Cartographie du SI pour NIS2 : identifier et protéger vos systèmes critiques
La cartographie du système d'information est l'une des premières exigences concrètes de NIS2. L'article 21 de la directive impose aux entités de connaître précisément leurs actifs numériques, leurs interdépendances et leurs risques. Sans cartographie à jour, il est impossible d'évaluer les risques, de prioriser les mesures de sécurité ou de répondre aux exigences d'audit de l'ANSSI. Voici la méthode pour la réaliser efficacement.
Pourquoi NIS2 exige une cartographie du SI
NIS2 n'utilise pas le terme "cartographie" explicitement, mais toutes ses exigences en découlent. Pour mettre en œuvre les mesures de l'article 21, vous devez nécessairement savoir :
- Quels actifs constituent votre système d'information (serveurs, postes, applications, données, réseaux)
- Quels services critiques dépendent de quels actifs, pour évaluer l'impact d'une compromission
- Quelles interdépendances existent avec vos fournisseurs et sous-traitants (sécurité de la chaîne d'approvisionnement)
- Quelles données sensibles circulent, comment et où elles sont stockées
L'ANSSI a publié plusieurs guides pratiques sur la cartographie des SI, notamment dans le cadre de sa méthode EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité, Risk Management), qui constitue le standard de référence en France.
Étape 1 : inventaire des actifs numériques
La première étape est de dresser un inventaire exhaustif de tous les composants de votre SI. L'inventaire doit couvrir quatre catégories :
Actifs matériels (hardware)
- Serveurs (physiques et virtuels), baies de stockage, équipements réseau (switchs, routeurs, firewalls)
- Postes de travail, laptops, appareils mobiles professionnels
- Équipements IoT, automates industriels (OT), imprimantes connectées
- Pour chaque actif : propriétaire, localisation physique, version firmware, date de fin de support
Actifs logiciels (software)
- Applications métier, ERP, CRM, logiciels de gestion
- Systèmes d'exploitation, middlewares, bases de données
- Applications SaaS et cloud (Microsoft 365, Salesforce, Jira, etc.)
- Pour chaque logiciel : version, éditeur, date de fin de support, données traitées
Données et services
- Données personnelles (base RGPD), données de santé, secrets commerciaux, propriété intellectuelle
- Services numériques exposés (site web, API, extranet client)
- Services critiques pour la continuité d'activité (messagerie, VPN, outils de production)
Actifs tiers et cloud
- Prestataires IT ayant accès à votre SI (infogérance, MSSP, éditeurs avec accès distant)
- Services cloud utilisés (AWS, Azure, GCP, hébergeurs)
- Fournisseurs de logiciels critiques (notamment ceux concernés par la réglementation supply chain NIS2)
Étape 2 : modélisation des flux et interdépendances
L'inventaire seul ne suffit pas. Il faut ensuite modéliser comment les actifs communiquent entre eux et avec l'extérieur :
- Flux réseaux : qui communique avec qui, sur quels ports, avec quelle authentification
- Flux de données : où sont créées les données, comment elles circulent, où elles sont stockées et sauvegardées
- Dépendances applicatives : quelles applications dépendent de quelles autres (ex. ERP → base de données → serveur de fichiers)
- Accès tiers : flux entrants des prestataires et fournisseurs (VPN, accès distant, APIs)
Cette modélisation permet d'identifier les chemins d'attaque potentiels (latéralisation) et les points de défaillance unique (SPOF — Single Point of Failure).
Étape 3 : classification par criticité
Une fois l'inventaire et les flux établis, chaque actif doit être classifié selon sa criticité pour les activités de l'organisation. La classification ANSSI recommande trois niveaux :
- Critique : actif dont la compromission ou l'indisponibilité causerait un impact grave sur les activités (arrêt de production, violation massive de données, notification NIS2 obligatoire)
- Sensible : actif important mais dont la perte serait gérable avec des procédures de continuité
- Standard : actif sans impact majeur sur la continuité des activités critiques
La criticité détermine les mesures de sécurité à appliquer en priorité : les actifs critiques doivent bénéficier des protections les plus robustes (MFA, chiffrement, sauvegarde déconnectée, monitoring renforcé).
Outils pour réaliser la cartographie
Plusieurs outils peuvent faciliter la réalisation et la maintenance de la cartographie :
- GLPI (open source) : CMDB complète pour l'inventaire des actifs matériels et logiciels, avec gestion des licences et suivi de maintenance
- Nmap / Nessus : scan réseau pour découvrir automatiquement les actifs connectés et leurs ports ouverts
- draw.io / Lucidchart / Miro : outils de diagramme pour modéliser les flux et architectures
- EBIOS RM (outil ANSSI gratuit) : logiciel officiel pour formaliser l'analyse de risques en lien avec la cartographie
- ServiceNow / Freshservice : ITSM avec CMDB pour les organisations plus grandes
Livrables attendus pour un audit NIS2
Lors d'un contrôle ANSSI ou d'un audit de conformité NIS2, les documents suivants sont typiquement demandés :
- Inventaire des actifs avec propriétaire, criticité, version et date de fin de support
- Schéma d'architecture réseau (topologie, segmentation, zones de sécurité)
- Cartographie des flux de données sensibles
- Liste des prestataires tiers avec accès au SI et niveau d'accès
- Registre des services externalisés (cloud, SaaS) avec classification des données hébergées
- Date de dernière mise à jour de la cartographie et processus de révision
Maintenir la cartographie à jour
Une cartographie obsolète est aussi dangereuse qu'une absence de cartographie. Pour la maintenir à jour :
- Intégrer la mise à jour de la cartographie dans les processus de gestion des changements (ITIL)
- Réaliser un audit de la cartographie au minimum une fois par an
- Automatiser la découverte d'actifs avec des scans réguliers (Nmap planifié)
- Désigner un responsable de la cartographie (RSSI ou DSI) avec des revues trimestrielles
- Inclure la cartographie dans le processus d'intégration de tout nouveau projet SI
Conclusion
La cartographie du SI est le socle de toute démarche de cybersécurité structurée. Elle est indispensable pour NIS2, mais aussi pour l'assurance cyber, les audits ISO 27001 et la réponse aux incidents. CyberConform accompagne les PME et ETI dans la réalisation de leur première cartographie SI selon la méthode ANSSI, avec un livrable utilisable immédiatement pour le diagnostic de conformité NIS2.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit