Un incident est une entrée relative à un événement survenu pendant le fonctionnement de l'application et lié à la détection d'une fuite possible d'informations.
Si le contenu du message correspond à des données de la catégorie et à l'ensemble des conditions définies dans la stratégie, le module DLP crée un incident qui évoque la violation de cette stratégie. Si le message électronique viole la sécurité des informations de plusieurs stratégies simultanément, le module DLP crée plusieurs incidents conformément au nombre de stratégies violées.
Chaque incident contient les informations relatives à l'objet de l'incident (message qui a violé la sécurité des informations), à l'expéditeur et aux destinataires du message, à la stratégie violée ainsi que des informations de service telles que l'identifiant de l'incident et l'heure de création de l'incident.
L'expert en sécurité informatique traite les incidents générés par l'application. Le traitement de l'incident peut comprendre, par exemple, la consignation de la violation et l'adoption des mesures techniques et organisationnelles à prendre pour renforcer la protection des données confidentielles.
Etat de l'incident
L'état de l'incident indique l'état de son traitement. Un incident qui vient d'être créé possède l'état Nouveau. Lors du traitement d'un incident, l'expert en sécurité informatique change son état. Le traitement de l'incident est terminé lorsque l'expert en sécurité informatique lui attribue un des états portant la valeur Clos (<raison>).
États des incidents
Etat |
Type. |
Valeur |
|---|---|---|
Nouveau |
Ouvert |
Nouvel incident. Le traitement de l'incident n'a pas encore débuté. |
En cours de traitement |
Ouvert |
L'enquête sur l'incident est en cours. |
Fermés (traités) |
Fermé |
L'incident a été traité et les mesures requises ont été adoptées. |
Fermés (faux positifs) |
Fermé |
La stratégie a été violée, mais l'envoi de données protégée était un faux positif. Il n'y a pas eu de violation de la sécurité des informations. Il faudra peut-être réaliser un réglage fin des paramètres de la stratégie. |
Fermé (pas un incident) |
Fermé |
La stratégie a été violée, mais l'envoi de données protégée a été sanctionné par une disposition spéciale. Aucune mesure complémentaire n'est requise. |
Fermés (autres) |
Fermé |
L'incident a été clos pour d'autres raisons |
Priorité de l'incident
La priorité de l'incident désigne l'urgence selon laquelle il faut traiter l'incident. L'application attribue une priorité à un incident dès qu'il a été créé (Faible, Moyenne ou Elevée). La priorité est attribuée sur la base de la valeur définie dans les paramètres de la stratégie violée.
Archive des incidents
Les incidents clos peuvent être placés dans une archive. Les incidents déplacés dans une archive sont des incidents archivés. Les incidents archivés sont supprimés dans la liste des incidents. Le cas échéant, vous pouvez restaurer des incidents des archives et le consulter à nouveau dans la liste des incidents.
L'archive des incidents est un fichier dans un format spécial qui porte l'extension bak. Vous pouvez créer un nombre illimité d'archives d'incidents.
Le recours aux archives permet de supprimer à intervalles réguliers les incidents clos de la liste et d'utiliser ainsi de manière optimale le volume de la base de données des incidents sans perdre l'historique des incidents et de leur traitement.
Statistiques et rapports
L'application affiche les statistiques sur les incidents survenus, les incidents en cours de traitement et les incidents fermés. Ces informations permettent d'évaluer l'état de la protection des données ainsi que l'efficacité du travail de l'expert en sécurité informatique. Ces données permettent également de créer des rapports.