Phylapp
Pilotage et cartographie des risques numériques

Cartographier les risques : par système, par donnée ou par activité ?

Il n'existe pas d'axe unique pour cartographier les risques numériques. La cartographie par activité est la plus stratégique, par système la plus opérationnelle, par donnée la plus réglementaire. Les meilleures combinent les trois.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 20 lectures

Points clés

  • Il n'existe pas d'approche unique pour cartographier les risques numériques : le choix de l'axe principal dépend des objectifs prioritaires de l'organisation.
  • La cartographie par activité est la plus alignée avec les enjeux stratégiques de la direction ; la cartographie par système est la plus opérationnelle pour les équipes techniques.
  • Les organisations les plus matures combinent plusieurs axes dans une cartographie multicouche qui permet d'adresser simultanément les dimensions stratégiques et opérationnelles.
  • Le choix de l'axe de cartographie doit être cohérent avec l'usage principal visé : conformité réglementaire, décisions d'investissement, ou pilotage opérationnel.
Cas US Morgan Stanley (2016-2019) — Les incidents liés à la gestion des données clients lors de la fermeture d'agences et du démantèlement de serveurs auraient bénéficié d'une cartographie centrée sur les données — permettant de suivre le cycle de vie des informations clients indépendamment des systèmes qui les hébergent. Une cartographie par système seule ne permettait pas de détecter que des données clients résidaient encore sur des équipements décommissionnés.

La cartographie par système : opérationnelle mais incomplète

La cartographie par système est l'approche la plus naturelle pour les équipes techniques : elle recense les serveurs, applications, bases de données, équipements réseau et services cloud, et associe à chacun une évaluation des risques. Cette approche a l'avantage d'être directement actionnable par les équipes opérationnelles — elle permet de prioriser les patches, les durcissements de configuration et les contrôles d'accès système par système. Sa principale limitation est de rester dans le registre technique : elle ne permet pas facilement d'évaluer l'impact métier d'une compromission d'un système donné, ni de voir comment plusieurs systèmes contribuent ensemble à un processus critique.

La cartographie par donnée : adaptée aux enjeux réglementaires

La cartographie par donnée part d'une autre logique : identifier les données les plus sensibles ou les plus réglementées, et cartographier les systèmes, processus et acteurs qui les traitent. Cette approche est particulièrement adaptée aux obligations RGPD — qui imposent une connaissance précise des données personnelles traitées, de leur localisation, de leurs flux et de leurs durées de conservation. Elle est également pertinente pour la gestion de la propriété intellectuelle et des informations confidentielles. Sa limitation est symétrique à celle de la cartographie par système : elle ne permet pas facilement de voir l'ensemble des risques qui pèsent sur un processus opérationnel donné.

La cartographie par activité : alignée sur les enjeux stratégiques

La cartographie par activité part des processus métiers critiques de l'organisation et remonte vers les dépendances numériques. C'est l'approche la plus directement utile pour la direction : elle permet de répondre à la question "si ce système est compromis, quel impact sur notre activité ?" et de prioriser les investissements de sécurité en fonction de la criticité des activités protégées. Elle est également la plus naturelle pour les plans de continuité d'activité. Sa complexité est sa principale limitation : elle requiert une collaboration plus intensive entre les équipes techniques et les directions métiers, et elle est plus difficile à maintenir à jour quand les processus évoluent.

Cas EU SNCF — En tant qu'opérateur d'infrastructure critique, l'organisation a développé une cartographie multicouche qui combine une dimension par activité — la continuité du service ferroviaire comme priorité absolue — et une dimension par système — la protection des systèmes de signalisation et de contrôle comme périmètre à haute criticité. Cette combinaison permet d'adresser simultanément les enjeux stratégiques de la direction générale et les enjeux opérationnels des équipes techniques.

Les approches hybrides : combiner les axes

Les organisations les plus matures en matière de cartographie des risques combinent plusieurs axes dans une approche multicouche. La couche "activités critiques" répond aux questions de gouvernance et de continuité. La couche "données sensibles" répond aux obligations réglementaires. La couche "systèmes" répond aux besoins opérationnels des équipes de sécurité. Ces couches ne sont pas indépendantes : elles sont reliées par des correspondances qui permettent de passer d'un axe à l'autre — de l'activité critique vers les systèmes qui la supportent et les données qu'elle traite. Cette architecture multicouche est plus complexe à construire et à maintenir, mais elle fournit une vision bien plus complète que n'importe lequel des axes pris isolément.

Choisir l'axe principal en fonction de l'usage visé

Le choix de l'axe principal de cartographie doit être guidé par l'usage prioritaire que l'organisation souhaite en faire. Si l'objectif principal est de satisfaire les auditeurs d'une certification ISO 27001, l'approche par actifs (systèmes) est la plus alignée avec le référentiel. Si l'objectif est de répondre aux obligations RGPD, l'approche par données est plus directement utile. Si l'objectif est d'éclairer les décisions de la direction sur les investissements en continuité et en sécurité, l'approche par activités critiques est la plus pertinente. Dans tous les cas, l'axe choisi doit être cohérent avec les ressources disponibles pour maintenir la cartographie dans la durée.

Cas Asie SingHealth (2018) — La violation de 1,5 million de dossiers médicaux, dont ceux du Premier ministre, a mis en évidence l'importance d'une cartographie par donnée pour les organisations de santé : identifier précisément quelles données médicales sont hébergées dans quels systèmes, avec quels accès, et quelles mesures de protection spécifiques. Une cartographie par système seule ne permettait pas d'évaluer l'impact du vol de données médicales personnelles sur les individus concernés ni les obligations réglementaires spécifiques associées.

Articles similaires

Les liens entre sécurité, continuité et résilience

Sécurité, continuité et résilience sont trois dimensions complémentaires. Traitées en silos, elles créent des lacunes critiques à leurs interfaces. Une gouvernance intégrée est nécessaire.

24 mai 2026 7 min

Comment structurer un dispositif d’analyse de risques durable

Un dispositif d'analyse de risques durable combine une organisation, une méthode adaptée et un rythme défini. Il articule systématiquement identification des risques et décisions de traitement documentées.

24 mai 2026 7 min

L’importance de la mise à jour continue des cartographies

Une cartographie des risques non mise à jour donne une fausse confiance. La mise à jour continue repose sur des événements déclencheurs définis et l'intégration des retours d'incidents réels.

24 mai 2026 7 min
WhatsApp