Cartographie du système d’information : pourquoi une PME ne peut pas piloter ce qu’elle ne voit pas

Une cartographie SI n’est pas seulement un schéma réseau. Elle doit aider à comprendre les applications, les données, les flux, les accès, les prestataires, les coûts et les dépendances qui permettent à l’entreprise de fonctionner.

Elle sert à piloter les coûts, réduire les angles morts cyber, préparer un PRA/PCA, améliorer les processus, dialoguer avec les prestataires et prioriser les bons projets.

Une cartographie simple, comprise et utilisée vaut mieux qu’un document exhaustif, trop technique, jamais mis à jour et jamais utilisé pour décider.

Lorsqu’on parle de cartographie du système d’information, on pense souvent à un schéma réseau complexe, avec des serveurs, des routeurs, des VLAN, des flux et des adresses IP. Ce type de représentation peut être utile, mais il ne suffit pas pour piloter une PME.

Pour une direction, une cartographie réellement utile doit permettre de comprendre comment l’entreprise fonctionne numériquement au quotidien. Elle doit montrer les outils utilisés, les données critiques, les dépendances métier, les prestataires, les contrats, les accès sensibles, les applications exposées et les points de fragilité.

La cartographie du SI ne doit donc pas être pensée comme un document technique figé. Elle doit être un outil de décision. Son objectif n’est pas seulement de décrire l’existant, mais d’aider l’entreprise à comprendre ses dépendances, ses fragilités, ses coûts, ses risques et ses priorités.

Le premier intérêt d’une cartographie du SI est souvent financier. Dans beaucoup de PME, les coûts informatiques sont connus de manière partielle : infogérance, licences, hébergement, matériel, abonnements logiciels. Mais une partie du coût réel reste moins visible.

Il peut s’agir de licences inutilisées, d’abonnements redondants, de logiciels achetés par différents services pour des besoins similaires, de contrats reconduits automatiquement ou de solutions anciennes maintenues uniquement parce que personne n’a pris le temps d’évaluer leur utilité réelle.

La cartographie ne sert pas uniquement à réduire les coûts. Elle permet surtout de distinguer ce qui coûte parce que c’est indispensable, de ce qui coûte parce que l’existant n’a jamais été remis à plat. Une dépense SI mal comprise est rarement optimisée : elle est simplement reconduite.

En cybersécurité, une règle simple revient souvent : on ne protège pas correctement ce que l’on ne connaît pas. Pour une PME, l’un des premiers risques n’est pas toujours une attaque sophistiquée. C’est parfois un élément oublié du système d’information.

Un ancien accès VPN encore actif, un compte administrateur partagé, un serveur non maintenu, une application exposée sur Internet, un outil métier obsolète, une sauvegarde accessible depuis le réseau principal ou un prestataire qui conserve un accès permanent peuvent devenir des angles morts dangereux.

La cartographie du SI réduit cette zone d’ombre. Elle permet d’identifier ce qui existe, ce qui est critique, ce qui est exposé et ce qui doit être traité en priorité. Le premier angle mort cyber d’une PME n’est pas toujours une faille technique : c’est souvent un actif oublié.

Une bonne cartographie du SI ne doit pas seulement décrire les composants techniques. Elle doit aussi montrer comment l’information circule réellement dans l’entreprise. C’est souvent à ce niveau que l’on découvre les irritants les plus coûteux au quotidien.

Deux logiciels qui ne communiquent pas, une information saisie puis ressaisie, un export Excel utilisé comme passerelle, un collaborateur devenu indispensable parce qu’il est le seul à connaître une manipulation, un reporting manuel alors que les données existent déjà : ces situations ne sont pas rares.

Elles ne sont pas toujours spectaculaires, mais elles consomment du temps, créent des erreurs et fragilisent l’organisation. Une cartographie utile ne montre donc pas seulement les serveurs. Elle montre comment le travail se fait réellement.

La cartographie du SI est également un prérequis majeur pour la continuité d’activité. Un Plan de Reprise d’Activité ou un Plan de Continuité d’Activité ne peut pas être sérieux si l’entreprise ne connaît pas précisément ses dépendances numériques.

En cas de panne majeure, de cyberattaque, de perte de données ou d’indisponibilité d’un prestataire, les questions deviennent immédiatement opérationnelles : quelles applications restaurer en premier, quels serveurs supportent les services critiques, quelles données récupérer, quels métiers peuvent fonctionner en mode dégradé, quels prestataires contacter ?

Sans cartographie, ces réponses sont souvent approximatives. Et en situation de crise, l’approximation coûte cher. Une sauvegarde répond à la question : peut-on récupérer les données ? Une cartographie aide à répondre à une question plus large : comment redémarre-t-on l’activité ?

Dans une PME, les sujets informatiques sont souvent partagés entre la direction, un responsable administratif ou financier, un prestataire informatique, des éditeurs logiciels, des responsables métiers, des utilisateurs clés, parfois un DSI externalisé ou un RSI à temps partagé.

Chacun possède une partie de l’information. Le prestataire connaît l’infrastructure, le métier connaît les irritants, la direction connaît les enjeux économiques, les utilisateurs connaissent les contournements, l’éditeur connaît son application. Mais personne n’a toujours une vision d’ensemble.

La cartographie permet de créer un langage commun. Elle évite que les discussions restent abstraites, visualise les dépendances, clarifie les responsabilités et aide à passer d’une informatique réactive à un pilotage plus structuré.

La cartographie peut être utile à tout moment, mais certaines situations doivent alerter. Elle devient particulièrement pertinente lorsqu’une PME doit prendre une décision structurante ou lorsqu’un manque de visibilité commence à peser sur les coûts, les risques ou l’efficacité opérationnelle.

Il n’existe pas un modèle unique de cartographie. Elle doit être adaptée à la taille de l’entreprise, à son niveau de maturité et à ses enjeux. Pour une PME, une cartographie utile peut néanmoins couvrir six dimensions principales : les applications, les données, les infrastructures, les flux, les accès et responsabilités, les contrats et prestataires.

Pour chaque application, il est utile de préciser son usage, sa criticité, son propriétaire métier, son éditeur, son mode d’hébergement et ses principales dépendances. Pour les données, l’objectif n’est pas seulement de savoir où elles sont, mais de comprendre leur criticité : clients, finances, RH, production, commerce, données sensibles ou nécessaires à la reprise d’activité.

La partie infrastructure relie les applications aux ressources techniques : serveurs, postes critiques, stockage, réseau, accès Internet, Wi-Fi, VPN, sauvegardes, hébergements cloud ou dédiés, équipements de sécurité. Les flux montrent comment les outils échangent des données : API, imports, exports, fichiers, traitements manuels ou échanges indispensables à la facturation et à la production.

La cartographie doit aussi clarifier qui administre quoi, qui possède les accès critiques, quels prestataires ont des droits, quels comptes sont partagés ou à supprimer, et quels profils utilisateurs accèdent aux données sensibles. Enfin, les contrats et prestataires doivent être identifiés : maintenance, engagements de service, contacts d’urgence, dates de renouvellement et dépendances critiques.

La première erreur consiste à vouloir produire un document trop détaillé dès le départ. Une cartographie exhaustive, complexe et illisible risque de ne jamais être utilisée. Il vaut mieux commencer par une version claire, orientée décision, puis l’enrichir progressivement.

La deuxième erreur consiste à produire une cartographie uniquement technique. Si elle ne parle qu’aux informaticiens, elle ne jouera pas son rôle de pilotage. Une direction doit pouvoir comprendre rapidement les dépendances, les risques et les priorités.

La troisième erreur consiste à ne pas maintenir la cartographie. Un document réalisé une fois puis oublié perd rapidement sa valeur. Elle doit être mise à jour lors des changements importants : nouveau logiciel, nouveau prestataire, évolution d’infrastructure, changement de contrat, ouverture d’un accès distant ou modification d’un processus critique.

La quatrième erreur consiste à cartographier sans décider. Identifier les risques ne suffit pas. Il faut ensuite arbitrer, prioriser et suivre les actions. Une cartographie utile doit déboucher sur un plan d’action.

La bonne approche consiste souvent à rester pragmatique. Il n’est pas nécessaire de lancer un grand projet documentaire pour commencer. Une première cartographie peut être construite autour de quelques questions simples et utiles pour la direction.

L’objectif n’est pas la perfection documentaire. L’objectif est de réduire l’aveuglement. Une cartographie simple, comprise et utilisée vaut mieux qu’un schéma très complet que personne ne consulte.

La cartographie du système d’information n’est pas un luxe documentaire. C’est un outil de pilotage. Elle permet de mieux comprendre les coûts, de réduire les angles morts cyber, d’améliorer les processus, de préparer la continuité d’activité et de faciliter les décisions de direction.

Avant de sécuriser, il faut savoir ce qui existe. Avant d’optimiser, il faut savoir ce qui coûte. Avant de simplifier, il faut savoir où les flux se bloquent. Avant de redémarrer, il faut savoir ce qui dépend de quoi.

Chez Fortalyse, la cartographie du SI fait partie des premières étapes d’un diagnostic. L’objectif n’est pas de produire un document théorique, mais de donner au dirigeant une vision claire des dépendances, des risques, des coûts et des priorités d’action.