Inventaire des actifs informatiques : connaître ce que l’on doit protéger...

Un inventaire des actifs informatiques consiste à identifier et documenter l’ensemble des éléments qui composent un système d’information : matériels, logiciels, comptes, services et données. Cette cartographie constitue l’une des bases d’une démarche de cybersécurité structurée.

L’ ANSSI souligne que la connaissance de son patrimoine numérique est indispensable pour maîtriser les risques et prioriser les mesures de protection.

Pourquoi cet inventaire est souvent incomplet ?

Au fil du temps, les infrastructures évoluent : nouveaux équipements, changements de prestataires, migrations vers le cloud, comptes utilisateurs créés puis oubliés.

Dans de nombreuses organisations, certains éléments restent actifs sans être réellement identifiés :

• anciens serveurs encore connectés
• comptes administrateurs dormants
• équipements réseau ou WiFi oubliés
• services cloud déployés sans supervision
• logiciels obsolètes toujours utilisés

Ces éléments deviennent parfois les points d’entrée privilégiés d’une attaque.

Quels actifs doivent être identifiés ?

Un inventaire efficace ne se limite pas aux postes de travail. Il inclut généralement :

• les serveurs et équipements réseau
• les postes utilisateurs et terminaux mobiles
• les logiciels et applications métiers
• les comptes utilisateurs et administrateurs
• les services cloud et accès distants
• les données critiques et sauvegardes

Cette vision globale permet de comprendre les dépendances entre les différents composants du système d’information.

Une base pour structurer la cybersécurité :

L’inventaire des actifs constitue le point de départ de nombreuses démarches de sécurité :

• segmentation réseau
• gestion des accès et des droits utilisateurs
• supervision des événements de sécurité
• gestion des mises à jour
• plans de continuité et de reprise d’activité

Sans connaissance précise de l’infrastructure, il devient difficile de prioriser les actions ou d’évaluer l’exposition aux risques.

Un outil de gouvernance du système d’information :

Au-delà de la cybersécurité, un inventaire structuré améliore également la gestion quotidienne de l’informatique :

• meilleure visibilité sur l’infrastructure
• anticipation des renouvellements matériels
• suivi des licences logicielles
• maîtrise des dépendances techniques

Il devient ainsi un outil de pilotage pour les décisions techniques et organisationnelles.

Une démarche progressive et pragmatique :

Un inventaire complet ne se construit pas en une seule étape. Il peut être enrichi progressivement, en fonction des évolutions de l’infrastructure et des besoins de l’organisation.

Glossaire des principaux termes :

• Actif informatique : élément matériel, logiciel ou informationnel composant un système d’information.
• Cartographie du SI : représentation structurée des composants et dépendances du système d’information.
• Compte dormant : compte utilisateur toujours actif mais non utilisé.
• Service cloud : application ou infrastructure hébergée à distance.
• Gestion des actifs (IT Asset Management) : démarche visant à suivre et administrer les ressources informatiques.