Phylapp
Maîtrise des actifs numériques de l’organisation

Actifs matériels, logiciels et données : trois niveaux de criticité différents

Actifs matériels, logiciels et données ont des profils de risque distincts. La criticité d'un actif matériel est dérivée des logiciels et données qu'il héberge. Une gestion intégrée des trois couches est nécessaire à une protection proportionnée.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 28 lectures

Points clés

  • Les actifs matériels, logiciels et données ont des profils de risque différents qui requièrent des approches de protection distinctes.
  • La criticité d'un actif matériel est souvent dérivée des actifs logiciels et des données qu'il héberge — pas de ses caractéristiques physiques.
  • Les composants logiciels (bibliothèques, frameworks) sont les actifs dont la gestion des vulnérabilités est la plus complexe et la plus souvent négligée.
  • Les données sont les actifs de valeur finale — leur compromission est le résultat contre lequel toutes les autres protections sont conçues.
Cas US Equifax (2017) — La violation illustre parfaitement la hiérarchie des actifs : une vulnérabilité dans un composant logiciel (Apache Struts) hébergé sur des serveurs physiques avait permis l'exfiltration de données personnelles — les actifs de valeur finale. La protection des actifs matériels était insuffisante sans la gestion des actifs logiciels qu'ils hébergeaient.

Les actifs matériels : la couche physique de l'infrastructure

Les actifs matériels — serveurs physiques, équipements réseau, postes de travail, équipements mobiles, matériels IoT — constituent la couche physique de l'infrastructure numérique. Leur criticité est largement dérivée de ce qu'ils hébergent : un serveur physique qui traite des transactions financières est critique non pas parce qu'il est un serveur physique, mais parce qu'il héberge des systèmes critiques et traite des données sensibles. Les risques spécifiques aux actifs matériels incluent le vol physique, les pannes, la fin de support constructeur qui stoppe les mises à jour de firmware, et la compromission au niveau du matériel — une catégorie d'attaque plus difficile à détecter que les compromissions logicielles.

Les actifs logiciels : la couche la plus dynamique

Les actifs logiciels — applications, systèmes d'exploitation, middlewares, frameworks, bibliothèques — constituent la couche la plus dynamique et la plus complexe à gérer. Leur nombre est considérablement supérieur au nombre d'actifs matériels. Leurs versions changent fréquemment. Leurs vulnérabilités sont publiées quotidiennement. Et leur interconnexion — une application qui dépend de dizaines de bibliothèques, elles-mêmes dépendant d'autres bibliothèques — crée des chaînes de dépendances que les organisations ne maîtrisent pas toujours. La gestion des actifs logiciels requiert des outils spécifiques : l'analyse de composition logicielle (SCA) pour les composants tiers, les scanners de vulnérabilités pour les systèmes d'exploitation et les applications.

Les composants tiers : la surface d'attaque héritée

Les composants logiciels tiers — bibliothèques open source, frameworks commerciaux, SDKs — représentent souvent 70 à 90 % du code présent dans les applications d'entreprise. Ces composants héritent de leurs propres vulnérabilités, dont certaines peuvent être critiques (CVSS 9-10). La gestion de ces composants requiert un inventaire spécifique — le Software Bill of Materials (SBOM) — qui liste tous les composants tiers utilisés dans chaque application, avec leurs versions et leurs licences. Sans ce SBOM, il est impossible de savoir si une vulnérabilité publiée dans une bibliothèque affecte une des applications de l'organisation.

Cas EU Maersk (2017) — NotPetya avait exploité une chaîne de composants : une vulnérabilité dans le logiciel comptable ukrainien MeDoc avait servi de vecteur initial, une vulnérabilité SMB dans Windows avait permis la propagation. La maîtrise de ces composants logiciels — leur inventaire, leurs versions et les mises à jour disponibles — aurait pu interrompre la chaîne d'exploitation à plusieurs niveaux.

Les données : l'actif de valeur finale

Les données — personnelles, financières, stratégiques, propriété intellectuelle — sont l'actif de valeur finale que toutes les couches de protection cherchent à défendre. La criticité des données détermine la criticité des systèmes qui les traitent et des infrastructures qui les hébergent. Les données requièrent une gestion spécifique : classification par niveau de sensibilité, chiffrement au repos et en transit, contrôle d'accès granulaire, traçabilité des accès, durées de conservation définies et mécanismes de purge appliqués. La maîtrise des données n'est pas une composante optionnelle de la gestion des actifs — c'est l'objectif central auquel les autres couches de protection sont subordonnées.

Une approche intégrée des trois couches

La maîtrise des actifs numériques requiert une approche intégrée qui couvre simultanément les trois couches. Un inventaire matériel sans inventaire logiciel manque les vecteurs d'attaque les plus fréquents. Un inventaire logiciel sans cartographie des données manque l'information sur ce qui est à protéger en priorité. Un inventaire des données sans référence aux systèmes qui les hébergent ne permet pas de piloter la protection physique et logicielle proportionnellement aux enjeux. L'articulation de ces trois couches dans un système d'information sur les actifs cohérent est ce qui permet une gestion des risques véritablement proportionnelle à la criticité réelle des actifs.

Cas Asie SingHealth (2018) — La violation avait ciblé des données de santé de haute valeur. La criticité des serveurs qui les hébergeaient aurait dû être dérivée de la sensibilité des données traitées — et les mesures de protection appliquées proportionnellement à cette criticité. L'absence d'une classification formelle des actifs par niveau de sensibilité des données traitées avait conduit à appliquer des niveaux de protection insuffisants pour des actifs de criticité maximale.

Articles similaires

Les actifs numériques mal identifiés sont la première faille des organisations

Un actif non inventorié est un actif non protégé. Les actifs fantômes créent une surface d'attaque non maîtrisée que les attaquants exploitent systématiquement. L'inventaire des actifs est le prérequis à toute initiative de sécurité.

24 mai 2026 7 min

Pourquoi la majorité des organisations ne connaît pas réellement ses actifs IT

Les inventaires manuels vieillissent immédiatement, le cloud amplifie le problème et la CMDB reste insuffisante pour la sécurité. Un inventaire fiable exige découverte automatisée, enrichissement, propriétaire désigné et validation régulière.

24 mai 2026 7 min

Les erreurs fréquentes dans l’inventaire des ressources numériques

Inventaire matériel-centrique, métadonnées insuffisantes, obsolescence après la clôture du projet et non-couverture des environnements hors production : les erreurs les plus fréquentes dans la gestion des actifs numériques.

24 mai 2026 7 min
WhatsApp