Workflow d’identification des risques pour les applications d’entreprise

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Lors de l’évaluation des risques d’une application, celle-ci passe par différentes étapes d’identification et d’évaluation des risques. Vous pouvez définir le workflow d’identification et d’évaluation en fonction de vos besoins.

    Avant d’évaluer les risques d’une application, celle-ci doit être créée dans la table Application d’entreprise et importée dans GRC. Une fois que l’application arrive à GRC, un enregistrement d’identification des risques est créé. Le propriétaire de l’application fournit des informations sur l’application au gestionnaire des risques informatiques. Le gestionnaire des risques informatiques mappe ensuite les risques, les citations et les politiques recommandés.

    Considérez l’exemple suivant pour comprendre le workflow d’identification et d’évaluation des risques pour une application d’entreprise. Une nouvelle application d’entreprise est introduite dans votre organisation. Cette nouvelle application fait partie de la table Application d’entreprise. La nouvelle application a deux propriétaires :
    • Propriétaire de l'application informatique
    • Propriétaire de l’entreprise : cet utilisateur doit avoir le rôle sn_grc.business_user.
    Remarque :
    Votre organisation peut utiliser différents rôles.
    À ce stade, l’application ne fait pas partie de GRC. Il doit être amené en tant qu’entité GRC avant que ses risques puissent être évalués. Des objets d’informations doivent également être associés à la nouvelle application.

    Le workflow et les approbateurs de l’évaluation des risques de l’application sont déterminés par les paramètres du formulaire de configuration de l’identification des risques. Reportez-vous à Configurer l’intégration de l’identification des risques pour comprendre le processus de définition du workflow. Pour relancer l’identification des risques, une action de Flow Designer est fournie.

    Lors de l’évaluation d’une nouvelle application d’entreprise, le workflow de l’identification des risques est le suivant :
    1. Une application d’entreprise est créée automatiquement ou par un propriétaire d’application dans la table d’applications d’entreprise.
    2. GRC Détecte la nouvelle application d’entreprise. Une GRC entité est créée pour la nouvelle application. La détection est gérée par la tâche planifiée Génération de GRC profil qui s’exécute en arrière-plan.
    3. Un nouvel enregistrement d’identification des risques est créé pour l’application.
      Remarque :
      Le gestionnaire des risques peut modifier l’enregistrement de configuration et déterminer le workflow de l’évaluation. Une fois qu'une configuration d'identification des risques est publiée, le gestionnaire des risques peut uniquement modifier certains champs de l'enregistrement de configuration.
    4. Un questionnaire est lancé et envoyé au propriétaire de l’application pour recueillir des informations sur l’application.
    5. Le propriétaire de l'application répond au questionnaire.
    6. Le responsable des risques informatiques examine les réponses. Si les réponses ne sont pas satisfaisantes, le gestionnaire renvoie le questionnaire au propriétaire de l’application.
      Remarque :
      Si le questionnaire est renvoyé, les nouvelles réponses reviennent à leur forme initiale.
    7. Selon la configuration, une fois que le gestionnaire des risques informatiques est satisfait des réponses, le système lance l’évaluation inhérente.
    8. GRC mappe les risques et les objets de conformité en fonction des types d’entité.
    9. Le responsable des risques informatiques examine le mappage d’objets d’informations.
    10. Le système exécute le moteur de recommandation en fonction de l'algorithme sélectionné dans la configuration.
    11. Le responsable des risques informatiques examine et mappe les risques, les politiques et les contenus des documents de référence recommandés en fonction des objets d’informations associés.
    12. Le responsable des risques informatiques mappe les contrôles recommandés en fonction des citations, des politiques et des risques associés.
    13. Le propriétaire de l’application gère le cycle de vie du contrôle et atteste les contrôles.
    La figure suivante représente le workflow de la solution.
    Figure 1. Workflow de solution de l’intégration GRC et APM
    Intégration d’APM et de l’évaluation Advanced Risk

    États de l’enregistrement d’identification des risques

    Une fois que la configuration d’identification des risques est passée à l’état Publié, un enregistrement d’identification des risques est créé pour l’entité connexe.

    L’enregistrement d’identification des risques passe par les états suivants :
    • Nouveau : un nouvel enregistrement est créé
    • Collecte d’informations : Les informations sur l’application sont collectées.
    • Révision : le gestionnaire des risques examine les informations.
    • Évaluation inhérente : le gestionnaire des risques effectue une évaluation des risques inhérents.
    • Mappage des risques : le gestionnaire des risques mappe les risques, les citations et les politiques nécessaires.
    • Surveiller : Les risques sont surveillés.
    • Mis hors service : les risques sont mis hors service si nécessaire.

    Une fois que la configuration d’identification des risques est passée à l’état Mis hors service, la configuration devient non valide et les enregistrements d’identification des risques ne sont pas créés pour les entités associées.

    En termes de cycle de vie, un enregistrement d’identification des risques passe par les états suivants :
    1. Nouvelle
    2. Collecte d'informations
    3. Revue
    4. Évaluation inhérente
    5. Mappage des risques
    6. Moniteur
    7. Mis hors service