La cartographie du système d’information fait partie de ces notions qui ne suscitent plus aucun débat sur le principe, mais continuent de poser problème dans leur mise en œuvre réelle. Elle est évoquée dans les audits, inscrite dans les référentiels, recommandée par les autorités et régulièrement présentée comme un prérequis à toute démarche de sécurité ou de gouvernance. Pourtant, dans de nombreuses organisations, elle demeure un exercice périphérique, produit à un instant donné, puis lentement déconnecté de la réalité opérationnelle.
« Ce qui devait apporter de la clarté devient rapidement une photographie du passé. »
Les organisations ne manquent pourtant pas d’informations sur leur système d’information. Inventaires techniques, schémas d’architecture, référentiels applicatifs, cartographies de flux, analyses de risques, documentation métier. Ces éléments existent, sont souvent maintenus dans leur périmètre respectif et répondent à des besoins opérationnels concrets. Le problème n’est donc pas l’absence de données, mais leur fragmentation.
Chaque service de la DSI agit dans son champ de responsabilité. Les équipes réseau maintiennent leurs schémas, les équipes applicatives documentent les dépendances fonctionnelles, les équipes sécurité recensent les actifs critiques, les métiers décrivent leurs processus. Ces représentations coexistent, sans jamais converger vers une vision consolidée. La cartographie globale du système d’information, celle qui permettrait de comprendre les interactions, les dépendances et les impacts, ne se constitue alors jamais pleinement.
Ce cloisonnement n’est pas le signe d’un dysfonctionnement individuel. Il est le produit d’organisations IT historiquement structurées en silos fonctionnels, efficaces dans leur périmètre, mais peu outillées pour produire une connaissance transverse et partagée. Sans gouvernance explicitement dédiée à cette vision d’ensemble, la cartographie reste une somme de fragments, rarement exploitables collectivement.
Les guides méthodologiques publiés par l’ANSSI rappellent pourtant depuis plusieurs années que la cartographie du système d’information ne doit pas se limiter à un inventaire. Elle doit permettre d’identifier les actifs critiques, de comprendre leurs dépendances, d’analyser les flux et de relier ces éléments aux processus métiers. Surtout, ces documents insistent sur la nécessité de maintenir cette connaissance dans le temps, au rythme des évolutions du système d’information.
Dans la pratique, cette continuité fait défaut. La cartographie est le plus souvent déclenchée par un événement précis : audit de conformité, certification, projet de transformation, préparation à un contrôle ou réponse à une exigence réglementaire. Elle répond alors à un besoin ponctuel, avec un objectif clairement identifié. Une fois cet objectif atteint, l’effort s’essouffle. Faute de mécanisme d’actualisation intégré aux changements du système d’information, la cartographie vieillit rapidement.
« Une cartographie ponctuelle rassure, mais elle n’éclaire pas. »
Le suivi régulier n’est pourtant pas un raffinement méthodologique. Il constitue la condition minimale pour que la cartographie conserve une valeur opérationnelle. Un système d’information évolue en permanence : nouveaux services numériques, externalisation vers des solutions SaaS, intégration d’API, évolution des infrastructures, transformation des usages métiers. Chaque modification, même mineure en apparence, peut introduire de nouvelles dépendances ou modifier des équilibres existants.
Sans mise à jour continue, la cartographie devient obsolète presque immédiatement après sa production. Elle ne permet plus d’identifier les actifs réellement critiques, ni d’anticiper les impacts d’un incident. Elle cesse alors de remplir son rôle au moment précis où elle serait la plus utile.
Cette fragilité prend aujourd’hui une dimension supplémentaire avec l’évolution du cadre réglementaire. Les exigences portées par NIS2 et DORA renforcent implicitement la nécessité d’une connaissance à jour du système d’information. Identification des actifs essentiels, compréhension des dépendances numériques, maîtrise des prestataires et des services externalisés, capacité à évaluer les impacts d’un incident : ces obligations reposent toutes sur une cartographie maintenue dans le temps.
Lorsque la cartographie reste ponctuelle ou fragmentée, la conformité devient déclarative. Les exigences sont formellement couvertes, mais reposent sur une connaissance partielle, parfois dépassée. L’angle mort n’est alors plus seulement organisationnel. Il devient un risque de non-conformité, susceptible de fragiliser la capacité de l’organisation à démontrer sa maîtrise réelle de son système d’information.
Certains secteurs ont déjà intégré cette contrainte de manière plus avancée. Dans le domaine de la santé, les référentiels portés par l’Agence du Numérique en Santé imposent une maîtrise fine et durable des actifs numériques, des flux de données et des dépendances techniques. La connaissance du système d’information y est pensée comme un processus continu, indissociable des enjeux de sécurité, de continuité et de protection des données sensibles.
Cette approche sectorielle illustre ce qui tend à devenir la norme dans des environnements critiques : une cartographie figée n’est plus acceptable. Elle doit être maintenue, exploitée et reliée aux usages réels du système d’information. Là encore, le défi n’est pas technique, mais organisationnel.
« La cartographie échoue rarement par manque d’outils. Elle échoue par absence de pilotage dans la durée. »
La confusion persistante entre cartographie et inventaire contribue également à cet angle mort. L’inventaire répond à une logique de recensement. Il liste, classe, quantifie. La cartographie vise autre chose : elle met en relation, hiérarchise et contextualise. Elle doit permettre de comprendre comment les composants du système interagissent, quelles dépendances rendent certains actifs critiques, et quels impacts peuvent résulter d’une défaillance ou d’une compromission.
Lorsqu’elle se limite à une liste structurée, même exhaustive, la cartographie perd sa valeur stratégique. Elle devient un support documentaire, rarement mobilisé pour la prise de décision. À l’inverse, une cartographie vivante, intégrée aux processus de gouvernance et de gestion des risques, devient un outil d’aide à l’arbitrage.
Les incidents récents, qu’ils soient d’origine cyber ou opérationnelle, mettent régulièrement en lumière ce décalage. Les organisations découvrent tardivement des dépendances non identifiées, des flux mal connus, des services critiques reposant sur des composants sous-estimés. Ces angles morts ne traduisent pas un manque de compétence, mais une connaissance fragmentée, non consolidée et non maintenue.
Traiter la cartographie du système d’information comme un processus implique un changement de posture. Il ne s’agit plus de produire un livrable, mais d’installer un mécanisme. Un mécanisme capable d’agréger les informations issues de différents services, d’intégrer les évolutions du système d’information et de restituer une vision exploitable pour la gouvernance, la sécurité et la continuité d’activité.
Les référentiels le rappellent avec constance : la valeur d’une cartographie ne réside pas dans son exhaustivité, mais dans sa capacité à soutenir des usages concrets. Une cartographie pertinente est celle qui permet de répondre à des questions simples et essentielles : quels actifs sont réellement critiques, quelles dépendances doivent être sécurisées en priorité, quels impacts peuvent être anticipés en cas d’incident, quelles évolutions introduisent de nouveaux risques.
Sans suivi régulier, ces questions restent sans réponse fiable. La cartographie continue d’exister, mais elle ne joue plus son rôle. L’angle mort persiste, non par oubli, mais par inertie organisationnelle.
En définitive, la cartographie du système d’information ne pose pas un problème de méthode ni d’outillage. Elle pose un problème de continuité et de gouvernance. Tant qu’elle restera pensée comme un exercice ponctuel, elle produira des représentations partielles, rapidement obsolètes. Ce n’est qu’en l’inscrivant dans un suivi structuré, partagé et assumé qu’elle pourra cesser d’être un angle mort persistant, pour devenir un véritable levier de pilotage du système d’information.
