Workflow d’identification des risques pour les applications d’entreprise

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Lors de l’évaluation des risques d’une application, l’application passe par différentes étapes d’identification et d’évaluation des risques. Vous pouvez définir le workflow d’identification et d’évaluation en fonction de vos besoins.

    Avant d’évaluer les risques d’une application, l’application doit être créée dans la table Application d’entreprise et amenée à GRC. Une fois l’application arrivée à GRC, un enregistrement d’identification des risques est créé. Le propriétaire de l’application fournit des informations sur l’application au gestionnaire des risques informatiques. Le gestionnaire des risques informatiques mappe ensuite les risques, les contenus des documents de référence et les politiques recommandés.

    Considérez l’exemple suivant pour comprendre le workflow d’identification et d’évaluation des risques pour une application d’entreprise. Une nouvelle application d’entreprise est introduite dans votre organisation. Cette nouvelle application fait partie de la table Application d’entreprise. La nouvelle application a deux propriétaires :
    • Propriétaire de l'application informatique
    • Propriétaire de l’entreprise : cet utilisateur doit disposer du rôle sn_grc.business_user.
    Remarque :
    Votre organisation peut utiliser différents rôles.
    À ce stade, l’application ne fait pas partie de GRC. Elle doit être considérée GRC comme une entité avant que ses risques puissent être évalués. Des objets d’information doivent également être associés à la nouvelle application.

    Le workflow et les approbateurs de l’évaluation des risques de l’application sont déterminés par les paramètres du formulaire de configuration de l’identification des risques. Reportez-vous à Configurer l’intégration de l’identification des risques pour comprendre le processus de définition du workflow. Pour réinitialiser l’identification des risques, une action du Flow Designer est fournie.

    Lors de l’évaluation d’une nouvelle application d’entreprise, le workflow de l’identification des risques est le suivant :
    1. Une application d’entreprise est créée automatiquement ou par un propriétaire d’application dans la table d’applications d’entreprise.
    2. GRC Détecte la nouvelle application d’entreprise. Une GRC entité est créée pour la nouvelle application. La détection est gérée par la tâche planifiée Génération de profil qui s’exécute GRC en arrière-plan.
    3. Un nouvel enregistrement d’identification des risques est créé pour l’application.
      Remarque :
      Le gestionnaire des risques peut modifier l’enregistrement de configuration et déterminer le workflow de l’évaluation. Une fois qu'une configuration d'identification des risques est publiée, le gestionnaire des risques peut uniquement modifier certains champs de l'enregistrement de configuration.
    4. Un questionnaire est lancé et envoyé au propriétaire de l’application pour recueillir des détails sur l’application.
    5. Le propriétaire de l'application répond au questionnaire.
    6. Le gestionnaire des risques informatiques examine les réponses. Si les réponses ne sont pas satisfaisantes, le gestionnaire renvoie le questionnaire au propriétaire de l’application.
      Remarque :
      Si le questionnaire est renvoyé, les nouvelles réponses reviennent à leur forme initiale.
    7. En fonction de la configuration, une fois que le gestionnaire des risques informatiques est satisfait des réponses, le système lance l’évaluation inhérente.
    8. GRC Mappe les risques et les objets de conformité en fonction des types d’entité.
    9. Le gestionnaire des risques informatiques examine le mappage d’objets d’informations.
    10. Le système exécute le moteur de recommandation en fonction de l'algorithme sélectionné dans la configuration.
    11. Le gestionnaire des risques informatiques examine et mappe les risques, les politiques et les contenus des documents de référence recommandés en fonction des objets d’informations associés.
    12. Le gestionnaire des risques informatiques mappe les contrôles recommandés en fonction des contenus des documents de référence, des politiques et des risques associés.
    13. Le propriétaire de l’application gère le cycle de vie du contrôle et atteste les contrôles.
    La figure suivante représente le workflow de la solution.
    Figure 1. Workflow de la solution de l’intégration GRC et APM
    Intégration d’APM et de l’évaluation Advanced Risk

    États de l’enregistrement de l’identification des risques

    Une fois que la configuration de l’identification des risques est passée à l’état Publié, un enregistrement d’identification des risques est créé pour l’entité connexe.

    L’enregistrement de l’identification des risques passe par les états suivants :
    • Nouveau : un nouvel enregistrement est créé
    • Collecte d’informations : les informations sur l’application sont collectées.
    • Examen : le gestionnaire des risques examine les informations.
    • Évaluation inhérente : le gestionnaire des risques effectue l’évaluation inhérente des risques.
    • Mappage des risques : le gestionnaire des risques mappe les risques, les citations et les politiques nécessaires.
    • Surveiller : les risques sont surveillés.
    • Mis hors service : les risques sont mis hors service si nécessaire.

    Une fois que la configuration de l’identification des risques est passée à l’état Mis hors service, la configuration n’est plus valide et les enregistrements d’identification des risques ne sont pas créés pour les entités associées.

    En termes de cycle de vie, un enregistrement d’identification des risques passe par les états suivants :
    1. Nouvelle
    2. Collecte d'informations
    3. Réviser
    4. Évaluation inhérente
    5. Mappage des risques
    6. Moniteur
    7. Mis hors service