Cartographiez ou subissez

Écrit par Lotfi BENYELLES

L’incident a commencé il y a quatorze heures. D’abord anodin, il a pris de l’ampleur soudainement, une fissure que l’on aperçoit sans s’en inquiéter jusqu’au moment où le mur s’effondre. Quelques commandes qui n’arrivent plus, traitées manuellement en attendant. Puis les clients qui appellent, le site de vente qui devient erratique, refusant des connexions sans raison apparente. Un bug ? Un problème de réseau ? Une surcharge temporaire ? Une attaque ?

À présent, tout le cœur de métier est touché.

La logistique est bloquée, le système de paiement lui-même montre des signes de défaillance. La crise n’est plus un problème technique. Elle devient une crise commerciale, une crise d’image, une crise stratégique.

"On en est où exactement ?" Silence.

Dans la salle, une quinzaine de personnes. Autant d’experts et de managers que de silences gênés. Les regards se tournent vers le DSI, puis vers le responsable infra. Personne ne peut dire, avec certitude, où commence et où finit le problème. Est-ce la base de données clients ? L’interface avec le prestataire logistique ? Une dépendance que tout le monde a oubliée ?

Ce qui paraissait évident hier devient soudain opaque. On croyait connaître ces interdépendances sur le bout des doigts, mais maintenant qu’elles s’effondrent, elles nous apparaissent étrangères.

Depuis deux heures, la salle de crise a vécu tous les scénarios du génie expéditif.

"Il n’y a qu’à redémarrer le serveur." Déjà fait.

"Il n’y a qu’à basculer sur l’ancienne infra." Elle n’existe plus depuis six mois.

"Il n’y a qu’à appeler l’hébergeur." Il ne voit rien d’anormal.

"Il n’y a qu’à revenir à une sauvegarde d’hier." Qui garantit qu’elle est intacte ?

On a épuisé toutes les bidouilles possibles. On sait maintenant qu’ “il n’y a pas qu’à…”

Puis … "Les baffes, ce sera pour plus tard." Le directeur commercial vient de lâcher sa phrase, la phrase de trop. Personne ne relève, mais le regard de la directrice générale s’assombrit. Elle a entendu. Elle a vu les mâchoires se serrer, les regards s’éviter.

Elle sait que cette phrase de trop ne disparaîtra pas avec la résolution de l’incident. Que les tensions qu’elle passe l’année à apaiser viennent de s’aggraver en une seconde. Cette crise laissera des traces bien plus profondes que les pertes financières qu’elle a déjà commencé à comptabiliser.

Car après l’urgence, il restera les accusations implicites et les fiertés blessées qui ne s’effaceront pas avec un simple "on fera mieux la prochaine fois".

Le directeur commercial n’a pourtant pas dit ça par mépris. Il a dit ça sous pression, parce que son monde à lui, ce sont des clients à rassurer, des contrats à honorer, une réputation qui se joue en quelques heures. Mais ceux qui l’entourent ici, autour de la table, n’ont pas attendu cette crise pour faire leur travail. Ils ont mis en place des systèmes, anticipé ce qu’ils pouvaient avec les moyens qu’ils avaient. Et maintenant qu’ils sont en plein effort, ils entendent qu’il y aura "des baffes".

Pourtant, oui, nous n’en sommes pas au stade des responsabilités. Ça aurait dû être fait avant, et ça devra nécessairement venir après. On est maintenant dans l’action; dans cette tentative désespérée d’agir sans repères, de combler un vide que l’on n’avait jamais mesuré avant aujourd’hui. Ce qui manque, ce n’est pas la technologie, c’est la vision. Ce n’est pas la première fois que cette entreprise est confrontée à un incident. Mais c’est la première fois qu’elle perd le contrôle.

Elle sait produire. Elle sait livrer. Elle sait vendre. Mais sait-elle se protéger ?

Elle n’a jamais formalisé ce qui dépend de quoi, qui doit agir en premier, quelles actions sont possibles sans risquer d’aggraver la situation. Et cette absence de formalisation fait que tous les problèmes se posent en même temps : l’incident lui-même, la question de savoir s’il s’agit d’un ransomware ou d’une faille, l’incertitude sur l’étendue réelle de l’incident, l’arrêt des commandes et de la chaîne d’approvisionnement. C’est la désillusion : on croyait que l’on saurait toujours comment réagir, et pourtant tout vacille.

Si une cartographie avait existé, les décisions auraient été immédiates. On aurait su où couper, quoi isoler, où chercher. Il n’y aurait pas eu ces heures perdues à sonder l’inconnu, à interroger des systèmes devenus opaques. Les serveurs compromis auraient été identifiés. Chaque connexion douteuse aurait été supprimée, sans hésitation.

Au lieu d’un chaos à contenir à coup d’efforts improvisés, on aurait eu de quoi mettre la menace sous contrôle.

Ce type de situation montre ce qui se joue réellement : sortir de l’approximation, ne plus s’en remettre aux routines ni aux systèmes que l’on croit maîtriser — jusqu’au jour où ils échappent à tout contrôle.

Car l’incident surviendra. La seule inconnue, c’est dans quelles conditions vous l’affronterez. Soit vous saurez quoi faire. Soit vous découvrirez, dans la panique, tout ce que vous auriez dû anticiper.

Tout commence avec la cartographie

Avant d’évaluer, de sécuriser, de prouver, il faut voir. Mais voir quoi exactement ? Vous connaissez vos actifs critiques, vous savez comment circulent vos données, quels systèmes soutiennent votre activité. Du moins en théorie. Cette vision, vous l’avez bâtie au fil des ans, ajustée aux évolutions. Mais est-elle encore fidèle à l’idée que vous vous en faites ?

Car une infrastructure ne se fige jamais. Elle s’étire, se rafistole, s’adapte aux besoins, aux contraintes du moment. Un ancien serveur toujours actif "au cas où", une connexion entre deux services que plus personne n’ose toucher, un prestataire qui garde un accès oublié… Tout cela fonctionne, jusqu’au jour où tout dysfonctionne.

Ce jour-là, vous aurez soit une carte, soit des suppositions.

Tout commence donc avec la cartographie. Parce qu’avant d’évaluer, de sécuriser, de prouver, il faut voir. Mais voir quoi, exactement ?

Vous connaissez vos actifs critiques, ces systèmes qui soutiennent votre activité. Mais la cartographie n’est pas un simple exercice de documentation. C’est une mise à l’épreuve de votre connaissance. Un test grandeur nature pour confronter ce que vous croyez maîtriser à ce qui existe réellement. Pour débusquer les failles latentes, révéler les interconnexions fragiles, redonner une cohérence à ce qui, avec le temps, est devenu une mécanique complexe où trop d’éléments reposent sur des non-dits.

Alors, il vous faut une CARTE pour voir à nouveau, pour retrouver le tracé précis de ce qui depuis trop longtemps, repose sur l’implicite.

Comprendre vos actifs critiques (C)

La CARTE est aussi un inventaire. Non pas celui que l’on fait mécaniquement en cochant des cases sur une liste, mais celui qui demande une véritable exploration. Quels sont les éléments sans lesquels rien ne peut fonctionner ? Où sont les points névralgiques, les ressources vitales qui soutiennent, sans bruit, l’ensemble de votre activité ? Serveurs, bases de données, applications métiers, équipements réseau, connexions à des services externes… tout cela forme une architecture vivante, que vous devez reconnaître pour mieux la maîtriser.

Vous pensiez tout savoir déjà, mais à mesure que vous avancez, des découvertes surgissent : ce serveur toujours allumé alors qu’il aurait dû être éteint après la bascule en cloud de votre CRM, cette application connectée au compte d’un prestataire venu faire une démo et dont on n'a jamais plus entendu parler, ces accès accordés à un applicatif obsolète et que personne n’a révoqué… Comprendre vos actifs, c’est aussi retrouver ce qui, inévitablement, a dérivé vers l’oubli.

Analyser les interdépendances (A)

Rien ne fonctionne seul. Un poste de travail communique avec un serveur, qui dialogue avec une application, qui dépend d’une base de données, elle-même sauvegardée sur un stockage en cloud. Chaque élément repose sur un autre, chaque modification en affecte plusieurs. Mais qui, aujourd’hui, peut dire avec certitude quelles sont les ramifications exactes de chaque processus ?

C’est ici que la cartographie révèle sa première vérité : ce qui semblait robuste est en réalité fragile, car bâti sur des interdépendances que l’on n’a jamais totalement mesurées. Ce fournisseur qui détient encore une clé d’accès persistante, ce service interne qui s’appuie sur un outil obsolète, ce poste de travail qui dialogue avec un serveur oublié… Chaque ligne tracée est un risque à évaluer.

Repérer les vulnérabilités (R)

Voir ne suffit pas. Il faut désormais examiner, tester, sonder les failles. Quels sont les points faibles ? Quels accès n’ont pas été révoqués ? Quelles machines fonctionnent encore avec des systèmes d’exploitation vieillissants ? Ce qui dormait dans l’ombre apparaît soudain au grand jour, et ce qui paraissait anodin s’impose comme une urgence.

La cartographie devient alors un miroir, un révélateur brutal mais nécessaire. Elle vous force à constater que vous avez parfois laissé des brèches ouvertes, non par négligence, mais par ce glissement progressif des choses que l’on remet à plus tard, que l’on oublie d’ajuster parce qu’elles ont toujours été là, qu’elles fonctionnaient. Jusqu’au jour où elles ne fonctionneront plus.

Tracer et documenter (T)

Désormais, chaque élément identifié doit être inscrit, non plus dans la mémoire fluctuante des équipes, mais dans une structure formelle, organisée, explicable. Car une protection qui ne peut être démontrée n’existe pas.

Qui accède à quoi, et selon quelles règles ? Quels systèmes doivent être surveillés en priorité ? À quel endroit consigner les preuves que vos contrôles sont bien effectués ? Cette documentation n’est pas un simple rapport que l’on rédige pour le ranger dans un dossier oublié. Elle est la preuve réelle de votre résilience. Elle est ce qui vous permettra, face à un incident, de ne pas tâtonner mais d’agir, non plus à l’instinct, mais avec méthode.

Évoluer et anticiper (E)

Vous pensiez cartographier un état figé, mais à peine avez-vous achevé ce travail que vous percevez ce qui doit déjà être ajusté, ce qui doit évoluer. Car la cybersécurité n’est pas un exercice que l’on fait une fois pour toutes : elle est vivante, en mouvement, en transformation continue. Les menaces changent, les technologies évoluent, les organisations se transforment. Alors cette carte, il faudra la revoir, la compléter, l’enrichir. Elle n’est pas un point d’arrivée, mais un outil de navigation. Grâce à elle, vous ne réagirez plus aux crises dans la panique et l’urgence, vous serez déjà en train de préparer la prochaine étape, de prévoir les évolutions avant qu’elles ne deviennent des vulnérabilités.

Ainsi, vous cessez de percevoir la cartographie comme une contrainte documentaire : elle devient la condition pour que votre cybersécurité ne soit plus pensée comme une capacité à réagir, mais d'abord à anticiper.

Construire votre conformité NIS 2

La directive NIS 2 ne se limite pas à un cadre réglementaire : elle impose une approche structurée de la cybersécurité, où chaque entité concernée doit non seulement se protéger, mais aussi démontrer sa capacité à anticiper, réagir et se rétablir face aux menaces. L’article 21 exige ainsi la mise en place de mesures de gestion des risques claires et documentées, tandis que l’article 20 renforce la responsabilité des dirigeants sur la gouvernance et la validation des stratégies de sécurité.

Et vous, où en êtes-vous ? Car si la responsabilité incombe à votre dirigeant, c’est bien à vous que reviendra la tâche de structurer cette mise en conformité. Vous devrez cartographier les interdépendances, identifier les failles, formaliser des processus, coordonner les parties prenantes. Il faudra mettre en place une gouvernance efficace, traduire la directive en actions concrètes, répondre aux audits, prouver que les mesures sont appliquées.
C’est là qu’intervient une formation comme NIS 2 Lead Implementer de l’Afnic. Conçue pour ceux qui porteront cette transformation, elle vous apporte les outils, la méthodologie et l’expertise nécessaires pour piloter cette mise en conformité avec efficacité et sérénité.

Lotfi BENYELLES
Précédent

NIS 2 : Faut-il vraiment tout faire ?
Suivant

Normes pleines, pratiques creuses ? (Gap analysis)