La cartographie d’un système d’information a plusieurs objectifs, le premier étant d’avoir une pérennité du système et ce quelle que soit la personne qui en a la charge. On connait tous trop bien l’informaticien qui a « tout en tête ». Ce qui le rend irremplaçable. A éviter !!
La cartographie permet d’avoir une vue détaillée du système d’information afin de le faire évoluer et de se rappeler les différents éléments qui le composent.
Dans un monde de sécurité de l’information, il convient aussi (et surtout) d’avoir une cartographie permettant de comprendre rapidement son système et d’identifier les impacts lors de la découverte d’une vulnérabilité. Cela est notamment utile lorsque vous devez expliquer le fonctionnement du système à une entité partenaire.
Imaginez qu’une nouvelle faille appelée Log4J est découverte (!)… la cartographie doit vous permettre de repérer rapidement quels éléments de votre système sont vulnérables.
Une seule réponse possible... simplement !! Il faut éviter à tout prix les tonnes de schémas et de documentations.
Commencez par identifier le périmètre que vous souhaitez cartographier : une application, un processus, une salle machines ?
Plusieurs niveaux de votre cartographie seront nécessaires. Généralement je commence toujours la cartographie en me basant sur les couches OSI du réseau. Une couche physique avec le nom des équipements réseau, les numéros de ports... puis les adresses IP, puis les flux, puis les applications…
N’oubliez pas les connexions vers les autres services (clouds, SAAS, salle redondante…)
Cette première étape sera le socle pour vos cartographies applicatives.
Par exemple, vous voulez cartographier votre système de facturation. Vous aurez à comprendre le flux complet du système.
Partez du poste utilisateur sur lequel est installé le logiciel client, sa version, l’OS qui le supporte, puis déroulez les informations jusqu’au serveur qui héberge l’application en passant par le réseau.
Cette cartographie se basera sur le schéma technique établi au préalable.
Tout ce qu’il vous semble utile pour la compréhension du système d’information, mais sans le compliquer. Gardez en tête qu’une personne extérieure doit le comprendre seule et rapidement.
Par exemple, des informations comme les coordonnées des prestataires qui maintiennent les équipements peuvent être utiles, mais aussi le nom des procédures qui permettent leurs mises à jour…
La cartographie peut (et doit) renvoyer vers des annexes permettant d’en connaître plus sur le système.
Quand cette question m’est posée je réponds généralement que le meilleur outil pour débuter est le cerveau et une page blanche !!
Mais bien sûr il existe de nombreux outils de collecte d’informations avec ou sans agent. A vous de voir s’ils sont suffisants pour bâtir une bonne cartographie...
Cela peut être un intranet (Sharepoint ou Teams) ou un dossier partagé,
Ce support doit être sauvegardé et son accès protégé,
Ce support ne DOIT PAS être stocké uniquement sur votre système d’information (Posez vous la question de la pérennité de votre documentation si vous perdez votre SI…),
Trouvez ou utilisez la nomenclature des documents de votre entreprise,
Classifiez la documentation (publique à hautement confidentielle),
Pensez à apposer des noms d’auteurs, des dates, des noms de périmètre, des dates de validité,
Définissez quand la cartographie doit être mise à jour : tous les ans, à chaque changement majeur ou mineur ?
Inutile d’installer une « usine à gaz » pour pouvoir lire votre documentation. (Rappel : tout doit être simple),
Un tableur et un outil de dessin type Visio devraient faire l’affaire,
N’hésitez pas à faire appel à des photos ou des « pencils » (par exemple sur visiocafe.com) pour avoir la meilleure représentation possible,
Des personnes ne connaissant pas le système d’information doivent pouvoir s’y retrouver. Rien de mieux que de leur demander leur avis. Cela fera partie de l’amélioration continue.
A chaque fois que votre politique vous l’impose…