Les STIG (Security Technical Implementation Guides) sont une norme de configuration comprenant les exigences en matière de cybersécurité pour un produit spécifique supervisée par l’agence américaine DISA (Defense Information Systems Agency). L’utilisation des STIG permet de sécuriser les protocoles au sein des réseaux, des serveurs, des ordinateurs et des conceptions logiques afin d’améliorer la sécurité globale.
Services Esri concernés
Approche obsolète
La norme STIG pour ArcGIS Server n’inclut pas Portal for ArcGIS, ni ArcGIS Data Store dans le cadre d’un déploiement fédéré et ne fournit donc pas de conseils de sécurité adéquats pour les déploiements standard d’ArcGIS Enterprise contenant cet ensemble élargi de fonctionnalités. La norme STIG pour ArcGIS Server 10.3 été mise à jour plusieurs fois dans le but de garantir sa compatibilité via ArcGIS Server 11.0. Pour mieux répondre à la portée des déploiements standard d’ArcGIS Enterprise, certains clients complètent la sécurité de leur déploiement en se mettant en conformité avec la norme STIG générique relative au développement et à la sécurité des applications (Application Security and Development [ASD]) de l’agence DISA. Toutefois, elle fournit des conseils inappropriés pour les fonctionnalités uniques de notre produit.
Approche recommandée
Le guide de renforcement de la sécurité ArcGIS Enterprise, publié en 2024, permet aux clients d’abandonner la norme STIG spécifique à ArcGIS Server (abandon en 2023) et la norme STIG générique ASD de l’agence DISA pour se tourner vers une garantie de sécurité validée et davantage ciblée en conformité avec les conditions requises pour le contrôle de la sécurité NIST 800-53 et EO-Critical Software. Les déploiements ArcGIS Enterprise existants et nouveaux doivent passer à l’utilisation du guide de renforcement de la sécurité ArcGIS Enterprise pour mettre en place un déploiement plus efficace et sécurisé en adéquation avec les évolutions des exigences d’accréditation.
Ressources
- Guide de renforcement de la sécurité ArcGIS Enterprise (public)
- Norme STIG pour ArcGIS Server (public - abandon)
- FAQ sur la norme STIG (public)
Vous avez un commentaire à formuler concernant cette rubrique ?