CARTOGRAPHIE DES SIC 

 Système d'Information (SIC) : Ensemble de ressources techniques et humaines

structurés dans le cadre d’une organisation fonctionnant selon des procédures.
L’ensemble participant directement ou indirectement à la création, à la consultation,
au traitement, au transport, à la diffusion et au stockage d’informations quelque soit
leur nature, leur support ou leur objet.
 Une Information sensible: est une information dont la compromission, l’altération, le
détournement ou la destruction, est de nature à nuire à la continuité de fonctionnement
ou mettre en danger le patrimoine informationnel des FAR

 Application sensible: Une application sensible est une application qui traite une
information sensible définie ci-dessus ou qui offre un service et dont la perte de
confidentialité, d'intégrité ou de disponibilité porterait préjudice à la continuité du
fonctionnement des services offerts par les organes des FAR et de l'exercice du
commandement, en situation normale comme en situation de crise. 

 Système d’Information sensible : est un système qui offre un service dont la perte de
sécurité porterait préjudice au fonctionnement des FAR

 Organe : Désigne les Bureaux, les Directions, les Inspections et les services de l’Etat
Major Général des FAR, ainsi que l’EM/ZS.

 Entité : Désigne les divisions et les services des Bureaux, des Directions et des
Inspections de l’Etat Major Général ainsi que l’ensemble des Unités et Formations des
Forces Armées Royales.

Définition de la cartographie :

La Cartographie désigne une représentation schématique d'un ensemble

d’informations permettant de disposer d'une vision synthétique de celle-ci. Les informations
représentées sont choisies de manière pertinente pour répondre efficacement à une ou des
questions posées.

La cartographie des SIC pour les FAR :

Le terme cartographie pourrait être définit de plusieurs façon selon le domaine
d’utilisation. Dans notre cas on a retenu la définition qui répond au plus à nos besoins.
Ainsi la cartographie est définit comme suit :
Recenser et modéliser le patrimoine matériel et applicatif afin d’identifier et classer les SIC
des organes des FAR selon leurs criticité
 Objectifs de la cartographie :
• Contribuer à la maitrise du système d'information : la cartographie permet de
disposer d'une vision commune et partagée du système d'information au sein de
l'organisme. Elle facilite également la capitalisation d'expérience et la prise de
décision grâce à un langage simple et visuel, ce qui permet de manière générale
d'améliorer le niveau de maturité de l'organisme en matière de sécurité des SIC;
• Contribuer à la cyber-protection du système d'information : la cartographie permet
d'identifier les systèmes les plus critiques et les plus exposés, d'anticiper les possibles
chemins d'attaque de ces systèmes et de mettre en place des mesures pour assurer leur
protection ;
• Contribuer à la Cyber-défense du système d'information : la cartographie permet de
réagir plus efficacement en cas d'incident ou d'attaque, de qualifier les impacts et de
prévoir les conséquences des actions défensives réalisées ;
• Contribuer à la Cyber-résilience du système d'information : la cartographie permet
d'identifier les activités clés de l'organisme et s'impose comme un outil indispensable à
la gestion de crise, qu'elle soit cyber ou non.

Visions de la cartographie :
De manière générale, la cartographie est composée de 3 « visions » allant
progressivement du métier vers la technique, elles-mêmes déclinées en « vues2 » :
• Vision « métier » :
vue métier de l'écosystème, présentant les différentes entités ou systèmes avec
lesquels le système d'information interagit pour remplir sa fonction ;
vue métier du système d'information, qui le représente au travers de ses processus
et de ses informations principales, qui sont les biens essentiels au sens de la méthode
d'analyse de risques EBIOS.
• Vision « applicative » :
vue des applications, décrivant les composants logiciels du système
d'information, les services qu'ils offrent et les flux de données entre eux ;
vue administration, qui répertorie les périmètres et les niveaux de privilèges des
utilisateurs et des administrateurs.
• Vision « infrastructure » :
vue des infrastructures logiques qui illustre le cloisonnement logique des réseaux
notamment par la définition des plages d'adresses IP, des VLAN et des fonctions de
filtrage et routage ;
Les documents techniques relatifs à la cartographie des SIC dans les
FAR :
1. Fiche inventaire :
La fiche Inventaire a pour but de faire :
 Architecture des réseaux
 Recensement du matériel
 Recensement des applications

2. Fiche déclarative :
La fiche déclarative comporte cinq (05) volets couvrant un ensemble d’aspects
relatifs à l’identification et la sécurité des SIC au sein des organes des FAR :
Les volets couverts par la fiche sont les suivants :
1. Identification de l’organe ou l'entité
2. Identification du Système d’Information
3. Infrastructures Informatiques et télécom
4. Sécurité des Systèmes d’Information et de Communication
5. Services en ligne

3. Questionnaire de maturité :
Le questionnaire de maturité est basée sur la norme ISO/CEI 27002:2005 et
ISO/CEI 27002:2013 (code de bonnes pratiques pour la gestion de la sécurité de
l'information). Il est réparti sur les 15 chapitres de la norme. À savoir
 Gestion de risque
 Règles de la sécurité Informatique
 Organisation de la sécurité de l'information
 Sécurité liée aux ressources humaines
 Gestion des biens
 Contrôle d'accès
 Cryptographie
 Sécurité physique et environnementale
 Sécurité de l'exploitation
 Sécurité des communications
 Système d'Acquisitions, de développement et de Maintenance
 Relation avec les fournisseurs
 Gestion des incidents de la sécurité des SI
 Gestion du plan de continuité d'activité SI
 Conformité

4. Fiche synthèse :
La fiche synthèse résume les informations relatives à chaque SIC. Elle inclue la
nature de la fiche déclaration initiale ou modification, l’identification du système et la
fonction majeure qu'il assure dans le fonctionnement de l’organe.