« Maîtriser les risques, c’est réduire les coûts. Nous pouvons vous accompagner pour la cartographie de tous les périphériques de votre réseau afin de prévoir les différentes itérations. »
Le CEO – K. Drici
Cartographier, c’est quoi ?
En règle générale, le terme « cartographie » désigne une représentation schématique d’un ensemble d’informations.
Les informations représentées sont minutieusement choisies pour répondre efficacement à la ou aux questions posées.
Les cartographies se structurent généralement en plusieurs dimensions.
Cartographier, son SI à quoi ça sert ?
Dans ce contexte numérique, la cartographie permet de représenter le système d’information (SI) d’une organisation ainsi que ses connexions avec l’extérieur.
Cette représentation peut être plus ou moins détaillée et inclure, par exemple, les biens matériels, logiciels, les réseaux de connexion, mais aussi les informations, activités et processus qui reposent sur ces biens. Concrètement, la cartographie doit permettre de :
• réaliser l’inventaire patrimonial du système d’information, à savoir la liste des composants du SI et leur description détaillée ;
• présenter le système d’information sous forme de vues, à savoir des représentations partielles du SI, de ses liens et de son fonctionnement.
Elles visent à rendre lisibles et compréhensibles différents aspects du système d’information.
Composition d’une cartographie
De manière générale, la cartographie est composée de trois visions allant progressivement du métier vers la technique, elles-mêmes déclinées en vues :
1. Vision métier
• La vue de l’écosystème présente les différentes entités ou systèmes avec lesquels le SI interagit pour remplir sa fonction.
• La vue métier du système d’information représente le SI à travers ses processus et informations principales, qui sont les valeurs métier au sens de la méthode d’appréciation des risques EBIOS Risk Manager.
2. Vision applicative
• La vue des applications décrit les composants logiciels du système d’information, les services qu’ils offrent et les flux de données entre eux.
• La vue de l’administration répertorie les périmètres et les niveaux de privilèges des utilisateurs et des administrateurs.
3. Vision infrastructure
• La vue des infrastructures logiques illustre le cloisonnement logique des réseaux, notamment par la définition des plages d’adresses IP, des VLAN et des fonctions de filtrage et routage ;
• La vue des infrastructures physiques décrit les équipements physiques qui composent le système d’information ou utilisés par celui-ci.
Dans chaque vue, un objet pivot permet de faire le lien avec les vues adjacentes afin d’identifier les dépendances entre les objets du système d’information.
Pourquoi réaliser une cartographie de son système d’information ?
Dans un contexte de transformation numérique de la société qui nous amène à repenser nos modes de vie et de communication, les attaques informatiques sont de plus en plus nombreuses et complexes.
La sécurité des systèmes d’information est donc, plus que jamais, un enjeu essentiel au bon fonctionnement des administrations et des entreprises.
La cartographie est un outil essentiel à la maîtrise du système d’information. Elle permet d’avoir connaissance de l’ensemble des composants du SI et d’obtenir une meilleure lisibilité de celui-ci en le présentant sous différentes vues.
L’élaboration d’une cartographie du système d’information s’intègre dans une démarche générale de gestion des risques et répond à quatre enjeux de sécurité numérique :
• La maîtrise du système d’information :
La cartographie permet de disposer d’une vision commune et partagée du système d’information au sein de l’organisation.
C’est un outil indispensable au pilotage de l’évolution du SI, en particulier dans les contextes de mutualisation.
Elle facilite également la capitalisation d’expérience et la prise de décision grâce à un langage simple et visuel, ce qui permet de manière générale d’assurer le maintien en condition de sécurité et d’améliorer le niveau de maturité de l’organisme en matière de sécurité numérique ;
• La protection du système d’information :
La cartographie permet d’identifier les systèmes les plus critiques et les plus exposés, d’anticiper les chemins d’attaque possibles sur ces systèmes et de mettre en place des mesures adéquates pour assurer leur protection ;
La cartographie permet de réagir plus efficacement en cas d’incident ou d’attaque numérique, de qualifier les impacts et de prévoir les conséquences des actions défensives réalisées ;
• la résilience du système d’information :
La cartographie permet d’identifier les activités clés de l’organisme afin de définir un plan de continuité d’activité et s’impose comme un outil indispensable à la gestion de crise, qu’elle soit numérique ou non.
Comment construire une cartographie du système d’information ?
Le succès d’une démarche de cartographie dépend de son caractère pragmatique, participatif et pérenne.
Il est nécessaire que chacune des parties prenantes s’inscrive dans une démarche de cartographie incrémentale (enrichissement par de nouvelles vues) et itérative (affinement des vues déjà constituées).
Il s’agit donc, selon les objectifs et les besoins de l’organisation, de cartographier au fur et à mesure les différentes vues et d’enrichir les vues déjà décrites en ajoutant des objets, des caractéristiques et des liens de dépendance.
Certains détails pourront être temporairement incomplets et affinés lors de l’itération suivante afin de respecter le calendrier du projet. Afin d’emporter l’adhésion des acteurs, la démarche de construction d’une cartographie doit s’intégrer aux processus de l’organisation et dans le cycle de vie du système d’information.
Elle se décompose en plusieurs étapes, adaptables d’une part à la nature du système d’information à cartographier, et d’autre part aux objectifs visés par l’organisation selon son niveau de maturité et ses enjeux de sécurité numérique.
