Ajouter et gérer des actifs informatiques dans Gestionnaire des actifs

Tout actif informatique que possède votre organisation comprend un ensemble différent de risques et de dettes. Le flux de travail Gestion des risques informatiques (précédemment ITRMBond) vous permet d'enregistrer des informations clés sur chaque actif et de calculer ses scores de criticité du risque et de valeur de l'actif. Ensuite, vous pouvez utiliser ces scores pour prioriser les risques de votre organisation et créer vos plans d'atténuation du risque en conséquence.

Cette solution exige un abonnement à Gestion des risques informatiques (précédemment ITRMBond).

Quels types d'actifs puis-je ajouter ?

Il existe quatre catégories d'actifs que vous pouvez évaluer dans la gestion des risque informatiques (précédemment ITRMBond) :

  • Matériel, par exemple des serveurs, des ordinateurs portables, des téléphones mobiles
  • Logiciel, par exemple des systèmes d'exploitation, des applications
  • Nuage, par exemple les serveurs virtuels.
  • Systèmes d'information interaction d'éléments dans un système individuel ; par exemple un logiciel de paie, les serveurs sur lesquels les données sont stockées et les données sensibles elles-même.

Les flux de travail de ces actifs sont tous identiques mais comme les différentes catégories d'actifs requièrent différents types d'informations (par exemple, un matériel a un emplacement contrairement à un environnement dans le nuage), chaque catégorie comporte différents attributs que vous devez compléter.

Une fois que vous avez ajouté chacun des actifs susmentionnés, le flux de travail est identique. Chaque actif doit être enregistré, catégorisé puis évalué du point de vue de la criticité du risque. Ensuite, votre organisation peut choisir les méthodes les plus appropriées pour prioriser et atténuer ces risques.

Pour plus d'informations sur les actifs, consultez Gérer vos actifs avec Gestionnaire des actifs

1. Ajouter un actif informatique à Gestionnaire des actifs

Dans Gestionnaire des actifs, vous pouvez garder une trace de vos actifs informatiques et enregistrer des informations essentielles sur chacun d'entre eux.

Exemple

Scénario

En tant que responsable du programme du risque informatique, vous êtes chargé de créer un nouveau programme de conformité et de sécurité informatique pour votre organisation. Vous avez un grand nombre d'actifs à traiter, mais vous décidez de commencer par l'un des plus importants de votre boîte à outils de gestion des risques, les ordinateurs portables de votre organisation.

Processus

Rubrique d'aide Travailler avec des actifs dans le Gestionnaire des actifs

Vous ouvrez l'application Gestionnaire des actifs. Vous sélectionnez le type d'actif Actif informatique - Matériel, cliquez sur Ajouter actif informatique - Matériel, saisissez le nom Ordinateur portable et l'enregistrez.

Résultat

La Gestion des risques informatiques (précédemment ITRMBond) enregistre l'actif ordinateur portable dans Gestionnaire des actifs et lui attribue automatiquement le statut Brouillon.

2. Enregistrer l'actif

Une fois que vous avez créé l'ébauche de votre actif, vous pouvez ajouter des informations complémentaires et déplacer l'actif dans le flux de travail de la gestion des risques informatiques. Lorsque vous enregistrez un actif, vous saisissez des informations essentielles à son sujet, puis vous l'approuvez afin qu'il soit ajouté à votre gestionnaire des actifs informatiques.

Exemple

Scénario

Une fois que vous avez ajouté votre actif ordinateur portable, vous souhaitez enregistrer l'actif afin de pouvoir saisir des informations complémentaires et commencer l'évaluation de son risque.

Processus

Dans l'onglet Détails, vous saisissez toutes les informations dont vous disposez sur l'ordinateur portable, y compris son nom, son propriétaire, l'ID de référence et la description, et qui sont toutes nécessaires pour enregistrer l'actif. Vous enregistrez l'actif puis, dans le flux de travail visuel en haut de la page, vous cliquez sur Enregistrer. Lorsque vous vous êtes assuré que votre actif dispose de tous les détails requis, le statut prend la valeur Enregistré.

Résultat

Votre ordinateur portable contient toutes les informations requises et il est enregistré comme un actif activé dans votre organisation.

3. Catégoriser l'actif

Maintenant que vous avez ajouté et enregistré vos actifs dans Gestionnaire des actifs, vous pouvez évaluer leur criticité et utiliser les scores pour les catégoriser. Vous pouvez choisir d'indiquer un score de niveau de criticité individuel ou de laisser Diligent One calculer la criticité d'après trois valeurs : les niveaux d'impact de la confidentialité, d'impact de la disponibilité et d'impact de l'intégrité.

Pour catégoriser un actif, vous disposez de deux options : vous pouvez envoyer un questionnaire à un propriétaire technique ou commercial et permettre à Gestionnaire des actifs de catégoriser automatiquement l'actif en fonction de leurs réponses ; si vous disposez d'informations sur la criticité de l'actif, vous pouvez saisir les scores vous-même.

Exemple

Scénario

Afin d'évaluer par vous-même la criticité de votre ordinateur portable, vous savez que vous avez besoin de trois informations :

  • Niveau d'impact de la confidentialité
  • Niveau d'impact de l'intégrité
  • Niveau d'impact de la disponibilité

Comme vous n'êtes pas totalement sûr du résultat de ces scores, vous décidez d'envoyer un questionnaire à remplir à votre collègue qui est le responsable de votre ordinateur portable.

Processus

Dans le flux de travail visuel en haut de la page, vous cliquez sur Catégoriser, puis sur Lancer une évaluation de la criticité. Dans le panneau Envoyer le questionnaire, vous saisissez le nom de votre collègue et lui envoyez le questionnaire. Une fois qu'il a saisi les réponses, Diligent One les intègre automatiquement dans le questionnaire. Les scores de risque (confidentialité, intégrité et disponibilité) sont calculés et renseignés dans l'onglet Détails. Actualisez la page si vous ne voyez pas les modifications.

Vous effectuez un contrôle rapide afin de vérifier que tout est correct au niveau des catégorisations de risque. Ensuite, dans le flux de travail visuel, vous cliquez sur Score. La gestion des risques informatiques (précédemment ITRMBond) calcule automatiquement le niveau de criticité (pour en savoir plus, consultez Comprendre les scores de catégorisation). Actualisez la page si vous ne voyez pas les modifications. Dans le flux de travail visuel, vous cliquez sur Plus d'options , puis sur Approuver. Le statut de l'actif prend la valeur Catégorisé.

Résultat

Vous avez correctement quantifié les niveaux de risque associés à votre ordinateur portable et avez profité des processus automatisés de Diligent One pour catégoriser l'ordinateur portable en fonction des risques qui lui sont associés. Il est désormais plus facile d'envisager la création d'un plan et d'une liste de priorités pour remédier à ces risques dans tous les autres actifs que votre organisation possède.

Comprendre les scores de catégorisation

Si vous utilisez les réponses du questionnaire pour calculer la criticité de votre actif, deux robots de flux de travail fonctionnent conjointement pour calculer le niveau de criticité que vous voyez dans votre actif : les robots Catégorisation d'actif informatique et Score de criticité CIA.

Remarque

Comme les pondérations de réponse et les limites du niveau d'impact sont configurables, les exemples de cette section peuvent ne pas correspondre aux calculs que vous voyez dans votre organisation. Pour plus d'informations, consultez la section Affichage des calculs de votre organisation dans Robots.

1. Calcul des scores de catégorisation

Chaque question de l'évaluation de criticité appartient à la catégorie Confidentialité, Intégrité ou Disponibilité et elle permet de calculer les niveaux Impact de confidentialité, Impact d'intégrité ou Impact de disponibilité respectivement. La réponse à une question dans la catégorie Confidentialité, par exemple, n'affecte que le calcul pour le niveau Impact de confidentialité et non les niveaux Impact d'intégrité ou Impact de disponibilité.

Une pondération est affectée à chaque réponse du questionnaire d'évaluation de criticité. Les admins système ayant des abonnements Utilisateur professionnel peuvent personnaliser chaque pondération de réponse dans le robot de flux de travail Catégorisation d'actif informatique.

Ce robot calcule un score pour le questionnaire en fonction du score le plus élevé possible pour chaque question :

  • Dans le cas des questions qui n'autorisent qu'une réponse individuelle, le score le plus élevé possible correspond à la pondération la plus élevée de toutes les réponses possibles à la question.
  • Dans le cas des questions qui autorisent des réponses multiples, le score le plus élevé possible correspond à la somme de toutes les pondérations de toutes les réponses possibles à la question.
Exemple

Votre collègue répond à cette question : Quel type d'informations ou de données sont stockées, traitées ou transmises par cet actif ? La question accepte plusieurs réponses.

Les réponses disponibles et leurs pondérations respectives sont les suivantes :

Réponse Pondération
Informations sur l'employé (PII) 3
Informations sur le client (PII) 3
Informations financières 1
Informations propriétaires 1
Informations sur l'infrastructure informatique - Confidentielles 3
Informations sur l'infrastructure informatique - Chiffrées 1
Aucun de ces types de données ne s'applique 0

Votre collègue sélectionne Informations financières et Informations sur l'infrastructure informatique - Confidentielles.

  • Le score total de cette question est 4 ( 1 + 3 = 4 ).
  • Le score le plus élevé possible pour cette question est 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).

Du fait de cette question dans la catégorie Confidentialité, les pondérations de réponse à cette question ne sont prises en compte que pour le niveau d'impact de confidentialité de l'actif. Elles n'ont pas d'effet sur les niveaux d'impact d'intégrité ou de disponibilité.

2. Affectation d'un niveau d'impact

Pour chacun des niveaux Impact de confidentialité, Impact d'intégrité et Impact de disponibilité, la gestion des risques informatiques (précédemment ITRMBond) calcule le score du questionnaire final comme suit : score de catégorisation = (somme de toutes les pondérations de réponse / somme de tous les scores de question les plus élevés possibles) * 100%.

Ensuite, le robot de flux de travail utilise ce score en pourcentage et le compare aux limites du niveau d'impact définies pour votre organisation que vous pouvez personnaliser dans le robot. Le niveau d'impact correspondant à la plage de scores en pourcentage s'affiche dans votre actif.

Pour finir, lorsque vous cliquez sur Score dans le flux de travail visuel, le robot de flux de travail Score de criticité CIA utilise une ou deux méthodes pour déterminer le niveau de criticité global de l'actif :

  • Marque limite haute Utilise les niveaux supérieurs d'impact de confidentialité, d'impact d'intégrité et d'impact de disponibilité comme niveau de criticité global. Il s'agit de la méthode par défaut.
  • Mode Utilise le niveau de criticité le plus fréquent entre les niveaux d'impact de confidentialité, d'impact d'intégrité et d'impact de disponibilité comme niveau de criticité global. Si les trois niveaux sont différents, la méthode utilise le niveau le plus élevé des trois.
Exemple

Lorsque vous avez terminé le questionnaire :

  • La somme des pondérations de réponse que votre collègue a sélectionné dans la catégorie de question Confidentialité est égale à 7.
  • La somme des scores les plus élevés possibles pour toutes les questions de la catégorie Confidentialité est égale à 20.

Le score final du questionnaire Confidentialité est égal à 35% ( ( 7 / 20 ) * 100 = 35 ).

Dans votre organisation, les scores compris entre 20% et 40% sont affectés au niveau de criticité Faible. Par conséquent, Faible apparait dans le champ Niveau d'impact de confidentialité pour l'actif informatique. Le robot répète ce processus pour calculer les niveaux d'impact d'intégrité et d'impact de disponibilité de l'actif, à l'aide des questions qui appartiennent à chacune de ces catégories.

Lorsque vous cliquez sur Score dans le flux de travail visuel, le robot de flux de travail Score de criticité CIA consulte les trois niveaux d'impact enregistrés dans l'actif :

  • Niveau d'impact de confidentialité Faible
  • Niveau d'impact d'intégrité Moyen
  • Niveau d'impact de disponibilité Faible

Comme le robot est configuré pour utiliser la méthode Marque de limite haute et que le niveau le plus élevé des trois correspond à Moyen, Moyen s'affiche dans le champ Niveau de criticité global de l'actif.

Affichage des calculs de votre organisation dans Robots

Les admins système ayant les abonnements Utilisateur professionnel peuvent voir les pondérations de réponse et les limites du niveau d'impact que votre organisation utilise pour calculer les scores ci-dessus à l'aide des étapes suivantes :

  1. Ouvrir l'application Robots.
  2. Dans le tableau de bord de Robots, sélectionnez Robots de flux de travail.
  3. Cliquez sur le robot qui contient le script à afficher.
  4. Dans le coin supérieur droit du robot, cliquez sur Développement pour passer en mode développement.
  5. Dans l'onglet Versions de script, sélectionnez la version du script à voir.

  6. Cliquez sur Modifier un script.

    Résultat L'éditeur de script Robots s'ouvre avec le script. Pour plus d'informations, consultez la section Créer des scripts Python et HCL dans Robots.

Si vous avez besoin d'aide pour rechercher les robots qui contiennent vos personnalisations ou pour personnaliser les calculs de votre organisation afin qu'ils répondent à vos besoins, contactez l'assistance ou votre représentant Diligent.

4. Réévaluer l'actif

Si vous avez déjà dû réévaluer la criticité de votre actif, vous pouvez reculer votre actif dans le processus à tout moment.

Exemple

Scénario

Une année après le premier ajout de l'ordinateur portable à Gestionnaire des actifs, votre société est la cible d'une violation de données. Les pirates sont capables de contourner votre pare-feu et d'accéder à des informations sensibles disponibles sur votre ordinateur portable.

Vous savez que cette violation implique un changement important de la manière dont vous devez évaluer les risques associés à votre ordinateur portable : il est primordial que votre organisation découvre pourquoi cette violation s'est produite et comment procéder pour éviter les autres à l'avenir. Vous devez étudier les informations disponibles que vous avez enregistrées sur votre ordinateur portable et augmenter son score de criticité afin de pouvoir établir un nouveau plan d'atténuation pour votre ordinateur portable.

Processus

Dans le flux de travail visuel, vous cliquez sur Réévaluation de la criticité. Le statut de l'ordinateur portable prend à nouveau la valeur Catégorisation en attente.

Cette fois, vous disposez de plus d'informations sur l'ordinateur portable qu'au moment où vous les avez saisies dans Gestionnaire des actifs. Au lieu d'envoyer une deuxième fois un questionnaire à votre collègue, vous choisissez de saisir dans l'onglet Détails la valeur Critique comme score de niveau de criticité global et cliquez sur Enregistrer les modifications. Vous cliquez ensuite sur Plus d'options , puis sur Approuver.

Résultat

L'ordinateur portable reflète désormais les niveaux actuels de risque qu'il représente pour votre organisation après la violation des données.

Quelles sont les prochaines étapes ?

Une fois que vous avez ajouté et évalué votre actif, vous pouvez identifier les risques qui lui sont associés, puis passer à l'atténuation de ces risques. Voir Ajouter et gérer des risques et des contrôles informatiques dans Gestionnaire des risques pour plus d'informations.