cas client

CHU de Lille avec myCarto

Cartographier le SI pour mieux soigner et mieux résister aux cyberattaques

Le CHU de Lille en bref…

  • 3 250 lits et places, plus grande capacité d’accueil pour un seul centre hospitalier universitaire en France
  • 10 établissements de santé du Nord regroupé au sein du GHT dont le CHU est établissement support
  • 115 collaborateurs Direction des Ressources Numériques et du Système d’Information (DRNSI)
  • 525 applications référencées

Comment le CHU de Lille, établissement support d’un GHT de 10 établissements, s’appuie sur myCarto pour maîtriser un patrimoine de 525 applications, renforcer sa conformité NIS2 et organiser la convergence des systèmes d’information de son territoire de santé.

Genèse : trois signaux qui ont accéléré la démarche de cartographie

La thématique de l’urbanisation du SI n’est pas nouvelle au CHU de Lille. Un premier outil avait été expérimenté, mais la démarche n’avait jamais pleinement décollé car trop complexe, trop coûteux et insuffisamment adopté.

Le vrai tournant intervient fin 2022, quand Thomas Aubin, RSSI du CHU de Lille et du GHT, découvre myCarto (alors SoluQIQ) lors d’un échange avec son homologue du SESAN. La reconnaissance est immédiate.

 

J’ai retrouvé dans myCarto la capacité de pivoter telle que le demande le référentiel de l’ANSSI : cartographie réseau, cartographie flux, cartographie serveurs, cartographie processus, cartographie applicative. C’est vraiment ce côté-là qui m’a tout de suite séduit. »

Thomas Aubin RSSI du CHU de Lille 

Trois signaux convergent alors pour faire de la cartographie une priorité :

La directive NIS2. Le CHU est une Entité Essentielle au sens du ReCyF (REférentiel CYber France) publié par l’ANSSI. Parmi les 20 familles de mesures qu’il définit, l’une est quasi intégralement dédiée à la cartographie du SI. La conformité n’est plus optionnelle.

Des opérations d’infrastructure complexes. Deux refontes consécutives du cœur de réseau avaient mis en évidence que sans référentiel croisé, mesurer l’impact d’une coupure impliquait de réunir des dizaines d’acteurs pour recouper manuellement des données éparpillées dans autant de silos. « Lors de ces deux grosses interventions sur l’infrastructure à chaque fois nous avons eu l’impression de refaire la même chose. » Magali Verschelde-Delettrez – Responsable Domaine Portefeuille Applicatif & Urbanisation et cartographie du SI

La cyberattaque du CH d’Armentières. En 2024, un établissement du GHT est victime d’une cyberattaque d’ampleur : 95% du SI chiffré, plus de 6 mois de reconstruction.

« Recouper de l’information dans un contexte de cyberattaque, avec de la pression venant de partout, sans référentiel consolidé, c’est très compliqué. Cette absence de référentiel unique est une des leçons majeures de ce qu’on a vécu à Armentières. » Précise Thomas Aubin

Le choix de myCarto : souplesse et cartes générées automatiquement

L’acquisition de myCarto et le renforcement de l’urbanisation sont portées conjointement par le RSSI et par Magali Verschelde-Delettrez, qui prend en charge l’urbanisation du SI à mi-temps, en parallèle de ses responsabilités de gestionnaire du portefeuille applicatif.

Par rapport aux approches antérieures, myCarto présente deux avantages décisifs :

  • le modèle de licences flottantes : il apporte de la souplesse dans l’usage et une démarche collaborative auprès des 210 utilisateurs directs
  • la génération automatique des cartes : l’information des référentiels est automatiquement propagée dans les cartes.
Vue d'ensemble du système d'information du CHU de Lille dans myCarto.

Ce qui m’a convaincu dans myCarto, c’est le fait que les cartes se génèrent toutes seules. Vous avez une fiche applicative, et elle se génère pour toutes les applications sans avoir à les dessiner une par une. C’est très puissant. »

Magali Verschelde-Delettrez – Urbaniste SI du CHU de Lille

MagaliVerschelde
Demander une démo

Une démarche de cartographie du SI pragmatique : montrer d'abord, demander ensuite

La stratégie de déploiement adoptée par le CHU est délibérément inversée par rapport à la pratique habituelle : avant même de demander aux équipes de renseigner la base, la DRN (Direction des Ressources Numériques) leur a montré ce qu’elles auraient à y gagner.

« On a montré aux gens à quoi ça pouvait leur servir avant même de leur demander de saisir de l’information. Si les gens n’y voient pas d’intérêt, l’information se déphase. Pas par mauvaise volonté, mais parce qu’on a toujours autre chose à faire. » Précise Magali Verschelde-Delettrez.

Cette logique se retrouve dans le déploiement fonctionnel : chaque nouvelle fonctionnalité est peaufinée, mise en situation, puis donnée à disposition. Les équipes voient l’outil évoluer en permanence et s’en approprient les usages progressivement.

Exemple de fiche applicative centralisée dans myCarto.

L'architecture de la cartographie : par couches, par usages

Le modèle de données a été construit à partir de deux sources : les exigences de l’ANSSI dans le cadre de NIS2, et les besoins concrets remontés par chaque équipe. Une approche maison, sans dogme méthodologique imposé de l’extérieur.

La couche applicative : le socle. Point de départ : une liste d’applications déjà bien structurée, avec un numéro unique par applicatif lié au référentiel achats. Ce pivot contractuel a permis d’initialiser myCarto rapidement. Aujourd’hui, 525 applications sont référencées avec leurs interlocuteurs métiers, responsables techniques, informations contractuelles et flux de données.

La couche infrastructure : Les données de la CMDB sont importées régulièrement. L’objectif est de relier chaque application à ses machines, puis chaque machine à son infrastructure physique, pour permettre des analyses d’impact précises lors des maintenances ou en cas de cyberattaque.

« Notre but, c’est de savoir si on doit repasser en réseau fermé : qu’est-ce qui fonctionne encore, qu’est-ce qui ne fonctionne plus ? Et dans quel ordre on redémarre ? »

Les processus métiers : par opportunisme. La modélisation BPMN est activée à la demande, notamment lors d’audits. Par exemple, un service de recherche  a modélisé son activité pour préparer une certification. L’ingénieur qualité impliqué en est devenu un ambassadeur naturel auprès de ses collègues.

Les plans de continuité d’activité. Intégrés dans myCarto, ils permettent d’identifier immédiatement, en cas d’incident, quels services sont impactés et dans quel ordre redémarrer les applications. Dans un CHU où certains services tournent 24h/24, cette information est vitale.

« On sait exactement qui sont les ‘lits chauds’ (services critiques). On peut les prévenir en amont et définir avec eux le meilleur horaire pour une intervention. »

La convergence du GHT. Un plan d’occupation des sols (POS) fonctionnel permet de visualiser les applications communes aux 10 établissements, d’identifier les redondances et de piloter la stratégie de convergence contractuelle à l’échelle du groupement.

Visualisation des liens entre applications, infrastructures et processus.

Les bénéfices : de la sérénité opérationnelle à la résilience cyber

Un référentiel unique. Avant myCarto, chaque nouveau projet générait des demandes pour lesquelles, la recherche d’information se faisait en spécifique. Pour la migration Windows, pour un audit, pour une opération d’infrastructure : autant de fichiers Excel parallèles, tous décalés les uns par rapport aux autres.

« Dans le cadre de migration d’OS des postes de travail, il fallait identifier les applications compatibles. On recréait une liste à chaque fois. Il y avait 50 fichiers Excel, tous déphasés. Avec myCarto, l’information est centralisée, unique, on ne duplique plus les données. »

Magali Verschelde-Delettrez, Urbaniste SI du CHU de Lille

Thomas Aubin souligne la même réalité côté sécurité :

« Quand vous avez plusieurs équipes qui gèrent leurs référentiels chacune dans leur coin, au bout de 6 mois ou d’un an, les référentiels seront désynchronisés. Et il sera à nouveau très difficile de les recouper. L’intérêt de myCarto, c’est aussi ça : un référentiel unique dans le temps. »

L’autonomie redonnée aux équipes. Le support externalisé utilise myCarto pour identifier rapidement les bons interlocuteurs. Les responsables d’applications y trouvent leur périmètre complet. Le RSSI et le DPO consultent les données dont ils ont besoin sans dépendre d’une sollicitation.

« Ce qui a changé, c’est le fait d’avoir donné de l’autonomie aux gens pour aller chercher l’information. Je répète moins la même chose, je suis moins sollicitée pour toujours les mêmes questions. »

Magali Verschelde-Delettrez, Urbaniste SI du CHU de Lille.

La sérénité avant les opérations à risque. À mesure que la couche infrastructure se complète, l’objectif est d’orchestrer les maintenances avec une fiabilité accrue : savoir ce qu’on arrête, dans quel ordre, sans oubli.

« On gagne surtout de la sécurité. Et essentiellement de la sérénité avant une opération. On minimise les risques d’erreur humaine, l’oubli d’une application critique. » Indique Magali Verschelde-Delettrez.

Pour Thomas Aubin, la capacité à se projeter dans des situations critique permet de mieux se préparer, d’affiner ses Plans de Reprise d’Activité ou ses Plans de Continuité d’Activité. « À partir du moment où on a une cartographie établie, on fait un clic droit, on simule l’impact, et on a directement la criticité, les professionnels à prévenir. C’est beaucoup plus difficile quand on n’a pas de référentiel unique. »

La cartographie du SI comme un indispensable de la panoplie cybersécurité. Pour Thomas Aubin, la question n’est plus de savoir si la cartographie est utile, mais de s’y mettre sans attendre.

« Pour gérer du risque, il faut être en connaissance du risque. Et pour ça, il faut une cartographie de son Système d’Informations. Un RSSI sans cartographie travaille à vue. Je ne sais pas comment il peut conduire une analyse de risque correcte. »

Et face à une cyberattaque, myCarto devient un outil de gestion de crise à part entière. Car derrière la résilience technique, c’est une mission qui est en jeu.

« L’enjeu majeur de mon métier de RSSI, c’est de faire en sorte que quoi qu’il arrive, l’établissement puisse continuer à prendre en charge ses patients, à soigner des gens, sans dégrader la qualité de soin. C’est ce qui doit nous gouverner. »

La relation avec AB+ Software : sur-mesure et réactivité

La mise en œuvre a été conduite avec un chef de projet AB+ Software en deux temps : une phase initiale de structuration, suivie d’une période d’appropriation autonome de plusieurs mois, puis une reprise d’assistance ciblée sur des besoins plus avancés.

« Le support est hyper réactif, et répond précisément à la question. Je n’ai jamais eu un seul appel où j’ai dû repréciser derrière. Et ce qui est bien, c’est qu’ils cherchent à comprendre comment on fonctionne, pas à nous imposer quelque chose de préformaté. »

Magali Verschelde-Delettrez, Urbaniste SI du CHU de Lille

Les conseils d’une urbaniste du SI et d’un RSSI

Pour Thomas Aubin, la démarche est un incontournable et doit s’appréhender au-delà de l’application :

  • Investissez dans un profil d’urbaniste. La construction du métamodèle demande une vision transversale du métier de la DSI. C’est un profil qui change tout, et une fois l’outil sur les rails, il fait le job, et il le fait bien.
  • Ne sous-estimez pas l’investissement interne. L’outil ne fait pas tout, même s’il est performant. Il faut du temps, des ressources dédiées et une vraie volonté de faire.
  • Ne remettez pas à plus tard. La cartographie est un indispensable, pas un chantier optionnel. Plus vous attendez, plus vous travaillez à vue.

Pour Magali Verschelde-Delettrez quatre points sont essentiels dans la démarche de cartographie du SI :

  • Définissez le métamodèle en amont, selon ce que vous voulez pouvoir interroger. Une modification après coup peut tout casser.
  • Ne saisissez que ce qui est utile. L’information pour l’information ne sert à rien.
  • Commencez petit, et enrichissez : Mieux vaut peu d’information fiable que beaucoup d’information approximative.
  • Montrez d’abord les cas d’usage. L’adhésion vient de l’utilité perçue, pas de l’injonction à renseigner.
Extrait du référentiel des 525 applications du CHU de Lille.

La question bonus : votre écran myCarto favori ?

Pour Thomas Aubin sans hésitation : le POS – Plan Occupation des Sols.

« Le POS est quelque chose d’assez incroyable. Pouvoir zoomer, pouvoir cliquer pour avoir l’information : c’est ce que ne fait pas un fichier Excel, ce que ne fait pas un PowerPoint, ce que ne fait pas Visio. »

Pour Magali Verschelde-Delettrez : les tableaux de bord métiers. La DRN a mis en place un dashboard par grande thématique, pour voir en un coup d’œil les applications, les documentations associées, les contrats qui arrivent à échéance, les documents en attente de mise à jour.

« L’objectif, c’est que myCarto devienne le réflexe de tout le monde : je cherche une information sur l’informatique, je vais la chercher là. »

Le POS offre une vue globale du patrimoine applicatif.

Informations complémentaires

Découvrez le Centre Hospitalier Universitaire de Lille via le site officiel : https://www.chu-lille.fr

Pour découvrir comment myCarto peut répondre à vos enjeux :

Organisez une Démo

Autres cas clients myCarto

Cas Client GIFI
En fusionnant deux outils en une solution unique avec myCarto, GIFI a unifié ses processus, applications, flux et données au sein d’une cartographie complète du SI, améliorant la productivité de la DSI et rendant la connaissance accessible à toute l’entreprise.
Voir le cas client
fleche jaune my carto
CAS-CLIENT-ANDRA
Découvrez comment l’Andra s’appuie sur myCarto pour structurer, fiabiliser et piloter la cartographie de son système d’information complexe, composé de 350 applications, dans un contexte hautement réglementé.
Voir le cas client
fleche jaune my carto
Bouygues Construction
Bouygues Construction, leader mondial du BTP, a choisi myCarto pour cartographier et rationaliser un patrimoine de 1 500 applications. En structurant son architecture d’entreprise, l’entreprise fiabilise ses données, accélère l’urbanisation du SI et modernise sa gouvernance informatique au service de 35 600 collaborateurs.
Voir le cas client
fleche jaune my carto
Ville de Lorient - Cas Client
Face à un SI complexe et hétérogène, la Ville de Lorient a adopté myCarto pour disposer d’une vision consolidée, rationaliser ses applications et mieux piloter ses flux interapplicatifs. Un projet structurant qui implique toute la DSI et renforce la cybersécurité de la collectivité.
Voir le cas client
fleche jaune my carto
Actia Cartographie du SI
Découvrez comment ACTIA Automotive structure son architecture d’entreprise grâce à une cartographie en couches, du métier à l’infrastructure, pour rationaliser son SI, faciliter ses pratiques ITIL et mieux collaborer avec les métiers.
Voir le cas client
fleche jaune my carto
Cas Client Université Paris Saclay
Comment assurer la gouvernance des services numériques d'une université aux multiples SI ? Découvrez à travers ce cas client comment la souplesse et la puissance de myCarto se sont avérées décisives dans un contexte exigeant et complexe.
Voir le cas client
fleche jaune my carto

Que pensez-vous du site my-carto.com ?

Avant tout merci de votre intérêt pour notre offre de cartographie du SI.

Le site est tout nouveau. Alors votre retour est précieux !

Votre avis sur le site ?

Cela prend 10 secondes.
(ou 2 minutes si vous souhaitez nous en dire un peu plus…)