Points clés
- La complexité des systèmes d'information augmente mécaniquement avec chaque intégration, chaque partenariat et chaque transformation numérique
- Chaque nouvelle interface est un vecteur d'attaque potentiel : les organisations avec plus de 50 intégrations actives voient leur surface d'attaque multipliée par 5 selon Gartner
- La complexité non documentée est la plus dangereuse : les actifs inconnus ne peuvent pas être protégés
- La cartographie régulière des systèmes est une exigence de base de l'ISO 27001 et du NIST CSF
La surface d'attaque d'une organisation n'est pas statique. Elle s'étend à chaque nouveau système mis en production, à chaque intégration avec un partenaire ou un fournisseur, à chaque application cloud adoptée par une équipe métier sans validation IT. La complexité des systèmes d'information modernes est le produit de décisions successives et souvent décentralisées, dont la vision d'ensemble devient progressivement difficile à maintenir.
Cette complexité croissante est mécanique : elle est la conséquence naturelle de la transformation numérique. La réponse n'est pas de limiter l'innovation mais de maintenir une capacité de cartographie et de visibilité sur l'ensemble des actifs — connue sous le terme d'Asset Management ou de Cyber Asset Attack Surface Management (CAASM).
Les sources de complexité non maîtrisée
Quatre sources principales alimentent la complexité non maîtrisée des systèmes : le shadow IT (applications et services adoptés par les équipes métiers sans validation IT), les intégrations héritées (connexions entre systèmes anciens et nouveaux, souvent peu documentées), les environnements de développement et de test (souvent moins bien sécurisés que les environnements de production mais connectés au même réseau), et les actifs tiers (appareils IoT, systèmes de prestataires connectés au réseau interne).
L'étude de Rapid7 sur la surface d'attaque externe (2023) révèle que les organisations détectent en moyenne 30 % d'actifs exposés sur Internet de plus que ce qu'elles pensaient avoir — des actifs oubliés, des instances cloud non désactivées, des services de développement exposés par erreur.
La cartographie comme discipline de gouvernance
La cartographie des systèmes n'est pas un exercice ponctuel mais une discipline continue. Elle comprend l'inventaire des actifs (matériels, logiciels, services cloud, connexions avec des tiers), la classification selon la criticité, et la mise à jour régulière pour refléter les changements. Sans cette cartographie, les investissements de sécurité sont alloués en aveugle : on protège ce qu'on voit, on ignore ce qu'on ne connaît pas.
Le contrôle CIS 1 (Inventory and Control of Enterprise Assets) est classé par le Center for Internet Security comme le contrôle prioritaire absolu — parce que tout le reste de la sécurité en dépend. On ne peut pas détecter une anomalie sur un actif qu'on ne sait pas être là, ni appliquer un patch sur un système qu'on ne sait pas posséder.
Les implications décisionnelles de la complexité
La complexité systémique non maîtrisée produit des décisions de sécurité structurellement sous-informées. Lorsque la direction arbitre entre les investissements de sécurité, elle doit disposer d'une vision suffisamment fidèle de la surface d'attaque réelle pour prioriser correctement. L'absence de cartographie fiable transforme ces arbitrages en pari plutôt qu'en décision éclairée.
Les assureurs cyber intègrent désormais dans leurs questionnaires de souscription des questions spécifiques sur la qualité de la cartographie des actifs et sur les processus de découverte des actifs inconnus. Une cartographie lacunaire peut conduire à une exclusion de garantie pour les actifs non documentés.
Equifax gère des données sur 820 millions de consommateurs dans le monde. La complexité de son infrastructure — produit de nombreuses acquisitions et décennies d'accumulation de systèmes — avait rendu impossible le déploiement cohérent des mises à jour de sécurité. Le patch pour la vulnérabilité Apache Struts était disponible depuis mars 2017 ; le système d'inventaire des actifs d'Equifax n'avait pas identifié tous les systèmes exposés. La vulnérabilité sur le portail de traitement des litiges — système hérité d'une acquisition — n'a pas été patché. La compromission de mai 2017 a exposé 147 millions de personnes.
Un audit de sécurité de l'ESA a révélé l'existence de systèmes connectés au réseau interne qui n'apparaissaient dans aucun inventaire officiel — des rémanences de projets terminés, des serveurs de test non désactivés, des connexions héritées de partenariats anciens. Ces actifs non documentés présentaient des vulnérabilités non patchées et constituent des vecteurs d'entrée potentiels. L'ESA a engagé un programme pluriannuel de cartographie et d'assainissement de son infrastructure, avec des résultats publiés dans ses rapports annuels de sécurité.
L'investigation post-incident de la compromission de Sony Pictures a révélé une infrastructure IT particulièrement complexe, produit de nombreuses fusions et acquisitions dans l'industrie du divertissement. Des systèmes avec des configurations de sécurité hétérogènes, des mots de passe stockés en clair dans des fichiers partagés, et des connexions inter-systèmes non documentées avaient permis une propagation latérale étendue. La complexité de l'infrastructure a amplifié considérablement l'impact de la compromission initiale, estimé à 100 millions de dollars de dommages.