Points clés
- La cartographie des risques SI est un outil de pilotage stratégique, pas un exercice de conformité : elle doit éclairer les décisions de la direction.
- Une cartographie efficace part des processus métiers critiques, et non des actifs techniques, pour évaluer les impacts réels.
- L'intégration des risques tiers — prestataires, fournisseurs cloud, partenaires — est indispensable pour une vision complète.
- La cartographie doit être vivante : mise à jour régulièrement, confrontée aux incidents réels et intégrée aux cycles de décision.
Partir des processus métiers, pas des actifs techniques
La cartographie des risques liés aux systèmes d'information échoue souvent parce qu'elle démarre du mauvais point : l'inventaire des actifs techniques. Cette approche produit des cartographies exhaustives sur le plan technologique, mais déconnectées des enjeux réels de l'organisation. Une approche efficace commence par identifier les processus critiques pour l'activité — ceux dont l'interruption entraînerait des conséquences inacceptables — puis remonte vers les systèmes qui les supportent, les données qu'ils traitent, et les dépendances qui les conditionnent. Cette inversion de la logique place l'impact métier au centre de l'analyse.
Structurer la cartographie en couches
Une cartographie des risques SI complète s'organise en plusieurs couches interdépendantes. La couche processus identifie les activités critiques et leur degré de dépendance numérique. La couche systèmes recense les applications, bases de données et infrastructures qui supportent ces processus. La couche données catégorise les informations traitées selon leur sensibilité et les obligations réglementaires associées. La couche accès et identités cartographie qui a accès à quoi, depuis où, et avec quels droits. La couche tiers intègre les prestataires, fournisseurs cloud et partenaires qui participent à la chaîne de traitement. Aucune de ces couches n'est suffisante seule.
Évaluer les risques avec des critères cohérents
L'évaluation des risques cartographiés doit reposer sur des critères homogènes pour permettre une comparaison et une priorisation. La vraisemblance d'un risque — probabilité qu'il se matérialise dans un horizon donné — doit être évaluée à partir de données concrètes : incidents passés, tendances sectorielles, résultats d'audits. L'impact doit être décliné sur les quatre dimensions pertinentes : opérationnelle, financière, réglementaire et réputationnelle. La combinaison de ces deux axes produit une notation qui oriente les décisions de traitement et d'investissement.
Intégrer les risques tiers dans la cartographie
La chaîne de valeur numérique d'une organisation ne s'arrête pas à ses propres systèmes. Les prestataires SaaS, les intégrateurs, les fournisseurs de cloud, les partenaires éditeurs — tous participent au traitement des données et à la disponibilité des processus. Intégrer ces tiers dans la cartographie suppose de qualifier leur niveau d'accès, de comprendre les données qu'ils traitent, et d'évaluer la robustesse de leurs propres dispositifs de sécurité. Cette intégration ne repose pas uniquement sur des déclarations contractuelles : elle suppose des vérifications périodiques et des clauses d'audit effectivement exercées.
Faire vivre la cartographie dans les cycles de décision
Une cartographie des risques SI n'a de valeur que si elle informe réellement les décisions. Elle doit être présentée régulièrement à la direction dans un format lisible — une synthèse des risques principaux, leur évolution depuis la dernière revue, et les actions de traitement en cours. Elle doit être mise à jour à chaque évolution significative de l'organisation : nouvel outil, nouveau prestataire, nouvelle activité, réorganisation. Et elle doit être confrontée aux incidents réels survenus, pour identifier les risques non anticipés et corriger les hypothèses initiales. Une cartographie qui ne change jamais est une cartographie qui ne sert à rien.