Audit RGPD, cession, cyberattaque : si votre SI n’est pas documenté, vous naviguez à l’aveugle. Voici les 35 documents que tout DSI doit produire — et pourquoi ça change tout pour votre CEO.
Si demain un auditeur, un repreneur ou votre assureur cyber vous demandait de prouver que votre système d’information est maîtrisé, que sortiriez-vous du tiroir ? Pour la très grande majorité des PME, la réponse honnête est : pas grand-chose. Quelques contrats prestataires, peut-être un antivirus, et la connaissance empirique d’un technicien qui « sait comment ça marche ».
Ce n’est pas un reproche. C’est un constat structurel. Piloter un SI, ce n’est pas installer des logiciels. C’est produire et maintenir un corpus documentaire vivant, structuré en domaines, qui permet de prendre des décisions éclairées, de réagir en cas de crise, et de rendre des comptes à la direction, aux partenaires et aux régulateurs. C’est précisément ce que fait un DSI — et ce que peu d’entreprises ont formalisé.
Ce que le CEO perd quand le SI n’est pas documenté
Avant de parler documents, parlons risques concrets pour le dirigeant.
Un sinistre cyber sans PRA documenté, c’est une entreprise qui redémarre à l’aveugle. Sans procédure de reprise formalisée et testée, le délai de reprise après un ransomware passe de quelques heures à plusieurs semaines. Le coût d’un tel arrêt — perte de chiffre d’affaires, pénalités clients, coûts de reconstruction — dépasse systématiquement celui de la prévention.
Un audit RGPD ou un appel d’offres grand compte, c’est souvent là que les PME découvrent l’étendue de leurs lacunes. Les grandes entreprises et les organismes publics exigent désormais de leurs fournisseurs des garanties documentées sur la sécurité et la protection des données. Sans registre des traitements, sans politique de sécurité, certains marchés deviennent inaccessibles.
Une cession ou une levée de fonds, enfin, implique une due diligence IT. Un SI non documenté déprécie la valorisation de l’entreprise et allonge les délais de transaction. Les acheteurs sérieux fuient les actifs numériques dont personne ne maîtrise les contours.
La valeur ajoutée du DSI : produire et maintenir ce référentiel
Un prestataire technique répare ce qui est cassé. Un DSI construit ce qui empêche la casse — et documente l’état du SI pour que les décisions puissent être prises sur des faits, pas sur des intuitions.
La cartographie des documents d’un SI s’organise en 8 domaines. Chacun correspond à une responsabilité de gouvernance distincte. Voici ces documents, leur objectif, leur contenu et leur fréquence de mise à jour.
Domaine 1 — Gouvernance & Stratégie
Ces documents donnent à la direction une vision claire des ambitions et des moyens alloués au SI. Ils constituent le cadre dans lequel toutes les décisions IT s’inscrivent.
Le Schéma Directeur du SI
Document de référence stratégique, révisé tous les 3 à 5 ans. Il décrit l’état actuel du SI (cartographie applicative, infrastructure, organisation), la vision cible à horizon 3 ans, les axes de transformation priorisés et la feuille de route des projets. C’est le document que le DSI présente au CODIR pour aligner le numérique sur les ambitions business — croissance, internationalisation, acquisition, excellence opérationnelle.
Le Budget IT pluriannuel
Tableau de bord financier du SI sur 3 ans, ventilé par catégorie : infrastructure, licences SaaS, projets, sécurité, support. Il permet à la direction de piloter le ratio IT/CA (généralement entre 2 % et 5 % selon le secteur), d’anticiper les investissements, et d’évaluer le retour sur investissement des projets numériques. Sans ce document, les dépenses IT sont subies plutôt que décidées.
Le Portefeuille de projets
Liste vivante de tous les projets IT en cours ou planifiés, avec leur priorité, leur sponsor métier, leur budget estimé et leur statut. Il sert de base au comité de pilotage mensuel et garantit que les ressources IT (internes et externes) sont allouées aux projets qui ont le plus d’impact business.
Le Tableau de bord de pilotage SI
Synthèse mensuelle des indicateurs clés : disponibilité des services, délais de résolution des incidents, avancement des projets, consommation budgétaire, taux de conformité aux patches de sécurité. C’est le document que le DSI remet chaque mois à la direction — l’équivalent du reporting financier, mais pour le système d’information.
Domaine 2 — Sécurité (PSSI)
Ces documents définissent les règles du jeu en matière de sécurité et en garantissent l’application. Ils forment le socle de toute démarche de conformité.
La Politique de Sécurité du SI (PSSI)
Document fondateur de la sécurité informatique de l’entreprise. Elle définit les principes directeurs (confidentialité, intégrité, disponibilité), les responsabilités de chacun, les règles techniques minimales (authentification, chiffrement, réseau) et les obligations réglementaires applicables. La PSSI n’est pas un document technique : c’est un document de gouvernance, approuvé par la direction générale, opposable à tous les collaborateurs et prestataires.
La Charte informatique utilisateur
Document remis et signé par chaque collaborateur lors de son arrivée. Elle traduit la PSSI en règles concrètes et compréhensibles pour les non-techniciens : ce qu’on peut faire, ce qui est interdit, comment signaler un incident, et les sanctions encourues en cas de manquement. Son objectif est double : informer et responsabiliser. Sans charte signée, l’entreprise a du mal à engager la responsabilité d’un collaborateur en cas d’incident lié à un comportement imprudent.
La Politique de gestion des mots de passe et du MFA
Document opérationnel qui fixe les exigences techniques : longueur minimale, complexité, durée de validité, historique, règles de verrouillage. Il précise également les contextes dans lesquels l’authentification multi-facteurs (MFA) est obligatoire — accès distant, applications critiques, comptes administrateurs. Dans un contexte où le phishing et le credential stuffing représentent plus de 80 % des vecteurs d’entrée d’une cyberattaque, ce document est critique.
La Classification des informations
Référentiel qui catégorise toutes les informations de l’entreprise en niveaux : Public, Interne, Confidentiel, Secret. Pour chaque niveau, il définit les règles de manipulation, de stockage, de partage et de destruction. Ce document est le prérequis à toute politique de DLP (prévention des fuites de données) et à la mise en place de contrôles d’accès cohérents.
Le Registre des risques SI
Tableau de suivi des principaux risques identifiés sur le SI : ransomware, fuite de données, indisponibilité hébergeur, erreur humaine, perte d’un prestataire clé. Pour chaque risque, il évalue la probabilité, l’impact, la criticité et les mesures de réduction en place. Il est revu annuellement et présenté au comité de sécurité. C’est la base de tout dialogue éclairé avec la direction sur le niveau d’exposition réel de l’entreprise.
Domaine 3 — Continuité d’activité
Ces documents répondent à une seule question : si le SI s’arrête demain matin, comment reprend-on l’activité, en combien de temps, et avec quelles données ?
Le Plan de Reprise d’Activité (PRA)
Document opérationnel qui définit les procédures de restauration du SI après un sinistre majeur (incendie, ransomware, panne datacenter). Il précise les deux indicateurs clés : le RTO (Recovery Time Objective, durée maximale d’indisponibilité tolérée) et le RPO (Recovery Point Objective, perte de données maximale acceptable). Il liste les systèmes prioritaires à remettre en service, les contacts des prestataires, les procédures techniques de restauration et les responsabilités. Un PRA non testé n’est qu’un document de confort : il doit faire l’objet d’un exercice annuel.
Le Plan de Continuité d’Activité (PCA)
Complémentaire au PRA, le PCA s’intéresse aux processus métier : lesquels sont critiques, quelle est leur dépendance au SI, et comment maintenir une activité minimale si le SI est partiellement ou totalement indisponible ? Il définit les modes dégradés opérationnels — travailler sans ERP, sans messagerie, sans accès à distance — et les procédures manuelles de substitution.
La Politique de sauvegarde (règle 3-2-1-1)
Document qui formalise la stratégie de sauvegarde pour chaque système critique : fréquence (quotidienne, hebdomadaire), rétention (30 jours, 90 jours, 1 an), type (incrémentale, complète), emplacement (local, hors site, immuable), et fréquence des tests de restauration. La règle 3-2-1-1 — 3 copies, sur 2 supports différents, dont 1 hors site et 1 hors ligne — est aujourd’hui le standard minimal pour résister à une attaque par ransomware.
Domaine 4 — Gestion des incidents
Ces documents organisent la réponse aux crises de sécurité, de la détection initiale jusqu’au retour d’expérience.
La Procédure de gestion des incidents
Processus documenté en étapes séquentielles : détection, signalement, qualification (gravité), confinement, investigation, éradication, reprise, notification et bilan post-incident. Elle précise les délais d’escalade selon le niveau de gravité, les canaux de signalement, les responsables à chaque étape, et les obligations de notification légale (CNIL sous 72h en cas de violation de données personnelles). Sans cette procédure, chaque incident est géré différemment, de manière improvisée, avec des risques de contamination, de perte de preuves et de non-conformité réglementaire.
Le Registre des incidents de sécurité
Journal permanent de tous les incidents détectés, leur nature, leur gravité, leur durée, leur cause racine et les actions correctives engagées. Tenu à jour en continu, il permet d’identifier les tendances, de mesurer l’efficacité des mesures de sécurité dans le temps, et de constituer un dossier en cas de contentieux ou de contrôle réglementaire.
Domaine 5 — Conformité & RGPD
Ces documents matérialisent les obligations légales de l’entreprise en matière de protection des données personnelles. Ils sont exigibles à tout moment par la CNIL.
Le Registre des traitements RGPD
Inventaire exhaustif de tous les traitements de données personnelles réalisés par l’entreprise : données clients, données RH, prospects, vidéosurveillance, cookies… Pour chaque traitement : la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité associées. Ce document est une obligation légale pour toutes les entreprises de plus de 250 salariés, et une bonne pratique fortement recommandée pour les PME.
La DPIA (Analyse d’Impact relative à la Protection des Données)
Étude de risques réalisée avant le déploiement de tout traitement susceptible de présenter un risque élevé pour les droits des personnes : vidéosurveillance de salariés, profilage clients, traitement de données sensibles (santé, opinions politiques…). La DPIA documente les risques identifiés et les mesures prises pour les réduire. Elle est obligatoire dans certains cas définis par la CNIL.
Les DPA (Data Processing Agreements)
Contrats de sous-traitance au sens RGPD, signés avec chaque prestataire qui traite des données personnelles pour le compte de l’entreprise : hébergeur, éditeur SaaS, intégrateur, prestataire RH. Ils définissent les obligations du sous-traitant, les mesures de sécurité requises, les conditions d’audit et les clauses de réversibilité. En l’absence de DPA, l’entreprise reste juridiquement responsable des manquements de ses prestataires.
Domaine 6 — RH & Cycle de vie des accès
Ces documents garantissent que les droits d’accès au SI sont accordés, modifiés et révoqués de manière contrôlée, à chaque étape de la vie d’un collaborateur.
Les Procédures d’onboarding et d’offboarding IT
Deux procédures séquentielles qui encadrent l’arrivée et le départ de chaque collaborateur. À l’arrivée : création des comptes selon le principe du moindre privilège, remise du matériel avec bordereau de prise en charge, remise et signature de la charte informatique, formation sécurité initiale. Au départ : révocation simultanée de TOUS les accès le jour J, récupération du matériel, archivage de la messagerie. Ces procédures semblent administratives — elles sont en réalité critiques. Un compte non révoqué après départ est une porte d’entrée ouverte pendant des mois ou des années.
La Matrice des droits d’accès par profil de poste
Tableau qui définit, pour chaque profil de poste (commercial, comptable, RH, manager, administrateur IT…), les applications et ressources auxquelles il a accès. Elle sert de référence lors de la création d’un compte, d’un changement de poste ou d’une revue annuelle des accès. Elle matérialise le principe de moindre privilège et la séparation des tâches — deux piliers fondamentaux de la sécurité des accès.
Domaine 7 — Infrastructure & Exploitation
Ces documents décrivent l’état réel du SI et constituent la mémoire technique de l’entreprise. Sans eux, le SI dépend des personnes, pas d’une organisation. Archimate peut constituer une réponse rapide et visuelle.
La Cartographie applicative
Tableau de bord de toutes les applications utilisées dans l’entreprise : éditeur, version, mode d’hébergement (SaaS, on-premise, cloud), criticité métier, niveau de satisfaction, coût, fin de support prévisible. C’est le document de référence pour toute décision d’évolution applicative et pour l’évaluation de la dette technique. Sans cartographie applicative, il est impossible de répondre à des questions simples comme « Quelles applications seront en fin de support dans 18 mois ? » ou « Quel est notre niveau de dépendance à un éditeur donné ? »
Le Schéma d’architecture réseau
Représentation visuelle du réseau de l’entreprise : équipements (firewalls, switches, serveurs, points d’accès Wi-Fi), segmentation par VLAN, flux entre les zones, connexions internet et VPN, DMZ. Ce document est indispensable pour toute intervention sur l’infrastructure, pour évaluer l’exposition d’un actif et pour identifier les chemin d’attaque potentiels lors d’un audit de sécurité.
La CMDB — Inventaire des actifs IT
Base de données recensant tous les actifs informatiques de l’entreprise : postes de travail, serveurs, équipements réseau, licences logicielles, contrats de maintenance. Elle permet de savoir, à tout moment, quel matériel est en parc, son état, son propriétaire, sa date de fin de garantie et ses dépendances. La CMDB est le fondement de la gestion du cycle de vie des actifs IT et l’outil principal de l’inventaire lors d’un sinistre ou d’une migration.
Domaine 8 — Fournisseurs & Prestataires
Ces documents encadrent la relation avec les tiers qui ont accès au SI ou aux données de l’entreprise — une surface de risque souvent sous-estimée.
Les Contrats prestataires avec clauses de sécurité
Tout contrat liant un prestataire ayant accès au SI doit intégrer : clause de confidentialité, obligation de respecter la PSSI, description précise des données accessibles, engagement sur les mesures de sécurité, obligation de notification en cas d’incident, droit d’audit et clause de réversibilité. Sans ces clauses, l’entreprise n’a aucun levier contractuel en cas de manquement du prestataire — et reste juridiquement exposée pour les dommages causés par un tiers en son nom.
Le Registre des accès prestataires
Liste tenue à jour mensuellement de tous les accès ouverts à des prestataires : qui a accès à quoi, depuis quand, jusqu’à quand, et avec quel niveau de droits. Ce registre permet de détecter des accès obsolètes (prestataire dont la mission est terminée mais dont le compte est resté actif) et de produire rapidement un état des accès tiers en cas d’incident ou d’audit.
La règle des trois priorités
Face à ce corpus de 35 documents, la question naturelle est : par où commencer ?
Priorité absolue — à mettre en place dès maintenant : La PSSI, la charte informatique, les procédures d’onboarding/offboarding, le PRA, la procédure de gestion des incidents et le registre des traitements RGPD. Ces six socles couvrent les risques les plus immédiats et les obligations légales les plus contraignantes.
Dans les six premiers mois : Le schéma directeur SI, la cartographie applicative, la CMDB, la matrice des droits d’accès, la politique de sauvegarde et le tableau de bord de pilotage. Ces documents transforment une gestion réactive en pilotage proactif.
Pour atteindre un niveau de maturité élevé (an 1-2) : Le registre des risques, les DPA avec tous les prestataires, les DPIA pour les traitements sensibles, le catalogue de services IT, le plan de gestion des patches et le rapport d’audit externe annuel.
« Un SI piloté n’est pas un SI parfait. C’est un SI dont on connaît l’état, les risques et les priorités — et pour lequel les décisions se prennent sur des faits. » — La Boussole Digitale
Ce que ce référentiel change pour le CEO
La sérénité opérationnelle. Vous pouvez répondre à n’importe quelle question sur votre SI — par un client, un auditeur, un banquier — sans dépendre de la présence d’une seule personne.
La résilience en cas de crise. Un incident cyber, une panne majeure, le départ d’un technicien clé : votre organisation dispose des procédures pour réagir sans improviser.
La capacité à faire valoir votre sérieux. Appel d’offres grands comptes, certification ISO, relation avec votre assureur cyber, négociation avec des investisseurs : ces documents sont des preuves tangibles de maturité numérique.
L’alignement entre le SI et la stratégie. Chaque euro investi en IT est documenté, priorisé, et relié à un objectif business. Vous ne subissez plus vos dépenses IT — vous les pilotez.
Un DSI à temps partagé pour construire et maintenir ce référentiel
Produire ces 35 documents demande du temps, de la méthode et une connaissance fine des enjeux métier autant que techniques. C’est un travail de fond, pas une mission ponctuelle.
C’est exactement ce que fait un DSI à temps partagé : il construit ce référentiel avec vous, le maintient à jour, l’anime dans les instances de gouvernance — et vous donne enfin les moyens de piloter votre SI comme un actif stratégique, pas comme un centre de coûts subi.
La Boussole Digitale propose une mission d’audit initial de 2 jours qui permet de cartographier l’existant, d’identifier les documents manquants et de définir le plan de mise en conformité documentaire prioritaire.
Contenu réservé
Cet article est réservé aux contacts de La Boussole Digitale.
Entrez votre email pour y accéder.