6min

Méthodologies et outils pour cartographier un système d’information

La cartographie du système d’information est une tâche aussi essentielle qu’appréhendée parce que c’est un chantier souvent fastidieux et au long cours. Différentes méthodes ou outils existent pour aborder les cartographies afin de mieux connaître son parc informatique et mieux réagir en cas d'attaque cyber.
Cybersecurity - Workspace Security Platform Setup

Cartographie des systèmes d’information : définition 

Une cartographie vise à représenter le système d’information d’une organisation ainsi que ses connexions avec l’extérieur. Elle permet d’avoir connaissance de l’ensemble des composants du système d’information et d’en obtenir une meilleure visibilité.  

Cette cartographie, aussi appelée mapping, est indispensable pour à la fois maîtriser, protéger, défendre et assurer la résilience en cas d'attaque cyber. 
Elle peut concerner l’infrastructure IT, les applications, les connexions réseau, les processus, les ressources impliquées dans la gestion du système d’information... Et c’est cette diversité des points de vue sur le système d’information qui permet une surveillance efficace, et une capacité optimale à réagir en cas d’événement de sécurité. 

Bien qu’il n’existe pas de référentiel unique, la cartographie est mise en avant aussi bien dans les règles du Guide d’hygiène informatique de l’ANSSI que la Loi de Programmation Militaire, ou encore NIS 1 et 2. 

Néanmoins, c’est un sujet qui peut fâcher. En effet, la cartographie peut mettre en lumière une dette technique, ou des architectures obsolètes voire inadaptées aux enjeux de sécurité. Elle peut aussi révéler les lacunes d’une documentation, des failles, et éventuellement des actions passées sous les radars et discrètement glissées sous le tapis. 

Alors, quels sont les différents outils et les méthodologies pour aborder efficacement les cartographies ? 

 

Outils de cartographie des systèmes d’information : avantages et limites 

Comme nous l’avons évoqué, une cartographie peut porter sur les différents aspects d’un système d’information. Elle peut aussi être réalisée de différentes manières selon les besoins d’une organisation, les ressources disponibles, et la complexité de l’infrastructure technique. 

Dans tous les cas, pour en faire un véritable outil de travail et d’aide à la décision, il faut bien avoir à l’esprit que la cartographie ne doit pas être envisagée en mode projet. C’est un travail de longue haleine qui demande un suivi régulier. 

Pour un environnement peu complexe, une cartographie statique mise à jour manuellement ou une Configuration Management Database (CMDB) peuvent convenir. 

En revanche, plus l’environnement IT est complexe et les mises à jour fréquentes, plus l’automatisation et la centralisation de la gestion seront clés pour que la cartographie reste pertinente.  

Comme nous allons le voir, d’après une synthèse réalisée par Cyberun (une édition complète au sujet de la cartographie), chaque solution a ses avantages et ses limites. Lesquelles ? 
 

La cartographie statique 

Elle convient aux environnements peu complexes et repose sur des outils de bureautique faciles à utiliser tels qu’une feuille de calcul, par exemple, comportant des données et des graphiques. La mise à jour est manuelle. 

Avantages de la cartographie statique 

  • Convient aux environnements IT peu complexes ou qui évoluent peu fréquemment 
  • Pas de budget à prévoir 
  • Facilité de prise en main des outils 

Limites de la cartographie statique 

  • Inadaptée aux environnements IT complexes 
  • Mise à jour manuelle des informations 
  • Pas de suivi en temps réel de l’état du système d’information

La Configuration Management Database (CMDB) 

La CMDB base de données qui contient toutes les informations à propos des composants matériels et logiciels d'un système d’information, et les liens entre ces composants. Elle permet de générer des cartographies poussées et de relever des métriques relatives à l’utilisation des composants du parc informatique, ainsi que leurs performances. 

Avantages des CMDB 

  • Centralise la gestion des données de configuration 
  • Automatise les processus de gestion des configurations 
  • Facilite la gestion des mises à jour et des incidents 

Limites des CMDB 

  • Coût d’acquisition important 
  • Mise en place complexe  
  • Gouvernance et gestion à prévoir 

La cartographie dynamique  

Cartographier dynamiquement un système d’information est fortement recommandé pour les environnements IT évolutifs. Cette méthodologie permet d’automatiser l’intégration d’un grand nombre de donnés pour une capacité de surveillance accrue. Attention toutefois, certaines remontées d’information ne peuvent pas être automatisées, telles que le niveau de criticité de certaines applications, les liens éventuels entre processus et applications... 

Avantages de la cartographie dynamique 

  • Adapté aux environnements IT complexes qui évoluent régulièrement 
  • Mise à jour automatique des données relatives au parc informatique 
  • Visibilité en temps réel sur le système d’information 

Limites de la cartographie dynamique 

  • Prise en main qui nécessite une expertise spécifique 
  • Intégration au système d’information, ce qui peut générer de la friction 
  • Nettoyage des données à prévoir (bruit) 

Les outils de cartographie dédiés 

Au-delà des outils tels que les CMDB, des solutions évoluées sont dédiées à la gestion des cartographies des systèmes d’information. Particulièrement adaptées pour des environnements IT complexes, ces solutions incluent des fonctionnalités de modélisation et d’analyse d’un parc informatique. 

Avantages des outils dédiés à la cartographie 

  • Adaptés pour des environnement IT complexes 
  • Fonctionnalités avancées de modélisation et d’analyse du système d’information 
  • Support des standards et des frameworks reconnus 

Limites des outils dédiés à la cartographie 

  • Coût d’acquisition élevé, et coûts de maintenance à anticiper 
  • Ressources à mobiliser pour la mise en place  
  • Formation nécessaire pour les équipes en charge de la solution 

Information system mapping methodolgies

Synthèse d’après Cyberun #36 “Cartographie”, disponible gratuitement 



 Cartographier un système d’information : l’avis d’expert 

“Bien que la démarche ne suscite jamais l’enthousiasme, cartographier un système d’information est indispensable pour une bonne hygiène informatique, et c’est un outil précieux pour identifier les applications concernées par les vulnérabilités et y remédier. 
C’est aussi un facteur d’accélération des investigations, car en cas d’attaque, la cartographie permet de localiser beaucoup plus rapidement par où est entré l’attaquant, et les services métiers impactés.  
En effet, les analystes peuvent recevoir une alerte à propos d'une activité suspecte sur un serveur, mais sans savoir quelles applications y sont hébergées, impossible d'estimer la criticité de l'alerte. Une cartographie offre un accès immédiat à ces informations.” 
Rémi Pointel, Ingénieur Avant-Vente – HarfangLab 

Et au-delà de la cartographie, quels sont les points clés 
pour une meilleure résilience cyber ? 


La résilience cyber en 7 points clés

Plus d'articles

Cybersecurity Best Practices

Quelles règles de base pour une bonne hygiène informatique

La protection d’un système d’information doit s’adapter en continu pour faire face à l’évolution des usages mais aussi des menaces…

En savoir plus
11min
Méthodologie
Cybersecurity - Artificial Intelligence

Cybersécurité : IA offensive vs. défensive

L’intelligence Artificielle peut être utilisée par les organisations pour se prémunir et réagir face aux menaces, mais aussi par les…

En savoir plus
2min
Méthodologie
Cybersecurity experts

Pourquoi les organisations devraient s’intéresser au TDIR ?

Le TDIR (Threat Detection Investigation Response) propose une nouvelle approche pour améliorer la capacité d’analyse et d’action des SOC Managers.

En savoir plus
5min
Méthodologie
Cyber Resilience

La cyber résilience en 7 points clés

Dans un paysage en évolution perpétuelle et plein de défis, la cyber résilience permet de mieux s'adapter à la nature…

En savoir plus
8min
Méthodologie