La plupart des DSI pourraient actuellement le confirmer : la sécurité du système d’information ne se joue pas seulement au niveau des solutions logicielles (APM, IAM, ITSM, etc.), mais repose aussi, et peut-être surtout, sur un socle indispensable : l’infrastructure. Ce n’est d’ailleurs pas pour rien que les victimes de cyberattaques évoquent souvent un défaut de cartographie ou de pilotage de l’infra comme facteur aggravant. Sans surprise, si vous ne savez pas où sont vos serveurs, comment ils sont interconnectés et quels flux transitent par tel routeur… bonne chance pour les protéger efficacement.
Pourquoi disposer d’une vision exhaustive de son infrastructure est indispensable pour protéger son SI
Au fond, on pourrait presque comprendre les DSI concernés. Comment voulez-vous défendre un périmètre inconnu ?
*Mauvaise foi*
Une surface d’attaque présente une partie émergée sur laquelle on se focalise naturellement, mais forcément aussi une partie immergée…
…que tout bon DSI ne doit pas ignorer, tout en sachant la réduire au maximum.
Entre les serveurs physiques, les machines virtuelles, les conteneurs, le cloud, cette part d’inconnu peut exploser si on ne dispose pas d’une vision globale et dynamique de ses ressources IT.
Une mauvaise cartographie peut amener à découvrir, au beau milieu d’une crise, qu’il existe un vieux NAS ou un bout d’application qui pourri sur un coin de réseau, sans mise à jour, prêt à fournir une entrée royale à un attaquant (ransomware, exfiltration de données, etc.).
À l’inverse, avoir un inventaire à jour et précis permet de :
- Repérer les doublons, les machines obsolètes, les flux non monitorés,
- Prioriser les efforts de sécurisation (on traite d’abord les actifs critiques ou exposés),
- Faciliter la mise en place de la segmentation réseau, et éviter qu’une attaque localisée s’étende à tout le SI.
En gros, pas de mystère : la première brique de la cybersécurité, c’est la connaissance de son terrain, c’est-à-dire l’infra.
Vous trouverez d’ailleurs de quoi creuser le sujet de la cartographie d’infrastructures dans cette interview.
Cartographier les vulnérabilités et les chemins d’attaque potentiels
Les attaquants cherchent toujours la voie la plus simple.
S’il existe un enchevêtrement de routes entre différents environnements (développement, production, DMZ, etc.), il suffit qu’un firewall soit mal configuré pour qu’un intrus se faufile. Sans cartographie, impossible de savoir par où il pourra transiter.
Petit exemple très concret :
Une entreprise qui migre partiellement ses applis vers le cloud, mais conserve sur site quelques serveurs vitaux. Si la liaison VPN entre les deux parties est mal documentée, l’IT risque de louper un port critique resté ouvert. Et si vous n’avez pas de vue sur ces interconnexions, personne ne remarquera jamais ce point d’entrée… jusqu’à un éventuel incident.
Alors qu’avec des schémas clairs, l’équipe sait qu’un flux X transite sur tel routeur, qu’un conteneur Y dialogue avec telle base, etc.
On peut ainsi contrôler les flux, détecter des anomalies, et mieux cloisonner.
Les outils de cartographie adaptés à la cybersécurité
Pour structurer ce travail, il existe des solutions capables de dresser une cartographie dynamique de l’architecture IT et de la mettre à jour en temps réel.
L’idée n’est plus de gérer un vieux diagramme Visio statique, mais un outil qui scanne, repère, analyse, et vous indique les interdépendances.
Ces logiciels permettent généralement de :
- Centraliser l’information (appareils, serveurs, conteneurs, etc.),
- Proposer une vue multicouche (couche physique, couche réseau, couche applicative),
- Faciliter la détection de vulnérabilités en pointant les failles potentielles,
- Génèrer automatiquement des rapports pour l’audit (NIS2, RGPD, ISO 27001…).
En pratique, on obtient une vision d’ensemble où l’on sait, par exemple, quel serveur a été patché, quel routeur traîne une config pas à jour, etc. De quoi orienter les décisions de sécurité plus précisément.
Pourquoi l’infrastructure conditionne la résilience du SI
« La résilience », une notion très souvent évoquée dans le contexte IT, et ce n’est absolument pas pour rien. On parle ni plus ni moins de la capacité à encaisser un incident (attaque, panne) et à repartir sans trop de casse. Or, sans cartographie de l’infra, on ignore souvent par où commencer la restauration ou comment endiguer la propagation.
Ainsi lors d’un incident de type ransomware sur une filiale, si l’on connaît parfaitement l’arborescence du SI, on sait par exemple isoler la filiale en question et vérifier que les connexions avec le siège sont segmentées.
On peut stopper l’infection avant qu’elle ne touche tout le parc et on sait également à quels serveurs critiques donner la priorité dans le plan de reprise d’activité.
Autre point essentiel justement : la planification du backup et du PRA. Sans carto, difficile de couvrir tous les nœuds critiques, ou de penser à un data store vital…
Comme pourraient le penser certains dirigeants, ou pire, certains DSI, la sécurité et la résilience du SI ne se limitent pas aux logiciels de protection ni aux bonnes pratiques d’authentification. Elles reposent en très grande partie sur la maîtrise de l’infrastructure sous-jacente. Cartographier, analyser, surveiller : c’est un trio indispensable pour savoir où on en est, et éviter d’être surpris.
