Data Loss Prevention Incident Response Espace de travail de l’analyste

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 15 minutes de lecture

    • Utilisez l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) pour afficher les incidents DLP. Affectez les incidents aux utilisateurs finaux pour la résolution et plus.

    L’espace de travail DLP se compose d’une page d’accueil avec des tableaux de bord, des vues de liste et des vues de formulaire qui vous permettent de surveiller les incidents DLP.

    Figure 1. Page de vue d’ensemble de l’espace de travail DLP
    Page Vue d’ensemble de l’espace de travail DLP.

    Passer en revue et affecter vos incidents DLP

    Accédez à l’espace de travail de l’analyste Data Loss Prevention Incident Response (DLP IR) pour pouvoir examiner les incidents DLP et les affecter ou les résoudre. Vous pouvez suivre les tendances des incidents par gravité, par principaux délinquants, par source d’analyse et par incidents par politique.

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyst : modifiez et affichez les incidents DLP.
    • sn_dlir.analyst_read et sn_dlir.read : afficher les incidents DLP.

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      La page de liste Mes incidents des opérations de l’espace de travail DLP s’ouvre dans un nouvel onglet.
    2. Cliquez sur l’icône Accueil de l’espace de travail DLP pour afficher la vue de la page d’accueil de l’espace de travail.
    3. Passez en revue les widgets du tableau de bord pour identifier les tendances par incidents par gravité, principaux délinquants, incidents par source d’analyse et incidents par politique.
    4. Cliquez sur les filtres appropriés de la page d’accueil pour afficher les widgets par leurs différentes catégories.
      Filtres Description
      Incidents ouverts Afficher tous les incidents ouverts.
      Incidents critiques en retard Affichez les incidents qui présentent l’étiquette de gravité critique et qui sont en retard.
      Incidents affectés aux utilisateurs finaux Affichez les incidents affectés aux utilisateurs finaux.
    5. Vous pouvez examiner et affecter les incidents DLP de deux manières :
      1. La première consiste à localiser et à sélectionner un ou plusieurs incidents DLP que vous souhaitez examiner, puis à cocher la case en regard des incidents.
      2. Choisissez l’option qui vous convient.
        Option Description
        Actualiser la liste Option permettant d’actualiser la liste des incidents DLP lorsque vous effectuez une mise à jour.
        Actions sur la liste Liste des actions que vous pouvez effectuer. Les choix sont les suivants :
        • Enregistrer sous
        • Modifier les colonnes
        • Rétablir la largeur des colonnes
        Remarque :
        Lorsque votre propre liste personnalisée créée sous la section Mes listes est configurée pour votre espace de travail, vous pouvez également effectuer les actions de liste supplémentaires ci-dessous :
        • Renommer
        • Enregistrer
        • Supprimer
        Copier l’URL pour tout Option permettant de copier les URL de tous les incidents DLP.
        Afficher le panneau Filtre Option permettant d’analyser les incidents requis à l’aide de l’option de filtre.
        1. Cliquez sur le filtre en haut à gauche de la page, puis sélectionnez Vue avancée.
        2. Utilisez un filtre existant ou créez le vôtre en ajoutant des conditions qui contiennent un champ, un opérateur et des valeurs.
        3. Pour ajouter d’autres conditions, cliquez sur ET ou OU :
          • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
          • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
        4. Cliquez sur Mettre à jour.
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de déterminer à quel utilisateur l’incident devrait être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de déterminer l’état dans lequel l’incident doit se trouver avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident Réponse post-utilisateur Option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier qui enfreint une stratégie DLP, il peut choisir l’option Fichier supprimé pour confirmer manuellement la suppression du fichier et fournir des commentaires.

        Dans cette section, vous pouvez également sélectionner des options de réponse avancées. Par exemple, Demander la libération de la quarantaine des e-mails.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Mettre à jour l'état Action pour mettre à jour l’état de l’incident. Vous pouvez mettre à jour l’état de l’incident en sélectionnant l’un des états dans les options déroulantes. Il peut également s’agir d’un état personnalisé.
        Fermer Action pour fermer les incidents. Sélectionnez le code de fermeture correspondant dans la liste déroulante et ajoutez des commentaires de fermeture.
        La fonctionnalité Fermer est Data Loss Prevention Incident Response effectuée à la fois de manière asynchrone et synchrone à partir de la vue de liste.
        1. Fermeture synchrone : lors de la fermeture d’incidents de manière synchrone, cela signifie que l’action de fermeture est effectuée immédiatement. Lorsque vous sélectionnez plusieurs incidents à fermer, si le nombre d’incidents est inférieur ou égal à 100, les incidents sont fermés au premier plan de la vue de liste des incidents DLP. Ici, 100 est la valeur par défaut.
        2. Fermeture asynchrone : cela implique que la demande de fermeture est soumise et que l’application exécute la demande en arrière-plan si le nombre d’incidents sélectionnés est supérieur à 100.

          Vous devez actualiser la vue de liste des incidents DLP pour voir l’état des incidents mis à jour.

          Remarque :
          • Le nombre d’incidents sélectionnés pour une fermeture asynchrone ou synchrone est configuré à l’aide de la propriété système sn_dlir.closure_sync_count_limit.
          • Par défaut, le nombre d’incidents est défini sur 100.
      3. La deuxième méthode consiste à cliquer sur un incident DLP particulier pour l’ouvrir.
        • Onglet Détails : affiche les sections suivantes :
          • Détails : vous pouvez afficher les détails de l’incident DLP, tels que le numéro d’incident, la gravité, le nom du fichier, etc. Vous avez également la possibilité de modifier les champs Gravité, État, Utilisateur final et Groupe d’analystes DLP respectivement et de les enregistrer.
          • Composer : pour ajouter des commentaires sur l’incident DLP visibles par tout le monde, saisissez les commentaires dans l’onglet Commentaires. Pour ajouter des commentaires visibles par certaines personnes, saisissez les commentaires dans l’onglet Notes de travail (privées).
          • Activité : vous pouvez afficher les détails des différentes activités sur l’incident DLP.
          • Pièces jointes : si vous avez des pièces jointes liées à l’incident DLP, cliquez sur Parcourir et sélectionnez la pièce jointe sur votre disque local.
        • Onglet Détails supplémentaires : affiche toutes les informations supplémentaires sur l’incident DLP, y compris les champs personnalisés.
          Important :
          • Les champs personnalisés pour les incidents DLP ne sont pris en charge que sur la version San Diego ou ultérieure.
          • Vous pouvez utiliser l’onglet Détails supplémentaires pour voir si des champs personnalisés ont été créés pour un incident DLP particulier ou non.
        • Onglet Attributs personnalisés : affiche la liste des attributs personnalisés associés à l’incident DLP.
        • Autres incidents de l’utilisateur final : affiche l’incident du même utilisateur final. On peut consolider les incidents en exécutant l’action Ajouter en tant qu’incident enfant à partir de cette liste connexe.
        • Type d’information sensible détectée : affiche les informations sensibles détectées par l’incident.
          Remarque :
          Cette liste connexe n’est visible que pour les incidents DLP créés pour les intégrations Microsoft ou Symantec. Dans l’enregistrement d’incident Microsoft ou Symantec, chaque fois que l’utilisateur accède à l’enregistrement de type d’information sensible détectée, le contenu de la correspondance en surbrillance relatif à cette intégration s’affiche.
        • Incidents enfants : affiche les incidents enfants créés manuellement (en effectuant l’action « Ajouter en tant qu’incident enfant ») ou à partir des règles de consolidation DLP. On peut dissocier l’incident enfant en effectuant l’action « Dissocier l’incident enfant » dans cette liste connexe.
        • Incidents clonés : affiche les incidents clonés à partir de l’incident parent. En cliquant sur l’action Cloner l’incident de la vue de formulaire, vous pouvez créer un nouvel incident cloné.
        • Onglet Évaluations : affiche la liste des évaluations affectées à l’incident DLP.
      4. Choisissez l’option qui vous convient.
        Option Description
        Affecter l'incident Action pour déterminer à qui affecter l’incident DLP. Les choix sont les suivants :
        • Affecter l’incident à : option permettant d’affecter l’incident à un analyste, à un utilisateur final ou à une autre personne.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident Réponse pré-utilisateur : option permettant de sélectionner l’état dans lequel l’incident doit se trouver avant que l’utilisateur ne réponde. Il peut également s’agir d’un état personnalisé.
        • Joindre l’évaluation : option permettant d’indiquer si vous souhaitez joindre une évaluation à l’incident. Si cette option est activée, les options ci-dessous seront disponibles :
          • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
          • État de l’incident Réponse post-utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Annuler l'approbation Action pour annuler la demande d’approbation.

        Cette action est visible par les analystes dans la vue de formulaire uniquement lorsque l’incident DLP est à l’état En attente d’approbation . Les options disponibles sont les suivantes :

        • Affecter l’incident à : option permettant d’affecter l’incident à personne, à un analyste ou à quelqu’un d’autre.
        • Utilisateur : option permettant de sélectionner l’utilisateur auquel l’incident doit être affecté.
        • État de l’incident post-annulation : option permettant de sélectionner l’état dans lequel l’incident doit se trouver après l’annulation de la demande.
        • Commentaires : pour fournir des détails supplémentaires en cas d’annulation.
        Affecter une évaluation Action pour joindre une évaluation lors de l’affectation de l’incident. Les choix possibles sont les suivants :
        • Modèle d’évaluation : option permettant de sélectionner un modèle d’évaluation pour l’incident DLP.
        • État de l’incident Réponse post-utilisateur : option permettant de sélectionner l’état dans lequel l’incident DLP doit se trouver après la réponse de l’utilisateur.
        Télécharger le fichier Action pour télécharger le fichier ou l’e-mail qui contient le contenu en infraction. Cette action peut être effectuée pour les incidents créés pour Microsoft OneDrive, SharePoint Online ou Exchange Online.
        Enregistrer Action pour enregistrer toutes les modifications que vous avez apportées. Vous pouvez modifier les champs Gravité, État et Utilisateur final de l’incident DLP et les enregistrer.
        Répondre Répondre à un incident en sélectionnant une option de réponse aux incidents. Par exemple, si un utilisateur supprime un fichier qui enfreint une stratégie DLP, il peut choisir l’option Fichier supprimé pour confirmer manuellement la suppression du fichier et fournir des commentaires.

        Dans cette section, vous pouvez également sélectionner les options de réponse avancées. Par exemple : demander la sortie de quarantaine de l’e-mail.
        Escalader Action pour escalader l’incident. Vous pouvez escalader l’incident en sélectionnant l’utilisateur auquel vous souhaitez l’escalader. Vous pouvez également fournir des informations supplémentaires dans le champ Commentaires.
        Cloner l'incident Action pour créer un incident de clone si l’enregistrement d’incident a un impact sur plusieurs utilisateurs. Vous pouvez affecter les incidents clonés à plusieurs personnes concernées telles que juridique/informatique.

        Après avoir créé un enregistrement d’incident de clone, un nouvel onglet Incidents clonés est créé sous l’incident DLP parent et tous les incidents clonés sont répertoriés dans cette vue.

        Remarque :
        • Si l’enregistrement d’incident DLP parent est fermé, tous les enregistrements d’incidents clonés se ferment automatiquement.
        • Si un enregistrement d’incident DLP contient un incident cloné, il ne peut pas être affecté aux utilisateurs finaux. Les enregistrements d’incidents DLP parents ne peuvent être gérés que par les utilisateurs disposant du rôle d’analyste.
        • Vous avez également la possibilité de mettre à jour automatiquement l’état parent en fonction de l’état des incidents clonés dans le module Configuration par défaut. Par exemple, si tous les incidents clonés sont passés à l’état Escaladé, l’incident parent passera également à l’état Escaladé.
        Fermer Action pour fermer l’incident. Vous devez sélectionner le code de fermeture correspondant dans la liste déroulante et ajouter des commentaires de fermeture, si nécessaire.
        Fermer en tant que faux positif Action pour fermer l’incident en tant que faux positif. Vous pouvez également ajouter des commentaires supplémentaires avant de fermer l’incident.
    6. Vous pouvez voir la vue Liste à partir de la page d’accueil en allant en haut à gauche de la page et en cliquant sur l’onglet Listes .
      La catégorie Listes se compose des pages de liste par défaut et personnalisées pour les incidents DLP.
      • Onglet Listes : listes par défaut pour les incidents DLP. Les listes par défaut sont les suivantes :
        • Tous
        • Ouvert
        • Mes incidents
        • Affecté à mon groupe
        • Escaladé
        • En retard
        • Évaluations en attente
        • Action de l'utilisateur en attente
        • Incidents clonés
        • Incidents archivés
      • Onglet Mes listes : affiche toutes les listes que vous avez renommées et toutes les listes que vous avez créées.

    Prévisualiser les fichiers de preuves

    Prévisualisez les Data Loss Prevention Incident Response fichiers de preuves dans l’espace de travail de l’analyste DLP IR.

    Avant de commencer

    Important :
    Lors de l’utilisation de l’action Fichiers de preuves dans l’espace de travail de l’analyste DLP, les fichiers de preuves sont temporairement stockés dans la base de données ServiceNow dans un format non chiffré. Si vous ne souhaitez pas stocker les fichiers de preuves, désactivez la fonctionnalité d’aperçu des fichiers de preuves. Pour plus d'informations, consultez Configurer les paramètres avancés.

    Rôle requis : sn_dlir.analyst

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Ouvrez un enregistrement d’incident DLP.
    3. Dans la barre latérale contextuelle, sélectionnez l’icône Fichiers de preuves ( icône Fichiers de preuves.).
    4. Dans l’onglet Fichiers de preuves , sélectionnez la carte Fichier de preuves pour prévisualiser les fichiers de preuves dans la visionneuse de documents.

      La fonctionnalité d’aperçu est différente pour chaque type de fichier, comme indiqué dans le tableau suivant.

      Format de fichier Extension de fichier
      Image .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg et .webp.

      Les fichiers image s’ouvrent en mode visionneuse de documents.
      Microsoft Fichiers Office .doc, .docx, .ppt, .pptx, .xls et .xlsx

      Les fichiers Office s’ouvrent en mode visionneuse de documents.
      Fichiers texte .txt

      Les fichiers texte s’ouvrent en mode éditeur de texte.
      Fichiers d’e-mail .eml
      Remarque :
      La taille du fichier doit être inférieure à 5 Mo. Vous devez d’abord télécharger le fichier pour prévisualiser son contenu.
      Fichiers PDF .pdf
      • Entrez un mot clé pour rechercher le document.
      • Fonctions de zoom avant et arrière pour ajuster l’affichage et améliorer la lisibilité.
      • Faites pivoter la page dans le sens des aiguilles d’une montre ou dans le sens inverse des aiguilles d’une montre pour afficher le contenu plus clairement.
      Remarque :

      Les fichiers binaires ne seront pas rendus et devront être téléchargés pour prévisualiser leur contenu. La fonctionnalité d’aperçu du fichier de preuves fonctionne également pour les incidents archivés.

    Playbook pour Data Loss Prevention Incident Response

    Un Data Loss Prevention Incident Response playbook est un guide étape par étape pour traiter et atténuer les incidents de perte de données, qui peuvent inclure des expositions non autorisées, des fuites ou des violations d’informations sensibles susceptibles de compromettre la sécurité de votre organisation.

    La table suivante répertorie les activités et les étapes disponibles pour créer un playbook DLP. Pour plus d’informations, consultez Ajouter un playbook DLP:

    Activité Description
    Détection Identifiez et confirmez l’accès non autorisé aux données sensibles ou leur exposition.
    Confinement Isolez les systèmes ou les utilisateurs affectés pour éviter toute fuite de données ou tout accès non autorisé.
    Examen Enquêtez sur la violation pour comprendre comment elle s’est produite, quelles données ont été affectées et quel impact potentiel.
    Notification Notifiez les équipes internes, les personnes concernées externes et les organismes de réglementation comme l’exige la loi ou la politique.
    Correction Appliquez des mesures correctives pour remédier aux vulnérabilités, mettre à jour les politiques et prévenir de futures violations.
    Reprise Restaurez les systèmes à partir de sauvegardes sécurisées et validez l’intégrité des données après l’incident.
    Revue post-incident Analysez l’incident pour en identifier les causes premières, améliorer les contrôles de sécurité et renforcer les politiques.

    La figure suivante montre le workflow des activités et des étapes impliquées dans la création du playbook de violation de données sensibles. Les étapes du playbook varient en fonction du workflow.

    Figure 2. Workflow de conception de playbook
    Workflow de conception de playbook

    Ajouter un playbook DLP

    Ajoutez un playbook dans l’espace de travail de l’analyste Data Loss Prevention Incident Response qui peut servir de guide pour traiter et atténuer les incidents de perte de données susceptibles de compromettre la sécurité de votre organisation.

    Avant de commencer

    Rôle requis : sn_dlir.analyst

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Sur la page Espace de travail de l’analyste DLP : mes incidents, ouvrez n’importe quel incident DLP.
    3. Ajoutez le playbook.
      1. Accédez à l’onglet Playbooks .
      2. Dans le menu Actions d’interface utilisateur, sélectionnez l’icône Actions supplémentaires , puis sélectionnez Ajouter des playbooks.
      3. Dans la boîte de dialogue, sélectionnez un playbook dans le menu déroulant.
      4. Sélectionnez Ajouter des playbooks.
    4. Sélectionnez chaque voie pour découvrir les tâches effectuées par ce playbook.

    Annuler un playbook DLP

    Annulez un Data Loss Prevention Incident Response playbook pour arrêter un flux business lorsqu’il n’est plus valide.

    Avant de commencer

    Remarque :
    Les playbooks sont automatiquement annulés lorsque l’incident DLP associé est fermé.

    Rôle requis : sn_dlir.admin.

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
    2. Ouvrez n’importe quel incident DLP.
    3. Accédez à l’onglet Playbooks .
    4. Dans l’en-tête du playbook que vous souhaitez annuler, sélectionnez l’icône Playbook actions, puis sélectionnez Annuler le playbook.
    5. Fournir un motif d’annulation du Playbook.
    6. Sélectionnez Annuler le playbook.

    Résultats

    Une bannière apparaît sous l’en-tête du playbook pour confirmer que le playbook a été annulé.

    Afficher les incidents DLP archivés

    Utilisez l’espace de travail de l’analyste DLP pour afficher ou réactiver les incidents DLP archivés.

    Avant de commencer

    Rôle requis :
    • sn_dlir.analyste
    • sn_dlir.analyst_read et sn_dlir.read

    Procédure

    1. Accédez à la Tous > Gestion des incidents DLP > Espace de travail de l’analyste DLP.
      Par défaut, la section Mes incidents s’affiche.
    2. Cliquez sur Incidents archivés.
      La liste des incidents DLP archivés s’affiche.
    3. Cliquez sur le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents archivés.
      Remarque :
      • Par défaut, le nombre d’incidents archivés est masqué pour améliorer le temps de chargement de la liste. Sélectionnez le bouton Afficher le nombre d’incidents pour afficher le nombre d’incidents. Un message d’information s’affiche pour indiquer le nombre d’incidents.
      • La propriété système glide.ui.list.seismic.omit.count est activée dans le système de base pour les incidents archivés afin de masquer le nombre de listes d’incidents.
    4. Sélectionnez un ou plusieurs incidents DLP que vous souhaitez afficher.
      L’incident DLP affiche la section des détails de l’incident.
      Remarque :
      • Les autres incidents des utilisateurs finaux comprennent les incidents archivés.
      • Le contenu de correspondance est pris en charge pour tous les incidents archivés (qui seront également pris en charge dans toutes les intégrations), mais le téléchargement du fichier n’est pris en charge que pour les intégrations Microsoft.
    5. Facultatif : Pour réactiver un incident, définissez le champ État sur un état actif, tel que Ouvert ou En cours.