Skip To Content

Sécurité ArcGIS

Cette section présente les fonctionnalités de sécurité disponibles pour les composants d’ArcGIS, et propose des conseils d’implémentation en rapport avec l’authentification, l’autorisation, le chiffrement et l’audit. ArcGIS vous permet de tirer parti des fonctionnalités SIG requises avec l’assurance qu’Esri continue à suivre une structure sécuritaire fiable et efficace. Esri fait constamment évoluer la sécurité d’ArcGIS, notamment  :

  • Cloud : ArcGIS Online, Esri Managed Cloud Services Advanced Plus
  • Entreprise : ArcGIS Server, Portal for ArcGIS
  • Bureau : ArcGIS for Desktop, ArcGIS Pro
  • Mobile : applications ArcGIS Mobile
Remarque :

Pour vous tenir informé des dernières informations de sécurité, telles que les vulnérabilités, les correctifs de sécurité, et les annonces, abonnez-vous au flux RSS associé au blog de sécurité.

Signaler un problème de sécurité

Sécurité et confidentialité intégrées

Dans le contexte actuel de la cybersécurité, il est capital de s’assurer que les produits et services fournis par un éditeur de logiciels intègrent les principes de sécurité et de confidentialité. La présentation du cycle de vie de développement sécurisé résume de manière synthétique les mesures d’assurance que Esriprévoie, y compris la gouvernance, l’harmonisation des normes, les évaluations et les outils, la gestion des vulnérabilités et les incidents et les recommandations suivies.

Outils de validation de la sécurité

ArcGIS Enterprise est livré avec des outils de script, serverScan.py et portalScan.py, qui recherchent les problèmes de sécurité les plus fréquents. Ces outils ciblent les problèmes en fonction de certaines pratiques conseillées pour la configuration d’un environnement sécurisé pour ArcGIS Server. L’équipe Esri chargée de la sécurité et la confidentialité des logiciels met également à disposition ArcGIS Online Advisor, un outil gratuit qui permet aux administrateurs des organisations ArcGIS Online de vérifier rapidement la configuration de leur sécurité.

Validation de la sécurité d’ArcGIS Server

Le script serverScan.py se trouve dans le répertoire <ArcGIS Server installation location>/tools/admin. Exécutez le script à partir de la ligne de commande ou de l'interface de commande. Vous pouvez spécifier des paramètres lors de l’exécution du script.

Si vous exécutez le script serverScan.py sans spécifier de paramètres, vous êtes invité à les saisir manuellement ou à sélectionner la valeur par défaut. Pour utiliser un jeton, vous devez le fournir en tant que paramètre lors de l’exécution du script.

L'analyse génère un rapport au format HTML qui dresse la liste des problèmes ci-dessus qui ont été détectés sur le site ArcGIS Server spécifié.

Par défaut, le rapport est enregistré dans le dossier dans lequel vous exécutez le script et se nomme serverScanReport_[hostname]_[date].html.

Validation de la sécurité de Portal for ArcGIS

Le script portalScan.py se trouve dans le répertoire <Portal for ArcGIS installation location>\tools\security. Exécutez le script à partir de la ligne de commande ou de l'interface de commande. Vous pouvez spécifier un ou plusieurs paramètres lors de l’exécution du script.

Si vous exécutez le script portalScan.py sans spécifier de paramètres, vous êtesinvité à les saisir manuellement ou à sélectionner la valeur par défaut. Pour utiliser un jeton, vous devez le fournir en tant que paramètre lors de l’exécution du script.

L'analyse génère un rapport au format HTML qui dresse la liste des problèmes ci-dessus qui ont été détectés dans le portail spécifié.

Par défaut, le rapport est enregistré dans le dossier dans lequel vous exécutez le script et se nomme portalScanReport_[hostname]_[date].html.

ArcGIS Online Security Advisor

L’outil ArcGIS Online Advisor, conçu par l’équipe Esri chargée de la sécurité et la confidentialité des logiciels, arbore une interface à codage couleur qui permet aux administrateurs ArcGIS Online de vérifier rapidement les paramètres de sécurité et les changements antérieurs apportés aux organisations ArcGIS Online.

L’outil ArcGIS Online Advisor consigne l’état actuel de la sécurité de votre organisation ArcGIS Online et donne des indications sur les éventuelles mesures correctives à prendre.

Les récentes améliorations sont notamment la possibilité de rechercher des éléments ajoutés à ArcGIS Online faisant référence à des ressources ajoutées à l’aide de couches HTTP en texte brut. Ceci est utile pour les administrateurs d’organisations ArcGIS Online qui doivent valider la prochaine évolution d’ArcGIS Online qui consiste à prendre uniquement en charge le protocole HTTPS. D’autres améliorations récentes sont notamment la possibilité de rechercher des couches d’entités accessibles publiquement qui sont dotées de fonctions de mise à jour activées et la possibilité de rechercher des enquêtes publiques dont la fonction d’interrogation est activée dans les couches d’enquête.

Consultez le blog Sécurité et confidentialité pour les logiciels sur GeoNet pour découvrir d’autres initiatives.

Mises à jour de sécurité

Les vulnérabilités présentant un risque de niveau modéré à élevé sont traitées dans le cadre des correctifs de sécurité standard, qui sont publiés pour les versions LTS (de support à long terme) des produits ArcGIS Enterprise toujours en phases de disponibilité générale et de support étendu. Le niveau de risque est déterminé par une évaluation interne à l’aide de la formule CVSSv3. Pour connaître les phases de support, reportez-vous aux définitions du cycle de vie des produits Esri et au billet de blog Mise à jour du cycle de vie des produits ArcGIS Enterprise qui explique les versions STS et LTS.

Les vulnérabilités exploitables avérées de niveau critique sont rares dans les produits Esri. Lorsqu’une vulnérabilité exploitable avérée de niveau critique est détectée dans un logiciel Esri, Esri peut publier un correctif pour toutes les versions actuellement prises en charge du logiciel ArcGIS affecté, indépendamment de leur phase de support ou de la disponibilité de versions LTS.

Les correctifs de sécurité d’ArcGIS Enterprise ont un caractère cumulatif et comprennent tous les correctifs de sécurité déjà publiés pour la version ArcGIS Enterprise ciblée par le correctif.

Documents et présentations

Reportez-vous à la rubrique Documents pour consulter des présentations et des documents de référence concernant la sécurité, la confidentialité et la conformité de la plateforme ArcGIS.