Effectuer une revue post-incident basée sur un questionnaire

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Vous pouvez décider qu’un examen post-incident de l’incident de sécurité est justifié. Une revue post-incident décrit ce qui s’est passé, aide à déterminer pourquoi l’incident s’est produit et identifie comment il peut être évité ou géré à l’avenir.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.manager sn_si.analyste
    Remarque :
    Quel que soit son rôle, tout utilisateur peut participer à un questionnaire de revue post-incident. Les rôles peuvent être affectés à une révision.

    Pourquoi et quand exécuter cette tâche

    L’application ServiceNow Réponse aux incidents de sécurité peut automatiser la collecte d’informations de revue post-incident auprès de toutes les personnes impliquées dans un incident de sécurité à l’aide de questionnaires. Si vous décidez d’utiliser un questionnaire dans le cadre d’une revue post-incident, une liste de questions, pertinente pour l’incident de sécurité, est envoyée à la liste des participants définie par l’utilisateur. Le rapport post-incident est généré automatiquement lorsque chaque utilisateur remplit le questionnaire. Le rapport compile toutes les informations relatives à l’incident de sécurité, ainsi que toutes les réponses à la revue post-incident.

    Bien qu’une liste initiale de questions soit fournie avec le système de base, elle est personnalisable. Vous pouvez créer des catégories et y ajouter de nouvelles questions, ou vous pouvez modifier des questions individuelles dans des catégories existantes. Vous pouvez poser des questions en fonction des rôles. Vous pouvez définir quand certaines questions sont posées. Vous pouvez poser des questions uniquement pour vos serveurs UNIX, par exemple, ou uniquement en cas d’activité criminelle. Vous pouvez définir les questions qui sont posées en fonction de la réponse à une autre question ou de la valeur d’un champ sur le formulaire. Il peut même y avoir des questions qui sont entièrement remplies en interrogeant la base de données.

    Une fois l’incident de sécurité résolu et passé à l’état Révision , des évaluations sont générées pour tous les utilisateurs affectés et les utilisateurs directement ajoutés à partir de la liste Évaluations des demandes .

    Le questionnaire peut être un outil utile pour recueillir des informations sur le traitement de l’incident de sécurité à partir de diverses sources.

    Pendant la révision, vous pouvez ajouter d’autres utilisateurs à la liste ou supprimer des utilisateurs existants de la liste, sauf s’ils ont déjà commencé à remplir le questionnaire. Si vous ajoutez de nouveaux utilisateurs à la liste, ils reçoivent les questions lors de la sauvegarde de l’enregistrement. L’incident de sécurité ne peut pas être fermé tant que tous les questionnaires n’ont pas été remplis. Au fur et à mesure que les questionnaires sont remplis par chaque utilisateur, le rapport post-incident est automatiquement généré (et régénéré) et affiché dans l’onglet Revue post-incident .

    Pour commencer une revue post-incident :

    Procédure

    1. Créez un incident de sécurité ou ouvrez-en un existant en accédant à Incident de sécurité > Incidents > Affecté à moi-même (ou affecté à une équipe ou incidents non affectés).
    2. Cliquez sur l’onglet Revue post-incident .
    3. Le champ Évaluations de la demande indique par défaut la personne dans le champ Affecté à .
      Cliquez sur l’icône de verrou pour ajouter d’autres utilisateurs à la liste de révision. Une fois le champ déverrouillé, des options sont disponibles pour ajouter ou supprimer plusieurs utilisateurs et rôles, ou pour saisir des adresses e-mail d’utilisateurs.
    4. Lorsque vous avez terminé vos entrées, cliquez sur l’icône de verrou pour verrouiller le champ.
      Remarque :
      Vous pouvez également définir des conditions qui, lorsqu’elles sont réunies dans un incident de sécurité, peuvent entraîner l’ajout automatique d’utilisateurs spécifiques au champ Évaluations des demandes pour cet incident de sécurité. Par exemple, lorsqu’une catégorie d’incident de sécurité est changée en Hameçonnage, des personnes spécifiques qui ont une expertise dans les menaces d’hameçonnage peuvent être ajoutées à la liste de revue post-incident. Pour plus d'informations, consultez Créer des règles d’affectation de revue post-incident.
    5. Cliquez sur Mettre à jour.
      Lorsque l’incident passe à l’état Examen (ou immédiatement, s’il est déjà à l’état Examen ), chacun des utilisateurs de la liste Examen reçoit une première notification par e-mail. Des rappels sont envoyés à l’approche de la date d’échéance. Lorsque chaque utilisateur accède au questionnaire à partir du lien de l’e-mail ou en accédant à Revue post-incident > Mes vérifications en attente, les questions affichées sont tirées de toutes les catégories qui correspondent à cet incident de sécurité. Si de nouveaux utilisateurs sont ajoutés à la liste de révision avant la date d’échéance, ils reçoivent des notifications lorsque l’incident de sécurité est enregistré.

      Au fur et à mesure que les utilisateurs remplissent leurs questionnaires, le rapport post-incident compile les données et affiche le rapport dans l’onglet Revue post-incident . Les données du questionnaire sont affichées dans l’onglet Résultats .