Dans le domaine de la cybersécurité, la documentation du SI est clef. Pour certains organismes cependant, des documentations applicatives parraissent superflues, à tort. Le DAT fait partie des livrables stratégiques de la sécurité du SI.
Qu’est-ce qu’un DAT ?
Le Document d’Architecture Technique (DAT), souvent produit lors de la phase de conception ou d’évolution d’un système ou d’une application, est un document de référence qui décrit l’ensemble des composants technique d’un SI ou d’un projet informatique, ainsi que leurs interactions.
Il fournit une vision globale et structurée de l’environnement technique, et permet d’assurer une cohérence entre les choix d’architecture, les contraintes de sécurité, et les exigences métiers ou réglementaires.
A quoi sert le DAT ?
Le DAT répond à plusieurs objectifs :
- documenter l’existant ou le projeté : il permet, dans un projet, de garder une trace des choix techniques ;
- faciliter la maintenance et les évolutions : en centralisant les informations techniques, le DAT devient une base fiable pour identifier les besoins de maintenance ponctuels ou urgents ;
- faciliter la gestion des risques : le DAT permet d’identifier les points d’exposition du Système d’Information, les failles potentielles de ses composants, et les chemins d’attaque éventuels ;
- soutenir les Plan de Continuité d’Activité (PCA) et Plan de Reprise d’Activité (PRA) : le DAT permet d’anticiper les scénarios de crise en documentant les dépendances critiques.
Que contient un DAT ?
Le contenu peut varier selon les organismes, mais un Document d’Architecture Technique (DAT) complet contient généralement les éléments suivants :
- une description de l’architecture fonctionnelle et technique
>> Il s’agit de la cartographie des composants (serveurs, bases de données, réseaux, applicatifs, etc.) et les schémas d’infrastructure.
- les informations relatives aux flux de données
>> Il s’agit des flux entrants et sortants de données, et la description des protocoles utilisés.
- un inventaire des dépendances
>> Les dépendances et interconnexions entre les logiciels, les services tiers, les API utilisées, le partage de données entre applicatifs au sein du même SI, etc.
- les hypothèses et contraintes existant sur le SI
>> Ces contraintes sont souvent légales ou réglementaires, et liées au secteur d’activité de l’organisme (contrainte de certification HDS pour les organismes hébergeant de la donnée de santé par exemple, RGPD, DORA, NIS 2, …).
Pourquoi le DAT est-il crucial pour la sécurisation du SI ?
Maintenir un DAT à jour est un exercice documentaire difficile, mais est un acte de sécurité en soi.
Le DAT permet de détecter les risques liés à la méconnaissance du SI
Sans vision claire de l’architecture, certaines vulnérabilités peuvent passer inaperçues : serveurs oubliés non patchés, ports ouverts inutilement, flux de données non chiffrés, etc.
Le DAT aide à la gestion des incidents
Lors d’un incident de sécurité (intrusion, ransomware, …) le DAT permet d’identifier rapidement les composants impactés, les chemins de propagation potentiels ou réels de l’attaque, et de réagir ainsi plus rapidement.
Le DAT permet de maîtriser les évolutions techniques
Une modification technique au sein du SI (migration vers le cloud, ajout d’une API, …) peut introduire de nouveaux risques, ou élever des risques précédemment traités, si elle n’est pas analyser dans le contexte global du SI. Le DAT permet ainsi de réaliser une analyse des impacts d’un choix, selon une approche systémique.
En résumé :
Le DAT contient des informations importantes sur votre applicatif (langages de programmation, librairies, composants, interactions avec le SI, …) ou sur votre Système Informatique (composants logiciels, dépendances, flux de données, …) au sein de votre Système d’Information.
C’est un document complet, qui doit être maintenu / mis à jour régulièrement, et qui permet à votre organisme d’anticiper les mises à jour de sécurité nécessaires, de mieux analyser vos choix technologiques ou techniques, et d’avoir une connaissance globale de votre SI.
Ce document est nécessaire à vérifier et suivre le respect de vos obligations réglementaires de sécurité liées à votre contexte sectoriel (certifications, respect du RGPD, de DORA, de NIS 2, etc.).
_____________________________________
Vous souhaitez être assistés dans la conception de votre / vos DAT ? Contactez-nous pour découvrir comment nous pouvons vous accompagner dans votre démarche.