Evaluation : paramétrer et répondre à une campagne

Une campagne d’évaluation vous permettra d’obtenir un score déclaratif, d’obtenir un premier état des lieux de votre conformité et de construire votre socle de sécurité.

Sommaire

1. Concepts

2. Paramétrer l'évaluation

3. Répondre à l'évaluation

 

1. Concepts

Les évaluations (déclaratives de conformité) sont réalisées dans le cadre de campagnes.

Une campagne permet de réaliser l'évaluation :

  • Par rapport à un questionnaire et / ou une politique spécifique
  • Selon une échelle spécifique (qui influe grandement sur le type d'évaluation)
  • Sur des périmètres, applications et fournisseurs choisis
  • Avec une date de début et une éventuelle date de fin.

2. Paramétrer l'évaluation

Pour créer une campagne vous pouvez utiliser l'assistant en cliquant sur 

L'assistant de création de campagne apparait et vous guide pour configurer finement la campagne.

2.1. Choix du périmètre

Si vous choisissez de cibler un groupement, tous les périmètres enfants (directs et indirects) seront inclus, et les nouveaux périmètres ajoutés dans ce groupement seront aussi automatiquement ajoutés à la campagne si elle est active.

⚠️ Si vous menez la campagne sur un groupement comprenant des fournisseurs et applications, vous ne pourrez pas construire de socle de sécurité, gérer des dispositifs,  ces derniers en étant dépourvus.

2.2. Choix de la politique

Si des périmètres ne sont pas encore associés à la politique évaluée, Tenacy vous alertera et proposera trois choix :
téléchargement-1

🔎Si un périmètre n'est pas associé à une politique :

  • le score du périmètre sera pris en compte dans l'affichage de résultats de campagne
  • le score du périmètre ne sera pas pris en compte dans l'affichage de la politique
  • le score de l'évaluation ne sera pas pris en compte dans le score du périmètre.

💡Il est possible de sélectionner un questionnaire. Ils permettent de :

  • Collecter des informations non structurées / non évaluables et calculer des accumulateurs (une forme de score)
  • Conditionner l'application des exigences d'une politique.

Si un questionnaire et une politique ont été sélectionnés dans la campagne, le remplissage du questionnaire est préalable à l'évaluation. Une fois le questionnaire complété et soumis par le répondant, il passe à la phase d'évaluation.

Un rejet de l'évaluation repasse en mode questionnaire pour permettre de changer les réponse en conséquence. Les répondants peuvent aussi à tout moment retourner au questionnaire pour en changer les réponses.

Pour plus d'information sur le questionnaire consultez cet article.

2.3. Configurer l'échelle d'évaluation : étape charnière dans le paramétrage

C'est à cette étape que vous allez choisir de :

  • collecter les actions de mise en conformité : les actions seront renseignées dans un registre par défaut ou un registre que vous pouvez créer en amont.
  • collecter l'information sur les dispositifs déjà opérés : Les dispositifs opérés seront renseignés dans le socle de sécurité.
  • collecter des preuves sous forme de pièces jointes.

    🔎 Dans le cas d'un fournisseur ou d'une application, le paramétrage est simplifié, les dispositifs ne sont pas proposés

     

    C'est l'échelle qui détermine, par niveaux :

    • Les niveaux sélectionnables
    • La saisie ou non de dispositifs en construction et opérés


    • La saisie ou non de commentaires
    • La collecte ou non de preuves.
    • S'il est possible pour les utilisateurs de répondre que la mesure n'est pas applicable 

    ⚠️ L'échelle n'est plus modifiable après lancement de la campagne.

    2.4. Paramètres globaux

    C'est ici que vous vous pourrez renseigner :

    • La date de début et celle de fin d'évaluation (la date de fin étant non obligatoire)
    • Le registre d'actions dans lequel les actions récupérées durant la campagne seront stockées. Ce registre pourra être modifié à posteriori.
    • Le nom de la campagne
    • Une description

    🔎Il est possible de modifier la campagne créée par l'assistant avant lancement.

    2.5. Affecter les utilisateurs et groupes

    Une fois l'évaluation créée, il faudra affecter un/des utilisateur(s) qui pourront venir répondre à votre évaluation :

    Evaluations > Cliquer sur l'icône undefined au survole de la ligne > Onglet "Affectation utilisateurs/groupes"

    Puis, démarrer la campagne ▶️.

    3. Répondre à l'évaluation

    Cas 1 : avec gestion des dispositifs et des actions.

    Afin de voir l'impact de l'évaluation, nous la commençons sur un nouveau périmètre (ici, Malaisie). Son socle de sécurité est vide. 


    Pour réaliser l'évaluation, il faut aller dans les contributions : 

    Contributions > Evaluations > cliquer sur l'évaluation en question.

    Réalisation de l'évaluation :

    • À gauche de l'écran, la politique est affichée mesure par mesure.
    • Au milieu, une description courte et une description longue de la mesure sélectionnée.
    • À droite, la zone de réponse avec : l'échelle de conformité, la zone de commentaires, la zone d'ajout des preuves et des dispositifs et actions. 

    Nous réalisons l'évaluation : on sélectionne un niveau de conformité et en fonction du paramétrage décidé précédemment, nous renseignons des dispositifs opérés, en construction et des actions d'amélioration et de construction, des preuves et commentaires. 


    Après l'évaluation, nous pouvons aller dans le socle de sécurité : nous avons bien commencé la construction de celui-ci avec les dispositifs :

    Et les actions ont été stockées dans le registre créé pour cette évaluation :

    Cas 2 : sans gestion de dispositifs et actions (fournisseurs et applications)

    Dans le cas d'évaluation fournisseurs, nous avons déjà établi qu'il n'y avait pas gestion de dispositifs. 
    Dans ce cas la page de réponse est simplifiée : le fournisseur pourra seulement renseigner des preuves et commentaires si permis par le paramétrage.