Conformité / NIS2
Cartographie des actifs critiques : préparer NIS2 avec une preuve métier
Une cartographie utile pour NIS2 ne se limite pas à inventorier des serveurs. Elle relie services métier, actifs numériques, fournisseurs, responsables, preuves existantes et risques de continuité. C'est ce lien qui transforme la conformité en outil de pilotage.
Remonter du métier vers la technique
Le service critique est le point d'entrée : facturation, production, support, paie, chaîne logistique, sécurité des personnes, portail client. Une fois le service nommé, on descend vers les applications, données, comptes, fournisseurs, réseaux et sauvegardes nécessaires.
Cette méthode évite de perdre du temps sur des actifs nombreux mais peu décisifs pendant une crise ou un audit.
- service
- application
- données
- identité
- fournisseur
- sauvegarde
Associer une preuve à chaque dépendance clé
Une dépendance critique sans preuve reste une hypothèse. Pour un service important, il faut au minimum savoir montrer qui a accès, où sont les journaux, comment restaurer, qui appeler chez le fournisseur et quel mode dégradé existe.
La cartographie devient alors un tableau de décision : ce que l'on sait, ce qui manque, ce qui est urgent et ce qui peut attendre.
Transformer la cartographie en plan 30/60/90
La valeur n'est pas dans la carte seule. Elle apparaît quand les écarts sont triés : actions immédiates, preuves à produire, contrats à clarifier, risques à accepter et contrôles à tester.
Un plan 30/60/90 jours donne une trajectoire crédible à la direction et évite de promettre une conformité complète sans base opérationnelle.
- écarts
- preuves
- contrats
- risques
- contrôles
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Quels services arrêtent l'activité s'ils tombent 24 heures ?
- Quel fournisseur peut bloquer la reprise ou exposer des données sensibles ?
- Quel actif exposé Internet supporte un service critique ?
- Quelle preuve manque pour défendre la maîtrise du risque ?
- Quel écart doit être traité avant de parler de conformité documentaire ?
Technique
À vérifier techniquement
- Applications critiques sans propriétaire métier identifié
- Fournisseurs ou infogérants sans contact de crise, clauses ou preuves de continuité
- Actifs exposés Internet non reliés à un service métier critique
- Sauvegardes ou journaux absents pour un service prioritaire
- Dépendances SaaS, API ou comptes de service non documentées
Preuves
Preuves à conserver
- Liste des services critiques et impacts métier associés
- Cartographie actifs, données, fournisseurs, flux et responsables
- Preuves de sauvegarde, journalisation, revue d'accès et test de reprise
- Contrats ou engagements fournisseurs utiles en crise
- Plan 30/60/90 jours reliant écarts, priorités et arbitrages
Pièges
Erreurs fréquentes
- Commencer par un inventaire exhaustif qui n'aide pas à prioriser.
- Oublier les fournisseurs, API, SaaS et comptes de service.
- Produire une cartographie sans preuves associées.
- Traiter NIS2 comme un dossier juridique séparé des décisions techniques.
Questions fréquentes
Faut-il cartographier tout le SI avant d'agir ?
Non. Il vaut mieux cartographier d'abord les services critiques et leurs dépendances, puis élargir progressivement.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.