Cartographie du système d’information : le guide complet pour comprendre et maîtriser votre SI

Comprendre les activités, les dépendances et les flux pour piloter un SI sans zones d’ombre.

Comprendre la cartographie du SI : révéler ce que l’on croit connaître

Cartographier un système d’information, c’est accepter une vérité simple mais rarement formulée :
aucune organisation ne connaît réellement son SI. Ce que l’on croit maîtriser n’est souvent qu’une vision partielle, héritée de projets passés, de configurations oubliées, d’hypothèses qui n’ont jamais été vérifiées. La cartographie n’est pas un simple inventaire technique ; c’est un acte stratégique qui consiste à rendre visible ce qui ne l’est plus.

La méthode proposée par l’ANSSI dans le guide PA-046 va dans ce sens. Elle invite à regarder le SI non comme un empilement de machines, mais comme un écosystème vivant, traversé de flux, de dépendances, d’usages, de contraintes humaines et organisationnelles. Cartographier, c’est comprendre comment l’entreprise fonctionne réellement.

Pourquoi la cartographie n’est jamais un exercice purement technique

Il existe une idée tenace : cartographier un SI consisterait à lister des serveurs et des applications.
La réalité est plus subtile.
La cartographie est d’abord une compréhension métier :

• quelles activités sont essentielles ?
• quels processus les soutiennent ?
• quelles équipes en dépendent ?
• quels outils numériques sont indispensables ?
• quels flux de données les relient ?

Ce n’est qu’après avoir répondu à ces questions que l’on peut représenter le SI.

L’erreur la plus fréquente est de commencer par la technique. La bonne méthode consiste au contraire à partir du métier, puis à descendre :

Métier → Processus → Actifs → Infrastructures → Flux

C’est cette hiérarchie qui permet d’être exhaustif tout en restant utile.

La première étape : identifier les activités essentielles

La cartographie commence toujours par les activités essentielles — celles qui, en cas d’incident, doivent impérativement continuer à fonctionner. Cette étape, souvent négligée, conditionne tout le reste. Elle oblige l’organisation à répondre à des questions simples, mais complexes dans leurs implications :

• qu’est-ce que l’entreprise doit absolument continuer à réaliser ?
• quelle activité ne peut souffrir d’aucune interruption ?
• quels sont les processus réellement vitaux ?

Cette mise à plat fait émerger des vérités parfois inconfortables :
certains services considérés comme secondaires soutiennent en réalité des fonctions critiques ; d’autres, perçus comme indispensables, sont remplaçables en mode dégradé.

Organiser l’inventaire : les actifs du SI ne sont pas tous égaux

Une fois les activités essentielles identifiées, on peut descendre au niveau des actifs :
applications, serveurs, bases de données, réseaux, services cloud, postes, équipements OT, interconnexions, fournisseurs, prestataires.

L’enjeu n’est pas d’être exhaustif à la virgule près.
L’enjeu est de catégoriser.
Un bon inventaire distingue :

• les actifs critiques (indispensables au fonctionnement)
• les actifs importants (impact significatif)
• les actifs de soutien (non critiques mais utiles)
• les actifs décoratifs ou obsolètes (souvent sources de risques)

Plus la classification est claire, plus la cartographie devient un outil décisionnel — pas un tableau Excel de plus.

Comprendre les dépendances : le vrai cœur de la cartographie

La cartographie du SI devient un outil stratégique lorsqu’elle met en lumière les dépendances, c’est-à-dire :

• qui dépend de quoi ?
• quelles données circulent où ?
• quel service tombe si un autre tombe ?
• quels flux sont indispensables ?
• quels prestataires représentent un point de rupture ?

C’est là que le SI révèle sa vraie nature.
Les dépendances sont rarement documentées.
Elles se transmettent oralement, se perdent avec les départs, s’improvisent au fil des projets.

Un seul serveur oublié peut soutenir un processus critique.
Un flux non identifié peut devenir le point de départ d’une crise majeure.

La cartographie permet de casser ces zones d’aveuglement.

Cartographier les flux : le SI n’est pas un schéma, mais un mouvement

Le SI n’est pas une architecture statique.
C’est un système de flux :

• flux applicatifs
• flux de données
• flux réseau
• flux entre environnements (prod, dev, cloud)
• flux métiers
• flux inter-organisations

La méthode ANSSI invite à ne pas se contenter de “dessiner des rectangles”.
Elle insiste sur la nécessité de représenter les flux, car ce sont eux qui révèlent :

• la circulation des informations
• les dépendances réelles
• les zones de sécurité à renforcer
• les espaces où une attaque pourrait se propager
• les liaisons critiques

Une cartographie sans flux n’est qu’un organigramme informatique.

Cartographier les zones de confiance : comprendre où circule le risque

La segmentation logique et réseau d’un SI est un marqueur de maturité.
Les zones de confiance — interne, externe, partenaires, DMZ, OT, cloud public, cloud privé — montrent comment l’organisation maîtrise l’exposition au risque.

Un exercice de cartographie sérieux identifie :

• les zones de confiance existantes
• leurs frontières
• les flux autorisés
• les exceptions
• les zones non maîtrisées
• les contournements opérationnels

C’est souvent à ce moment-là que l’on découvre les failles les plus surprenantes :
accès inattendus, tunnels VPN oubliés, environnements de test non isolés, machines exposées sans raison.

Construire la représentation graphique : utile, mais jamais suffisante

Le moment où l’on “dessine la carte” arrive tardivement dans la méthode.
Et c’est normal :
le dessin n’est que la représentation, pas la cartographie elle-même.

Une bonne carte :

• est simple
• est hiérarchisée
• distingue bien les niveaux (processus, applications, infrastructures)
• montre les flux
• met en évidence les actifs critiques
• évite le piège du schéma trop détaillé

Le SI évolue en permanence.
Un schéma trop complexe devient obsolète le jour même où il est finalisé.

La cartographie n’existe que si elle vit

Le piège le plus classique :
penser que la cartographie est un projet.
En réalité, c’est un processus continu.

Le SI évolue chaque semaine :
nouveaux services cloud, nouveaux outils, nouveaux accès, nouvelles dépendances, nouveaux partenaires, nouveaux usages internes.

Une cartographie figée devient vite inutile.
Elle doit :

• être mise à jour régulièrement
• être intégrée dans les projets
• être utilisée pour les analyses de risques
• être partagée entre équipes
• devenir un outil quotidien, pas un artefact documentaire

Quand une cartographie devient vivante, elle transforme la manière de piloter la sécurité.

Pourquoi la cartographie est indispensable pour auditer, sécuriser et anticiper

La cartographie n’est pas un exercice de conformité.
Elle est indispensable pour :

• réaliser un audit SSI
• préparer un PCA/PRA
• prioriser les mesures de sécurité
• comprendre l’exposition réelle
• améliorer la détection (SOC, EDR, XDR)
• préparer les scénarios de crise
• dialoguer avec les décideurs
• structurer les investissements
• répondre aux exigences NIS2, RGPD, DORA

C’est un outil stratégique qui parle à la fois au COMEX et aux équipes techniques.

Une vérité simple : connaître son SI, c’est maîtriser son risque

La cartographie du SI est un acte de lucidité.
Elle dit la vérité sur l’organisation :
ses forces, ses faiblesses, ses dépendances, ses angles morts.

C’est l’un des rares exercices où la technique et le métier se rencontrent réellement pour produire un outil commun.
Elle ne supprime pas les risques, mais elle permet de les gérer avec intelligence.

Et surtout :
elle donne à l’organisation la capacité de se comprendre — ce qui, dans un monde numérique complexe, est devenu un avantage stratégique majeur.