Très bon retour d’expérience de David Savary (Université de Tours) sur un sujet souvent oublié : la résilience de la cartographie applicative elle-même.

Quand le réseau tombe, c’est précisément le moment où la cartographie devient critique… et pourtant souvent inaccessible. La solution présentée est simple, pragmatique et efficace : exports automatisés de Mercator, enrichis par des requêtes, stockés hors ligne via Nextcloud, et alignés directement sur le PRA de l’établissement.

Résultat : une cartographie opérationnelle en situation de crise, utilisable même sans SI fonctionnel. C’est exactement ce qu’on attend d’une démarche sécurité mature.

Très bon exemple aussi de convergence cartographie / supervision avec Zabbix pour garder les données vivantes dans le temps.

Organisation de la résilience de la cartographie applicative avec des outils open source

Par : David Savary
Coordinateur des projets DSI
January 10, 2026

💡 Après notre participation à #Rempar25 organisé par l’ANSSI - Agence nationale de la sécurité des systèmes d’information, l’idée de disposer des informations de la cartographie applicative du Système d’Information (SI) en cas de coupure du réseau s’est vite imposée au sein de mon établissement, l’Université de Tours. Techniquement, la solution que nous avons construite est supportée par 3 composants open source : #Mercator pour la carto, #Zabbix pour la supervision des hôtes et #Nextcloud (autohébergé) pour le stockage et le partage, et 1 quatrième qui l’est un peu moins, #n8n pour la création des flux d’automatisation.

🔁 Si le réseau est coupé, impossible d’accéder à Mercator et donc à la cartographie. C’est un peu une gageure parce que si il y a bien un moment dans la vie où on voudrait pouvoir s’appuyer sur elle, c’est lors de la résolution d’un incident d’origine cyber …

L’idée nous est donc venue de profiter des rapports que Mercator génère, à la demande. Ils couvrent un large périmètre du SI, suffisant pour une première expérience. Nous avons donc créé un flux dans n8n qui se connecte à l’API de Mercator pour générer chaque jour des exports de tous les rapports proposés par l’application. Nous les complétons par des requêtes sur les tables. Ces requêtes vont par exemple extraire les applications cartographiées, et les classer en fonction de critères ou de mots clefs saisis dans Mercator. Nous utilisons actuellement ce procédé pour rassembler les applications dans des cercles qui déterminent l’ordre dans lequel nous devons relancer le SI ; c’est la traduction du PRA (plan de reprise d’activité) adopté par l’université de Tours, qui décrit la reprise d’activité sous forme de cercles concentriques. Ce modus operandi fait aujourd’hui partie de notre organisation de la gestion des crises d’origine cyber.

🖧 Pour pouvoir disposer des rapports et des résultats des requêtes lorsque la connexion au réseau ou à l’internet est coupée, ils sont déposés par le flux n8n dans un dossier de notre instance Nextcloud. Ce dossier est partagé et synchronisé sur plusieurs ordinateurs de notre direction, en mode “toujours disponible sur l’appareil”. Lorsque qu’un incident survient, si le réseau est hors service, nous disposons tout de même, hors connexion, et sur plusieurs terminaux, de l’ensemble de la cartographie applicative grâce aux infos issues de Mercator, rafraichies chaque jour.

❓ Et Zabbix dans tout ça ? Ce superviseur a été utilisé au début de notre projet, pour charger en masse les hôtes et vm dans Mercator. Puis nous avons convenu de tags positionnés dans Zabbix, qui nous permettent de faire le lien entre les données de Zabbix et celles de Mercator. L’idée, qui n’est pas encore complètement réalisée, est d’automatiser des échanges réguliers entre les 2 applications pour nous aider à maintenir les informations à jour de part et d’autre.

👏 Ce post n’est absolument pas le fruit d’un partenariat commercial, mais je souhaite remercier Didier Barzin, développeur de Mercator, au travers de Sourcentis, pour son soutien dans notre démarche, et notamment la mise à disposition des endpoints de l’API qui nous permettent aujourd’hui de télécharger les rapports de Mercator. Et bien sûr Laurent Beunèche, #RSSI de l’université, le vrai moteur de cette dynamique, soutenue par Francis Herry #adminsys, et dont l’impulsion est donnée par Marc Le Bris (Directeur SI).

Source : LinkedIn