Cartographie SI TPE : méthode simple en 5 listes clés
La cartographie SI TPE (système d’information) consiste à recenser vos équipements, logiciels, comptes, accès, données et prestataires. Cette vue d’ensemble vous aide à comprendre ce qui existe, ce qui est critique et ce qui doit être protégé en priorité, sans dépendre de la mémoire d’une seule personne.
Vous ne pouvez pas défendre ce que vous ne connaissez pas. Dans beaucoup de petites entreprises, le système d’information (SI) fonctionne par habitudes. Une box internet, quelques ordinateurs, un espace Microsoft 365, un logiciel comptable, un site web et des comptes partagés suffisent déjà à créer un environnement sensible. La cartographie SI TPE permet justement de rendre cette réalité visible.
Le problème apparaît le jour où un incident survient. Une machine ralentit, un compte e-mail envoie des messages suspects, un dossier partagé devient inaccessible ou un prestataire demande un accès d’urgence. Sans inventaire, chaque décision devient une recherche à l’aveugle.
La cartographie n’est pas réservée aux grandes entreprises. Une TPE peut commencer avec un simple tableur. L’objectif n’est pas d’obtenir une carte parfaite dès le premier jour, mais de disposer d’une base fiable pour agir vite. Une cartographie SI TPE bien tenue devient alors un outil de décision simple et utile.
Un modem oublié peut suffire à créer un angle mort
La cartographie SI TPE n’est pas seulement un exercice documentaire. Elle sert aussi à vérifier que la réalité du terrain correspond bien à ce que les outils déclarent. Une expérience menée dans une grande collectivité (+3000 postes) l’illustre très bien.
À l’époque, le projet consistait à redéployer un antivirus sur l’ensemble du parc informatique d’un conseil général. Avant l’intervention, il fallait contrôler les équipements présents, comparer les informations remontées par les outils d’inventaire et vérifier physiquement les salles informatiques.
Ce conseil général disposait pourtant d’outils de diagnostic avancés pour son époque. Malgré cela, la visite terrain des salles informatiques, proches d’un petit datacenter, a révélé un équipement absent de tous les relevés : un modem RTC branché sur un serveur, avec une ligne téléphonique active.
Aucune trace dans l’inventaire. Aucune commande retrouvée. Aucun service ne revendiquait cet équipement, ni l’informatique, ni la comptabilité, ni les équipes métier. Le modem a donc été débranché et conservé, au cas où un utilisateur se manifesterait.
Personne n’est jamais revenu le réclamer.
Ce type d’exemple rappelle une règle simple : un outil d’inventaire est utile, mais il ne remplace pas toujours le contrôle réel du parc. Une prise oubliée, un ancien accès distant ou un équipement non documenté peuvent suffire à créer une porte d’entrée inutile. Une cartographie SI TPE doit donc rester connectée au terrain.
Cartographie SI TPE : pourquoi commencer par voir l’existant
Un système d’information ne se limite pas aux serveurs. Il regroupe tout ce qui permet de produire, stocker, transmettre ou consulter des données. Dans une TPE, cela inclut souvent les ordinateurs, les téléphones, les imprimantes réseau, le cloud, la messagerie, le site web et les accès bancaires.
Quand cette liste n’existe pas, les angles morts se multiplient. Un ancien ordinateur peut rester branché dans un bureau. Un compte prestataire peut conserver des droits administrateur. Une caméra IP peut utiliser un mot de passe par défaut. Un accès distant peut survivre plusieurs années après la fin de son utilité.
Ces situations ne sont pas théoriques. Lors d’un diagnostic de parc, un équipement non déclaré suffit parfois à expliquer un risque. La vérification terrain reste utile, même lorsque des outils d’inventaire sont déjà en place.
Pour une petite structure, la bonne approche consiste à avancer par couches. On commence par ce qui est visible, puis on complète avec les accès, les données et les prestataires. Cette méthode évite de bloquer le projet par excès de détail et rend la cartographie SI TPE plus facile à maintenir.
Inventaire parc informatique : les 5 listes à créer
La méthode la plus simple repose sur cinq listes. Elles peuvent être créées dans un tableur partagé avec un responsable identifié. Chaque ligne doit répondre à une question pratique : que faut-il savoir pour décider vite en cas d’incident ? Ces cinq listes forment la base d’une cartographie SI TPE exploitable.
| Liste | Ce qu’elle contient | Question de contrôle |
|---|---|---|
| Équipements | PC, portables, serveurs, NAS, imprimantes, routeurs, switchs, smartphones | Qui l’utilise et où se trouve-t-il ? |
| Logiciels | Applications installées, SaaS, logiciels métier, outils mobiles | Que bloque son indisponibilité ? |
| Comptes et accès | Utilisateurs, administrateurs, VPN, accès distants, prestataires | Qui a encore accès à quoi ? |
| Données critiques | Clients, contrats, paie, comptabilité, secrets métier, données RH | Où sont-elles stockées et sauvegardées ? |
| Tiers et prestataires | Infogérant, hébergeur, éditeurs, support logiciel, services cloud | Qui appeler en urgence ? |
Liste 1 : les équipements physiques
Commencez par les machines que vous pouvez voir. Notez le type d’équipement, la marque, le modèle, l’utilisateur principal, le lieu, le système d’exploitation et la date d’achat approximative.
Cette date compte. Un équipement trop ancien peut fonctionner avec un système qui n’est plus maintenu par son éditeur. Il ne reçoit alors plus les correctifs nécessaires contre les failles récentes.
Pour chaque poste, serveur ou périphérique réseau, indiquez aussi son rôle. Un ordinateur utilisé pour la comptabilité, un serveur de fichiers ou un NAS de sauvegarde n’ont pas le même niveau de criticité. Cette information rend la cartographie SI TPE plus utile en cas de panne ou d’incident.
Liste 2 : les logiciels et applications
Recensez les logiciels installés sur les postes, mais aussi les services en ligne. Une application de facturation, un CRM, un outil de signature électronique ou un espace de stockage cloud font partie du SI, même s’ils ne sont pas hébergés dans vos locaux.
Pour chaque logiciel, notez l’éditeur, les utilisateurs, le type de données traitées et le niveau d’impact si le service devient indisponible. Cette information servira ensuite à prioriser les sauvegardes et les contrats de support.
La bonne question à poser est simple : si cette application tombe demain matin, quelle activité est bloquée ? Cette réponse permet de distinguer un outil pratique d’un outil vital dans votre cartographie SI TPE.
Liste 3 : les comptes et accès
Cette liste révèle souvent les faiblesses les plus concrètes. Vérifiez les comptes des salariés, des anciens salariés, des stagiaires, des prestataires et des comptes génériques. Ajoutez les accès administrateur, les accès VPN, les outils de prise en main à distance et les boîtes e-mail partagées.
Un compte actif sans utilisateur réel est une porte inutile. Il doit être supprimé ou désactivé. Un accès administrateur doit être nominatif, justifié et limité au besoin réel.
Dans la pratique, beaucoup de TPE conservent des comptes d’anciens collaborateurs pendant des mois, parfois des années. Ce n’est pas toujours volontaire. C’est souvent l’effet d’un départ mal documenté et d’un manque de procédure. La cartographie SI TPE aide à repérer ces accès oubliés.
Liste 4 : les données critiques
Identifiez les données qui feraient mal en cas de perte, de fuite ou de blocage. Les fichiers clients, les contrats, les éléments de paie, les pièces comptables, les devis, les mots de passe et les documents couverts par le secret professionnel doivent être localisés.
Cette étape rejoint aussi vos obligations RGPD. Savoir où sont les données personnelles, qui y accède et combien de temps elles sont conservées facilite la tenue du registre de traitement.
Le but n’est pas de produire un document juridique complexe. Il s’agit d’abord de comprendre où se trouvent les informations sensibles et comment elles circulent. Une cartographie SI TPE claire limite les approximations au moment de décider.
Liste 5 : les prestataires et tiers
Votre SI dépasse vos murs. Votre hébergeur, votre éditeur métier, votre infogérant, votre opérateur télécom et votre prestataire web peuvent tous détenir une partie de vos accès ou de vos données.
Conservez leurs contacts d’urgence dans un document accessible hors connexion. En cas de ransomware, de panne internet ou de compte cloud bloqué, cette précaution évite de perdre du temps au mauvais moment.
Ajoutez aussi les accès détenus par chaque prestataire. Un tiers qui intervient sur votre messagerie, votre site web ou votre logiciel métier doit apparaître dans votre cartographie. C’est une partie essentielle de la cartographie SI TPE.
Sécurité informatique TPE : les erreurs à éviter
La première erreur consiste à vouloir tout faire parfaitement. Un inventaire incomplet, mais vivant, vaut mieux qu’un chantier repoussé pendant six mois. Fixez une première version, puis améliorez-la à chaque changement.
La deuxième erreur consiste à confier l’inventaire à une seule personne. Le savoir doit être documenté. Si le référent informatique est absent, malade ou parti, l’entreprise doit garder sa capacité de réaction.
La troisième erreur consiste à ne jamais mettre à jour la carte. Chaque nouvel ordinateur, nouveau logiciel, départ de collaborateur ou changement de prestataire doit entraîner une mise à jour. Une revue semestrielle suffit souvent pour une TPE.
La quatrième erreur consiste à oublier les petits équipements. Une imprimante réseau, une caméra IP, un vieux routeur ou un NAS secondaire peuvent devenir des points faibles s’ils ne sont plus mis à jour. Ces éléments doivent aussi entrer dans la cartographie SI TPE.
Gestion des accès : le contrôle qui réduit les risques cyber
Une fois les listes créées, commencez par les accès. C’est le chantier le plus rapide à rentabiliser. Supprimez les comptes inutiles, vérifiez les droits administrateur et activez l’authentification multifacteur sur les services sensibles.
Contrôlez aussi les comptes de messagerie. Une boîte e-mail compromise peut servir à détourner une facture, demander un virement frauduleux ou réinitialiser d’autres mots de passe. Les accès à la banque, au cloud et à la comptabilité doivent être suivis de près.
Pour approfondir ce sujet, prévoyez un lien interne vers un article dédié : sécuriser les comptes utilisateurs en TPE. Ce maillage aidera le lecteur à passer de l’inventaire à l’action et à compléter sa cartographie SI TPE.
Actifs numériques et cadre NIS2 : anticiper sans surjouer
La directive NIS2 élargit les exigences cyber pour de nombreuses organisations européennes. Toutes les TPE ne seront pas concernées directement, mais l’esprit du texte va dans le même sens : connaître ses actifs numériques, mesurer ses risques et organiser sa réponse.
La bonne formulation reste donc prudente. Il ne s’agit pas d’affirmer que chaque petite entreprise a les mêmes obligations qu’une entité essentielle. Il s’agit de rappeler que l’inventaire est une pratique saine, recommandée par les acteurs publics de la cybersécurité.
Le CERT-FR publie des alertes, avis et recommandations utiles pour suivre les risques en cours. L’ANSSI propose aussi un guide cybersécurité pour les TPE-PME qui donne un cadre accessible. Une cartographie SI TPE s’inscrit dans cette logique de maîtrise progressive.
Outils d’inventaire : quand automatiser votre cartographie
Un tableur suffit pour commencer. Ensuite, des outils peuvent aider à maintenir l’inventaire à jour. OCS Inventory peut détecter des équipements et logiciels. GLPI peut structurer la gestion de parc. Microsoft Intune peut être pertinent si votre environnement Microsoft 365 le permet.
Ces outils ne remplacent pas le jugement métier. Un scanner réseau peut trouver une imprimante, mais il ne sait pas si cette imprimante traite des documents confidentiels. Une plateforme de gestion peut lister des comptes, mais elle ne sait pas toujours si les droits sont encore justifiés.
La règle est simple : commencez manuel, stabilisez vos colonnes, puis automatisez ce qui peut l’être. Vous éviterez de produire un inventaire technique difficile à comprendre pour la direction. L’objectif reste une cartographie SI TPE lisible et exploitable.
Risques cyber : transformer la carte en plan d’action
Une cartographie utile débouche toujours sur des décisions. Repérez les équipements obsolètes, les accès inutiles, les données non sauvegardées, les prestataires sans contact d’urgence et les outils critiques sans procédure de secours.
- Planifiez le remplacement des postes non maintenus.
- Activez l’authentification multifacteur sur les comptes sensibles.
- Vérifiez que les données critiques sont sauvegardées et restaurables.
- Classez les logiciels selon leur impact métier.
- Supprimez les comptes des anciens collaborateurs.
- Préparez une fiche d’urgence avec les contacts clés.
Prochaine étape : sécurisez vos sauvegardes en entreprise, puis avancez avec un cyber coaching TPE-PME pour transformer votre cartographie SI TPE en plan d’action concret.
Passer de l’inventaire à l’action
- Commencez par un diagnostic court. Le service public MonAideCyber propose un diagnostic cyber gratuit et personnalisé, réalisé avec des aidants formés par l’ANSSI.
- Créez votre première liste cette semaine. Utilisez un tableur, cinq onglets et une personne responsable de la mise à jour.
- Si vous voulez un regard extérieur sur votre cartographie, contactez Eur’Net au 04.15.63.00.00 ou par e-mail à info@eurenet.com.
Votre cartographie SI TPE doit vous aider à savoir ce que vous avez, ce qui compte vraiment et quoi sécuriser en premier.
Transformer votre cartographie SI TPE en plan d’action concret
La cartographie SI TPE n’est pas une formalité administrative. C’est le point de départ d’une cybersécurité réaliste, adaptée aux moyens d’une petite structure et utile dès le premier incident.
Eur'Net est référencée Cybermalveillance.gouv.fr, activatrice France Num et partenaire Gold Kaspersky depuis 1997. À titre personnel et bénévole, je suis également engagé comme Aidant MonAideCyber via l'association Assistic. Mon credo : un sinistre cyber, ce n'est plus "si" mais "quand". La question, c'est : vous regardez le tsunami arriver depuis la plage, ou vous apprenez à surfer et vous préparez vos plans A, B, C ?
Entre deux diagnostics, j'élève aussi des IA bio au grand air.
