# 1.2 Sécurité

- **Restriction IP par plage CIDR :**<span style="white-space: pre-wrap;"> il est désormais possible de limiter l’accès à </span>***Keatic ERP***<span style="white-space: pre-wrap;"> à des plages d’adresses IP spécifiques (ex : 192.168.1.0/24), plutôt que seulement à des adresses IP uniques.</span>
- Le niveau de protection CSRF passe de 2 à 3 (**MAIN\_SECURITY\_CSRF\_WITH\_TOKEN**), renforçant la vérification des tokens anti-falsification sur les formulaires.
- <span style="white-space: pre-wrap;">L’option </span>**MAIN\_DISALLOW\_UNSECURED\_SELECT\_INTO\_EXTRAFIELDS\_FILTER** est activée par défaut et déplacée dans le fichier conf.php, bloquant les filtres non sécurisés sur les extrachamps et évitant des injections SQL potentielles.
- L’éditeur riche (**WYSIWYG**) est désactivé par défaut sur les pages publiques pour limiter les risques XSS sur les formulaires ouverts à l’extérieur.
- <span style="white-space: pre-wrap;">Début d’implémentation de </span>**MAIN\_RESTRICTHTML\_ONLY\_VALID\_HTML**=2 pour bloquer les balises HTML dangereuses dans les zones de contenu riche.
- <span style="white-space: pre-wrap;">Amélioration des outils de vérification d’intégrité des fichiers </span>***Keatic ERP***<span style="white-space: pre-wrap;"> (contrôle des checksums des fichiers du core).</span>
- **L’API de connexion (/login) est désactivée par défaut :**<span style="white-space: pre-wrap;"> l’API doit être utilisée avec un Bearer token (token API utilisateur). Pour réactiver les endpoints de login, ajouter API\_ENABLE\_LOGIN\_API=1 dans la configuration.</span>

<p class="callout info">**NOTE :** ***Zone IA et vulnérabilités*** : l’intégration de l’IA dans Keatic ERP nécessite une vigilance particulière sur les données transmises aux fournisseurs d’IA tiers. L’utilisateur du serveur MCP doit impérativement avoir des droits minimaux (lecture seule).</p>