Contrôle 1 — Inventaire et contrôle des actifs informatiques
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Le Contrôle 1 établit la base de toute stratégie de cybersécurité : un inventaire complet et tenu à jour de tous les actifs matériels connectés au réseau.
Pourquoi ce contrôle est critique ?
L'inventaire des actifs est le point de départ de tous les autres contrôles CIS. Sans liste exhaustive des appareils autorisés, impossible d'appliquer des politiques de mise à jour (C7), de contrôle d'accès (C6) ou de surveillance réseau (C13). Les attaques exploitant des actifs oubliés — un vieux serveur non patché, un appareil personnel d'un ex-employé — représentent une part significative des brèches en PME. Le Rapport Verizon DBIR note régulièrement que les actifs non inventoriés figurent parmi les facteurs aggravants les plus fréquents.
Procédures & outils recommandés
L'approche recommandée combine une découverte passive (écoute du trafic réseau) avec un scan actif périodique. Pour les PME sans outil dédié, un tableur Excel suffit comme point de départ, à condition d'être mis à jour à chaque achat ou retrait d'appareil. L'inventaire doit inclure : type d'actif, adresse MAC, adresse IP, utilisateur assigné, OS, date de fin de support.
- Lansweeper (gratuit jusqu'à 100 actifs) — découverte automatique réseau
- Netbox (open source) — inventaire réseau et IPAM
- Intune / Microsoft Endpoint Manager — si déjà sur Microsoft 365
- Nmap (gratuit) — scan réseau manuel ponctuel
- Tableur Excel/Google Sheet — solution minimale viable pour démarrer
Tableau des Safeguards
5 Safeguards au total : 2 IG1, 2 IG2, 1 IG3.
| # | Action (Safeguard) | IG | Classe d'actif |
|---|---|---|---|
| 1.1 | Établir et tenir à jour un inventaire détaillé de tous les actifs de l'entreprise (ordinateurs, serveurs, appareils mobiles, IoT, équipements réseau). Inclure : type, adresse MAC, adresse IP, propriétaire, département. | IG1 | Appareils |
| 1.2 | Mettre à jour l'inventaire à chaque changement (achat, retrait). Tout actif non inventorié détecté doit être isolé ou retiré du réseau dans les 24h. | IG1 | Appareils |
| 1.3 | Utiliser un outil de découverte active du réseau (scan automatisé) pour identifier tous les appareils connectés. Exécuter au minimum une fois par semaine. | IG2 | Appareils |
| 1.4 | Utiliser les journaux DHCP pour mettre à jour automatiquement l'inventaire des actifs (corrélation adresse IP ↔ MAC ↔ nom d'hôte). | IG2 | Réseau |
| 1.5 | Déployer un outil de découverte passive du réseau (analyse du trafic sans envoi de paquets actifs) pour identifier les actifs furtifs ou qui n'émettent pas régulièrement. | IG3 | Réseau |
Application pour les PME québécoises
Pour une PME de moins de 50 employés, commencer par un inventaire Excel simple : nom de l'appareil, type, utilisateur assigné, date d'achat, système d'exploitation, date de fin de support. Programmer une révision trimestrielle. Dès que le budget le permet, Lansweeper Community Edition automatise la découverte et s'intègre avec Active Directory.
Quiz de validation — 5 questions
1. Que faire d'un actif détecté sur le réseau qui n'est pas dans l'inventaire ?
2. Quel outil gratuit permet de faire un scan réseau pour découvrir les actifs ?
3. Combien de Safeguards IG1 contient le Contrôle 1 ?
4. Quelle est la différence entre découverte active et passive du réseau ?
5. Quel lien existe entre l'inventaire des actifs (C1) et la Loi 25 ?
Voir aussi