Introduction à HOPEX IT Risk Management
Présentation de la solution
Processus
Gestion des risques informatiques
Gestion de la conformité informatique
Gestion des fournisseurs informatiques
Se connecter à HOPEX IT Risk Management
Lancer l’application
Les profils de la solution HOPEX IT Risk Management
Administrateur fonctionnel IT RM
IT RM Manager
Propriétaire d’application
Récapitulatif des droits par profil
Droits concernant les risques informatiques
Droits concernant la conformité informatique
Droits concernant les fournisseurs informatiques
Présentation de l’interface
Gérer les inventaires
Inventaire des actifs informatiques
A propos de l’inventaire des actifs informatiques
Intérêt de l’inventaire des actifs informatiques
Types d’actifs informatiques
Accéder à l’inventaire informatique
Décrire les applications
Caractéristiques générales de l’application
Type d’une application
Périmètre fonctionnel de l’application
Responsabilités concernant une application
Technologies liées aux applications
Données échangées
Vulnérabilités d’une application
Contrôles reliés à une application
Décrire les technologies
Accéder aux technologies
Définir les caractéristiques d’une technologie
Types de technologie
Risques et vulnérabilités d’une technologie
Inventaire des menaces et vulnérabilités
Exemples de menaces, types de vulnérabilité et vulnérabilités
Consulter les menaces
Accéder aux menaces
Créer un type de menace
Caractéristiques des menaces
Consulter les vulnérabilités
Accéder aux vulnérabilités
Créer un type de vulnérabilité
Caractéristiques des vulnérabilités
Périmètre des vulnérabilités
Evaluation CVSS
Rapports concernant les vulnérabilités
Inventaire des risques et contrôles
Consulter les risques
Accéder aux risques
Caractéristiques évaluées
Périmètre du risque
Analyse du risque
Evaluation du risque
Traitement du risque
Consulter les contrôles
Accéder aux contrôles
Périmètre d’un contrôle
Evaluation de contrôles
Préparer l’environnement de travail pour les questionnaires
Inventaire des exigences et réglementations
Accéder aux exigences et réglementations
Caractéristiques des réglementations
Caractéristiques des exigences
Inventaire des fournisseurs
Accéder à la liste des fournisseurs
Caractéristiques des fournisseurs
Type de fournisseur
Liste des technologies fournies
Evaluation de risque fournisseur
Utiliser HOPEX IT Risk Management
Gérer les risques informatiques
Dresser l’inventaire informatique et identifier les vulnérabilités
Identifier les actifs informatiques
Positionner les vulnérabilités sur les actifs informatiques
Identifier et positionner les risques
Positionner les risques via une matrice
Positionner les risques individuellement sur chaque actif
Identifier les scénarios de risque
Créer un scénario de risque
Créer un diagramme de scénario de risque
Rapport de causalité de risques
Exemples
Evaluer les risques à dire d’expert
Evaluation directe des risques
Modèles d’évaluation des risques
Définir les plans d’action d’amélioration
Gérer la conformité informatique
Dresser l’inventaire des contrôles et types de contrôles
Liens entre Contrôles et Contrôles types
Relier les types de contrôles aux exigences réglementaires
Définir le périmètre applicatif du contrôle
Définir les exigences réglementaires à respecter
Identifier les contrôles sur les applications
Evaluer les contrôles à dire d’expert
Evaluer directement les contrôles
Modèle utilisé pour l’évaluation des contrôles
Gérer les fournisseurs informatiques
Identifier les fournisseurs informatiques
Spécifier le coût des produits et services
Evaluer les fournisseurs
Evaluations par questionnaires
Principe de l’évaluation par campagnes
Présentation des concepts
Session d’évaluation
Questionnaire
Campagne d’évaluation
Etapes de l’évaluation
Préparer l’environnement de travail
Lancer une campagne et ses sessions d’évaluation
Créer une campagne d’évaluation
Accéder aux campagnes d’évaluation
Créer une campagne d’évaluation
Créer une session d’évaluation
Accéder aux sessions d’évaluation
Créer une session d’évaluation
Créer une session d’évaluation
Prévisualiser les paramètres de la session d’évaluation
Créer et lancer une session d’évaluation
Planifier les sessions au sein de la campagne (facultatif)
Déployer une campagne d’évaluation
Définir le périmètre de la campagne d’évaluation et les répondants
Définir le périmètre de la campagne d’évaluation
Spécifier les répondants
Répartir les évaluations au sein des différentes sessions
Valider la campagne d’évaluation
Visualiser les objets à évaluer et leurs contextes
Définir le périmètre de la session et les répondants
Définir le périmètre de la session
Spécifier les répondants
Valider les objets à évaluer et leur contexte
Valider la session d’évaluation
Visualiser les questionnaires générés
Re-générer les questionnaires
Envoyer les questionnaires
Remplir les questionnaires
Accéder aux questionnaires d’évaluation
Demander le transfert d’un questionnaire
Suivre l’avancement des questionnaires
Consulter les résultats de la session
Visualiser les questionnaires envoyés
Valider les questionnaires d’évaluation
Demander à un répondant de modifier ses réponses
Réassigner un questionnaire
Fermer la session d’évaluation
Traiter les risques
Mode de traitement des risques
Modes de traitement
Niveaux de risque
Spécifier les contrôles et actions à mettre en œuvre
Gérer les plans d’action
Créer un plan d’action
Caractériser le plan d’action
Caractéristiques générales
Analyse financière
RACI
Facteurs de succès
Périmètre
Jalons
Pièces jointes
Gérer les actions
Workflows des plans d’action
Approche "bottom-up"
Approche "top-down"
Workflow des actions
Suivre les plans d’action
Renseigner l’avancement d’un plan d’action
Rapports de suivi des plans d’action
Rapports de HOPEX IT Risk Management
Accéder aux rapports
Accéder à l’onglet dédié aux rapports
Accéder aux rapports disponibles directement sur les objets
Accéder aux widgets
Rapports concernant les risques informatiques
Rapports concernant l’identification des risques
Criticité des applications
Tableau Menaces et Vulnérabilités
Rapports concernant les actifs informatiques
Niveau de risque agrégé par processus métier
Heatmap des risques
Heatmap des applications
Widgets concernant les risques
Rapport de causalité de risques
Rapports concernant les vulnérabilités
Rapports concernant la conformité informatique
Identification des contrôles
Chemin d’accès
Paramètres
Résultat
Exemple
Niveau de contrôle par réglementation
Chemin d’accès
Paramètres
Résultat
Exemple
Niveau de contrôle par processus métier
Chemin d’accès
Paramètres
Résultat
Exemple
Widgets concernant la conformité
Conformité des processus
Conformité réglementaire
Niveau de contrôle global
Rapports concernant la gestion des fournisseurs
Matrice Fournisseur par type x Niveau de risque
Chemin d’accès
Paramètres
Résultats
Exemple
Niveau de risque fournisseur par ligne métier
Chemin d’accès
Paramètres
Résultats
Exemple
Rapports concernant les évaluations
Suivi des sessions
Chemin d’accès
Paramètres
Résultat
Statistiques des sessions
Chemin d’accès
Paramètres
Résultat
Annexe - Workflows
Workflow des évaluations
Workflow générique d’une campagne d’évaluation
Workflow générique d’une session d’évaluation
Workflow générique des questionnaires
Workflow des plans d’action
Workflow de plan d’action "top-down"
Workflow de plan d’action "bottom-up"
Workflow d’une action
Introduction à HOPEX IT Risk Management
Workflow des plans d’action