Modèle de workflow d’accès non autorisé d’incident de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Accès non autorisé - vous permet d’effectuer une série de tâches conçues pour gérer les accès non autorisés à votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Accès non autorisé. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Accès non autorisé
    Modèle de workflow d’accès non autorisé

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Accès non autorisé.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans le modèle d’accès non autorisé
      Tâche de réponse Action Résultats
      Les informations d’identification de l’utilisateur compromises ? Déterminez si des informations d’identification de l’utilisateur ont été compromises.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les deux tâches suivantes sont exécutées en parallèle :
      • Logiciel malveillant ?
      • Désactiver un compte d'utilisateur

      Si vous sélectionnez Non, la tâche Contacter l’utilisateur et déterminer l’intention est exécutée.
      Logiciel malveillant ? Déterminez si l’accès non autorisé a entraîné l’introduction de logiciels malveillants.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Créer un incident de logiciel malveillant est exécutée.

      Si vous sélectionnez Non, la tâche Définir l’état sur Révision est exécutée.
      Créer un incident lié au logiciel malveillant Effectuez les étapes nécessaires pour créer un incident de sécurité pour l’accès non autorisé. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Désactiver un compte d'utilisateur Effectuez les étapes nécessaires pour désactiver le compte d’utilisateur compromis. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Contacter l’utilisateur et déterminer l’intention Effectuez les étapes nécessaires pour contacter l’utilisateur responsable de l’accès non autorisé et déterminer le motif de la tentative d’accès. Lorsque cette tâche est terminée, la tâche de processus RH est exécutée.
      Processus RH Effectuez les étapes nécessaires pour contacter les ressources humaines afin de mettre en œuvre des mesures disciplinaires si nécessaire. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen et le flux s’arrête.