Moteur d'analyse Définitions : Sécurité
Moteur d'analyse Les définitions de sécurité mesurent la mise en œuvre de protocoles dans une ServiceNow instance afin d’empêcher tout accès non autorisé, les violations de données, les cyberattaques et les vulnérabilités potentielles.
Définitions de l’Australie
Les définitions de sécurité suivantes ont été ajoutées pour la version Australie 2026 :
| Numéro | Actives | Niveau du résultat | Produit ServiceNow unique | Description brève | Impact sur l'entreprise | Étapes de résolution | Documentation justificative |
|---|---|---|---|---|---|---|---|
| sn_SE10023 | 1 | Agir | Les scripts ne doivent pas utiliser la fonction eval() | Violation de la sécurité. | Supprimez la eval fonction du script. | Documentation | |
| sn_SE10024 | 1 | Agir | Les scripts ne doivent pas utiliser la fonction eval() | Violation de la sécurité. | Supprimez la eval fonction du script. | Documentation | |
| sn_SE10045 | 1 | Agir | Le module d’extension de haute sécurité doit être activé | De nombreuses configurations de sécurité sont involontairement laissées ouvertes, ce qui peut ouvrir la porte à certaines des vulnérabilités critiques. | Activez le module d’extension de haute sécurité . | Documentation | |
| sn_SE10046 | 1 | Agir | Sécurité contextuelle : la gestion des rôles V2 doit être activée | Supprime les enregistrements en double et aide à visualiser l’héritage des rôles. | Activez le module d’extension Sécurité contextuelle : gestion des rôles V2. | Documentation | |
| sn_SE10074 | 1 | Agir | Le moteur d’analyse n’a pas accès à la lecture des données à partir de la table S’applique à | SE ne peut identifier aucun résultat possible sur ces tables sans accès en lecture. | Supprimez l’enregistrement S’applique à la table, accordez un accès en lecture à la table à l’application Moteur d’analyse ou modifiez l’enregistrement Table s’applique à la table en sélectionnant Accès restreint pour l’appelant. | ||
| sn_SE10083 | 1 | Suggérer | Certification incluse dans le périmètre : ACL requise sur les includes de script pouvant être appelés par le client | Les utilisateurs peuvent accéder à des données auxquelles ils ne sont pas autorisés. Des inexactitudes dans les données pourraient survenir. | Créez une nouvelle ACL avec un type d’include de script de client pouvant être appelé et définissez le champ Name (Nom) sur le nom de l’include de script. Associez les rôles appropriés à l’ACL. | Documentation | |
| sn_SE10085 | 1 | Agir | Le mode par défaut du gestionnaire de sécurité doit être défini sur « refuser ». | Empêche les utilisateurs d’accéder involontairement aux données. | Définissez la valeur sur « Refuser ». | Documentation | |
| sn_SE10089 | 1 | Suggérer | Champ défini en lecture seule via la politique d’interface utilisateur sans conditions | Des mises à jour involontaires du champ peuvent se produire via la modification de liste. | Vérifier le marqueur de lecture seule sur le field___UICTRL_0___table_name.field_name___UICTRL_1___t répondez aux critères pour modifier le champ. | Documentation | |
| sn_SE10090 | 1 | Suggérer | Champ défini sur Obligatoire via la politique d’interface utilisateur sans conditions | Les données requises peuvent être vides, ce qui empêche la poursuite du processus business. | Vérifiez le marqueur obligatoire sur l’enregistrement du dictionnaire du champ pour rendre le champ obligatoire à tout moment. | Documentation | |
| sn_SE10100 | 1 | Recommander | Les pages de l’interface utilisateur doivent être associées à une ACL de lecture | Les utilisateurs non autorisés peuvent avoir accès à des données auxquelles ils n’auraient pas accès via le backend. | Créez une ACL de lecture avec une opération de lecture où le nom de l’ACL correspond au nom de la page de l’interface utilisateur. Associez les rôles appropriés à l’ACL en lecture dont la page d’interface utilisateur doit avoir un accès en lecture à la page d’interface utilisateur. | Documentation | |
| sn_SE10101 | 1 | Agir | Le compte administrateur par défaut doit être désactivé | Des utilisateurs non autorisés peuvent toujours accéder au système, ce qui peut entraîner des violations de données confidentielles et des problèmes d’intégrité des données. L’impact sur l’entreprise qui en résulte peut être significatif et sans restriction. | Désactivez le compte administrateur et supprimez toute association de groupes et de rôles du profil administrateur. | Documentation | |
| sn_SE10146 | 1 | Agir | L’entrée de données HTML doit être validée par l’utilisation de l’échappement | Des attaques par injection peuvent survenir et entraîner des risques de sécurité. | Mettez à jour la valeur de la propriété système glide.ui.escape_html_list_field en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10147 | 1 | Agir | L’entrée de données Jelly doit être validée par l’utilisation de l’échappement | Des attaques par injection peuvent survenir et entraîner des risques de sécurité. | Mettez à jour la valeur de la propriété système glide.ui.escape_all_script en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10148 | 1 | Agir | L’entrée de données JavaScript doit être validée par l’utilisation de l’échappement | Des attaques par injection peuvent survenir et entraîner des risques de sécurité. | Mettez à jour la valeur de la propriété système glide.html.escape_script sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10150 | 1 | Agir | Les requêtes de script client doivent être validées | Il est possible qu’un attaquant effectue des opérations non autorisées contre la plateforme. | Mettez à jour la valeur de la propriété système glide.script.use.sandbox en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10151 | 1 | Agir | Le code HTML intégré doit être désactivé. | Exploité par des attaquants pour voler des informations de session et des données sensibles. | Mettez à jour la valeur de la propriété système glide.ui.security.allow_codetag en false OU insérez cette propriété système avec la valeur .false | Documentation | |
| sn_SE10152 | 1 | Agir | Les balises JavaScript en HTML intégré doivent être désactivées | Exploité par des attaquants pour voler des informations de session et des données sensibles. | Mettez à jour la valeur de la propriété système glide.ui.security.codetag.allow_script en false OU insérez cette propriété système avec la valeur .false | Documentation | |
| sn_SE10153 | 1 | Agir | L’API AJAXEvaluate doit être désactivée. | AJAXEvaluate peut autoriser l’exécution de JavaScript arbitraire sur le navigateur du client en exploitant les objets côté serveur | Mettez à jour la valeur de la propriété système glide.script.allow.ajaxevaluate sur false OU insérez cette propriété système avec une valeur de false. | Documentation | |
| sn_SE10154 | 1 | Agir | La validation HTMLSanitizer doit être activée | Attaques de script de site à site côté client. | Mettez à jour la valeur de la propriété système glide.html.sanitize_all_fields sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10155 | 1 | Agir | La sécurité stricte doit être activée pour les demandes SOAP | Un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.soap.strict_security en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10156 | 1 | Agir | L’interpolation de Jelly doit être activée. | L’injection JEXL peut entraîner à la fois une contrefaçon de requête intersite et l’exécution de code | Mettez à jour la valeur de la propriété système glide.ui.jelly.js_interpolation.protect en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10157 | 1 | Agir | L’échappement des formules Excel doit être activé | Les formules malveillantes présentent un risque même lorsque la feuille de calcul d’intégration ne contient aucune information sensible, car elles peuvent être utilisées pour compromettre l’ordinateur du spectateur. | Mettez à jour la valeur de la propriété système glide.export.escape_formulas en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10159 | 1 | Suggérer | Facultatif : restreindre l’accès à des plages d’adresses IP spécifiques | Risque inutile d’exposition à l’instance cible sur Internet | Activez le module d’extension Authentification basée sur la plage IP si seules certaines adresses IP doivent avoir accès à votre instance. | Documentation | |
| sn_SE10160 | 1 | Agir | Le module d’extension Démarrage rapide de la sécurité (règles ACL) doit être activé | Le contrôle d’accès doit être appliqué pour verrouiller tout accès non intentionnel à l’instance. Les règles de démarrage rapide de l’ACL ont été écrites pour fournir un point de départ sur la sécurisation de nombreuses tables système afin de faciliter la mise en production rapide d’une entreprise. | Activez le module d’extension Démarrage rapide de la sécurité (règles ACL). | Documentation | |
| sn_SE10161 | 1 | Agir | Les transactions entrantes doivent être validées deux fois | La demande d’accès doit toujours être vérifiée lorsque des transactions ont lieu entre deux zones. | Mettez à jour la valeur de la propriété système glide.security.strict.updates sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10162 | 1 | Agir | Les conditions d’action d’interface utilisateur doivent être validées avant l’exécution | La demande d’accès doit toujours être vérifiée lorsque des transactions ont lieu entre deux zones. | Mettez à jour la valeur de la propriété système glide.security.strict.actions sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10163 | 1 | Agir | L’ACL de surveillance des performances doit être activée | Les données sensibles telles que les détails du serveur, les threads et les processus en cours d’exécution sur le serveur ne doivent jamais être visibles ou accessibles à l’utilisateur final sans privilèges appropriés. | Mettez à jour la valeur de la propriété système glide.security.diag_txns_acl en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10165 | 1 | Agir | La vérification de l’ACL AJAXGlideRecord doit être activée | Grâce aux scripts clients, il est possible d’interroger des données arbitraires du serveur via l’API GlideAjax. Les ressources côté serveur sont accessibles sans autorisation appropriée, de sorte que la validation de l’ACL aide l’application à valider la demande en fonction de l’autorisation configurée. | Mettez à jour la valeur de la propriété système glide.script.secure.ajaxgliderecord sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10166 | 1 | Agir | La vérification du type de contenu SOAP doit être activée. | Lors de l’acceptation de demandes SOAP entrantes, la validation appropriée doit être effectuée pour s’assurer que le type de contenu pertinent est défini dans le cadre de la demande et ainsi limiter les réponses SOAP invalides qui peuvent être considérées comme un risque de sécurité. | Mettez à jour la valeur de la propriété système glide.soap.require_content_type_xml en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10167 | 1 | Agir | Le module d’extension du contrôle d’accès SNC doit être activé | Exposition inutile de l’accès à l’instance à un groupe plus large de personnes. | Activez le module d’extension Contrôle d’accès SNC en contactant <ph keyref="var.company-no-reg-tm"/> l’assistance clientèle. | Documentation | |
| sn_SE10168 | 1 | Suggérer | Facultatif : la restriction IP stricte doit être activée. | Exposition inutile de l’accès à l’instance à un groupe plus large de personnes. | Mettez à jour la valeur de la propriété système glide.ip.authenticate.strict en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10169 | 1 | Agir | Facultatif : le module d’extension de rôle explicite doit être activé | Les utilisateurs externes (non employés) ont accès à de nombreuses tables sensibles dans ServiceNow lesquelles aucun rôle n’est affecté et qui sont destinées ou conçues pour être accessibles uniquement par les utilisateurs internes (employés). | Activez le module d’extension Explicit Role en contactant <ph keyref="var.company-no-reg-tm"/> l’assistance clientèle. | Documentation | |
| sn_SE10172 | 1 | Agir | Les ACL doivent être activées pour les détails du profil actif | Les demandes d’API doivent toujours honorer les ACL de table. Une restriction doit être appliquée pour empêcher les utilisateurs non autorisés d’accéder aux détails d’un profil actif. | Mettez à jour la valeur de la propriété système glide.live_profile.details sur ACL OU insérez cette propriété système avec une valeur ACL. | Documentation | |
| sn_SE10173 | 1 | Agir | Les includes de script pouvant être appelés par le client doivent être privés | Définir cette propriété sur « vrai » contourne les ACL pour les includes de script côté client et peut entraîner des fonctionnalités publiques non prévues. Cela peut présenter un risque de sécurité potentiel si le script client fournit des informations confidentielles. | Mettez à jour la valeur de la propriété système glide.script.ccsi.ispublic sur false OU insérez cette propriété système avec une valeur de false. | Documentation | |
| sn_SE10174 | 1 | Agir | L’authentification SMTP doit être activée. | L’authentification doit toujours être effectuée avant l’exécution des transactions vers/depuis l’instance ServiceNow . L’authentification SMTP active cette exigence avant d’envoyer le contenu au serveur de messagerie externe en s’authentifiant auprès du serveur SMTP cible. | Mettez à jour la valeur de la propriété système glide.smtp.auth sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10175 | 1 | Agir | L’autorisation de demande WSDL doit être activée | Sans autorisation appropriée configurée sur les services Web WSDL, un utilisateur non autorisé peut accéder à du contenu/des données WSDL sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.wsdl sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10176 | 1 | Agir | L’autorisation des demandes CSV doit être activée | Si l’autorisation appropriée n’est pas configurée sur les demandes CSV entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.csv en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10177 | 1 | Agir | L’autorisation des demandes Excel doit être activée. | Si l’autorisation appropriée n’est pas configurée sur les demandes Excel entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.excel sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10178 | 1 | Agir | L’autorisation des demandes d’importation doit être activée | Sans autorisation appropriée configurée sur les demandes d’importation de source de données, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.importprocessor vers true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10179 | 1 | Agir | L’autorisation de demande de PDF doit être activée | Sans autorisation appropriée configurée sur les demandes PDF entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.pdf en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10180 | 1 | Agir | L’autorisation de la demande RSS doit être activée | Si l’autorisation appropriée n’est pas configurée sur les demandes RSS entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.rss en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10181 | 1 | Agir | L’autorisation de demande de script doit être activée | Élevé : sans autorisation appropriée configurée sur les demandes de script entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.scriptedprocessor sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10182 | 1 | Agir | Authentification de base : les demandes SOAP doivent être activées | Sans autorisation appropriée configurée sur la source de données Demandes SOAP, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.soap sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10183 | 1 | Agir | Authentification de base : les demandes JSONv2 doivent être activées | Sans autorisation appropriée configurée sur les demandes JSON de source de données, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.jsonv2 sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10184 | 1 | Agir | L’autorisation de la demande de déchargement doit être activée | Sans autorisation appropriée configurée sur les demandes de déchargement de la source de données, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.unl sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10185 | 1 | Agir | L’autorisation de demande XML doit être activée | Sans autorisation appropriée configurée sur les demandes XML entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.xml en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10186 | 1 | Agir | L’autorisation de la demande XSD doit être activée | Sans autorisation appropriée configurée sur les demandes XSD entrantes, un utilisateur non autorisé peut accéder à du contenu/des données sensibles sur l’instance cible. | Mettez à jour la valeur de la propriété système glide.basicauth.required.xsd en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10187 | 1 | Suggérer | Facultatif : le module d’extension de profil SSO du navigateur Web SAML 2.0 doit être activé | Vulnérable aux attaques de script de site à site. | Activez le module d’extension Intégration : programme d’installation de l’authentification unique de plusieurs fournisseurs . | Documentation | |
| sn_SE10188 | 1 | Agir | Supprimer les informations d'identification de la page d'accueil | Les informations d’identification par défaut peuvent être exposées. | Le contenu par défaut de la page d’accueil doit être modifié pour retirer les informations d’identification par défaut. | Documentation | |
| sn_SE10189 | 1 | Agir | L’option Se souvenir de moi doit être désactivée. | Lorsque la case Se souvenir de moi est cochée lors de la connexion, un cookie supplémentaire est stocké sur l’ordinateur de l’utilisateur afin de rétablir automatiquement la session pour l’utilisateur connecté lors des visites suivantes. Cela pose un risque de sécurité car cela permet à la session utilisateur d’être active jusqu’à ce qu’il se déconnecte délibérément. La probabilité d’une attaque dans un tel scénario augmente lorsque l’utilisateur final a laissé la machine/le navigateur sans surveillance ou si son navigateur est compromis par un autre vecteur d’attaque. | Mettez à jour la valeur de la propriété système glide.ui.forgetme en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10190 | 1 | Agir | La saisie automatique du champ de mot de passe doit être désactivée | Les champs d’authentification utilisateur doivent être validés et ne doivent jamais permettre la mise en cache côté client. | Mettez à jour la valeur de la propriété système glide.login.autocomplete sur false OU insérez cette propriété système avec une valeur de false. | Documentation | |
| sn_SE10191 | 1 | Agir | ValidatePasswordStronger doit être activé | L’activation d’un mot de passe faible sur l’instance constitue un risque de sécurité critique en raison de la facilité d’accès et de la probabilité extrêmement élevée pour un adversaire d’accéder à l’instance à l’aide de techniques simples de devinage de mot de passe et de force brute. | Activez la sortie d’installation ValidatePasswordStronger. | Documentation | |
| sn_SE10192 | 1 | Agir | La désactivation de l’authentification sans mot de passe doit être désactivée | Une personne malveillante peut se connecter à l’instance avec les noms d’utilisateur par défaut, ou par individu/groupe spécifique (généralement prénom.nom) sans mot de passe. Ceci est considéré comme un risque de sécurité critique, car cela permettrait à un utilisateur public de violer la confidentialité et l’intégrité des données d’instance. | Mettez à jour la valeur de la propriété système glide.login.no_blank_password en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10193 | 1 | Suggérer | Facultatif : l’authentification multifacteur doit être activée | Risque accru d’accès non autorisé à des données sensibles. | Mettez à jour la valeur de la propriété système glide.authenticate.multifactor en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10194 | 1 | Agir | Télécharger les types MIME doit être renseigné | Les vecteurs d’attaque de script côté client se présentent sous différentes formes et les pièces jointes de type MIME ne font pas exception. Les types MIME peuvent être utilisés de manière abusive par des attaquants et rendre le contenu de script involontaire de la pièce jointe du côté de la victime et ainsi capturer des informations sensibles. Dans le contexte actuel, la propriété doit être renseignée avec une liste de types MIME de pièce jointe séparés par des virgules qui ne doivent pas être affichés en ligne dans le navigateur. Ex : text/html | Mettez à jour la valeur de la propriété système glide.ui.attachment.download_mime_types sur des types de fichiers approuvés tels que text/csv,text/html,image/svg,image/svg+xml,application/xml, application/xhtml+xml OU insérez cette propriété système avec une valeur des types de fichiers approuvés. | Documentation | |
| sn_SE10195 | 1 | Agir | Forcer le téléchargement des pièces jointes doit être activé | Pour réduire les attaques par script côté client, les pièces jointes doivent être téléchargées de force plutôt que rendues dans le contexte du navigateur. | Mettez à jour la valeur de la propriété système glide.ui.attachment.force_download_all_mime_types en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10197 | 1 | Agir | Les types de fichiers téléchargeables doivent être renseignés | Les restrictions de téléchargement de fichiers doivent être appliquées à toutes les sources d’entrée utilisateur non approuvées. | Mettez à jour la valeur de la propriété système glide.ui.strict_customer_uploaded_content_types vers les types de fichiers approuvés OU insérez cette propriété système avec une valeur des types de fichiers approuvés. | Documentation | |
| sn_SE10198 | 1 | Agir | Les extensions de fichiers doivent être restreintes | Comme la vérification de type MIME dépend de cette propriété, il est recommandé d’atténuer les vulnérabilités liées au chargement de fichiers malveillants. | Mettez à jour la valeur de la propriété système glide.attachment.extensions vers les extensions de fichier approuvées OU insérez cette propriété système avec une valeur des extensions de fichier approuvées. | Documentation | |
| sn_SE10199 | 1 | Agir | Le type MIME de chargement doit être validé | Pour réduire les vulnérabilités telles que l’inclusion de fichiers et les téléchargements de fichiers malveillants, la vérification du type MIME doit être suivie. | Mettez à jour la valeur de la propriété système glide.security.file.mime_type.validation vers true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10200 | 1 | Agir | L’accès non authentifié aux pièces jointes doit être restreint | Une restriction doit être appliquée aux utilisateurs non authentifiés, car certaines pièces jointes peuvent contenir des informations sensibles. | Mettez à jour la valeur de la propriété système glide.image_provider.security_enabled vers true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10201 | 1 | Agir | Les identificateurs de session HTTP doivent être en rotation | SessionID est utilisé pour traiter et authentifier l’utilisateur d’instance en maintenant l’état de la session sur le navigateur. Ainsi, SessionID est considéré comme une donnée sensible et doit être sécurisé par défaut. La rotation de session est un contrôle de sécurité qui permet d’appliquer la modification de l’ID de session chaque fois que l’utilisateur navigue d’une ou de plusieurs pages non authentifiées vers une ou plusieurs pages authentifiées. | Mettez à jour la valeur de la propriété système glide.ui.rotate_sessions en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10202 | 1 | Agir | Les cookies de session sécurisés doivent être activés | Les cookies de session sont des données sensibles et doivent être correctement formatés. Il est toujours recommandé de valider strictement le cookie de session avant de servir la demande. | Mettez à jour la valeur de la propriété système glide.ui.secure_cookies en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10203 | 1 | Agir | Le délai d’activité de la session doit être activé | Les sessions utilisateur actives pendant une durée indéfinie constituent un risque pour la sécurité et doivent expirer sur une configuration basée sur le temps. | Mettez à jour la valeur de la propriété système glide.ui.session_timeout sur 60 OU insérez cette propriété système avec une valeur de 60. | Documentation | |
| sn_SE10204 | 1 | Agir | Les cookies HTTP uniquement doivent être activés. | Les cookies de session sur l’application authentifient un utilisateur final et fournissent des autorisations d’accès implicites sur l’application, il est donc nécessaire de les protéger contre le vol ou l’exportation. Les marqueurs HTTP uniquement protégeraient les cookies de session contre le vol par des injections JavaScript ou des vulnérabilités de script intersite. | Mettez à jour la valeur de la propriété système glide.cookies.http_only en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10205 | 1 | Agir | Le jeton anti-CSRF doit être activé. | La contrefaçon de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur d’instance en abusant de la confiance de l’application sur l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant sur l’instance. | Mettez à jour la valeur de la propriété système glide.security.use_csrf_token en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10206 | 1 | Suggérer | Facultatif : la validation stricte CSRF doit être activée | La contrefaçon de requête intersite constitue un risque de sécurité important qui viole l’intégrité des données d’instance. Un attaquant peut lancer l’attaque CSRF sur n’importe quel utilisateur d’instance en abusant de la confiance de l’application sur l’utilisateur de l’instance. À l’aide d’attaques d’ingénierie sociale, un utilisateur peut soumettre une requête mal formée au nom de l’attaquant sur l’instance. | Mettez à jour la valeur de la propriété système glide.security.csrf.strict.validation.mode sur true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10207 | 1 | Agir | La confiance de certificat doit être désactivée | Pour des raisons de confidentialité et d’intégrité, l’application doit valider l’autorité de certification du certificat avant d’utiliser le certificat pour toute opération transactionnelle. | Mettez à jour la valeur de la propriété système com.glide.communications.trustmanager_trust_all en false OU insérez cette propriété système avec la valeur .false | Documentation | |
| sn_SE10208 | 1 | Agir | SSLv2/SSLv3 doit être désactivé | En raison d’un certain nombre d’attaques côté client telles que BEAST, SSL heart-bleed, etc., les versions héritées de SSL se sont avérées non sécurisées lorsqu’elles étaient utilisées pour l’implémentation du shell sécurisé HTTP. | Mettez à jour la valeur de la propriété système glide.outbound.sslv3.disabled sur true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10209 | 1 | Agir | Les liens relatifs doivent être appliqués | Les URL absolues peuvent présenter un risque de sécurité lorsqu’elles sont utilisées dans le cadre d’un paramètre ou d’une valeur de champ, et redirigent ainsi la page source vers un site Web contrôlé par un adversaire. | Mettez à jour la valeur de la propriété système glide.cms.catalog_uri_relative en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10210 | 1 | Agir | X-Frame-Options : SAMEORIGIN doit être activé | La « politique de même origine » permet d’empêcher un domaine de récupérer un script ou une ressource d’un autre domaine. Tous les navigateurs modernes prennent en charge cette fonctionnalité. La politique valide la connexion en fonction du protocole, du port et de l’hôte. CORS (Cross Origin Request) est une légère modification de la « Same Origin Policy » qui permet d’accéder aux ressources/scripts d’un autre domaine lorsqu’elle est explicitement indiquée comme faisant partie de la valeur d’en-tête. Dans le cas présent, l’en-tête X-Frame-Options contrôle si l’application peut ou non ServiceNow être rendue sur le site Web tiers, et donc pour réduire l’exposition sensible, la valeur de la propriété lorsqu’elle est définie sur « SAMEORIGIN » ne permet pas le rendu de se produire. | Mettez à jour la valeur de la propriété système glide.set_x_frame_options en true OU insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10211 | 1 | Agir | La gestion des échecs de tentatives de connexion doit être configurée | Une stratégie de journalisation et d’audit doit être appliquée afin que les activités suspectes puissent être identifiées et traitées en temps opportun. | Activez les actions des scripts associées à l’utilisateur SNC. | Documentation | |
| sn_SE10212 | 1 | Agir | Le rendu du message d’erreur SQL doit être désactivé. | Aucune information SQL sensible ne doit être autorisée à s’afficher dans le cadre d’un message d’erreur sur une page Web qui pourrait aider un attaquant. | Mettez à jour la valeur de la propriété système glide.db.loguser sur false OU supprimez cette propriété système. | Documentation | |
| sn_SE10213 | 1 | Agir | Le brouillage de l’interface utilisateur mobile doit être activé. | Un appareil compromis (jailbreaké) permettrait à un attaquant d’avoir un accès complet au système de fichiers et donc d’accéder à ces fichiers/instantanés contenant des informations sensibles. | Mettez à jour la valeur de la propriété système glide.ui.m.blur_ui_when_backgrounded en true OU insérez cette propriété système avec une valeur de true. | Documentation | |
| sn_SE10214 | 1 | Suggérer | Liste d’autorisation d’URL pour les redirections de déconnexion | La redirection côté client ouverte peut permettre à l’attaquant de rediriger les victimes/utilisateurs vers un site Web contrôlé par l’attaquant et est considérée comme un risque pour la sécurité. | Mettez à jour la valeur de la propriété système glide.security.url.whitelist pour inclure les URL sur liste d’inclusion OU insérez cette propriété système avec une valeur des URL sur liste d’inclusion. | Documentation | |
| sn_SE10215 | 1 | Suggérer | Facultatif : la validation de l’entité doit être désactivée | Un attaquant peut en tirer parti pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système. | Mettez à jour la valeur de la propriété système glide.stax.allow_entity_resolution en false OU insérez cette propriété système avec une valeur de false. | Documentation | |
| sn_SE10216 | 1 | Suggérer | Des restrictions de domaine d’e-mail doivent être configurées | Si la propriété n’est pas activée, un attaquant peut utiliser une campagne d’usurpation d’adresse e-mail/spamming pour envoyer un certain nombre d’e-mails susceptibles de créer plus d’utilisateurs invités inutiles. | Mettez à jour la valeur de la propriété système glide.user.trusted_domain pour inclure les domaines approuvés OU insérez cette propriété système avec une valeur des domaines approuvés. | Documentation | |
| sn_SE10237 | 1 | Recommander | Les informations d’identification non affiliées doivent être supprimées | Des informations d’identification inutilisées peuvent être utilisées pour usurper des comptes lors de tentatives de piratage | Appliquez les informations d’identification ou supprimez l’enregistrement inutilisé. | Documentation | |
| sn_SE10248 | 1 | Agir | Les privilèges entre périmètres dans l’état demandé doivent être examinés | Possibilité de bogues dans l’application entraînant des données inexactes et/ou une mauvaise expérience utilisateur. | Passez en revue l’enregistrement CrossScope Privilege (Privilège entre périmètres) pour déterminer s’il convient d’autoriser ou de refuser l’opération demandée. | Documentation | |
| sn_SE10266 | 1 | Agir | Le mot de passe par défaut ne doit pas être défini sur « mot de passe » | Risque de sécurité inutile d’un attaquant accédant au système. | Mettez à jour la valeur de la propriété glide.user.default_password afin d’avoir un mot de passe plus complexe, inclure des lettres minuscules, des lettres majuscules, un chiffre et un caractère spécial. | Documentation | |
| sn_SE10277 | 1 | Agir | Appliquer des règles strictes pour le téléchargement d'images par l'utilisateur | Lorsque cette propriété est définie sur faux, les ACL ne sont pas appliquées lors des chargements d’images dans le champ Photo et ouvrent la possibilité à un utilisateur non autorisé de charger une image sur le profil d’un autre utilisateur. | Définissez la propriété système « glide.security.strict.user_image_upload » sur true. | Documentation | |
| sn_SE10278 | 1 | Agir | Restreindre l'accès aux e-mails dont la table cible est vide | Les utilisateurs peuvent avoir accès à l’affichage d’e-mails non prévus. | Définissez la propriété système « glide.email.email_with_no_target_visible_to_all » sur false. | Documentation | |
| sn_SE10279 | 1 | Suggérer | Le seuil d’expansion de l’entité doit être défini sur 3 000. | Un attaquant peut en tirer parti pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système. | La glide.xmlutil.max_entity_expansion system_property valeur minimale doit être de 3 000. | Documentation | |
| sn_SE10280 | 1 | Agir | Le module d’extension Notation et filtrage d’e-mail indésirable doit être activé | Les filtres d’e-mail permettent aux administrateurs de spécifier quand déplacer les e-mails vers des boîtes aux lettres particulières ou de les ignorer à l’aide d’un créateur de conditions ou d’un script de conditions. Ceci est particulièrement utile lors de la réception d’e-mails malveillants provenant d’un expéditeur connu/inconnu. | Activez le module d’extension Filtrage et notation des e-mails indésirables (com.___PARM_0___). | Documentation | |
| sn_SE10281 | 1 | Agir | Traitement d’entité externe XML : la liste d’inclusion doit être configurée | Un attaquant peut utiliser la DTD peut inclure des requêtes HTTP arbitraires que le serveur peut exécuter. | Définissez la valeur de la liste des URL accessibles par le traitement d’entité XML. Ceci est utilisé pour permettre l’accès à une liste de FQDN délimités par des virgules, si nécessaire. Il s’agira des seules URL pouvant être atteintes via le traitement d’entité XML. Remarque : l’ID système d’une entité doit commencer par « http : » ou « https : », sinon il sera automatiquement bloqué. Lorsque la liste d’autorisation est activée, le formulaire PUBLIC d’une définition d’entité externe est requis. | Documentation | |
| sn_SE10282 | 1 | Agir | L’expansion de l’entité doit être désactivée. | Un attaquant peut en tirer parti pour étendre les données de manière exponentielle, consommant rapidement toutes les ressources système, ce qui entraîne une attaque Billion Laugh. | Assurez-vous que la propriété «glide.xml.entity.whitelist » est définie sur « http://java.sun.com/j2ee/dtds/ » et que la propriété «glide.xml.entity.whitelist.enabled » est définie sur «true ». | Documentation | |
| sn_SE10284 | 1 | Agir | La validation de l’origine OpenFrame doit être activée. | Sans validation d’origine appropriée, n’importe quelle page Web ou script peut contrôler le gestionnaire d’événements. | Définissez la valeur pour true activer la vérification de l’origine. Une fois cette propriété définie sur , tous les domaines sur liste d’autorisation truedoivent être ajoutés à la glide.ui.concourse.onmessage_enforce_same_origin_whitelist propriété système. | Documentation | |
| sn_SE10285 | 1 | Suggérer | Définir une limite maximale pour l’expiration des sessions utilisateur | Les sessions utilisateur actives pendant une durée indéfinie constituent un risque pour la sécurité et doivent expirer sur une configuration basée sur le temps. | Définissez la propriété système glide.ui.user_cookie.max_life_span_in_days sur 30. | Documentation | |
| sn_SE10287 | 1 | Agir | La valeur de contrôle de cache par défaut doit être définie sur Privé | Les instances avec CDN/proxys peuvent mettre en cache du contenu statique et s’afficher sans authentification. | Définissez la propriété système glide.http.cache_control sur privé. | Documentation | |
| sn_SE10295 | 1 | Recommander | Les rapports ne doivent généralement pas être rendus publics | Les utilisateurs non authentifiés peuvent consulter des données classifiées. | Partagez des rapports via des rôles, des utilisateurs et/ou des groupes plutôt que de les rendre accessibles à un utilisateur. Pour rendre un rapport disponible uniquement aux utilisateurs connectés, définissez son paramètre de partage sur Tout le monde, mais ne le publiez pas. Les rapports de liste sont exclus de cette définition, car ils appliquent toujours la sécurité au niveau de la table (ACL). | Documentation | |
| sn_SE10314 | 1 | Recommander | Domaine séparé : utilisateurs avec une visibilité entre domaines | Les utilisateurs peuvent être exposés aux données d’un autre domaine. | Au lieu d’utiliser des « domaines de visibilité », il est préférable d’utiliser des « domaines contient » pour un contrôle plus robuste. | Documentation | |
| sn_SE10432 | 1 | Recommander | Les pages du portail ne doivent généralement pas être rendues publiques | Les utilisateurs non authentifiés peuvent consulter des données classifiées. | Définissez le champ false Public sur et assurez-vous que l’accès est limité à l’audience requise uniquement. | Documentation | |
| sn_SE10433 | 1 | Suggérer | Examiner les pages publiques de l’interface utilisateur | Les utilisateurs non authentifiés peuvent consulter des données classifiées. | Définissez le champ false Actif sur et assurez-vous que l’accès est limité à l’audience requise uniquement. | Documentation | |
| sn_SE10434 | 1 | Recommander | Événement de cycle de vie RH : modification du champ « Pouvant être affecté par » | Les changements apportés au champ « Pouvant être affecté par » sur ces rôles RH peuvent poser un risque de sécurité, car ils peuvent permettre à des utilisateurs inexpérimentés ou malveillants d’accéder à des données RH classifiées. | Assurez-vous que ces rôles RH sont uniquement « Pouvant être affectés par » le sn_hr_lerôle .admin ou sn_hr_le.activity_set_manager . Le rétablissement de ces enregistrements à la base de référence résoudra ces résultats. | Documentation | |
| sn_SE10435 | 1 | Recommander | HR Core : modification du champ « Pouvant être affecté par » | Les changements apportés au champ « Pouvant être affecté par » peuvent poser un risque de sécurité, car ils peuvent permettre à des utilisateurs inexpérimentés ou malveillants d’accéder à des données RH classifiées. | Assurez-vous que le champ « Pouvant être affecté par » de ces enregistrements est défini comme indiqué lors de l’activation de ce module d’extension. Le rétablissement de ces enregistrements à la base de référence résoudrait ces conclusions. | Documentation | |
| sn_SE10436 | 1 | Agir | Les dates de début et de fin planifiées pour les enregistrements de changement doivent être protégées par des ACL | Les utilisateurs peuvent mettre à jour les champs Date de début et de fin planifiées à partir de la vue de liste s’il n’y a pas d’ACL protégeant ces champs. Les dates modifiées peuvent entraîner une confusion parmi les différents utilisateurs. | Créez une ACL plutôt qu’une politique d’interface utilisateur pour sécuriser les champs Date de début et de fin planifiées. | Documentation | |
| sn_SE10437 | 1 | Agir | Les appareils mobiles doivent restreindre le copier/coller | Un appareil compromis (jailbreaké) permettrait à un attaquant d’avoir un accès complet au presse-papiers et pourra ainsi accéder aux informations sensibles intégrées dans le presse-papiers. | Définissez la propriété «glide.sg.clear_pasteboard_when_backgrounded » sur true. | Documentation | |
| sn_SE10438 | 1 | Recommander | La valeur par défaut de la durée du verrouillage utilisateur doit être de 1 440 minutes | Définir cette propriété sur une valeur plus courte peut permettre aux pirates de reprendre leurs attaques après un court laps de temps. | Définissez la valeur de la propriété "password_reset.request.max_attempt_window» à 1440 (en minutes). | Documentation | |
| sn_SE10439 | 1 | Agir | Facultatif : la création automatique d’utilisateur doit être activée | Les utilisateurs extérieurs à votre organisation peuvent créer des enregistrements d’incidents. | Définissez la propriété «glide.pop3readerjob.create_caller » sur false. Lorsque false, l’instance exécutera des actions entrantes à partir d’utilisateurs qui ne correspondent pas à un utilisateur existant en empruntant l’identité de l’utilisateur invité. Examinez vos enregistrements utilisateur existants pour rapprocher ceux qui contiennent des adresses e-mail identiques. Si vous activez le module d’extension avant de rapprocher les adresses e-mail, votre instance ne peut pas distinguer les utilisateurs ayant des adresses e-mail identiques et sélectionne au hasard l’un des utilisateurs avec l’adresse e-mail correspondante. | Documentation | |
| sn_SE10440 | 1 | Agir | Google re-CAPTCHA sur la page d’inscription automatique doit être activé | Augmentation du spam via la page d’auto-inscription. | Définissez la propriété «sn_ext_usr_reg .captchaEnabled » sur true. | Documentation | |
| sn_SE10441 | 1 | Agir | L’analyse de la protection antivirus doit être activée | Menace accrue d’infections virales par les pièces jointes. | Définissez la propriété «com.___PARM_0___ » sur true. | Documentation | |
| sn_SE10442 | 1 | Agir | La propriété système « glide.pop3.process_locked_out » ne doit pas être activée. | Permet aux utilisateurs bloqués ou non approuvés de réinitialiser leur mot de passe et d’envoyer des e-mails à l’instance | Définissez la propriété «glide.pop3.process_locked_out » sur false. | Documentation | |
| sn_SE10443 | 1 | Agir | Nombre accru de tentatives infructueuses de réinitialisation du mot de passe | Définir cette propriété sur une valeur supérieure peut permettre aux pirates de tenter plusieurs fois de se connecter. | Définissez la valeur de la propriété "password_reset.request.max_attempt» à 3 tentatives de mot de passe. | Documentation | |
| sn_SE10444 | 1 | Recommander | Comptes d’intégration affectés au rôle administrateur | Les comptes d’intégration disposant d’un accès administratif constituent des menaces potentielles pour la sécurité. | Assurez-vous que le rôle administrateur n’est pas affecté aux utilisateurs du compte Integration. D’autres approches consisteraient à accorder l’accès aux tables et aux enregistrements nécessaires. L’administrateur d’importation est également suffisant pour traiter les ensembles d’importation. Il convient de veiller à ne pas implémenter de travaux planifiés à l’aide du rôle administrateur. | Documentation | |
| sn_SE10446 | 1 | Recommander | Visibilité des répartitions PA sur les rôles | Les utilisateurs peuvent afficher des données qui ne sont pas pertinentes pour eux. | Désélectionnez « Visible par tous les rôles » et sélectionnez les rôles spécifiques requis pour accéder à la répartition. | Documentation | |
| sn_SE10447 | 1 | Agir | Supprimer le rôle d’administrateur de campagne du rôle d’administrateur du système informatique | Les administrateurs du système informatique peuvent afficher les données RH sensibles. | En tant qu’utilisateur administrateur, accédez à la sys_user_role_contains table, puis sélectionnez l’enregistrement du rôle « administrateur ». À partir de la liste connexe « Contient les rôles », supprimez sn_ca.campaign_admin. Assurez-vous d’avoir déjà deux utilisateurs disposant de ce rôle. | Documentation | |
| sn_SE10448 | 1 | Agir | Supprimer le rôle d’administrateur de livraison de contenu du rôle d’administrateur du système informatique | Les administrateurs du système informatique peuvent afficher les données RH sensibles. | En tant qu’utilisateur administrateur, accédez à la sys_user_role_contains table, puis sélectionnez l’enregistrement du rôle « administrateur ». À partir de la liste connexe « Contient les rôles », supprimez sn_cd.content_admin. Assurez-vous d’avoir déjà deux utilisateurs disposant de ce rôle. | Documentation | |
| sn_SE10449 | 1 | Agir | Supprimer le rôle d’administrateur de Gestion des dossiers du personnel du rôle d’administrateur du système informatique | Les administrateurs du système informatique peuvent afficher les données RH sensibles. | En tant qu’utilisateur administrateur, accédez à la sys_user_role_contains table, puis sélectionnez l’enregistrement du rôle « administrateur ». À partir de la liste connexe « Contient des rôles », supprimez sn_hr_ef.admin. Assurez-vous d’avoir déjà deux utilisateurs disposant de ce rôle. | Documentation | |
| sn_SE10450 | 1 | Recommander | Les codes PIN de l’application mobile doivent être activés | N’importe quel utilisateur peut accéder à l’application mobile lorsque les codes PIN ne sont pas requis. | Définissez la propriété «glide.sg.require_mobile_application_pin » sur true. | Documentation | |
| sn_SE10452 | 1 | Recommander | Les ressources de Portail de services doivent définir des rôles pour restreindre l’accès | Une violation de données pourrait se produire si le contrôle d’accès à l’aide de rôles n’est pas correctement configuré sur les pages et les widgets de Portail de services. | Pour les ressources de Portail de services qui ne sont pas publiques, une liste de rôles doit être configurée pour restreindre l’accès. Seules les pages et les widgets qui ne nécessitent pas de contrôle d’accès doivent être publics ou n’avoir aucun rôle défini. | Documentation | |
| sn_SE10455 | 1 | Agir | Les créateurs d’enregistrements doivent avoir des rôles définis pour restreindre l’accès | Les créateurs d’enregistrements sont visibles par tous les utilisateurs, quel que soit leur rôle. | Définissez la propriété système «glide.sc.use_user_criteria » sur true ou accédez à l’onglet Accessibilité dans un créateur d’enregistrement et assurez-vous que les rôles sont bien définis. | Documentation | |
| sn_SE10457 | 1 | Suggérer | Le nombre maximal de destinataires répertoriés sur une seule notification par e-mail doit être limité à 100 | Des notifications par e-mail en double seront créées pour ceux qui dépassent la limite de 100 destinataires. | Définissez la propriété «glide.email.smtp.max_recipients » sur une valeur inférieure ou égale à 100. | Documentation | |
| sn_SE10460 | 1 | Recommander | Utilisateurs ayant des anciens employés dans leur profil RH toujours marqués comme actifs | Les utilisateurs qui ont quitté l’entreprise peuvent toujours avoir accès à l’instance. | Désactivez le compte d’utilisateur des utilisateurs avec le «sn_hr_core .hrsm_alumni» rôle affecté. | Documentation | |
| sn_SE10461 | 1 | Suggérer | Les utilisateurs disposant d'un accès au service Web uniquement ne doivent pas avoir d'accès élevé | Peut servir de point de compromis potentiel si un accès élevé est fourni à ces utilisateurs. | Supprimez les rôles d’accès élevé de l’utilisateur à accès au service Web uniquement. | Documentation | |
| sn_SE10462 | 1 | Suggérer | Accéder aux contrôles sur les tables | Sans contrôles d’accès, tout utilisateur pourrait accéder à des tables auxquelles il ne devrait pas avoir accès. | Élevez-vous au rôle d’administrateur de sécurité, puis accédez à Sécurité de système > contrôle d’accès et créez une nouvelle ACL. | Documentation | |
| sn_SE10463 | 1 | Agir | Supprimer les rôles d’administrateur RH principal et d’administrateur LE du rôle administrateur | Seuls les utilisateurs disposant des rôles d’administrateur RH [sn_hr_core.admin] et d’administrateur LE [sn_hr_le.admin] ont accès aux données RH contenant des informations sensibles. | Après la configuration du système, supprimez le rôle d’administrateur RH du rôle administrateur pour empêcher les administrateurs de consulter des informations RH sensibles. Cela garantit que seul l’administrateur RH [sn_hr_core.admin] a accès aux informations sensibles. | Documentation | |
| sn_SE10466 | 1 | Recommander | Privilèges entre champs d'applications involontaires | Événement : accès non autorisé à l’application incluse dans le périmètre | Examinez chaque privilège entre champs d’application et déterminez si ce privilège est vraiment nécessaire dans le cadre de l’application. Dans le cas contraire, supprimez le test de privilège et de régression pour vous assurer que le comportement est conforme aux attentes. | Documentation | |
| sn_SE10468 | 1 | Agir | Les utilisateurs externes ne doivent pas avoir accès à la table sys_audit. | Les utilisateurs externes peuvent accéder à la table d’audit du système et afficher des données potentiellement confidentielles. | Les tables système n'ont généralement pas besoin d'être accessibles par tous les utilisateurs internes et externes et peuvent être restreintes aux groupes requis. | Documentation | |
| sn_SE10469 | 1 | Agir | Ne pas désactiver ou supprimer la règle métier « Affecter des rôles RH » | Le BR prévient les problèmes de sécurité en accordant ou en supprimant automatiquement l’accès au portail RH en fonction du type d’emploi et de la date de début/de fin. | Définissez la règle métier « Affecter des rôles RH » sur Actif. | /api/now/v1/context_doc_url/CSHelp :client-role-assignment-rules | |
| sn_SE10470 | 1 | Recommander | Accorder à l’administrateur RH un développeur délégué pour l’application du champ d’application RH | Pour empêcher tout accès involontaire aux informations RH sensibles de l’administrateur du système informatique en affectant le développeur délégué au champ d’application RH Core. | Affectez un rôle de développeur délégué au champ d’application RH principal. | Documentation | |
| sn_SE10471 | 1 | Agir | Tables RH non exclues du clonage en production | Les données RH comportant des informations sensibles peuvent être clonées vers des instances de sous-production. | Créez des exclusions pour les tables RH de votre instance de production. | Documentation | |
| sn_SE10472 | 1 | Recommander | N’utilisant pas le compte d’utilisateur approprié pour les intégrations de vulnérabilité | L’utilisation d’un compte utilisateur inapproprié peut entraîner des failles de sécurité. | Utilisez le compte système VR en tant qu’utilisateur RunAs pour les exécutions de script planifiées et les importations de données planifiées. | Documentation | |
| sn_SE10473 | 1 | Agir | Nombre d'utilisateurs avec des rôles de privilège élevé | Le fait d’avoir plus de 10 utilisateurs avec des rôles à privilèges élevés augmente le risque de fuite de sécurité. | Assurez-vous que tous les rôles à privilège élevé n’ont pas plus de 10 utilisateurs affectés. | Documentation | |
| sn_SE10474 | 1 | Recommander | Rapport partagé avec un rôle qui n’existe pas | Les rapports partagés avec un rôle qui n’existe pas peuvent entraîner des comportements imprévisibles. | Supprimez le rôle non valide en modifiant le rapport, puis partagez le rapport avec des rôles valides. | Documentation | |
| sn_SE10475 | 1 | Suggérer | Utilisez l’utilisateur d’intégration dédié pour exécuter des actions à la place de la valeur par défaut | L’authentification est requise pour toutes les demandes SOAP, y compris l’intégration interne, lorsque WS-Security est activé. Les demandes de communication peuvent être bloquées lorsqu’un utilisateur de compte utilisateur de serveur MID ou de pilote ODBC n’est pas défini comme utilisateur d’intégration interne. | Vérifiez le internal_integration_user champ du compte d’utilisateur Serveur MID ou Pilote ODBC. | Documentation | |
| sn_SE10476 | 1 | Agir | Accès à la table d’audit système pour tous les utilisateurs externes | Les utilisateurs peuvent avoir un accès inutile aux tables système. | Les tables système n'ont généralement pas besoin d'être accessibles par tous les utilisateurs internes et externes et peuvent être restreintes aux groupes requis. | Documentation | |
| sn_SE10478 | 1 | Agir | Supprimer le rôle d’administrateur d’incident de sécurité du rôle d’administrateur | Seuls les utilisateurs ayant le rôle d’administrateur d’incidents de sécurité doivent avoir accès aux données d’incident de sécurité contenant des informations sensibles. | Après la configuration du système, supprimez le rôle d’administrateur des incidents de sécurité du rôle administrateur pour empêcher les administrateurs de consulter des informations sensibles sur les incidents de sécurité. Cela garantit que seul l’administrateur d’incident de sécurité [sn_si.admin] a accès aux informations sensibles. | Documentation | |
| sn_SE10479 | 1 | Agir | Utiliser la RCA pour sécuriser HR Core | Des requêtes côté serveur peuvent être exécutées sur des données ou des tables RH pour accéder à des informations sensibles. | Il est recommandé d’utiliser le module d’extension Accès restreint pour l’appelant (ID : com.___PARM_0___) lors de l’utilisation de l’application Ressources humaines Core (ID :com.sn_hr_core). | Documentation | |
| sn_SE10480 | 1 | Suggérer | Le rôle du CISO de base de référence a un accès en écriture | Les utilisateurs responsables qui n’ont pas besoin d’un accès en écriture aux enregistrements d’incidents de sécurité peuvent modifier ces enregistrements. | Discutez de la question de savoir si les utilisateurs responsables ont réellement besoin de la capacité de modifier les enregistrements d’incidents de sécurité/d’écrire dans les enregistrements d’incidents de sécurité. Envisagez de dissocier le rôle «sn_si .basic » de «sn_si .ciso » si la direction n’a pas besoin d’autorisations d’écriture/de modification sur les enregistrements d’incidents de sécurité. | Documentation | |
| sn_SE10483 | 1 | Agir | Les groupes d’affectation des incidents de sécurité manquent d’un attribut de type | Les utilisateurs de ces groupes ne peuvent se voir affecter aucun incident de sécurité. | Les groupes auxquels le rôle «sn_si .analyst » est affecté doivent avoir l’attribut de type défini comme « Incident de sécurité ». | Documentation | |
| sn_SE10491 | 1 | Recommander | Les appels d’API vers Réponse aux incidents de sécurité doivent utiliser des comptes avec le rôle « sn_si.integration_user » | L’utilisation d’un compte utilisateur inapproprié peut entraîner des failles de sécurité. | Envisagez d’ajouter le "sn_si.integration_user» rôle pour chaque compte d’utilisateur accédant à la table d’incidents de sécurité [sn_si_incident] via l’API. | /api/now/v1/context_doc_url/CSHelp :components-installed-sir | |
| sn_SE10492 | 1 | Recommander | Activer l'ACL de rapport | Si les ACL de vue de rapport sont désactivés, des utilisateurs peuvent avoir accès à des données de rapport auxquelles ils ne devraient pas avoir accès. | Les ACL de vue de rapport permettent de contrôler qui peut afficher les rapports protégés par l’ACL de vue de rapport. | Documentation | |
| sn_SE10493 | 1 | Recommander | Il existe plusieurs clés de chiffrement | Les anciennes clés peuvent être supprimées et les informations d’enregistrement seront chiffrées sans possibilité de déchiffrage. | Faites pivoter et chiffrez les nouvelles clés pour vous assurer qu’aucun enregistrement ancien n’existe avec d’anciennes clés. | Documentation | |
| sn_SE10494 | 1 | Recommander | La base de connaissances et les articles sont publics | Tous les utilisateurs ont accès aux bases de connaissances et aux articles | Assurez-vous de définir des critères d’utilisateur pour la base de connaissances et les articles. | Documentation | |
| sn_SE10522 | 1 | Recommander | Ressource REST scriptée sans sécurité activée | Il n’est pas recommandé de rendre vos API publiques, car cela permet au public d’accéder aux données de l’instance. | Pour demander l’autorisation, cochez la case Requiert une authentification , puis cochez la case Requiert une autorisation ACL . Enfin, sélectionnez un ou plusieurs enregistrements ACL. Laissez le champ ACL vide pour appliquer les ACL par défaut de l’API parente. L’accès est accordé si au moins un enregistrement d’ACL correspondant est trouvé. | Documentation | |
| sn_SE10523 | 1 | Recommander | Activer l’authentification basée sur la plage IP | Les utilisateurs non autorisés peuvent accéder à votre instance. |
|
Documentation | |
| sn_SE10534 | 1 | Agir | Les fichiers de configuration suivis peuvent exposer des mots de passe, des jetons d’API et des clés secrètes | Les utilisateurs disposant du rôle ITIL peuvent avoir un accès non authentifié aux mots de passe, jetons d’API et clés secrètes. | Examinez les fichiers de configuration suivis en accédant à la table et en confirmant que les cmdb_ci_config_file_tracked informations sécurisées sont présentes. Contrôlez l’accès à cette table via des ACL ou réimplémentez vos applications pour utiliser des applications de coffre-fort de mots de passe afin qu’aucune information d’identification sécurisée ne soit stockée en texte clair. | Documentation | |
| sn_SE10541 | 1 | Agir | ACL définie sans rôle, script et condition | Vos données peuvent potentiellement être exposées car le comportement par défaut lorsque le rôle, l’infrastructure de sécurité, le script et les conditions sont vides est d’autoriser un accès non authentifié. | Passez en revue l’ACL et ajoutez les rôles, les attributs de sécurité, les conditions ou les scripts appropriés. Si l’ACL doit rester telle quelle, ajoutez au minimum ce qui suit au script ACL pour vous assurer que seuls les utilisateurs authentifiés peuvent accéder aux données : réponse = gs.getSession().isLoggedIn ;. | Documentation | |
| sn_SE10585 | 1 | Recommander | Mauvaise configuration potentielle des critères d’utilisateur de la base de connaissances | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Créez la propriété système glide.knowman.block_access_with_no_user_criteria et définissez la valeur sur true. | Documentation | |
| sn_SE10594 | 1 | Recommander | Bloquer l’accès aux bases de connaissances non publiques pour les utilisateurs non authentifiés | Perte potentielle d’informations confidentielles ou PII | Mettez à jour la valeur de la propriété système glide.knowman.block_access_with_no_user_criteria en OU true insérez cette propriété système avec la valeur .true | Documentation | |
| sn_SE10639 | 1 | Recommander | Tous les utilisateurs encapsulés dans la liste « Peut contribuer » d’une base de connaissances ont la possibilité de lire l’intégralité des bases de connaissances. | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Créez la glide.knowman.apply_article_read_criteria de propriété système et définissez la valeur sur true. | Documentation | |
| sn_SE10640 | 1 | Recommander | Définit une liste de rôles autorisés à consulter les articles de la base de connaissances qui sont à l’état « Brouillon » | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Créez la propriété système glide.knowman.section.view_roles.draft et définissez la valeur sur administrateur, knowledge_admin. | Documentation | |
| sn_SE10641 | 1 | Recommander | Tous les utilisateurs au sein des rôles définis ont la possibilité de consulter les articles qui existent dans un état personnalisé. | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Créez la propriété système glide.knowman.section.view_roles.stagesAndRoles et définissez la valeur sur admin, knowledge_admin. | Documentation | |
| sn_SE10642 | 1 | Recommander | Afficher les articles non publiés | Les utilisateurs peuvent consulter des articles de la base de connaissances qui ne sont pas encore publiés. | Créez la glide.knowman.show_unpublished de propriété système et définissez la valeur sur false. | Documentation | |
| sn_SE10643 | 1 | Agir | L’ACL vérifie l’authentification utilisateur et fait référence à une propriété système pour autoriser ou refuser l’accès en fonction de : | Autoriser un accès non authentifié peut exposer l’organisation à des violations de données, à un non-respect de la réglementation et à des risques de sécurité. | Assurez-vous que la glide.security.allow_unauth_roleless_acl propriété système est définie false sur empêcher tout accès non authentifié. | Documentation | |
| sn_SE10644 | 1 | Recommander | Définit une liste de rôles autorisés à consulter les articles de la base de connaissances qui sont à l’état « Revue » | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Créez la propriété système glide.knowman.section.view_roles.review et définissez la valeur sur admin,knowledge_admin,knowledge,itil. | Documentation | |
| sn_SE10645 | 1 | Recommander | Règle(s) métier OOB inactive(s) pour empêcher l’accès non authentifié par défaut | Les utilisateurs peuvent recevoir un accès non volontaire et non authentifié à vos articles de la base de connaissances. | Rechercher une règle métier Limitez l’utilisateur invité à la base de connaissances avec SysId 6c8ec5147711111016f35c207b5a9969 et définissez le champ actif sur vrai. | Documentation |