Réussir la cartographie de votre système d'information en 6 étapes
La cartographie du système d’information
Dans sa version la plus complète, la cartographie d’une activité concerne tous les actifs matériels et immatériels de l’organisation — bâtiments, baies, serveurs, VM, applications, flux de données, contrats, fournisseurs… Ainsi, la cartographie couvre aussi le système d’information (SI) et plus largement, le patrimoine informationnel de l’entreprise.
Réaliser une cartographie du SI permet d’obtenir une vue exhaustive et modélisée de tous les composants et de leurs caractéristiques, des connexions entre eux et avec l’extérieur. Il en résulte une lisibilité accrue du système d’information et du parcours des données dans le système. Pour y parvenir, les outils de cartographie du système d’information font l’inventaire détaillé de l’existant et livrent des vues du SI à la demande qui illustrent les composants, les liens entre eux et la façon dont ils fonctionnent.
Le résultat : une lisibilité et une compréhension accrues des différents aspects du système d’information.
L’intérêt : s’appuyer sur un outil précis et fiable pour sécuriser le patrimoine de données, en optimiser la gouvernance, garantir la conformité et maîtriser le changement.
Pourquoi est-il essentiel de cartographier son activité ?
L’informatique est devenue un actif stratégique dans les entreprises, d’autant plus si elles mènent une transformation numérique. Corollaire : les cyberattaques se multiplient, puisque le patrimoine informationnel détenu au sein de l’entreprise et au cœur de son système d’information prend de plus en plus de valeur. Il est donc capital de le protéger. Dans cette optique, la cartographie du système d’information s’impose comme un outil incontournable de pilotage des risques.
Une des principales raisons de cartographier l’infrastructure informatique : garder la main sur le système. En effet, la schématisation issue d’un outil de cartographie du SI est exhaustive et détaillée, livrant une cartographie informatique — à la fois cartographie fonctionnelle et applicative. Il s’agit donc d’un outil de pilotage clé, permettant une vision globale et partagée par toutes les parties prenantes, ainsi qu’une restitution visuelle simple et accessible, idéale pour faciliter la compréhension et la prise de décision.
La cartographie offre ainsi un socle pour assurer le bon fonctionnement du SI en condition de sécurité — autre raison de recourir à la cartographie informatique. De ce fait, elle participe à la protection des actifs, en particulier, informatiques de l’entreprise. Notamment, un logiciel de cartographie aide à identifier les systèmes les plus exposés, comme les plus critiques, et à repérer les chemins par lesquels une attaque peut passer. De quoi faciliter la mise en place des protections adaptées. Outre l’anticipation, la cartographie aide également à mieux répliquer et défendre le système d’information en cas d’attaque ou d’incident en contribuant à mettre au point les actions défensives, les plans de continuité de l’activité (PCA) ou les plans de reprise de l’activité informatique (PRA). Elle joue ainsi un rôle clé pour réduire l’impact de tels événements.
Dotée d’un logiciel de cartographie du SI, l’entreprise se donne les chances d’être bien plus résiliente face aux aléas. Une capacité clé pour l’activité, mais aussi pour renforcer une valeur stratégique : la confiance de ses clients.
Les points essentiels d’une cartographie du SI
Le système d’information constitue un ensemble complexe où s’enchevêtrent de multiples actifs. Parmi eux, la donnée réside au cœur des enjeux de protection et de conformité. Maîtriser le SI s’avère donc clé pour réussir la transformation numérique de l’organisation, rester conforme à la réglementation, respecter les standards sectoriels, sécuriser le patrimoine informatique et informationnel.
D’où l’intérêt de la visibilité offerte par une solution de cartographie du SI. Le principe au cœur de ce type de solution : faire converger architectures techniques et applicatives, et matérialiser cette convergence. En cas de changement, le logiciel de cartographie informatique permet de scénariser les impacts et les solutions de remédiation grâce à une capacité essentielle : établir les liens de dépendance entre les différents composants.
La cartographie du SI approfondit plusieurs niveaux : elle modélise à la fois des vues, fonctionnelles, applicatives et techniques du SI et livre ainsi une vision globale du patrimoine informatique de l’entreprise sur un même écran. Plus précisément, la cartographie du SI regroupe :
- Cartographie métier / processus : dans cette perspective, la cartographie représente d’abord l’écosystème avec lequel le SI interagit, détaillé par entités et systèmes. À ce niveau, la cartographie donne aussi une « vue métier » qui détaille les processus et principales informations au cœur du SI lui-même. Cette vue permet notamment de définir la valeur métier de chaque composant et sa criticité.
- Cartographie applicative : cette vue du SI décrit les composants logiciels du SI, les services associés et les flux de données qui transitent entre eux. Cette vue amène logiquement à une cartographie fonctionnelle du SI, qui elle-même répond à la cartographie métier – autrement dit, quelle fonctionnalité exécute quel processus métier. Autre pan de la cartographie applicative : la vue de l’administration du système selon les périmètres et les niveaux de privilège des parties prenantes.
- Cartographie technique : à ce niveau, sont illustrées l’architecture technique (équipements physiques, matériel, mais aussi bâtiments tels data centers) et l’architecture logique (cloisonnement des réseaux, plages d’adresses IP, VLAN, fonctions de filtrage et de routage…).
Outiller et maîtriser les changements grâce à une cartographie applicative
Parmi les nombreux bénéfices à utiliser la cartographie du SI figure la maîtrise du changement. Un enjeu de taille à l’heure où l’entreprise doit évoluer vite, faire preuve d’agilité dans sa transformation numérique qui complexifie le SI. Il est ainsi nécessaire de maîtriser le déploiement du schéma directeur informatique (SDSI) qui planifie et organise l’évolution du système d’information en fonction de la stratégie d'entreprise.
À ce titre, la cartographie des applications informatiques offre un outil majeur pour anticiper, élaborer et construire une conduite du changement réussie. En effet, parce qu’elle décrit les solutions, dont les applications, sur lesquelles reposent les processus métier, ainsi que les échanges d’informations entre solutions et leurs modalités, la cartographie applicative aide à modéliser les évolutions à venir en tenant compte des contraintes métier, des contraintes réglementaires et des risques.
Notamment, la cartographie applicative permet d’identifier les risques du changement, son niveau de criticité et ses impacts potentiels sur le système d’information. Dans chaque scénario de changement, la cartographie livre une visibilité accrue et facilite la validation de l’organisation, de l’architecture et des processus cibles et ce, par toutes les parties concernées puisque les outils de cartographie logicielle permettent de mutualiser les informations et les connaissances.
L’outil de cartographie du système d’information couvre également l’aspect humain du changement en précisant qui est responsable, utilisateur, décisionnaire de telle ou telle évolution, et quelles sont les incidences pour les différentes parties. Autant d’informations essentielles pour préparer également les équipes au changement, un facteur de réussite stratégique de toute évolution. La communication sur le changement en particulier bénéficie de la visibilité apportée par la cartographie. En effet, avec une vue détaillée des impacts potentiels, il est plus simple d’adapter la communication aux différentes cibles concernées et de les engager dans le changement.
Ainsi, la cartographie permet d’instiller maîtrise et réalisme dans les scénarios d’évolution, un atout maître pour sécuriser le changement, le rendre plus acceptable et dynamique.
Les fonctionnalités et avantages d’un outil de cartographie
Si des outils de cartographie partielle sont déjà en place dans l’entreprise, il existe un réel intérêt à envisager de s’équiper d’un outil unique et capable de couvrir tout le périmètre de cartographie attendu. Un conseil : privilégier une solution offrant simplicité et usage intuitif, ce qui s’avère un avantage pour mener le projet de cartographie de l’entreprise avec toutes les parties prenantes impliquées. Dès lors, un outil unique permet d’éviter des silos d’informations et de produire ou d’identifier ultérieurement des doublons dans des cartographies parallèles.
A minima, la solution de cartographie du système d’information doit être en mesure d’effectuer l’inventaire de l’existant, de produire des vues du SI selon les critères de l’utilisateur et de représenter les liens entre ces vues. La solution de cartographie doit aussi permettre de maintenir à jour la cartographie au fur et à mesure des évolutions au sein du SI. À ce titre, il est important de bien définir ce que l’on doit décrire et le niveau de granularité attendu en gardant toujours en tête la capacité de maintenir en condition opérationnelle ce référentiel.
Parmi les fonctionnalités plus avancées d’un logiciel de cartographie du SI, figure entre autres la possibilité d’associer une documentation aux objets de la cartographie — par exemple des contrats de fournisseurs ou de maintenance, ou la description de mesures de sécurité. Autres fonctions très utiles dans ce type d’outil : la création de relations entre les objets et leurs propriétaires, et de cartographies en fonction du modèle de l’organisation, telles que vues par filiale, par pays.
Une vision transversale et multi-organisation
Un logiciel de cartographie du système d’information offre entre autres l’intérêt de se positionner comme référentiel unique. Il s’agit d’un atout de taille, car lorsque les informations de cartographie et d’inventaire sont réparties dans divers fichiers, un effet silo rend bien plus difficile d’obtenir des vues d’ensemble. Ceci, d’autant plus que des informations de cartographie disparates ont tendance à être maintenues différemment selon les utilisateurs, sans unicité de critères. Il devient alors très compliqué de les réconcilier pour obtenir une vision globale et fiable avec, en plus, un risque important d’erreur dans les vues produites.
À l’inverse, un logiciel de cartographie unique offre le grand avantage d’un référentiel partagé par tous les utilisateurs, mais aussi d’un outil collaboratif, transversal et mutualisé entre tous les intervenants — directions métier, DSI, urbanistes, architectes, RSSI, DPO, auditeurs internes et externe. Concrètement :
- La cartographie pour les RSSI permet d’effectuer un bilan d'impact sur l'activité (BIA) entièrement paramétrable, de matérialiser les contraintes métier sur le référentiel des actifs et de gérer les changements d'actifs sereinement.
- La cartographie pour les DPO permet de documenter les traitements de données, de constituer un registre des traitements dématérialisé et de disposer d'une cartographie avec les éléments du registre des traitements.
- La cartographie pour les architectes et les urbanistes aide à documenter les actifs, à cartographier l'ensemble du système d'information et à mettre les informations à disposition des collaborateurs en toute simplicité.
- La cartographie pour les opérationnels métiers permet d’accéder facilement aux données, consultables en un format simple et abordable, de personnaliser et de contextualiser les restitutions selon les usages de chacun, d’adapter les vues et la profondeur d’information selon les profils d’utilisateurs.
Dans les organisations multisites et/ou avec filiales, l’outil de cartographie SI maintient sa qualité collaborative, transversale et mutualisée. Ainsi, ce logiciel regroupe les processus métier, les applications, les traitements des données, les flux transactionnels entre applications, et tout autre composant du SI, tous sites inclus. Il prend donc en charge tous les actifs de l’organisation, où qu’ils se situent, pour livrer des vues cartographiées personnalisées du périmètre choisi par l’utilisateur. Autre intérêt en multisite : la cartographie permet de visualiser rapidement et de façon pratique qui est responsable de quoi.
Analyser, simuler, restituer et partager les solutions
Connaître son système d’information pour mieux le sécuriser est fondamental. Or, le SI représente souvent un enchevêtrement de multiples actifs, y compris dans les petites structures. Aussi, tout système d’information demande de la clarté pour être sous contrôle et protégé.
Cette clarté commence par la qualité de l’analyse de l’existant. C’est pourquoi la cartographie permet d’identifier tous les composants et leurs caractéristiques et décrit les relations entre eux. L’outil de cartographie offre ainsi une granularité fine et précise en associant à chaque élément — processus, composants, transactions — des valeurs selon leurs caractéristiques, leurs propriétaires, leur criticité, leurs relations. Grâce à une analyse de ces valeurs, les cartes restituées font apparaître les traitements, les processus, la répartition des systèmes d’exploitation par serveur, entre autres, mais surtout, révèlent ce qui est conforme et ce qui ne l’est pas. Une donnée essentielle pour activer les bonnes actions de remédiation.
D’autres formats complètent la restitution des informations de cartographie, notamment des tableaux de bord des composants et des processus, avec leurs caractéristiques. De quoi enrichir la viabilité sur les composants en action à une étape donnée — qui fait quoi, utilise, saisit, envoie, stocke…
De plus, grâce à son analyse approfondie des composants et de leurs dépendances, la solution de cartographie du SI s’avère un puissant outil de simulation pour comprendre ce qui se passerait dans divers scénarios – incident, attaque, modification… Cette simulation exploite justement les liens de dépendance entre composants et permet d’examiner une liste d’objets en suivant ces liens. Dans un scénario donné, il est possible de visualiser les incidences d’un évènement pour mieux cibler les zones à protéger. Pour donner un exemple de cartographie du système d’information dans ce cas de figure, la simulation répercute les effets d’une panne matérielle sur les applications, puis sur la couche métier, et livre immédiatement une vue du scénario et des zones de remédiation à traiter. Ce type de vue est exploité également lors d’audits ou d’analyses post-incident pour cerner rapidement la faille en cause.
L’outil de cartographie étant pleinement mutualisé et collaboratif, il permet de partager rapidement les informations d’analyse, de simulation, de remédiation. Sachant qu’il permet de joindre de la documentation aux actifs, il assure un partage dynamique de la connaissance entre tous les acteurs. Ce faisant, il garantit une forte cohérence d’ensemble et le renforce avec plusieurs automatisations. En effet, l’outil va automatiquement répercuter les changements d’inventaires dans les vues, prévoir des étapes automatiques de validation et de relance auprès des responsables des mises à jour de chaque périmètre.
Anticiper les risques et sécuriser vos actifs
L’un des principaux bénéfices à réaliser la cartographie du SI consiste à comprendre les risques, leur criticité, leur probabilité, leur gravité, leur impact potentiel et donc, leur acceptabilité. La solution de cartographie du système d’information fait ainsi figure d’outil incontournable dans l’arsenal de gestion des risques de l’entreprise.
Cartographie et protection des données sensibles : la cartographie du SI permet de repérer les données sensibles par caractéristique (disponibilité, intégrité, confidentialité, traçabilité), notamment les données à caractère personnel (DCP), et de cerner les transactions ascendantes et descendantes qui les concernent. L’outil de cartographie sait décrire l’ensemble, anticiper les actifs qui héritent d’une criticité donnée et signaler la sensibilité des informations dans l’inventaire et dans les vues cartographiées. Il peut aussi ajouter à la cartographie une mention de protection particulière pour les données hautement confidentielles.
Cette visibilité permet un contrôle accru des données et une scénarisation appropriée. C’est le cas notamment en termes de conformité au RGPD : la cartographie fait apparaître les liens entre données, leurs traitements, par quels fournisseurs, de quoi vérifier que tout est conforme et en rendre compte. Cette capacité de contrôle des données est également utile pour préparer le changement, et établir des PCA (plans de continuité de l’activité) et PRA (plans de reprise de l’activité) solides et exhaustifs.
Cette visibilité permet un contrôle accru des données et une scénarisation appropriée. C’est le cas notamment en termes de conformité au RGPD : la cartographie fait apparaître les liens entre données, leurs traitements, par quels fournisseurs, de quoi vérifier que tout est conforme et en rendre compte. Cette capacité de contrôle des données est également utile pour préparer le changement, et établir des PCA (plans de continuité de l’activité) et PRA (plans de reprise de l’activité) solides et exhaustifs.
Cartographie et gestion des risques et des incidents : grâce à ses capacités d’analyse et de simulation, le logiciel de cartographie constitue un allié de taille pour mettre au point des PCA et des PRA informatiques complets. La cartographie permet d’identifier les zones de risque et de définir des actions de protection qui réduisent, voire éliminent les incidences directes d’un sinistre, de circonscrire le périmètre impacté, de limiter la progression des impacts successifs d’un incident ou d’une attaque au sein du SI. En s’appuyant sur la cartographie, la gestion des risques peut approfondir les scénarios, notamment en termes de risques résiduels, une fois les impacts directs traités. Même si leur probabilité est souvent plus faible, ces risques doivent également être pris en compte. La cartographie permet d’optimiser les plans de continuité informatique en ce sens. Notamment, la cartographie aide à créer des ressources redondantes en dehors du périmètre d’un sinistre — entre autres, ressources externes, procédures de sauvegarde des données hors site, infrastructure de secours.
Moduler votre SI selon votre profil et vos besoins
Dans toute organisation, l’activité évolue et son système d’information en fait autant. La cartographie du SI doit donc suivre ce rythme et s’adapter aux évolutions sans délai. Elle doit incorporer les changements, mais aussi offrir assez de souplesse pour varier les vues requises par les utilisateurs au fur et à mesure que leurs besoins évoluent.
C’est pourquoi les outils de cartographie permettent d’enrichir les vues de façon incrémentale (en ajoutant des vues supplémentaires) et itérative (en affinant les vues existantes). Ce faisant, la cartographie s’inscrit dans une démarche d’amélioration continue pour gagner en maturité et industrialiser davantage les processus en place.
Pour maintenir la cartographie à jour et l’enrichir, il importe de pouvoir s’appuyer sur une souplesse en termes de définition des composants et de leurs caractéristiques. L’outil de cartographie doit idéalement permettre d’en ajouter et d’en supprimer à volonté. Ainsi, l’entreprise est libre de définir les éléments de sa cartographie et le niveau de granularité requis pour chacun.
Bien équipée, l’entreprise a les moyens de savoir si le périmètre de la cartographie suffit ou doit être étendu, si un niveau supérieur de maturité est requis sur certaines vues, quelles vues doivent être affinées, et dans quels délais procéder à ces ajustements.
EKIALIS Explore, l’outil de cartographie SI de vos actifs et processus
Avec EKIALIS Explore, votre entreprise bénéficie d’un outil de cartographie complet pour pérenniser et sécuriser le patrimoine matériel et immatériel qui intervient dans son système d’information. La solution prend en charge des composants variés tels que bâtiments, baies, serveurs, VM, applications, flux de données, contrats, fournisseurs… EKIALIS Explore présente aussi toutes les fonctionnalités avancées attendues dans les meilleurs logiciels de cartographie SI :
- Une capacité à mailler les composants de liens de dépendance, à catégoriser les risques et la criticité de chacun, et à anticiper les impacts potentiels d’événements tels que modifications ou sinistres.
- Outil de cartographie collaboratif, EKIALIS Explore assure le partage des informations et des connaissances entre toutes les parties prenantes qui profitent ainsi d’un référentiel unique et cohérent de toutes les informations de cartographie de l’entreprise.
- Autre atout distinctif : EKIALIS Explore est une solution mature, issue du terrain et de l’expérience d’une équipe de consultants experts du sujet. Cette équipe vous accompagne à toutes les étapes de votre projet de cartographie, à commencer par la consolidation des données à charger sur l’outil pour obtenir une première vue de votre infrastructure informatique.
Offrant un service de cartographie complet et puissant, EKIALIS Explore est en mesure de répondre à tous les besoins de cartographie de l’entreprise. D’une part, la solution permet d’identifier et de documenter le patrimoine informationnel de l’entreprise, et de maîtriser le système d’information dans lequel il évolue.
EKIALIS Explore approfondit les vues cartographiées à tous les niveaux — applicatif, métier, processus, technique. La restitution des informations sous forme modélisée est immédiatement lisible, illustre les transactions au sein du SI, et donne une visibilité transversale et exhaustive à l’échelle de l’organisation.
D’autre part, EKIALIS Explore contribue activement à sécuriser le patrimoine informationnel de votre entreprise. Les analyses des composants du SI, de leurs dépendances, et la simulation de scénarios de sinistres et de leurs impacts potentiels vous permettent de déployer les protections appropriées, de façon ciblée.
Enfin, EKIALIS Explore garantit un facteur clé de succès dans un projet de cartographie : l’adoption de l’outil par toutes les parties prenantes. Dotée d’une ergonomie conçue pour faciliter la prise en main, EKIALIS Explore assure une expérience fluide aux utilisateurs, quel que soit leur niveau de technicité, des directions métier à la DSI et aux fonctions IT spécialisées comme urbanistes, architectes, RSSI, DPO et auditeurs. Cette qualité est essentielle pour que tous obtiennent de l’outil une information intelligible, exploitable et fiable et puissent partager les informations avec tous les acteurs de l’organisation.