Vues
La cartographie est composée de trois vues allant progressivement du métier vers la technique, elles-mêmes déclinées en vues :
Vision RGPD
La vue du RGPD permet de maintenir le registre des traitements et de faire le lien avec les processus, informations, applications et mesures de sécurité mises en place.
Vision métier
La vue de l’écosystème présente les différentes entités ou systèmes avec lesquels le SI interagit pour remplir sa fonction.
La vue métier du système d’information représente le SI à travers ses processus et informations principales, qui sont les valeurs métier au sens de la méthode d’appréciation des risques EBIOS Risk Manager.
Vision applicative
La vue des applications décrit les composants logiciels du système d’information, les services qu’ils offrent et les flux de données entre eux.
La vue des flux applicatifs décrits les flux d’information entre les différentes applications, services, modules et bases de données.
Vision administrative
La vue de l’administration répertorie les périmètres et les niveaux de privilèges des utilisateurs et des administrateurs.
Vision logique
La vue des infrastructures logiques illustre le cloisonnement logique des réseaux, notamment par la définition des plages d’adresses IP, des VLAN et des fonctions de filtrage et routage ;
Vision infrastructure
La vue des infrastructures physiques décrit les équipements physiques qui composent le système d’information ou utilisés par celui-ci.
Niveaux de maturité
Les niveaux de maturité représentent le pourcentage d'exhaustivité de la cartographie. C’est un indicateur de l’effort restant à fournir pour atteindre une cartographie complète.
Cette maturité est divisée en trois niveaux :
- La granularité minimale de niveau 1 qui contient les informations indispensables à la cartographie ;
- La granularité intermédiaire de niveau 2 qui contient les informations importantes à la cartographie ;
- La granularité fine de niveau 3 qui contient informations utiles à la gestion de la sécurité du système d'information.
Besoins de sécurité
Les besoins de sécurité de l'information sont exprimés en termes de confidentialité, intégrité, disponibilité et traçabilité avec l'échelle suivante :
| Niveau | Description | Couleur |
|---|---|---|
| 0 | Insignifiant | Blanc |
| 1 | Faible | Vert |
| 2 | Moyen | Jaune |
| 3 | Fort | Orange |
| 4 | Très fort | Rouge |