Retour aux actualitésNIS2 SI

    Cartographie du SI pour NIS2 : identifier et protéger vos systèmes critiques

    12 min de lecture

    La cartographie du système d'information est l'une des premières exigences concrètes de NIS2. L'article 21 de la directive impose aux entités de connaître précisément leurs actifs numériques, leurs interdépendances et leurs risques. Sans cartographie à jour, il est impossible d'évaluer les risques, de prioriser les mesures de sécurité ou de répondre aux exigences d'audit de l'ANSSI. Voici la méthode pour la réaliser efficacement.

    Pourquoi NIS2 exige une cartographie du SI

    NIS2 n'utilise pas le terme "cartographie" explicitement, mais toutes ses exigences en découlent. Pour mettre en œuvre les mesures de l'article 21, vous devez nécessairement savoir :

    • Quels actifs constituent votre système d'information (serveurs, postes, applications, données, réseaux)
    • Quels services critiques dépendent de quels actifs, pour évaluer l'impact d'une compromission
    • Quelles interdépendances existent avec vos fournisseurs et sous-traitants (sécurité de la chaîne d'approvisionnement)
    • Quelles données sensibles circulent, comment et où elles sont stockées

    L'ANSSI a publié plusieurs guides pratiques sur la cartographie des SI, notamment dans le cadre de sa méthode EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité, Risk Management), qui constitue le standard de référence en France.

    Étape 1 : inventaire des actifs numériques

    La première étape est de dresser un inventaire exhaustif de tous les composants de votre SI. L'inventaire doit couvrir quatre catégories :

    Actifs matériels (hardware)

    • Serveurs (physiques et virtuels), baies de stockage, équipements réseau (switchs, routeurs, firewalls)
    • Postes de travail, laptops, appareils mobiles professionnels
    • Équipements IoT, automates industriels (OT), imprimantes connectées
    • Pour chaque actif : propriétaire, localisation physique, version firmware, date de fin de support

    Actifs logiciels (software)

    • Applications métier, ERP, CRM, logiciels de gestion
    • Systèmes d'exploitation, middlewares, bases de données
    • Applications SaaS et cloud (Microsoft 365, Salesforce, Jira, etc.)
    • Pour chaque logiciel : version, éditeur, date de fin de support, données traitées

    Données et services

    • Données personnelles (base RGPD), données de santé, secrets commerciaux, propriété intellectuelle
    • Services numériques exposés (site web, API, extranet client)
    • Services critiques pour la continuité d'activité (messagerie, VPN, outils de production)

    Actifs tiers et cloud

    • Prestataires IT ayant accès à votre SI (infogérance, MSSP, éditeurs avec accès distant)
    • Services cloud utilisés (AWS, Azure, GCP, hébergeurs)
    • Fournisseurs de logiciels critiques (notamment ceux concernés par la réglementation supply chain NIS2)

    Étape 2 : modélisation des flux et interdépendances

    L'inventaire seul ne suffit pas. Il faut ensuite modéliser comment les actifs communiquent entre eux et avec l'extérieur :

    • Flux réseaux : qui communique avec qui, sur quels ports, avec quelle authentification
    • Flux de données : où sont créées les données, comment elles circulent, où elles sont stockées et sauvegardées
    • Dépendances applicatives : quelles applications dépendent de quelles autres (ex. ERP → base de données → serveur de fichiers)
    • Accès tiers : flux entrants des prestataires et fournisseurs (VPN, accès distant, APIs)

    Cette modélisation permet d'identifier les chemins d'attaque potentiels (latéralisation) et les points de défaillance unique (SPOF — Single Point of Failure).

    Étape 3 : classification par criticité

    Une fois l'inventaire et les flux établis, chaque actif doit être classifié selon sa criticité pour les activités de l'organisation. La classification ANSSI recommande trois niveaux :

    • Critique : actif dont la compromission ou l'indisponibilité causerait un impact grave sur les activités (arrêt de production, violation massive de données, notification NIS2 obligatoire)
    • Sensible : actif important mais dont la perte serait gérable avec des procédures de continuité
    • Standard : actif sans impact majeur sur la continuité des activités critiques

    La criticité détermine les mesures de sécurité à appliquer en priorité : les actifs critiques doivent bénéficier des protections les plus robustes (MFA, chiffrement, sauvegarde déconnectée, monitoring renforcé).

    Outils pour réaliser la cartographie

    Plusieurs outils peuvent faciliter la réalisation et la maintenance de la cartographie :

    • GLPI (open source) : CMDB complète pour l'inventaire des actifs matériels et logiciels, avec gestion des licences et suivi de maintenance
    • Nmap / Nessus : scan réseau pour découvrir automatiquement les actifs connectés et leurs ports ouverts
    • draw.io / Lucidchart / Miro : outils de diagramme pour modéliser les flux et architectures
    • EBIOS RM (outil ANSSI gratuit) : logiciel officiel pour formaliser l'analyse de risques en lien avec la cartographie
    • ServiceNow / Freshservice : ITSM avec CMDB pour les organisations plus grandes

    Livrables attendus pour un audit NIS2

    Lors d'un contrôle ANSSI ou d'un audit de conformité NIS2, les documents suivants sont typiquement demandés :

    • Inventaire des actifs avec propriétaire, criticité, version et date de fin de support
    • Schéma d'architecture réseau (topologie, segmentation, zones de sécurité)
    • Cartographie des flux de données sensibles
    • Liste des prestataires tiers avec accès au SI et niveau d'accès
    • Registre des services externalisés (cloud, SaaS) avec classification des données hébergées
    • Date de dernière mise à jour de la cartographie et processus de révision

    Maintenir la cartographie à jour

    Une cartographie obsolète est aussi dangereuse qu'une absence de cartographie. Pour la maintenir à jour :

    • Intégrer la mise à jour de la cartographie dans les processus de gestion des changements (ITIL)
    • Réaliser un audit de la cartographie au minimum une fois par an
    • Automatiser la découverte d'actifs avec des scans réguliers (Nmap planifié)
    • Désigner un responsable de la cartographie (RSSI ou DSI) avec des revues trimestrielles
    • Inclure la cartographie dans le processus d'intégration de tout nouveau projet SI

    Conclusion

    La cartographie du SI est le socle de toute démarche de cybersécurité structurée. Elle est indispensable pour NIS2, mais aussi pour l'assurance cyber, les audits ISO 27001 et la réponse aux incidents. CyberConform accompagne les PME et ETI dans la réalisation de leur première cartographie SI selon la méthode ANSSI, avec un livrable utilisable immédiatement pour le diagnostic de conformité NIS2.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit