Passer au contenu
FlexCarto en vidéo

Guide pour une cartographie du SI en 5 étapes

Arkanlis |

Cartographie du Système d'Information

Réussissez votre projet en 5 étapes

Méthodologie complète avec exemples pratiques

Introduction : Pourquoi cartographier son SI ?

Dans un environnement numérique de plus en plus complexe, la cartographie du système d'information n'est plus une option mais une nécessité stratégique. Elle permet de :

  • Avoir une vision globale de votre infrastructure IT et des flux de données
  • Identifier les risques de sécurité et les points de vulnérabilité
  • Optimiser les investissements IT et justifier les budgets
  • Faciliter la conformité réglementaire (RGPD, NIS 2, ISO 27001)
  • Améliorer la communication entre les équipes techniques et la direction

"On ne peut pas sécuriser ou optimiser ce qu'on ne connaît pas. La cartographie SI est le point de départ de toute démarche de gouvernance IT efficace."

Ce guide vous présente une méthodologie éprouvée en 5 étapes pour réussir votre projet de cartographie, avec des exemples concrets et des conseils pratiques issus de notre expérience terrain.

Étape 1 : Définir le Périmètre et les Objectifs

1.1 Pourquoi cette étape est cruciale

Une cartographie réussie commence par une définition claire du périmètre. Vouloir tout cartographier d'un coup est la principale erreur des projets qui échouent. Il faut prioriser selon vos besoins métiers.

1.2 Questions à se poser

  • Quel est le déclencheur du projet ? (Audit, incident, conformité réglementaire, fusion)
  • Quels sont les processus métiers critiques à documenter en priorité ?
  • Quelles applications, infrastructures ou données sont concernées ?
  • Quel niveau de détail est nécessaire (vue macro vs. détaillée) ?

1.3 Exemple concret

Cas d'usage : PME du secteur financier

Objectif : Se conformer aux exigences DORA (Digital Operational Resilience Act)

Périmètre défini : Applications traitant des données financières sensibles, infrastructure critique, prestataires tiers

Exclusions : Outils internes non critiques, postes de travail individuels

1.4 Livrables attendus

livrables attendus

Étape 2 : Collecter les Informations

2.1 Sources d'information à mobiliser

La collecte d'informations est souvent le goulot d'étranglement des projets de cartographie. Une approche pragmatique consiste à combiner plusieurs méthodes complémentaires :

Documentation existante

  • Schémas réseau et architectures techniques existants
  • Inventaires d'actifs (matériels, logiciels, licences)
  • Contrats de prestation et accords de niveau de service (SLA)
  • Documentation des processus métiers

Entretiens avec les parties prenantes

  • DSI, RSSI, DPO : vision stratégique et risques
  • Responsables métiers : usages et besoins fonctionnels
  • Équipes techniques : architecture détaillée et interconnexions
  • Prestataires externes : services fournis et niveaux de dépendance

2.2 Modèle de questionnaire à utiliser

Pour structurer vos entretiens, voici un questionnaire type à adapter selon vos besoins :

  1. Quelle est la fonction principale de cette application/système ?
  2. Qui sont les utilisateurs (internes/externes, nombre, profils) ?
  3. Quelles données sont traitées (nature, sensibilité, volume) ?
  4. Quels sont les systèmes amont et aval connectés ?
  5. Où sont hébergées les données (serveur interne, cloud, prestataire) ?
  6. Quelle est la criticité pour l'activité (RTO/RPO si disponibles) ?
  7. Qui assure la maintenance (interne, éditeur, intégrateur) ?
  8. Y a-t-il des projets d'évolution prévus à court/moyen terme ?

2.3 Bonnes pratiques de collecte

  • Commencer par un périmètre restreint pour valider la méthode
  • Croiser les sources pour valider les informations
  • Documenter les lacunes et zones d'ombre pour itération future
  • Impliquer les experts métiers dès le début pour éviter les biais techniques
  • Utiliser un outil collaboratif pour centraliser les données collectées

Étape 3 : Modéliser et Structurer les Données

3.1 Choisir le bon niveau de représentation

La modélisation doit répondre aux besoins identifiés à l'étape 1. Il existe trois niveaux de représentation principaux :

modéliser les données

3.2 Définir votre référentiel d'actifs

Un référentiel d'actifs cohérent facilite la maintenance et les analyses. Voici les catégories essentielles à structurer :

  • Applications métiers : ERP, CRM, outils de production, applications spécifiques
  • Infrastructure : serveurs physiques/virtuels, équipements réseau, stockage
  • Données : bases de données, référentiels, fichiers partagés
  • Services cloud et SaaS : Office 365, Salesforce, AWS, etc.
  • Prestataires tiers : hébergeurs, intégrateurs, sous-traitants

3.3 Attributs essentiels à documenter

Pour chaque actif, documentez au minimum :

  • Identifiant unique et nom
  • Propriétaire fonctionnel et responsable technique
  • Niveau de criticité (disponibilité, intégrité, confidentialité)
  • Type de données traitées et leur sensibilité
  • Localisation physique et/ou cloud
  • Interconnexions avec d'autres systèmes
  • Date de mise en service et fin de support prévue

Étape 4 : Analyser et Évaluer les Risques

4.1 Évaluation de la criticité

L'analyse de risque permet de prioriser vos actions de sécurisation. Utilisez la méthode DICT recommandée par l'ANSSI :

  • Disponibilité : Impact d'une indisponibilité sur l'activité (1-4)
  • Intégrité : Impact d'une modification/corruption des données (1-4)
  • Confidentialité : Impact d'une divulgation non autorisée (1-4)
  • Traçabilité : Nécessité de prouver qui a fait quoi et quand (1-4)

4.2 Exemple d'évaluation pour une application CRM

exemple dévaluation

4.3 Identification des risques clés

Sur la base de votre cartographie, identifiez :

  • Points de défaillance uniques (SPOF) : systèmes sans redondance
  • Applications obsolètes : systèmes en fin de support éditeur
  • Dépendances critiques : forte exposition à un prestataire unique
  • Zones d'ombre : systèmes non ou mal documentés
  • Non-conformités : écarts avec les exigences réglementaires

Étape 5 : Maintenir et Faire Vivre la Cartographie

5.1 Pourquoi la maintenance est essentielle

Une cartographie figée perd rapidement sa valeur. Le système d'information évolue en permanence : nouvelles applications, migrations cloud, changements organisationnels. La maintenance continue est donc critique pour garantir l'utilité et la fiabilité de votre référentiel.

"Une cartographie obsolète est pire que pas de cartographie : elle donne un faux sentiment de maîtrise et peut conduire à de mauvaises décisions."

5.2 Processus de mise à jour

Déclencheurs de mise à jour

  • Mise en production d'une nouvelle application ou service
  • Décommissionnement d'un système
  • Changement majeur d'architecture (migration cloud, refonte réseau)
  • Changement de prestataire ou de contrat
  • Incident de sécurité majeur nécessitant une réévaluation

Revue périodique

Planifiez des revues régulières selon le rythme de votre organisation :

  • Trimestrielle pour les environnements très dynamiques (startups, forte croissance)
  • Semestrielle pour la plupart des organisations (recommandé)
  • Annuelle pour les SI stables avec peu d'évolutions

5.3 Gouvernance et responsabilités

gouvernance et respp

5.4 Valoriser votre cartographie

Pour encourager l'appropriation et la mise à jour continue, démontrez la valeur ajoutée de la cartographie :

  • Produire des tableaux de bord décisionnels (taux d'obsolescence, exposition aux risques)
  • Alimenter les analyses d'impact pour les projets de transformation
  • Accélérer la résolution d'incidents grâce à la visualisation des dépendances
  • Faciliter les audits et démonstrations de conformité
  • Partager des vues adaptées à chaque public (direction, métiers, techniques)

Conclusion : Les Clés de la Réussite

La cartographie du système d'information est un projet exigeant mais aux bénéfices considérables. Pour maximiser vos chances de succès, retenez ces principes fondamentaux :

  • Commencer petit et itérer : Privilégiez une approche progressive sur un périmètre restreint plutôt qu'un big bang voué à l'échec
  • Impliquer les bons acteurs : Le DSI sponsor, les métiers contributeurs, les équipes techniques expertes
  • Adapter le niveau de détail : À chaque besoin sa granularité, évitez le sur-détail inutile
  • S'outiller intelligemment : Un tableur peut suffire au début, mais un outil dédié devient vite indispensable
  • Penser maintenance dès le départ : Une cartographie à jour est une cartographie vivante avec une gouvernance claire

FlexCarto vous accompagne à chaque étape de votre projet de cartographie SI avec une solution complète, intuitive et conforme aux standards du marché.

À propos de FlexCarto

FlexCarto est une solution française de cartographie du système d'information et de gestion de la conformité, pensée par des DSI, RSSI et DPO pour répondre aux enjeux opérationnels du terrain. Notre plateforme vous permet de visualiser votre SI, d'identifier vos risques et de démontrer votre conformité RGPD, NIS 2, ISO 27001 et autres référentiels.

Besoin d'être accompagné dans votre démarche ?

Contactez-nous pour une démonstration personnalisée

www.flexcarto.com | contact@flexcarto.com

Partager ce post

Poursuivre la lecture