Présentation de Réponse aux incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Avec Réponse aux incidents de sécurité (SIR), gérez le cycle de vie de vos incidents de sécurité, de l’analyse initiale à l’endiguement, en passant par l’éradication et la récupération. Security Incident Response vous permet d’obtenir une compréhension complète des procédures de réponse aux incidents exécutées par vos analystes, ainsi que de comprendre les tendances et les goulots d’étranglement de ces procédures grâce à des tableaux de bord et des rapports basés sur des analyses.

    Regardez cette vidéo pour en savoir plus sur le processus SIR, son utilisation Réponse aux incidents de sécurité pour contrecarrer les attaques et visualiser l’activité de sécurité dans l’Explorateur Réponse aux incidents de sécurité .

    Les intégrations intégrées avec des solutions de cybersécurité tierces et les intégrations développées par des partenaires à partir du Store permettent l’automatisation et l’orchestration de la ServiceNow sécurité pour une réponse efficace et précise aux incidents.

    Pour protéger vos enquêtes et préserver la confidentialité des incidents de sécurité, Réponse aux incidents de sécurité fournit des moyens de restreindre l’accès au système à des rôles et ACL spécifiques liés à la sécurité. L’accès peut être restreint aux administrateurs non liés à la sécurité, sauf si vous leur autorisez expressément l’entrée.
    Remarque :
    Les administrateurs de système informatique [admin] peuvent emprunter l’identité d’utilisateurs ServiceNow. Toutefois, lorsqu’il emprunte l’identité d’un utilisateur disposant d’un rôle d’administrateur d’application pour Réponse aux incidents de sécurité, un administrateur ne peut pas accéder aux fonctionnalités accordées par ce rôle, y compris les incidents de sécurité et les informations de profil. L’accès aux modules et aux applications dans la barre de navigation est également limité. En outre, l’administrateur ne peut pas modifier le mot de passe d’un utilisateur disposant d’un rôle d’administrateur d’application pour Réponse aux incidents de sécurité.

    Découverte

    Les incidents de sécurité peuvent être journalisés ou créés des manières suivantes.
    • À partir du formulaire d’incident de sécurité
    • À partir d’événements générés en interne, ou créés par des systèmes externes de surveillance ou de suivi des vulnérabilités via des règles d’alerte, ou manuellement
    • À partir de systèmes de surveillance ou de suivi externes
    • À partir du catalogue de services

    Analyse

    Selon la vue sélectionnée que vous utilisez (par défaut, Sécurité non informatique, Sécurité ITIL, etc.), le formulaire d’incident de sécurité peut afficher n’importe quelle combinaison de vulnérabilités, d’incidents, de changements, de problèmes et de tâches sur le CI affecté et les groupes de CI affectés. Le système peut identifier les logiciels malveillants, les virus et d’autres zones de vulnérabilité en recoupant la base de données du National Institute of Standards and Technology (NIST) ou d’autres logiciels de détection tiers. Au fur et à mesure que les incidents de sécurité sont résolus, vous pouvez utiliser n’importe quel incident pour créer un article de la base de connaissances de sécurité pour référence ultérieure.

    Effectuez une analyse plus approfondie à l’aide d’une carte des services d’entreprise pour localiser d’autres systèmes ou services d’entreprise affectés qui peuvent être infectés.

    Endiguement, éradication et récupération

    Lorsque vous surveillez et analysez les vulnérabilités, vous pouvez créer et affecter des tâches à d’autres départements. Vous pouvez utiliser une carte de services d’entreprise pour créer des tâches, des problèmes ou des changements pour tous les systèmes, documents, activités, messages SMS, appels de pont, etc. concernés.

    Examen

    Une fois l’incident résolu, d’autres étapes peuvent avoir lieu avant la fermeture. Vous pouvez effectuer une revue post-incident. La création d’articles de la base de connaissances peut aider à gérer de futurs incidents similaires. Les incidents importants peuvent nécessiter un examen de résolution post-incident. Cet examen peut prendre plusieurs formes. Par exemple :
    • Organisez une réunion pour discuter de l’incident et rassembler les réponses.
    • Rédigez et distribuez aux équipes qui ont travaillé sur un incident une liste de questions d’examen de résolution conçues pour chaque catégorie ou priorité d’incident.
    • Les gestionnaires d’incidents peuvent rédiger le rapport et recueillir des informations par eux-mêmes.
    Un rapport d’examen de la résolution d’incident peut être généré automatiquement et comprend :
    1. Un résumé de ce qui a été fait
    2. la chronologie
    3. Type d’incident de sécurité rencontré
    4. tous les incidents, changements, problèmes, tâches, groupes de CI associés
    5. les détails de la résolution
    En outre, un système automatisé d’enquête sur la résolution des incidents de sécurité est disponible. Elle rassemble les noms de tous les utilisateurs affectés à un incident de sécurité et envoie une enquête personnalisée pour recueillir des données sur le traitement de l’incident. Ces données peuvent ensuite être mises à disposition dans un rapport d’examen des incidents de sécurité généré, que vous pouvez modifier dans une version finale. Des données similaires peuvent être ajoutées à un article de la base de connaissances pour contenir les enseignements tirés et les mesures à prendre pour résoudre des problèmes similaires à l’avenir.

    Demander des applications dans l'App Store

    Visitez le ServiceNow Store pour afficher toutes les applications disponibles et pour obtenir des informations sur la soumission de demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Store notes de publication relatives à l'historique des versions.

    Terminologie de Réponse aux incidents de sécurité

    Les termes suivants sont utilisés dans .Réponse aux incidents de sécurité
    Terme Définition
    Actives Tout incident de sécurité dont l’état n’est pas Fermé ou Annulé.
    Verrouillage de l’administrateur La possibilité de restreindre Réponse aux incidents de sécurité l’accès au personnel ayant des rôles et des ACL liés à la sécurité.
    Demandes de sécurité entrantes Demandes soumises pour des demandes de sécurité à faible impact, telles que la demande d’un nouveau badge électronique.
    Gérer les activités post-incident Examen des origines et du traitement d’un incident de sécurité. Le produit final est un rapport post-incident, qui documente toutes les actions effectuées et les raisons pour lesquelles elles ont été effectuées.
    Tâches de réponse Tâches affectées à un incident de sécurité pour le suivi des actions en réponse à la menace.
    Présentation des calculateurs d’incidents de sécurité Calculateurs utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions préconfigurées sont remplies.
    Arborescences d’incidents de sécurité Type de graphique qui affiche de manière hiérarchique les données d’incident de sécurité sous la forme de rectangles imbriqués.
    Recherche de menace Demande soumise à partir du catalogue des incidents de sécurité pour l’analyse des fichiers, des URL et des adresses IP à la recherche de programmes malveillants.
    Analyse des vulnérabilités Une demande initiée à partir du formulaire d’incident de sécurité pour analyser les ressources affectées (serveurs, ordinateurs et autres éléments de configuration) pour détecter les vulnérabilités.