Intégration des exceptions de politique à Réponse aux vulnérabilités

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • À partir de la version 10.1, vous pouvez demander des exceptions de politique à l’aide de l’aptitude de gestion des GRC exceptions de politique inhérente à l’application à partir de la Gestion de la politique et de la conformité version 10.3 de l’application Réponse aux vulnérabilités .

    Avantages de l’utilisation de l’intégration des exceptions de politique

    La demande d’exceptions à l’aide de l’intégration des exceptions de politique avec Gestion de la politique et de la conformité offre les avantages suivants :
    • Effectuez des évaluations pour recueillir des informations supplémentaires sur les demandes.
    • Demandez des exceptions en fonction d’une politique ou d’un objectif de contrôle spécifique. Cette action montre les effets sur la conformité lorsqu’une exception est approuvée.
    • Configurez des approbations pour qu’elles se déclenchent automatiquement en fonction de la cote de risque, de la politique ou de l’objectif de contrôle associé à l’exception de politique.

    Fonctionnement de l’intégration des exceptions de politique

    Le scénario décrit ici suppose qu’une vulnérabilité a été identifiée dans votre système et que votre propriétaire de rattrapage a déterminé qu’un correctif logiciel est nécessaire. Le correctif n’a pas été entièrement testé et le propriétaire demande une exception de politique pour différer le déploiement du correctif jusqu’à ce que les tests soient terminés.
    Le diagramme suivant illustre les étapes effectuées par le gestionnaire de conformité et le responsable du rattrapage dans chacune des applications.
    Figure 1. Intégration de l’exception de politique
    Workflow d’intégration des exceptions de politique
    Remarque :
    Le rôle d’utilisateur métier GRC (sn_grc.business_user) ou utilisateur métier – lite (sn_grc.business_user_lite) est le rôle minimum requis pour déclencher une exception de politique à partir d’une application en amont.
    1. Lorsque l’application Réponse aux vulnérabilités a été installée, deux enregistrements d’intégration d’exceptions de politique sont automatiquement créés et ajoutés au registre d’intégration, l’un pour un groupe de vulnérabilité et l’autre pour un élément vulnérable.
      Figure 2. Registre d’intégration des exceptions de politique
      Registre d’intégration des exceptions de politique.
      Pour configurer l’enregistrement de l’élément vulnérable, le gestionnaire de conformité effectue les étapes suivantes.
      1. Identifie le mappage des tables utilisé pour intégrer les deux applications.
      2. Définit les motifs de demande d’exceptions.
      3. (en option) Définit des catégories de politiques pour les politiques de filtrage
      4. (en option) Crée un ou plusieurs questionnaires à envoyer au demandeur pour recueillir des informations supplémentaires sur la demande d’exception de politique.
    2. Le gestionnaire de conformité définit également des règles facultatives de vérification et des règles d’approbation afin d’automatiser le processus d’obtention des approbations pour l’exception de politique.
    3. Dans Réponse aux vulnérabilités, le propriétaire du rattrapage Demander une exception à l’aide de GRC : Gestion de la politique et de la conformité .
    4. Si une règle de vérification a été définie pour l’application, les approbateurs désignés sont informés que leur approbation est requise. Si des champs de la demande d’exception de politique n’ont pas été renseignés par le demandeur (par exemple, la politique ou l’objectif du contrôle), ces champs deviennent obligatoires pour les approbateurs. Lorsque les approbateurs ont examiné, terminé et approuvé la demande, celle-ci passe à l’état Analyser et est affectée au gestionnaire de conformité pour une analyse et une approbation plus approfondies.
    5. Dans Gestion de la politique et de la conformité, le gestionnaire de conformité reçoit la demande approuvée et attribue une cote de risque à la demande d’exception de politique dans l’onglet Évaluation des risques .
      Figure 3. Demande d’exception de politique dans l’onglet Évaluation des risques
      Cote de risque

      Lorsque l’enregistrement d’exception de politique est enregistré, les informations de l’onglet Source , y compris l’application source et l’enregistrement source, ainsi que les informations de la liste connexe des éléments vulnérables sont renseignées automatiquement. Le gestionnaire de conformité a maintenant accès à toutes les données nécessaires pour examiner et approuver l’exception de politique.

    6. Dans Gestion de la politique et de la conformité, le gestionnaire de conformité effectue l’évaluation d’exception, si les évaluations ont été configurées. Une fois l’évaluation terminée, le gestionnaire de conformité revient à l’onglet Évaluation des risques et met à jour la cote de risque en fonction des résultats de l’évaluation, si nécessaire. Le gestionnaire de conformité remplit également les champs suivants avec les informations recueillies lors de l’évaluation.
      Tableau 1. Onglet Évaluation des risques
      Champ Description
      Description du risque Fournissez des détails sur le risque associé à cette exception de politique.
      Analyse du risque et de l'impact Fournissez des détails sur votre analyse du risque et de l’impact de l’exception de politique.
      Plan d'atténuation des risques Fournissez des détails sur le plan d’atténuation associé à cette exception de politique.
    7. S’il manque des informations dans l’exception de politique, le gestionnaire de conformité peut cliquer sur Demander plus d’informations et ajouter des commentaires pour identifier le type de données nécessaire. Le demandeur est informé et fournit les informations demandées.
    8. Le gestionnaire de conformité peut éventuellement envoyer l’exception de politique pour un examen interne supplémentaire avant de l’approuver en cliquant sur Demander une révision.
      Remarque :
      Avant de demander une révision, assurez-vous que la liste connexe des contrôles impactés contient les contrôles impactés par l’exception de politique. Il suffit d’ouvrir la liste connexe, de cliquer sur Ajouter et de sélectionner les contrôles.
    9. Si l’exception de politique présente un risque particulièrement élevé et que le gestionnaire de conformité estime que l’approbation doit provenir d’une personne haut placée dans l’organisation (par exemple, le DSI), il peut cliquer sur Demander l’approbation.
      Dans le cas contraire, l’approbation est effectuée dans les cas suivants.
      Règle d’approbation définie Effet sur l’approbation
      Si une règle d’approbation n’a pas été définie pour Réponse aux vulnérabilités La sélection de l’option Approuvé entraîne l’approbation de l’exception de politique.
      Si une règle d’approbation a été définie, mais que la case Déclencher automatiquement n’a pas été cochée Vous pouvez cliquer sur Demander l’approbation pour envoyer l’exception de politique aux utilisateurs ou aux groupes définis dans la règle. Par exemple, une règle d’approbation peut indiquer que lorsque l’exception de politique est basée sur une politique particulière, un certain ensemble d’utilisateurs ou de groupes sont informés qu’ils doivent approuver l’exception de politique. Vous pouvez également définir une règle d’approbation afin que toute exception de politique avec une cote de risque critique soit automatiquement envoyée à un certain ensemble d’approbateurs.

      Le nombre d’approbateurs nécessaires pour approuver l’exception de politique dépend du paramètre figurant dans le champ Approbation requise de la règle.

      Vous pouvez également cliquer sur Approuver pour approuver vous-même l’exception de politique.
      Si une règle d’approbation a été définie et que la case Déclencher automatiquement a été cochée Cliquer sur le bouton Approuver entraîne l’exécution de la règle d’approbation et l’exception de politique est automatiquement envoyée aux utilisateurs ou aux groupes définis par la règle pour approbation. Le déclenchement automatique rend cette étape obligatoire. Lorsque les approbations sont reçues, l’exception de politique entre en vigueur.
    10. Dans , une Réponse aux vulnérabilités fois les approbations reçues, l’exception de politique devient active et l’activité d’application de correctif sur l’élément vulnérable est différée jusqu’à l’expiration de l’exception de politique. Lorsque la date de validité est atteinte, l’exception de politique expire et l’état de l’élément vulnérable passe de Différé à Ouvert.