Modèle de workflow d’hameçonnage d’incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Le modèle d’incident de sécurité - Hameçonnage - vous permet d’effectuer une série de tâches conçues pour traiter les e-mails de harponnage sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Harponnage. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Harponnage
    Modèle de workflow de harponnage

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle de harponnage ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Harponnage.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans le modèle de harponnage
      Tâche de réponse Action Résultats
      S’agit-il d’une attaque de phishing ? Déterminez s’il s’agit d’une attaque d’hameçonnage.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les tâches suivantes sont exécutées en parallèle :
      • Point de terminaison de l’analyse : programme malveillant trouvé ?
      • Mettre à jour le logiciel de protection de la messagerie
      • Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs

      Si vous sélectionnez Non, le flux s’arrête.
      Point de terminaison de l’analyse : programme malveillant trouvé ? Après avoir exécuté une analyse, déterminez si un programme malveillant a été trouvé.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Supprimer le programme malveillant : réussite ? est exécutée.

      Si vous sélectionnez Non, la tâche Définir l’état sur Révision est exécutée.
      Supprimer le programme malveillant : réussite ? Déterminez si le programme malveillant a été supprimé avec succès.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Définir l’état sur Révision est exécutée.

      Si vous sélectionnez Non, la tâche Effacer et réimager est exécutée.
      Effacer et réimager Si vous n’avez pas réussi à supprimer le programme malveillant trouvé, cette tâche vous demande d’effectuer un effacement et une nouvelle image sur les ordinateurs infectés par le programme malveillant. Une fois la tâche terminée, la tâche Définir l’état sur Révision est exécutée.
      Mettre à jour le logiciel de protection de la messagerie S’il a été déterminé qu’il s’agit d’une attaque de phishing, vous êtes invité à mettre à jour votre logiciel de protection de messagerie en conséquence. Lorsque la tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs Effectuez les étapes nécessaires pour supprimer l’e-mail d’hameçonnage toujours dans la file d’attente pour tous vos utilisateurs. Lorsque la tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Révision.

      La tâche Planifier la formation de sensibilisation à la sécurité est exécutée.
      Planifier une formation de sensibilisation à la sécurité Planifiez des formations pour sensibiliser vos employés à la sécurité.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque la tâche est terminée, le flux s’arrête.