Phylapp
Pilotage et cartographie des risques numériques

Pourquoi la majorité des organisations n’ont pas de cartographie réelle des risques

Posséder un document cartographie des risques ne signifie pas en avoir une réelle. L'écart entre la forme et le fond est systématique — et c'est précisément là que se produisent les incidents.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 18 lectures

Points clés

  • Posséder un document intitulé "cartographie des risques" ne signifie pas disposer d'une cartographie réelle : l'écart entre la forme et le fond est systématique.
  • Les obstacles les plus fréquents sont le manque de ressources dédiées, l'absence d'implication des métiers et la sous-estimation de la complexité du périmètre réel.
  • Une cartographie partielle ou obsolète peut être plus dangereuse qu'une absence assumée, parce qu'elle crée une illusion de maîtrise.
  • Construire une cartographie réelle est un projet, pas une tâche : il suppose un investissement délibéré de la direction.
Cas US Equifax (2017) — La vulnérabilité exploitée pour compromettre les données de 147 millions de personnes concernait un composant applicatif qui n'avait pas été correctement référencé dans l'inventaire des actifs. Le patch correctif existait depuis deux mois mais n'avait pas été appliqué, faute d'un suivi exhaustif des systèmes concernés. Une cartographie réelle des actifs et des dépendances aurait permis d'identifier et de corriger cette exposition.

La confusion entre le document et la réalité

Dans de nombreuses organisations, la cartographie des risques est un document — produit lors d'un exercice annuel, validé en comité, archivé jusqu'au prochain cycle. Ce document existe, il est consultable, il a été signé par les responsables appropriés. Mais il ne reflète pas la réalité opérationnelle de l'organisation : les systèmes déployés depuis sa dernière mise à jour n'y figurent pas, les prestataires récemment intégrés n'ont pas été évalués, et les processus métiers qui ont évolué n'ont pas déclenché de révision. La cartographie formelle et la cartographie réelle sont deux choses différentes — et l'écart entre elles est précisément l'espace dans lequel les incidents se produisent.

Les obstacles structurels à une cartographie réelle

Plusieurs obstacles structurels expliquent pourquoi la majorité des organisations n'ont pas de cartographie réelle de leurs risques numériques. Le premier est le manque de ressources dédiées : réaliser et maintenir une cartographie exhaustive demande du temps et des compétences que beaucoup d'organisations ne peuvent pas allouer à plein temps. Le deuxième est la fragmentation des connaissances : personne dans l'organisation ne dispose d'une vision complète — la DSI connaît les systèmes, les métiers connaissent les processus, la conformité connaît les obligations réglementaires, mais aucun acteur ne détient les trois dimensions simultanément. Le troisième est la résistance au changement : une cartographie réelle révèle des vulnérabilités et des lacunes que certains acteurs préfèrent ne pas voir documentées.

Le danger de la cartographie partielle

Une absence totale de cartographie conduit à une humilité nécessaire : l'organisation sait qu'elle ne sait pas. Une cartographie partielle ou obsolète est plus dangereuse parce qu'elle crée une fausse confiance. Les décisions prises sur la base d'une cartographie incomplète sont aussi risquées que des décisions prises sans cartographie — mais elles sont plus difficiles à remettre en cause parce qu'elles s'appuient sur un document qui existe et qui a été validé. Cette illusion de maîtrise est l'un des facteurs contributifs les plus fréquemment cités dans les analyses post-incident.

Cas EU EasyJet (2020) — L'attaque qui a exposé les données de 9 millions de clients a exploité des vulnérabilités dans des systèmes considérés comme secondaires dans les évaluations de risques existantes. La cartographie ne couvrait pas l'ensemble des composants tiers intégrés dans les processus de vente en ligne, créant des angles morts sur des vecteurs d'attaque effectifs. La cartographie partielle avait orienté les contrôles vers les actifs connus, laissant non surveillés les actifs non référencés.

Ce qu'une cartographie réelle requiert comme investissement

Construire une cartographie réelle des risques numériques suppose un investissement délibéré qui ne peut pas être absorbé par les équipes existantes dans leurs marges de disponibilité. Il faut du temps pour consulter les directions métiers, pour cartographier les dépendances entre systèmes, pour qualifier les prestataires tiers, pour évaluer la criticité de chaque actif en termes d'impact métier. Cet investissement initial est suivi d'un effort de maintenance continue. La direction qui souhaite disposer d'une cartographie réelle doit allouer des ressources explicitement à cet objectif — et ne pas l'ajouter à la liste des tâches de la DSI sans budgets correspondants.

Par où commencer quand rien n'existe

L'organisation qui part de zéro n'a pas à produire une cartographie exhaustive immédiatement. La démarche la plus efficace consiste à identifier en premier lieu les processus métiers les plus critiques — ceux dont l'interruption aurait les conséquences les plus graves — et à cartographier leurs dépendances numériques. Ce périmètre restreint mais stratégiquement pertinent permet de produire rapidement une cartographie utile, utilisable pour prendre des décisions, et extensible progressivement. Une cartographie partielle mais réelle et à jour est infiniment plus utile qu'une cartographie exhaustive sur le papier mais obsolète dans les faits.

Cas Asie Cathay Pacific (2018) — La compromission des données de 9,4 millions de passagers n'a été détectée que 14 mois après les premiers accès non autorisés. L'absence de cartographie complète des accès aux bases de données de passagers et des comportements attendus avait empêché la mise en place de mécanismes de détection des anomalies adaptés. Ce qui n'est pas cartographié ne peut pas être surveillé efficacement.

Articles similaires

Les liens entre sécurité, continuité et résilience

Sécurité, continuité et résilience sont trois dimensions complémentaires. Traitées en silos, elles créent des lacunes critiques à leurs interfaces. Une gouvernance intégrée est nécessaire.

24 mai 2026 7 min

Comment structurer un dispositif d’analyse de risques durable

Un dispositif d'analyse de risques durable combine une organisation, une méthode adaptée et un rythme défini. Il articule systématiquement identification des risques et décisions de traitement documentées.

24 mai 2026 7 min

L’importance de la mise à jour continue des cartographies

Une cartographie des risques non mise à jour donne une fausse confiance. La mise à jour continue repose sur des événements déclencheurs définis et l'intégration des retours d'incidents réels.

24 mai 2026 7 min
WhatsApp