Ce document propose une relecture et une traduction en éléments ArchiMate des étapes de cartographie des systèmes d’information selon le guide de l’ANSSI. Il décrit les démarches pour construire une cartographie, incluant des conseils sur les modèles à utiliser et les niveaux de maturité de la cartographie. L'auteur, Christine Dessous, offre également des services d'accompagnement dans cette démarche.

1. Competensis®
Christine Dessus
chdessus@competensis.com
+336 31 09 73 54
www.competensis.com
COMPETENSIS® est une marque déposée. Ce document n’est pas libre de droit et ne doit pas être utilisé sans le consentement écrit de son ou ses auteurs.
1

2. Guide de l’ANSSI
• En novembre 2018, l’ANSSI a publié un guide en 5
étapes de la cartographie des systèmes
d’information :
https://cyber.gouv.fr/publications/cartographie-
du-systeme-dinformation
• Je vous propose une lecture « outillée » de ce
guide avec ArchiMate 3.2, afin de vous aider à le
mettre en œuvre.
Competensis - Christine Dessus
2

3. Objectif de ce document
• Ce document est une relecture du guide l’ANSSI et la traduction en « éléments
ArchiMate » des propositions de l’ANSSI.
• J’en profite pour vous dire que je peux vous accompagner dans cette
démarche. Je suis certifiée depuis septembre 2024, ISO27001 Lead
Implémenter.
• J’ai par ailleurs une grande expérience dans la mise en œuvre de
démarches de cartographie.
Competensis - Christine Dessus
3

4. Avant de cartographier ….
•Identifier ce que vous souhaitez cartographier et priorisez vos
modélisations
•Construisez un modèle de référence :
✓Toutes vos cartes doivent être similaires : même police de
caractères, mêmes objets, même relations, mêmes couleurs et
mêmes propriétés.
✓Construisez des modèles de cartes et un guide adapté à vos attentes
que vous ferez évoluer au cours du temps.
Competensis - Christine Dessus
4

5. Construire une
cartographie du système
d’information
ANSSI

6. Comment construire une cartographie du système d’information ?
1 – Initier la
démarche de
cartographie
2 – Définir le modèle
de représentation à
adopter
3 - Définir l’outillage
à utiliser
4 – Construire la
cartographie pas à
pas
5 – Pérenniser la
cartographie
effectuée
Les 5 étapes de mise en œuvre de la
cartographie proposées par l’ANSSI
Competensis - Christine Dessus
6

7. Proposition de
démarche de mise en
œuvre par l’ANSSI
ANSSI

8. Proposition de démarche de mise en œuvre par l’ANSSI
• Mettre en œuvre la cartographie du système d’information selon 2 types de démarches :
- Une démarche axée sur la sécurité numérique, pilotée par le RSSI
- Une démarche plus globale pilotée par la DSI
• Trois niveaux de maturité sont proposés :
Maturité 1
▪ Cartographier les premiers éléments indispensables aux opérations de sécurité informatique
Maturité 2
▪ L’ensemble des vues sont représentées pour les systèmes d’information d’importance vitale (SIIV)
Maturité 3
▪ Une cartographie exhaustive et détaillée
Competensis - Christine Dessus
8

9. Maturité et niveau de cartographie
MISE EN ŒUVRE
La granularité de la cartographie telle
que vue par l’ANSSI.
La cartographie est une démarche
itérative, ciblée.
Un accompagnement va vous
permettre de la mettre en place dans
votre organisation.
Competensis - Christine Dessus
9

10. Granularité
• Il convient de sélectionner les
éléments à inventorier et à
compléter selon le besoin de
l’organisation et le contexte.
• Ce que nous propose l’ANSSI :
Competensis - Christine Dessus
10

11. Proposition de contenu
des différentes vues
ANSSI

12. Ecosystème
ANSSI

13. Vue de l’Ecosystème
Définir ECOSYSTEME
« Ensemble des entités ou systèmes qui
gravitent autour du système d’information
considéré dans le cadre de la cartographie »
Généralement représenté avec une chaîne de
valeur métier, sur laquelle on va rattacher tous
les autres éléments, métier et SI
Competensis - Christine Dessus
13

14. Vue de l’ecosystème
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate
Entité ou système • Location ou Grouping
Relations • Aggregate entre le système et chaque processus
• Flow ou trigger entre les processus : facultatif car on
peut représenter les processus sans indiquer les
relations entre eux, à ce niveau de l’analyse.
Competensis - Christine Dessus
14

15. Vue de l’ecosystème
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Entité ou système Identification & description Nom de l’élément + documentation
Type d’entité ou de système Attribut de l’élément/propriété
Niveau de sécurité Attribut de l’élément/propriété
Point de contact sécurité Attribut de l’élément/propriété
Liste des processus Business Process
Relations Nature Nom de l’élément + documentation
Lien contractuel ou réglementaire Attribut de l’élément/propriété
Niveau d’importance fonctionnel de la
relation
Attribut de l’élément/propriété
Competensis - Christine Dessus
15

16. Vue de l’Ecosystème
EXEMPLE - MÉTIER
Competensis - Christine Dessus
16

17. Vue de l’ecosystème
EXEMPLE - APPLICATION
Competensis - Christine Dessus
17

18. Vue de l’ecosystème
EXEMPLE -TECHNOLOGIE
Competensis - Christine Dessus
18

19. Vue métier du système d’information
Capacité
Macro-Processus, Processus, Activité,
Opération,Tâches
Acteur & Rôle
ANSSI

20. Vue métier du système d’information
EXIGENCEANSSI
DéfinirVue métier
« Ensemble des processus métier de
l’organisme avec les acteurs qui y participent,
indépendamment des choix technologiques
effectués et ressources à disposition»
Competensis - Christine Dessus
20

21. Vue métier du système d’information
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate
Macro-Processus • Business Process. Eventuellement, Capability, si une carte des Capability est déjà disponible.
• Le plus simple étant souvent le mieux, nous vous recommandons l’usage de l’élément
Business process
Processus • Business Process
Activité • Business Process
Opération • Business Process
Tâche • Business Process
Acteur • Business Actor
En première intention, en granularité 1, nous vous recommandons d’identifier les Macro-Processus et Processus.
Rapprochez-vous de vos équipes Qualité qui ont pu cartographier l’ensemble des processus. Identifiez les responsabilités
pour mettre à jour ces éléments.
Classifiez les Macro-Processus puis les processus, pour identifier les éléments critiques pour la continuité d’activité. Ciblez les
éléments critiques pour détailler les activités et tâches.
Competensis - Christine Dessus
21

22. Vue métier du système d’information
Objet Attribut ElémentArchiMate
Macro-Processus Identification & description Nom de l’élément + documentation
Eléments entrants et sortants Autres Macro-Processus reliés par une relation Flow ouTrigger
Liste des processus qui le composent Business Process, RelationAggregation ou Composition
Besoin de sécurité (DICT) Requirement
Propriétaire Attribut de l’élément/propriété
Processus Identification & description Nom de l’élément + documentation
Eléments entrants et sortants Autres Processus reliés par une relation Flow ouTrigger : attention à
la cohérence des relations entre le niveau Macro-Processus et
Processus
Liste des activités, opérations qui le compose Business Process, Relation Aggregation ou Composition
Liste des entités associées BusinessActor, relation Assigned
Liste des systèmes associés ApplicationComponent, relation Realize ou Serve selon le niveau de
couplage
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Competensis - Christine Dessus
22

23. Vue métier du système d’information
Objet Attribut Elément ArchiMate
Activité Identification & description Nom de l’élément + documentation
Liste des opérations qui la composent Business Process, Relation Aggregation ou Composition
Opération Identification & description Nom de l’élément + documentation
Liste des tâches qui la composent Business Process, Relation Aggregation ou Composition
Liste des Acteurs qui interviennent Business Actor, Relation Assigned avec la ou les Business
Process
Tâche Identification & description Nom de l’élément + documentation
Acteur Nom et moyen de contact Attribut de l’élément/propriété
Nature Attribut de l’élément/propriété
Type, interne ou externe Attribut de l’élément/propriété
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Competensis - Christine Dessus
23

24. Vue métier du système d’information
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate
Macro-Processus • Business Process. Eventuellement, Capability, si une carte des Capability est déjà disponible.
• Le plus simple étant souvent le mieux, nous vous recommandons l’usage de l’élément
Business process
Processus • Business Process
Activité • Business Process
Opération • Business Process
Tâche • Business Process
Acteur • Business Actor ou Business Role
En première intention, en granularité 1, nous vous recommandons d’identifier les Macro-Processus et Processus.
Rapprochez-vous de vos équipes Qualité qui ont pu cartographier l’ensemble des processus. Identifiez les responsabilités
pour mettre à jour ces éléments.
Classifiez les Macro-Processus puis les processus, pour identifier les éléments critiques pour la continuité d’activité. Ciblez les
éléments critiques pour détailler les activités et tâches.
Competensis - Christine Dessus
24

25. Vue métier du système d’information
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Les macro-processus, Processus,Activités etTâches sont des
spécialisations d’un Business Process
Pour les niveaux Macro-Processus et Processus, nous vous
recommandons d’utiliser des rôles.
L’acteur est nommé dans la démarche ANSSI.
Un businessActor représente un Acteur.
L’acteur (Actor) peut être en relation avec au choix, les macro-
processus, Processus,Activités etTâches
Competensis - Christine Dessus
25

26. Vue métier du système d’information
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Capacités
Capability
Competensis - Christine Dessus
26

27. Vue métier du système d’information
Macro-Processus
EXEMPLE
Source :The Open Group Copyright © 2018
Commercial Aviation Reference Model
Description des activités de
maintenance
Competensis - Christine Dessus
27

28. Vue métier du système d’information
EXEMPLE
Source :The Open Group Copyright © 2018
Commercial Aviation Reference Model
Description des applications et
services soutenant une activité
opérationnelle métier (processus
ou service)
Competensis - Christine Dessus
28

29. Vue métier du système
d’information
Information
ANSSI

30. Vue métier du système d’information
EXIGENCEANSSI
Définir Information
« La vue métier permet de recenser les
informations de l’organisme, dont certaines
peuvent avoir un caractère critique et
représenter des cibles de choix lors d’attaques»
Competensis - Christine Dessus
30

31. Vue métier du système d’information
Objet Attribut ElémentArchiMate
Informations Business Object
Appplication Data (si l’information est
déjà outillée)
Identification & description Nom de l’élément + documentation
Propriétaire Attribut de l’élément/propriété
Administrateur Attribut de l’élément/propriété
Stockage :Type Attribut de l’élément/propriété
Stockage : Localisation Location avec une relation « Aggregate »
Processus lié Business process, avec une relation
ACCESS typé (read, write, Read/write)
Besoin de sécurité (DICT) Requirement
Sensibilité Requirement
Contraintes réglementaires et normatives Constraint
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Informations
Competensis - Christine Dessus
31

32. Informations & Données
EXEMPLE
Informations &
Données
Competensis - Christine Dessus
32

33. Vue métier du système d’information
EXEMPLE
Informations
Competensis - Christine Dessus
33

34. Vue des applications
ANSSI

35. Vue des applications
EXIGENCEANSSI
Vue des Applications
« Décrire les solutions technologiques qui
supportent les processus métiers.
Une importance forte est donnée aux flux
applicatifs, pour visualiser les échanges
d’informations d’un point de vue « logiciel »
Description à la page
suivante
Competensis - Christine Dessus
35

36. Vue des applications
EXIGENCEANSSI
Competensis - Christine Dessus
36

37. Vue des applications
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate « Applicatif » Elément ArchiMate «Technogique »
BlocApplicatif • Grouping et ApplicationComponent • Grouping et Node
Application • Application Component • System Software
Service applicatif • Application Service
• Application Function
• Technology Service
• Technology Function
Module • Application Component • Node
Base de données • Data Object • Artifact
Flux • Relation FLOW entre 2 Applications
Component, Service
• Relation FLOW entre 2 Node ou System
Software
Competensis - Christine Dessus
37

38. Vue des applications
EXEMPLE
Objet Attribut ElémentArchiMate
BlocApplicatif Identification & description Nom de l’élément + documentation
Responsable Actor en relation ou Propriété de l’élément, interrogeable mais souvent « non
visible » sur la carte
Liste des Applications qui la compose Diagramme de décomposition fonctionnelle
Application Identification & description Nom de l’élément + documentation
Liste des entités utilisatrices Location ou Actor en relation
Entité responsable de l’exploitation Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte
Responsable SSI Actor en relation ou Propriété de l’élément, interrogeable mais souvent « non
visible » sur la carte
Type de technologie : client lourd,WEB… Application Interface ouTechnology Interface
Type d’application Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte
Volume d’utilisateurs et profils Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte
Flux associés Diagramme de contexte
Competensis - Christine Dessus
38

39. Vue des applications
EXEMPLE
Competensis - Christine Dessus
39

40. Vue des applications
EXEMPLE
Objet Attribut Elément ArchiMate
Application Besoin de sécurité Propriété de l’élément, interrogeable
mais souvent « non visible » sur la
carte
Exposition à l’externe (exemple SaaS) Technology Interface
Liste des processus utilisant
l’application
Diagramme de réalisation des
processus par lesApplications
Liste des services applicatifs délivrés
par l’application
Diagramme de décomposition des
application services et application
functions de chaque application
component
Liste des bases de données utilisées
par l’application
Base de données = Artifact ou Data
Object
Liste des serveurs logiques soutenant
l’application
Serveur = Node (plateforme globale)
ou Device
Competensis - Christine Dessus
40

41. Vue des applications
EXEMPLE
Objet Attribut Elément ArchiMate
Services applicatifs Identification & Description Application Service
Liste des modules qui le composent Application Service
Flux associés Flow
Exposition à l’externe (SaaS par
exemple)
Application Interface ouTechnology
Interface
Module Identification & Description Application Component
Flux associés Flow
Competensis - Christine Dessus
41

42. Vue des applications
EXEMPLE
Objet Attribut Elément ArchiMate
Base de données Data Object (si indépendant de la technologie)
Artifact (élément physique)
Identification & Description Nom de l’élément
Liste des entités utilisatrices Elément actif ou comportement
Entité responsable de l’exploitation Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte –
Location - Actor
Responsable SSI Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte -
Actor
Type de technologie Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte
Flux associés Relation ACCESS
Liste des informations contenues Data Object (si indépendant de la technologie)
Artifact (élément physique)
Besoins de sécurité (DICT) Propriété de l’élément, interrogeable mais souvent « non visible » sur la carte
Exposition à l’externe Interface en relation
Competensis - Christine Dessus
42

43. Vue des applications
EXEMPLE
Objet Attribut Elément ArchiMate
Flux Identification & Description Flow, nom du flux
Emetteur : application, module, base
de données etc…
Elément source
Récepteur : application, module,
base de données etc…
Elément cible
Chiffrement Propriété de l’élément, interrogeable
mais souvent « non visible » sur la
carte
Competensis - Christine Dessus
43

44. Vue des applications
EXEMPLE
AS-IS
TO-BE
Competensis - Christine Dessus
44

45. Vue des applications (Technologique)
EXEMPLE
Competensis - Christine Dessus
45

46. Vue de l’administration
ANSSI

47. Vue de l’administration
EXIGENCEANSSI
DéfinirVue de l’administration
« Répertorier les périmètres et niveaux de
privilèges des administrateurs »
Doit être complétée par une liste de comptes
et des droits associés
Competensis - Christine Dessus
47

48. Vue métier du système d’information
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate
Zone d’administration Communication Network ou Node
Service d’annuaire
d’administration
Technology Service
Utiliser les possibilités de spécialisation de votre outil de modélisation
Forêt active Directory /
Arborescence LDAP
Technology Service
Utiliser les possibilités de spécialisation de votre outil de modélisation
Domaine Active
Directory/LDAP
Technology Service ouTechnology Interface
Utiliser les possibilités de spécialisation de votre outil de modélisation
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
48

49. Vue des infrastructures
logiques
ANSSI

50. Vue des infrastructures logiques
EXIGENCEANSSI
DéfinirVue des des infrastructures logiques
« Répartition logique du réseau»
Montrer le cloisonnement des réseaux et les
liens logiques entre eux.
Resencer les emplacements logiques des
équipements de sécurité : sonde, pare-feu,
SIEM…
Description à la page
suivante
Competensis - Christine Dessus
50

51. Vue des infrastructures logiques
EXIGENCEANSSI
Competensis - Christine Dessus
51

52. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Elément ArchiMate
Réseau • Communication Network
Sous-réseau • Communication Network
Passerelle d’entrée depuis l’extérieur • Path
Entité extérieure connectée • Location ou Actor
Commutateur (switch) • Equipement ou Communication Network
Routeur • Equipement ou Communication Network
Equipement de sécurité • Equipement ou Communication Network
Service DHCP • Technology Service
Serveur DNS • Technology Service
Serveur logique • Node ou Device
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
52

53. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Réseau Identification & Description Communication Network
Type de protocole Propriété de l’élément, interrogeable mais
souvent « non visible » sur la carte
Responsable d’exploitation Actor ou Propriété
Responsable SSI Actor ou Propriété
Sous-réseaux rattachés Communication Network
Niveau de sensibilité ou de classification Propriété de l’élément, interrogeable mais
souvent « non visible » sur la carte
Sous-réseau Identification & Description Communication Network
Adresse/Masque Propriété de l’élément, interrogeable mais
souvent « non visible » sur la carte
Passerelle
Plage d’adresse IP, fixe ou dynamique
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
53

54. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Sous-réseau Méthode d’attribution des IP : fixe ou dynamique Propriété de l’élément, interrogeable mais souvent
« non visible » sur la carte
Responsable d’exploitation Actor ou Propriété
DMZ ou non Grouping ou Communication Network
Liste des sous-réseaux interconnectés Communication Network
Possibilité d’accès sans fil Propriété de l’élément, interrogeable mais souvent
« non visible » sur la carte
Passerelle d’entrée depuis
l’extérieur
Caractéristiques techniques Non modélisé avec ArchiMate. Faire un lien vers la
documentation associée
IP publique ou privée Propriété de l’élément, interrogeable mais souvent
« non visible » sur la carte
Type d’authentification Propriété de l’élément, interrogeable mais souvent
« non visible » sur la carte
Entité extérieure
connectée
Nom Responsable SSI, contacts SSI Actor
Réseaux internes connectés à l’entité Communication Network
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos
outils de modélisation pour distinguer
visuellement les services et équipements.

55. Vue des infrastructures
physiques
ANSSI

56. Vue des infrastructures physiques
EXIGENCEANSSI
DéfinirVue des infrastructures physiques
« Décrire les équipements composant le
système d’information ou utilisés par celui-ci.
Décrire la répartition géographique des
équipements réseaux au sein des différents
sites de l’organisme. Donner une vision
d’ensemble des actifs connectés au réseau de
télécommunication de l’entreprise »
Description à la page
suivante
Competensis - Christine Dessus
56

57. Vue des infrastructures physiques
EXIGENCEANSSI
Competensis - Christine Dessus
57

58. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Site Location
Bâtiment Location (avec un lien de composition avec le
site)
Salle Location (avec un lien de composition avec le
bâtiment)
Baie Device ou equipment
Serveur physique Device
Poste de travail Device
Infrastructure de
stockage
Node, device ou equipment, selon l’usage
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
58

59. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Commutateur Device ou communication network
Routeur Device ou communication network
Equipement de
sécurité
Node, device ou equipment ou communication
network selon l’usage
Serveur DHCP Device
Serveur DNS Device
Serveur logique Device
Competensis - Christine Dessus
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
59

60. Vue des infrastructures physiques
EXIGENCEANSSI
Competensis - Christine Dessus
60

61. Vue des infrastructures logiques
FRAMEWORK –TEMPLATE DE MODÉLISATION ARCHIMATE
Objet Attribut Elément ArchiMate
Périphérique Device ou equipment ou node selon l’usage
Commutateur physique Node, device ou equipment ou communication network
selon l’usage
Téléphone Device
Routeur physique Device ou communication network
Borne WIFI Device ou communication network
Equipement de sécurité
physique
Node, device ou equipment ou communication network
selon l’usage
WAN – MAN – LAN -VLAN Communication network
Utilisez les possibilités de spécialisation de vos outils de modélisation pour distinguer
visuellement les services et équipements.
Competensis - Christine Dessus
61

62. Glossaire
ANSSI

63. Glossaire
EXEMPLE
Competensis - Christine Dessus
63

64. Glossaire
EXEMPLE
Competensis - Christine Dessus
64

65. Competensis®
Christine Dessus
chdessus@competensis.com
+336 31 09 73 54
www.competensis.com
COMPETENSIS® est une marque déposée. Ce document n’est pas libre de droit et ne doit pas être utilisé sans le consentement écrit de son ou ses auteurs.