Modèle de workflow d’exposition des données confidentielles des incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Exposition des données confidentielles - vous permet d’effectuer une série de tâches conçues pour gérer l’exposition des données sensibles.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie ou changée en Exposition des données d’identité personnelle confidentielles. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Exposition des données d'identité personnelle confidentielles
    Modèle d’exposition des données confidentielles

    Procédure

    1. Ouvrez l’incident de sécurité pour lequel vous souhaitez gérer l’exposition aux données sensibles ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Exposition des données d’identité personnelle confidentielles.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du flux.
      Tableau 1. Tâches de réponse dans le modèle d’exposition des données confidentielles
      Tâche de réponse Description Résultats
      Les données sont-elles sensibles ? Déterminez si les données associées à cet incident de sécurité sont sensibles ou confidentielles. Dans la tâche, sélectionnez Oui ou Non dans Résultat. Si vous avez sélectionné Oui, la tâche de réponse suivante est exécutée.

      Si vous avez sélectionné Non, le flux s’arrête.
      Déterminer la cause première et empêcher la sortie Déterminez la cause première de l’attaque et ajoutez un filtrage de sortie pour arrêter l’exfiltration, en mettant à jour le champ État dans la tâche le cas échéant. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Éliminer l’exposition liée à la cause première En fonction de la cause première, effectuez les étapes pour éliminer l’exposition, en mettant à jour le champ État dans la tâche comme il convient. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Mettre en quarantaine les artefacts résiduels Effectuez les étapes de mise en quarantaine de tous les artefacts résiduels, en mettant à jour le champ État dans la tâche comme il convient. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Processus juridique Effectuez les étapes pour satisfaire aux exigences légales de cette analyse, en mettant à jour le champ État dans la tâche comme il convient. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Processus de PR Effectuez les étapes pour satisfaire aux exigences PR de cette analyse, en mettant à jour le champ État dans la tâche comme il convient. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Révision.
      Réunion sur les enseignements tirés Organiser une réunion sur les enseignements tirés pour trier le travail effectué sur ces données sensibles, en mettant à jour le champ État de la tâche le cas échéant. Si vous changez l’état de la tâche sur Fermé terminé ou Annulé, l’incident de sécurité reste à l’état Examen jusqu’à ce que vous le fermiez.