Workflow d’identification des risques pour les applications d’entreprise

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Lors de l’évaluation des risques d’une application, l’application passe par différentes étapes d’identification et d’évaluation des risques. Vous pouvez définir le workflow d’identification et d’évaluation en fonction de vos besoins.

    Avant d’évaluer les risques d’une application, l’application doit être créée dans la table Application d’entreprise et portée à GRC. Lorsque l’application arrive à GRC, un enregistrement d’identification des risques est créé. Le propriétaire de l’application fournit des informations sur l’application au gestionnaire des risques informatiques. Le gestionnaire des risques informatiques mappe ensuite les risques, contenus des documents de référence et politiques recommandés.

    Prenez l’exemple suivant pour comprendre le workflow d’identification et d’évaluation des risques pour une application d’entreprise. Une nouvelle application d’entreprise fait son apparition dans votre organisation. Cette nouvelle application fait partie de la table Application d’entreprise. La nouvelle application a deux propriétaires :
    • Propriétaire de l'application informatique
    • Propriétaire de l’entreprise : cet utilisateur doit avoir le rôle sn_grc.business_user.
    Remarque :
    Votre organisation peut utiliser différents rôles.
    À ce stade, l’application ne fait pas partie de GRC. Elle doit être considérée GRC comme une entité avant que ses risques puissent être évalués. Des objets d’information doivent également être associés à la nouvelle application.

    Le workflow et les approbateurs de l’évaluation des risques de l’application sont déterminés par les paramètres du formulaire Configuration de l’identification des risques. Reportez-vous à Configurer l’intégration de l’identification des risques pour comprendre le processus de définition du workflow. Pour relancer l’identification des risques, une action du Concepteur de flux est fournie.

    Lors de l’évaluation d’une nouvelle application d’entreprise, le workflow d’identification des risques est le suivant :
    1. Une application de gestion est créée automatiquement ou par un propriétaire d’application dans la table Application d’entreprise.
    2. GRC détecte la nouvelle application d’entreprise. Une GRC entité est créée pour la nouvelle application. La détection est gérée par la tâche planifiée Génération de profil qui s’exécute GRC en arrière-plan.
    3. Un nouvel enregistrement d’identification des risques est créé pour l’application.
      Remarque :
      Le gestionnaire des risques peut modifier l’enregistrement de configuration et déterminer le workflow de l’évaluation. Une fois qu’une configuration d’identification des risques est publiée, le gestionnaire des risques ne peut modifier que certains champs dans l’enregistrement de configuration.
    4. Un questionnaire est lancé et envoyé au propriétaire de l’application pour recueillir des détails sur l’application.
    5. Le propriétaire de l’application répond au questionnaire.
    6. Le gestionnaire des risques informatiques examine les réponses. Si les réponses ne sont pas satisfaisantes, le gestionnaire renvoie le questionnaire au propriétaire de l’application.
      Remarque :
      Si le questionnaire est renvoyé, les nouvelles réponses reviennent à leur forme d’origine.
    7. En fonction de la configuration, une fois que le gestionnaire des risques informatiques est satisfait des réponses, le système lance l’évaluation inhérente.
    8. GRC Mappe les risques et les objets de conformité en fonction des types d’entités.
    9. Le gestionnaire des risques informatiques examine le mappage d’objets d’informations.
    10. Le système exécute le moteur de recommandation en fonction de l’algorithme sélectionné dans la configuration.
    11. Le gestionnaire des risques informatiques examine et mappe les risques, les politiques et les contenus des documents de référence recommandés en fonction des objets d’informations associés.
    12. Le gestionnaire des risques informatiques mappe les contrôles recommandés en fonction des contenus des documents de référence, des politiques et des risques associés.
    13. Le propriétaire de l’application gère le cycle de vie du contrôle et atteste les contrôles.
    La figure suivante représente le workflow de la solution.
    Figure 1. Workflow de solution de l’intégration GRC et APM
    Intégration d’APM et de l’évaluation Advanced Risk

    États de l’enregistrement de l’identification des risques

    Une fois que la configuration de l’identification des risques passe à l’état Publié, un enregistrement d’identification des risques est créé pour l’entité connexe.

    L’enregistrement de l’identification des risques passe par les états suivants :
    • Nouveau : un nouvel enregistrement est créé
    • Collecte d’informations : les informations sur l’application sont collectées.
    • Examen : le gestionnaire des risques examine les informations.
    • Évaluation inhérente : le gestionnaire des risques effectue l’évaluation inhérente des risques.
    • Mappage des risques : le gestionnaire des risques mappe les risques, les contenus des documents de référence et les politiques nécessaires.
    • Surveiller : les risques sont surveillés.
    • Mis hors service : les risques sont mis hors service si nécessaire.

    Une fois que la configuration de l’identification des risques passe à l’état Mis hors service, la configuration devient non valide et les enregistrements d’identification des risques ne sont pas créés pour les entités associées.

    En termes de cycle de vie, un enregistrement d’identification des risques passe par les états suivants :
    1. Nouveau
    2. Collecte d'informations
    3. Revue
    4. Évaluation inhérente
    5. Mappage des risques
    6. Surveiller
    7. Mis hors service