Intégration des exceptions de politique à Réponse aux vulnérabilités

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • À partir de la version 10.1, vous pouvez demander des exceptions de politique à l’aide de l’aptitude de gestion des GRC exceptions de politique inhérente à l’application à partir de la Gestion de la politique et de la conformité version 10.3 de l’application Réponse aux vulnérabilités .

    Avantages de l’utilisation de l’intégration des exceptions de politique

    La demande d’exceptions à l’aide de l’intégration des exceptions de politique avec Gestion de la politique et de la conformité offre les avantages suivants :
    • Effectuez des évaluations pour recueillir des informations supplémentaires sur les demandes.
    • Demandez des exceptions en fonction d’une politique ou d’un objectif de contrôle spécifique. Cette action montre les effets sur la conformité lorsqu’une exception est approuvée.
    • Configurez les approbations à déclencher automatiquement en fonction de la cote de risque, de la politique ou de l’objectif de contrôle associé à l’exception de politique.

    Fonctionnement de l’intégration des exceptions de politique

    Le scénario décrit ici suppose qu’une vulnérabilité a été identifiée dans votre système et que votre propriétaire de rattrapage a déterminé qu’un correctif logiciel est nécessaire. Le correctif n’a pas été entièrement testé et le propriétaire demande une exception de politique pour différer le déploiement du correctif jusqu’à ce que les tests soient terminés.
    Le diagramme suivant illustre les étapes effectuées par le gestionnaire de conformité et le propriétaire du rattrapage dans chacune des applications.
    Figure 1. Intégration des exceptions de politique
    Workflow d’intégration des exceptions de politique
    Remarque :
    Le rôle d’utilisateur métier (sn_grc.business_user) ou d’utilisateur métier (sn_grc.business_user_lite) GRC est le rôle minimum requis pour déclencher une exception de politique à partir d’une application en amont.
    1. Lorsque l’application Réponse aux vulnérabilités a été installée, deux enregistrements d’intégration d’exceptions de politique sont automatiquement créés et ajoutés au registre d’intégration, l’un pour un groupe de vulnérabilité et l’autre pour un élément vulnérable.
      Figure 2. Registre d’intégration des exceptions de politique
      Registre d’intégration des exceptions de politique.
      Pour configurer l’enregistrement des éléments vulnérables, le gestionnaire de conformité procède comme suit.
      1. Identifie le mappage des tables utilisées pour intégrer les deux applications.
      2. Définit les raisons de la demande d’exceptions.
      3. (en option) Définit des catégories de politique pour les politiques de filtrage
      4. (en option) Crée un ou plusieurs questionnaires à envoyer au demandeur pour recueillir des informations supplémentaires sur la demande d’exception de politique.
    2. Le gestionnaire de conformité définit également des règles de vérification facultatives et des règles d’approbation afin d’automatiser le processus d’obtention des approbations pour l’exception de politique.
    3. Dans Réponse aux vulnérabilités, le propriétaire du rattrapage Demander une exception à l’aide de GRC : Gestion de la politique et de la conformité .
    4. Si une règle de vérification a été définie pour l’application, les approbateurs désignés sont informés que leur approbation est requise. Si des champs de la demande d’exception de politique n’ont pas été renseignés par le demandeur (par exemple, la politique ou l’objectif de contrôle), ces champs deviennent obligatoires pour les approbateurs. Lorsque les approbateurs ont examiné, terminé et approuvé la demande, celle-ci passe à l’état Analyser et est affectée au gestionnaire de conformité pour une analyse et une approbation plus approfondies.
    5. Dans Gestion de la politique et de la conformité, le gestionnaire de conformité reçoit la demande approuvée et attribue une cote de risque à la demande d’exception de politique dans l’onglet Évaluation des risques .
      Figure 3. Demande d’exception de politique dans l’onglet Évaluation des risques
      Cote de risque

      Lorsque l’enregistrement d’exception de politique est enregistré, les informations de l’onglet Source , y compris l’application source et l’enregistrement source, ainsi que les informations de la liste connexe Éléments vulnérables sont renseignées automatiquement. Le gestionnaire de conformité a maintenant accès à toutes les données nécessaires pour examiner et approuver l’exception de politique.

    6. Dans Gestion de la politique et de la conformité, le gestionnaire de conformité effectue l’évaluation des exceptions, si des évaluations ont été configurées. Une fois l’évaluation terminée, le gestionnaire de conformité revient à l’onglet Évaluation des risques et met à jour la notation des risques en fonction des résultats de l’évaluation, si nécessaire. Le gestionnaire de conformité remplit également les champs suivants avec les informations recueillies au cours de l’évaluation.
      Tableau 1. Onglet Évaluation des risques
      Champ Description
      Description du risque Fournissez des détails sur le risque associé à cette exception de politique.
      Analyse du risque et de l'impact Fournissez des détails sur votre analyse du risque et de l’impact de l’exception de politique.
      Plan d'atténuation des risques Fournissez des détails sur le plan d’atténuation associé à cette exception de politique.
    7. Si des informations sont manquantes dans l’exception de politique, le gestionnaire de conformité peut cliquer sur Demander plus d’informations et ajouter des commentaires pour identifier le type de données nécessaires. Le demandeur est informé et fournit les informations demandées.
    8. Le gestionnaire de conformité peut éventuellement envoyer l’exception de politique pour un examen interne supplémentaire avant de l’approuver en cliquant sur Demander une révision.
      Remarque :
      Avant de demander une révision, assurez-vous que la liste connexe Contrôles impactés contient les contrôles qui sont impactés par l’exception de politique. Il suffit d’ouvrir la liste connexe, de cliquer sur Ajouter et de sélectionner les contrôles.
    9. Si l’exception de politique présente un risque particulièrement élevé et que le gestionnaire de conformité estime que l’approbation doit provenir d’une personne plus haut placée dans l’organisation (par exemple, le DSI), le gestionnaire de conformité peut cliquer sur Demander l’approbation.
      Sinon, l’approbation est effectuée dans les scénarios suivants.
      Règle d’approbation définie Effet sur l’approbation
      Si une règle d’approbation n’a pas été définie pour Réponse aux vulnérabilités La sélection de Approuvé entraîne l’approbation de l’exception de politique.
      Si une règle d’approbation a été définie, mais que la case Déclenchement automatique n’a pas été cochée Vous pouvez cliquer sur Demander l’approbation pour envoyer l’exception de politique aux utilisateurs ou aux groupes définis dans la règle. Par exemple, une règle d’approbation peut indiquer que, lorsque l’exception de politique est basée sur une politique particulière, un certain ensemble d’utilisateurs ou de groupes est informé qu’ils doivent approuver l’exception de politique. Vous pouvez également définir une règle d’approbation afin que toute exception de politique dont la cote de risque est définie sur Critique soit automatiquement envoyée à un certain ensemble d’approbateurs.

      Le nombre d’approbateurs nécessaires pour approuver l’exception de politique dépend du paramètre figurant dans le champ Approbation requise de la règle.

      Vous pouvez également cliquer sur Approuver pour approuver vous-même l’exception de politique.
      Si une règle d’approbation a été définie et que la case Déclenchement automatique a été cochée Cliquer sur le bouton Approuver entraîne l’exécution de la règle d’approbation et l’exception de politique est automatiquement envoyée aux utilisateurs ou groupes définis par la règle pour approbation. Le déclenchement automatique rend cette étape obligatoire. Lorsque les approbations sont reçues, l’exception de politique entre en vigueur.
    10. Dans , une Réponse aux vulnérabilités fois les approbations reçues, l’exception de politique devient active et l’activité d’application de correctif sur l’élément vulnérable est différée jusqu’à l’expiration de l’exception de politique. Lorsque la date de fin de validité est atteinte, l’exception de politique expire et l’état de l’élément vulnérable passe de Différé à Ouvert.