Accueil 5 News 5 Cartographier son système d’information : la méthode ANSSI pour (enfin) y voir clair

Cartographier son système d’information : la méthode ANSSI pour (enfin) y voir clair

par | 17 Juin 2025

On parle beaucoup de cybersécurité, de gouvernance des risques, de conformité réglementaire. Mais, dans bien des cas, une question plus simple reste sans réponse dans les entreprises : « Savez-vous exactement ce que vous devez protéger ? ». Derrière cette interrogation, en apparence basique, se cache un enjeu fondamental. Car la connaissance fine de son système d’information conditionne tout le reste : capacité de réaction face à un incident, priorisation des investissements, cohérence des politiques de sécurité.

L’ANSSI ne s’y est pas trompée. Dans son guide pratique « Cartographie du système d’information » (PA‑046), l’agence propose une méthode simple et structurée pour aider les organisations à y voir plus clair. Pas un simple exercice d’inventaire technique, mais une démarche stratégique au service de la résilience. Loin des grandes théories, ce guide part du terrain. Et ce qu’il propose, c’est un véritable outil d’aide à la décision.

Voir son système d’information autrement

Le premier mérite de ce guide, c’est de replacer la cartographie dans son véritable usage. Elle n’est pas une fin, encore moins un plan figé. Elle est un outil vivant, pensé pour aider à piloter l’organisation, gérer les risques, comprendre les impacts d’un dysfonctionnement ou d’une attaque. À l’heure où les systèmes sont toujours plus complexes, interconnectés, et dépendants de prestataires extérieurs, cette lisibilité devient cruciale.

Souvent, le réflexe consiste à déléguer la cartographie aux équipes techniques. On pense architecture, câblage, VLAN. Mais ce que propose l’ANSSI, c’est tout autre chose. Il s’agit d’associer la vision métier à la représentation technique. D’établir un lien clair entre les actifs numériques et les activités critiques. En d’autres termes, de cartographier ce qui a du sens, pas seulement ce qui existe.

Une méthode en cinq étapes

Le cœur du guide repose sur une méthode en cinq étapes. Elle peut paraître élémentaire, mais sa force tient justement à sa clarté.

  • 1. Définir le périmètre
    La cartographie ne concerne pas forcément l’ensemble du SI. Elle peut se concentrer sur un service, une activité critique, ou une entité sensible. Ce cadrage initial est essentiel pour ne pas se noyer.

  • 2. Identifier les actifs
    Cela inclut les équipements, logiciels, données, flux, utilisateurs, comptes, connexions réseau… Mais toujours en lien avec les processus métiers. L’objectif est de comprendre ce qui est utilisé, comment, et par qui.

  • 3. Structurer par couches
    Le guide propose de représenter le SI selon trois niveaux : la couche métier (activités), la couche applicative (logiciels, traitements), et la couche technique (serveurs, réseaux, sécurité). Cette superposition permet une lecture croisée des dépendances.

  • 4. Qualifier les risques
    Chaque actif identifié doit être évalué selon sa sensibilité, sa criticité, sa vulnérabilité. À quoi sert-il ? Que se passe-t-il s’il tombe ? Ce n’est pas encore une analyse de risque complète, mais une pré-qualification.

  • 5. Maintenir à jour
    Une cartographie n’est utile que si elle est vivante. Cela implique de la mettre à jour régulièrement, notamment après tout changement significatif (nouvel outil, migration cloud, externalisation, etc.).

Cette approche, conçue pour être reproductible, permet à tout type d’organisation — même modeste — de construire une vision claire de son SI. Et de s’en servir.

Une utilité concrète, au-delà de la conformité

Cartographier, ce n’est pas seulement répondre à une exigence réglementaire. C’est mieux gérer ses ressources, ses incidents, ses projets. C’est savoir ce qui est réellement utilisé, ce qui est critique, ce qui est exposé. C’est aussi un atout décisif dans la gestion de crise.

En cas de cyberattaque, une bonne cartographie permet d’isoler rapidement les périmètres touchés, de prioriser les rétablissements, de comprendre les effets de bord. Elle devient un outil tactique autant que stratégique. C’est aussi un support pour construire un PCA (plan de continuité d’activité) ou un PRA (plan de reprise après sinistre) réellement opérationnel.

Et bien sûr, c’est un élément attendu dans de nombreux audits — RGPD, ISO 27001, DORA, NIS2. Savoir montrer une cartographie claire et justifiée devient un critère de maturité reconnu.

Une discipline à instaurer

Le vrai défi, cependant, n’est pas de produire une cartographie. C’est de la faire vivre. Trop souvent, on voit des schémas réseau oubliés dans un PowerPoint ou des fichiers Excel jamais relus. Le guide de l’ANSSI insiste sur ce point : la cartographie n’est utile que si elle est partagée, maintenue, utilisée. Elle doit être intégrée dans la gouvernance du SI.

Cela suppose plusieurs bonnes pratiques :

  • Ne pas confier l’exercice à un seul profil technique.

  • Associer les métiers dès les premières étapes.

  • Utiliser la cartographie comme base pour chaque projet ou évolution.

  • Lier les documents de sécurité (analyse de risques, plan d’habilitations, etc.) à cette représentation.

Autrement dit, faire de la cartographie un langage commun dans l’organisation.

Ce que la cartographie change vraiment

Au-delà des schémas, c’est une nouvelle posture qui s’installe. Celle d’une organisation qui sait ce qu’elle a, pourquoi elle l’a, et comment elle le protège. Une posture proactive, capable d’anticiper, d’argumenter, de prioriser. Et donc, d’agir vite quand cela compte.

Dans un monde numérique où l’opacité technique devient un risque en soi, où la chaîne d’approvisionnement numérique devient floue, où les obligations réglementaires se multiplient, cette visibilité devient une arme défensive essentielle.

La cartographie n’est pas un luxe d’architecte : c’est une assurance de survie.

Un outil pour toutes les tailles d’organisation

Ce qui rend le guide ANSSI intéressant, c’est qu’il est adaptable. Une PME peut l’appliquer sans avoir d’équipe sécurité dédiée. Une collectivité territoriale peut s’en inspirer pour cartographier ses services essentiels. Même les petites structures trouvent dans cette méthode une approche rationnelle, non technocratique, fondée sur la réalité de leur activité.

La cartographie, dans cette version ANSSI, ne repose pas sur des outils complexes ou coûteux. Elle repose sur des questions simples, mais structurantes. Que fait-on ? Avec quoi ? Et que se passe-t-il si ça ne marche plus ?

Cartographier, c’est gouverner

La force du guide de l’ANSSI, c’est qu’il ne propose pas une norme de plus, mais un outil de lucidité. Une méthode claire, accessible, et résolument utile pour toute organisation qui veut renforcer sa sécurité numérique sans se perdre dans la technicité.

Cartographier son système d’information, ce n’est pas faire joli : c’est se mettre en position de décider, de réagir, de convaincre. C’est faire exister, en interne, un référentiel partagé entre métiers, direction, DPO, RSSI et prestataires. C’est aussi, de plus en plus souvent, ce que les régulateurs attendent. Et ce que les crises révèlent comme indispensable.

Source : ANSSI, Cartographie du système d’information

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs blog

Publications Carlos BARBOSA

Publications Arnaud BASCOU

Publications CSM

Dernières publications