Savez-vous combien de services tiers sont utilisés dans votre entreprise ? Selon une étude Productiv (2025), une PME utilise en moyenne 87 applications SaaS, dont 30 à 40 % ne sont pas référencées par la DSI. Ce phénomène, appelé shadow IT, représente un angle mort majeur pour la conformité RGPD et la souveraineté numérique.
La cartographie du système d'information (SI) consiste à recenser toutes les dépendances technologiques de votre entreprise : logiciels, services cloud, sous-traitants techniques, flux de données. Ce guide explique pourquoi et comment la réaliser.
Qu'est-ce que la cartographie SI ?
La cartographie SI est un inventaire structuré de l'ensemble des outils et services numériques utilisés par votre organisation. Elle répond à quatre questions :
- Quels services sont utilisés (SaaS, on-premise, open-source) ?
- Où sont hébergées les données (pays, fournisseur cloud, juridiction) ?
- Quelles données sont traitées (personnelles, sensibles, critiques) ?
- Qui est responsable de chaque outil (acheteur, administrateur, DPO) ?
« Le responsable du traitement [...] tient un registre des activités de traitement effectuées sous sa responsabilité. »
Règlement (UE) 2016/679 (RGPD), Article 30, paragraphe 1
La cartographie SI est le socle technique du registre des traitements imposé par l'article 30 du RGPD. Sans elle, le registre reste incomplet.
Le problème du shadow IT
Le shadow IT désigne l'utilisation de services non validés par la DSI ou le responsable informatique. Quelques exemples fréquents dans les PME :
- Un commercial utilise Calendly (US) pour planifier ses rendez-vous
- L'équipe marketing installe un plugin WordPress non audité qui charge des scripts Google
- Un développeur intègre un chatbot IA (Intercom, Drift) sans informer le DPO
- Le service comptabilité stocke des factures sur Google Drive personnel
Selon le Gartner (2024), 41 % des violations de données en entreprise impliquent un service de shadow IT. Ces outils non référencés échappent aux politiques de sécurité, aux clauses contractuelles RGPD, et aux plans de continuité.
Comment COCORRIDOR détecte vos dépendances
Le scan COCORRIDOR identifie automatiquement les services tiers présents sur votre site web grâce à 14 vecteurs d'analyse simultanés :
Détection DNS
L'analyse des enregistrements DNS (A, CNAME, MX, TXT, DMARC, CAA) révèle l'hébergeur, le prestataire email, le CDN, et les services de sécurité. Par exemple, un enregistrement MX pointant vers inbound-smtp.brevo.com identifie Brevo comme fournisseur email transactionnel.
Analyse des en-têtes HTTP
Les headers de réponse serveur contiennent des marqueurs spécifiques. Un header cf-ray trahit Cloudflare. Un x-powered-by: Next.js identifie le framework. Un server: nginx sur une IP OVH confirme l'hébergeur.
Scripts et cookies tiers
Chaque script JavaScript et cookie déposé est analysé contre une base de plus de 400 signatures. Les conteneurs Google Tag Manager sont décompressés pour identifier les services configurés à l'intérieur (jusqu'à 44 types de services détectés dans un seul GTM).
Exploration de sous-pages
Certains services ne sont chargés que sur des pages spécifiques. Le crawler intelligent explore les pages stratégiques (contact, blog, checkout, politique de confidentialité) pour détecter les services invisibles depuis la page d'accueil.
Dépendances manuelles : au-delà du site web
Votre site web ne représente qu'une partie de votre SI. Les dépendances manuelles complètent le scan automatique :
| Catégorie | Exemples | Données concernées |
|---|---|---|
| CRM / ventes | Salesforce, HubSpot, Pipedrive | Contacts clients, historique commercial |
| Comptabilité | QuickBooks, Pennylane, Sage | Factures, données bancaires |
| RH / paie | BambooHR, Payfit, Lucca | Données salariés, contrats |
| Communication | Slack, Teams, Google Workspace | Messages internes, fichiers partagés |
| Stockage | Dropbox, Google Drive, OneDrive | Documents, archives |
| IA interne | ChatGPT, Copilot, Claude | Prompts, données métier injectées |
Dans le tableau de bord COCORRIDOR, vous pouvez ajouter ces dépendances manuellement avec leur région de données, leur coût mensuel, et leur classification RGPD.
Classification RGPD des dépendances
Chaque dépendance doit être classée selon la nature des données qu'elle traite. Le RGPD distingue :
- Données personnelles (article 4) : nom, email, IP, identifiant en ligne
- Données sensibles (article 9) : santé, opinions politiques, données biométriques, orientation sexuelle
- Données critiques pour l'entreprise : secrets commerciaux, propriété intellectuelle, données financières
Cette classification conditionne les mesures de sécurité requises et les clauses contractuelles nécessaires avec chaque sous-traitant (article 28 du RGPD).
De la cartographie au plan d'action
Une fois toutes les dépendances recensées, COCORRIDOR génère un plan de migration priorisé :
- Dépendances critiques (hébergement, base de données) : impact maximal sur le score, migration complexe mais indispensable
- Dépendances à fort impact (analytics, CRM) : rapport effort/impact favorable
- Quick wins (polices, CDN, trackers) : migration en quelques heures
Pour un accompagnement personnalisé, faites appel à un expert en migration souveraine du réseau COCORRIDOR.
Foire aux questions
La cartographie SI est-elle obligatoire légalement ?
Le terme "cartographie SI" n'apparaît pas dans le RGPD. Cependant, l'article 30 impose un registre des traitements qui nécessite de connaître précisément les sous-traitants et les flux de données. La CNIL recommande explicitement de cartographier les traitements comme première étape de mise en conformité (guide CNIL "Se mettre en conformité en 4 étapes", 2024).
Combien de temps prend une cartographie complète ?
Le scan automatique du site web prend 3 à 5 minutes. L'inventaire complet du SI (incluant les outils internes, la communication, le stockage) nécessite généralement 2 à 5 jours de travail pour une PME de 20 à 100 salariés, en impliquant chaque responsable de service.
Que faire avec les outils de shadow IT découverts ?
Trois options : (1) régulariser l'outil en ajoutant les clauses contractuelles RGPD (article 28), (2) remplacer par une alternative souveraine référencée dans le comparateur COCORRIDOR, (3) supprimer l'outil si aucune justification métier ne le requiert.
La cartographie doit-elle être mise à jour régulièrement ?
Oui. La CNIL recommande une revue annuelle au minimum. En pratique, chaque nouveau prestataire, chaque mise à jour de plugin, chaque changement de CMS doit déclencher une mise à jour de la cartographie. Le scan COCORRIDOR peut être programmé en surveillance continue pour détecter automatiquement les évolutions.