CyberÉdito

Axe majeur dans la maîtrise des risques, la cartographie du SI échappe pourtant au RSSI

« L’élaboration d’une cartographie du système d’information est le premier pas vers une meilleure connaissance du système d’information. » : voici la première règle du guide d’hygiène publié par l’ANSSI. En effet, comment imaginer maîtriser un système dont on ne connait pas les constituants : comment analyser efficacement une attaque sans savoir à quoi les équipements victimes ou les accès attaqués sont utilisés ? Comment déterminer la surface réelle d’une attaque sans connaître les relations d’approbation qui existent entre domaines d’administration ? Comment déterminer le niveau d’exposition du SI sans savoir où se trouvent les informations sensibles ou les points d’accès avec l’extérieur ?

Force est de constater que la maturité en matière d’inventaire patrimonial du SI des entreprises est à ce jour très faible. L’ampleur de la tâche est bien souvent un motif de découragement, sans compter sur la nécessaire dimension collaborative des travaux : métiers, urbanistes, techniciens et SSI doivent partager des visions communes. Les entreprises considèrent alors qu’il sera plus facile de réunir les experts en cas de besoin : encore faut-il les connaitre, qu’ils soient disponibles et rapidement mobilisables et que chacun ait une connaissance réellement opérationnelle des architectures.

Que peut faire le RSSI face à ce constat ? Convaincre la Direction et la DSI de s’engager dans un projet d’entreprise pour élaborer des cartographies du SI et s’inscrire comme client de cette démarche. De son côté, le RSSI peut commencer par se donner les moyens de pouvoir réunir rapidement les sachants en cas de besoin, se procurer l’inventaire des applications réellement exploitées (les plus sensibles et les plus exposées), et construire une vision exacte de l’architecture logique du SI (points d’accès externes, fonctions de filtrages et de routage, zones de confiance, fonctions des serveurs) et des périmètres d’administration. Pour chaque type d’inventaire, le RSSI doit définir le niveau de granularité adapté, issu du compromis entre capacité à maintenir à jour une information (volatilité, outils de recueil, qualité) et besoins liés aux interventions de cyberdéfense.

Jean Olive
Manager - CGI Business Consulting