4.1 Gestion des actifs (ID.AM)
Objectif de la catégorie
Cette catégorie vise à identifier, inventorier, classifier et gérer l’ensemble des actifs numériques, physiques et humains critiques à l’organisation, tout au long de leur cycle de vie.
Info
Sans cartographie complète des actifs, aucun plan de cybersécurité n’est fiable.
ID.AM-01 : Inventaire du matériel
- Maintenir un inventaire centralisé des équipements :
- Postes de travail, serveurs, routeurs, pare-feux, imprimantes, objets connectés…
- Étiquetage physique ou logique recommandé
- Intégration avec un outil ITAM ou CMDB si possible
ID.AM-02 : Inventaire des logiciels, systèmes et services
- Inventaire complet des éléments suivants :
- Systèmes d’exploitation
- Applications métiers et outils bureautiques
- Services SaaS, Cloud, API externes
- Suivi des versions, licences, vulnérabilités connues (ex : CVE)
Tip
Utilisation d’un outil d’inventaire automatique recommandé (ex : GLPI, Lansweeper, Wazuh).
ID.AM-03 : Cartographie des flux réseau
- Établir et maintenir :
- Les flux internes (SI métier ↔ DB, AD, etc.)
- Les flux externes (accès distants, interconnexions, API)
- Permet de détecter :
- Des connexions inattendues
- Des dépendances techniques critiques
ID.AM-04 : Inventaire des services fournis par les fournisseurs
- Liste actualisée des services délégués :
- Hébergement, sauvegardes, support, maintenance applicative
- Doit inclure :
- Contrats associés
- Exigences de sécurité
- Niveaux de criticité
ID.AM-05 : Priorisation des actifs
- Classer les actifs selon :
- Confidentialité : traitement de données sensibles ?
- Disponibilité : impact métier en cas d’indisponibilité ?
- Intégrité : modification peut-elle causer un dommage ?
- Résultat : une matrice de criticité pour orienter les efforts de sécurisation
| Actif | C | I | D | Criticité |
|---|---|---|---|---|
| ERP | Élevé | Élevé | Élevé | Critique |
| Imprimante réseau | Faible | Moyen | Faible | Faible |
ID.AM-07 : Inventaire des données
- Recenser :
- Les types de données (RH, santé, finance…)
- Leur emplacement (serveurs, Cloud, terminaux)
- Le propriétaire des données (data owner)
- Évaluer les obligations réglementaires associées (RGPD, DORA…)
ID.AM-08 : Gestion du cycle de vie des actifs
- Chaque actif doit suivre un cycle de vie maîtrisé :
- Acquisition (validation SSI, exigences techniques)
- Exploitation (maintenance, mises à jour, supervision)
- Fin de vie (suppression sécurisée, effacement des données, désactivation)
Example
Un serveur obsolète doit être formellement désinstallé, reformaté et désenregistré de tous les systèmes.
Synthèse opérationnelle
| Élément | Bonnes pratiques |
|---|---|
| Inventaire matériel | Automatisé, actualisé mensuellement |
| Logiciels | Suivi des versions + alertes vulnérabilités |
| Flux réseau | Schémas à jour, révision semestrielle |
| Données | Cartographie RGPD / métiers / hébergement |
| Cycle de vie | Procédures formalisées d’entrée/sortie d’actif |