Configurer l’intégration de l’identification des risques

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Avant d’évaluer une application, spécifiez l’application cible où l’identification des risques doit être lancée.

    Avant de commencer

    Assurez-vous d’avoir les applications suivantes :
    • Gestion du portefeuille d'applications doit être installé si vous souhaitez activer le moteur de recommandation et utiliser l’intégration.
    • Gestion du portefeuille d'applications L’intégration à Gestion des risques (com.snc.apm_risk_assessment) doit être installée. Cette application n’est requise que si vous souhaitez utiliser l’intégration.
    • Moteur d'évaluation intelligent et GRC Common Workspace Elements doit être installé pour utiliser le questionnaire d’évaluation intelligente lors de l’identification des risques. Pour plus d'informations, consultez Configurer Moteur d'évaluation intelligent.
    Rôle requis : sn_risk.admin

    Pourquoi et quand exécuter cette tâche

    Le formulaire de configuration de l’identification des risques contient un type d’entité et un enregistrement d’identification par défaut pour la table d’application d’entreprise. En tant qu’administrateur des risques, vous pouvez modifier l’enregistrement par défaut ou créer votre propre configuration. Les étapes de cette procédure concernent la création d’un enregistrement. Le formulaire de configuration de l’identification des risques est utilisé pour effectuer les actions suivantes :
    • Recueillez des informations sur l’application à l’aide d’un questionnaire.
    • Déterminez la criticité de l’application.
    • Déterminez si une évaluation inhérente de l’application est nécessaire.
    • Identifiez les risques et mappez les contrôles pertinents.
    • Choisissez de recevoir des recommandations pour les risques et les contrôles.

    Procédure

    1. Accédez à la Tout > Évaluation Advanced Risk > Administration > Configuration de l'identification des risques.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Configuration de l’identification des risques
      Champ Description
      Nom Nom de la configuration. L’identification des risques pour l’application d’entreprise en est un exemple.
      Niveau de configuration Niveau où la configuration est effectuée. Les choix sont les suivants :
      • Classe d'entité
      • Table
      Classe de l'entité cible Classe d’entité pour laquelle le questionnaire d’identification des risques est lancé. Pour chaque entité de cette classe d’entité, un enregistrement d’identification des risques est automatiquement créé. Ce champ apparaît uniquement lorsque la classe d’entité est sélectionnée à partir du niveau de configuration.
      Table cible Table contenant l’enregistrement de l’application. Pour chaque entité de cette table, un enregistrement d’identification des risques est automatiquement créé. Ce champ apparaît uniquement lorsque Table est sélectionnée à partir du niveau de configuration.
      État État de la configuration. Ce champ est automatiquement défini sur Brouillon.
      Groupe du gestionnaire des risques Groupe qui examine le workflow d’identification des risques. Les utilisateurs qui appartiennent à ce groupe doivent avoir les rôles sn_risk.manager et sn_compliance.manager.
      Questionnaire d'identification Option permettant de lancer un questionnaire pour recueillir des informations sur l’application.
      Évaluation inhérente Option permettant d’effectuer une évaluation inhérente ou une évaluation d’analyse d’impact sur l’entreprise (BIA).
      Moteur de recommandation Option permettant de recommander des risques et des contrôles. Cette option n’est disponible que lorsque le champ Table cible possède une application d’entreprise.
      Questionnaire d'identification
      Utiliser l'évaluation intelligente L’option permet d’utiliser des modèles d’évaluation intelligents. Vous pouvez sélectionner un modèle d’évaluation intelligente dans le champ Questionnaire .

      Pour en savoir plus sur la création d’un modèle d’évaluation intelligente, reportez-vous à la section Créer un modèle d’évaluation intelligente pour l’identification des risques.
      Questionnaire Questionnaire utilisé pour la collecte d’informations.
      Remarque :
      Vous pouvez voir une liste des modèles d’évaluation intelligente uniquement lorsque vous sélectionnez l’option Utiliser l’évaluation intelligente. Seuls les modèles d’évaluation publiés avec une catégorie d’identification des risques et le champ Cible d’évaluation sélectionné comme Entité sont disponibles pour la sélection.
      Type de personne chargée de répondre Répondant du questionnaire. Les choix sont les suivants :
      • Propriétaire de l'entité
      • Utilisateur sur l'enregistrement cible
      Examen du questionnaire requis Option permettant d’exiger que le questionnaire soit examiné par un réviseur.
      Champ de la personne chargée de répondre Champ de la table cible qui contient la personne chargée de répondre pour le questionnaire. Ce champ s’affiche lorsque le champ Type de personne chargée de répondre a Utilisateur sur l’enregistrement cible.
      Évaluation inhérente
      Examen de l'évaluation inhérente requise Option permettant de choisir si l’évaluation inhérente doit être révisée.
      Méthodologie d'évaluation des risques Option permettant de sélectionner la méthodologie d’évaluation des risques (RAM) pour effectuer l’évaluation inhérente. Vous pouvez voir la liste des RAM associées à la table cible sélectionnée.
      Remarque :
      Seules les RAM basées sur un objet publiées avec l’option d’évaluation inhérente activée peuvent être sélectionnées.
      Type d'approbateur Type d’approbateur pour l’évaluation inhérente. Les choix sont les suivants :
      • Utilisateur sur l'enregistrement cible
      • Groupe
      Remarque :
      Ce champ s’affiche uniquement lorsque l’option Examiner l’évaluation inhérente requise est sélectionnée.
      Approbateur Approbateur pour l’évaluation inhérente. Pour une application d’entreprise, l’approbateur est le propriétaire professionnel de l’application.
      Remarque :
      Ce champ apparaît uniquement lorsque l’utilisateur sur l’enregistrement cible est sélectionné à partir du type Approbateur.
      Groupe d'approbation Groupe d’approbateurs pour l’évaluation inhérente. Ce champ s’affiche uniquement lorsque le champ Type d’approbateur possède Groupe.
      Remarque :
      Ce champ s’affiche uniquement lorsque Groupe est sélectionné à partir du type Approbateur.
      Moteur de recommandation
      La section Moteur de recommandation s’affiche uniquement lorsque le champ Table cible dispose d’une application d’entreprise.
      Algorithme du moteur de recommandation Spécifiez le moteur de recommandation. Les choix sont les suivants :
      • Néant
      • Basé sur le mappage d'objets d'informations

      Pour plus d’informations sur les objets d’informations, reportez-vous à la section Objets d'informations.
      Fréquence
      Fréquence Fréquence de la réinitiation du workflow.
      Remarque :
      La date de la prochaine exécution de la reinitiation du workflow est calculée en fonction de la fréquence définie dans l’enregistrement de configuration de l’intégration des risques. Cette fréquence garantit une évaluation continue de l’application.
      Mois Mois au cours duquel la tâche doit être exécutée.
      Jour du mois Jour du mois où la tâche doit être exécutée.
    4. Sélectionnez Soumettre.
    5. Pour définir le mappage de la RAM pour la configuration de l’identification des risques, effectuez les actions suivantes :
      1. Dans la section Configuration de l’identification des risques aux mappages de la RAM, sélectionnez Nouveau.
        La section Configuration de l’identification des risques aux mappages de la RAM s’affiche uniquement lorsque la classe d’entité est sélectionnée à partir du niveau de configuration.
      2. Renseignez les champs du formulaire.
        Tableau 2. Formulaire Configuration de l’identification des risques au mappage de la RAM
        Champ Description
        Configuration de l'identification des risques Configuration de l’identification des risques pour le mappage de la RAM. Ce champ est automatiquement défini sur Numéro de configuration d’identification des risques.
        Table Table sur laquelle vous souhaitez définir le mappage de la RAM.
        Méthodologie d'évaluation des risques Option permettant de sélectionner la RAM pour effectuer l’évaluation inhérente. Vous pouvez voir la liste des RAM associées à la table sélectionnée.
        Remarque :
        Seules les RAM basées sur un objet publiées avec l’option d’évaluation inhérente activée peuvent être sélectionnées.
      3. Sélectionnez Soumettre.
    6. Sélectionnez Publier pour publier l’enregistrement.