'organisation dans ArcGIS Online ou ArcGIS Enterprise Server pour examiner divers aspects de la posture de sécurité de leur organisation, tout en fournissant des suggestions d'amélioration.
Le Trust Center ArcGIS vous aide à protéger les données sensibles de vos utilisateurs et partenaires. Pour les administrateurs de portails ArcGIS Online ou Enterprise, cette veille permet de maintenir un haut niveau de confiance dans les services SIG proposés. Le Trust Center ArcGIS joue ainsi un rôle clé dans une démarche proactive de gestion des risques liés à la sécurité des systèmes d'information géographiques.
Modifier
0 comments :
Enregistrer un commentaire