Inventaire des actifs informatiques
Recensement physique du parc IT, audit des écarts et réconciliation avec vos outils de découverte et votre CMDB — la preuve d'inventaire que vos auditeurs attendent.
L'inventaire des actifs informatiques consiste à recenser, sur le terrain, l'ensemble du matériel IT de l'organisation — postes de travail, serveurs, équipements réseau, écrans et périphériques, terminaux mobiles — puis à confronter cet existant aux référentiels censés le décrire : outils de découverte, CMDB, fichier des immobilisations. C'est le socle de la gestion de parc (ITAM), de la cybersécurité et de la conformité.
Car la réalité est têtue : un parc informatique bouge en permanence — renouvellements, mobilité, télétravail, casse, sorties jamais tracées — et les référentiels décrochent. Sur les parcs non réconciliés, 15 à 30 % des lignes ne correspondent plus à la réalité du terrain : des actifs fantômes que l'on continue d'amortir et de maintenir, et du matériel bien réel mais inconnu des outils. Or un actif inconnu n'est ni patché, ni chiffré, ni supervisé : c'est un angle mort de sécurité autant qu'une anomalie comptable.
L'enjeu n'est plus seulement opérationnel. Audit de certification ISO 27001 (contrôle A.5.9), registre RGPD (article 30), directive NIS2 : vos auditeurs exigent désormais un inventaire d'actifs exhaustif, à jour et démontrable. CPCON ne délivre pas de certification : forts de plus de 30 ans d'expérience et de plus de 4 500 projets d'inventaire, nous produisons la preuve d'inventaire que vos auditeurs exigent — un référentiel constaté sur le terrain, opposable en audit.
Trois représentations du parc — une seule réalité
Physique, logique, référentiels : trois images du même parc qui divergent silencieusement. Notre audit les croise — le terrain fait foi, chaque écart est qualifié, et vos référentiels repartent justes.
L'inventaire physique
Le constat du réel : chaque équipement est vu, identifié (numéro de série, modèle), localisé, affecté et étiqueté. C'est la seule source qui voit aussi ce qui est débranché — matériels en stock, écrans et périphériques, postes en attente de réaffectation, équipements partis en télétravail.
L'inventaire logique
Ce que voient vos outils : scans réseau, agents, MDM, EDR, annuaire. Indispensable au quotidien, mais structurellement incomplet : un équipement hors réseau, jamais enrôlé ou hors domaine est invisible. La découverte automatique décrit ce qui est connecté — pas ce qui existe.
La CMDB et les référentiels
CMDB, outil ITAM, fichier des immobilisations : les référentiels consolident, mais ne constatent rien. Sans réconciliation périodique avec le terrain, ils accumulent doublons, statuts périmés et actifs disparus. Une CMDB n'est fiable que si elle est régulièrement confrontée au physique.
Notre méthode en quatre étapes
01
Cadrage et préparation
Définition du périmètre (sites, datacenters, stocks, typologies : postes, serveurs, réseau, mobilité), collecte des référentiels existants (CMDB, exports MDM/EDR, annuaire, fichier des immobilisations), choix de la nomenclature et des clés de rapprochement — numéro de série, adresse MAC, étiquette. Le protocole est validé avec la DSI, le RSSI et la direction financière.
02
Recensement terrain et étiquetage
Nos équipes inventorient salle par salle, baie par baie : numéro de série, modèle, localisation, affectation, état. Chaque actif reçoit une étiquette code-barres ou RFID, identifiant physique durable du parc. La collecte est 100 % digitale et horodatée — bureaux, datacenters, stocks et sites distants compris.
03
Réconciliation physique × logique × CMDB
Croisement multi-sources entre le constat terrain, vos outils de découverte et vos référentiels : présents non référencés, référencés introuvables, doublons, affectations et localisations erronées, écarts avec le fichier comptable. Chaque écart est documenté, qualifié et soumis à une règle de décision.
04
Restitution et gouvernance
Livraison des référentiels fiabilisés (CMDB/outil ITAM, fichier des immobilisations), rapport d'écarts opposable en audit, propositions de sorties comptables, procédures d'entrées, de mouvements et de sorties, et plan d'inventaires tournants — fortement accélérés par le RFID.
La conformité que vos auditeurs vérifient
ISO 27001 — contrôle A.5.9. La version 2022 de la norme exige un « inventaire des informations et autres actifs associés » exact, tenu à jour, avec un propriétaire désigné pour chaque actif. L'auditeur de certification ne se contente pas d'un fichier : il échantillonne, de l'inventaire vers le terrain et du terrain vers l'inventaire. Notre guide ISO 27001 et le contrôle A.5.9 détaille ce qu'il attend.
RGPD — article 30 et cartographie CNIL. Le registre des activités de traitement suppose de savoir où les données circulent ; la CNIL recommande de cartographier ses traitements — donc les matériels et systèmes qui les portent. Impossible de garantir la sécurité (article 32) ou l'effacement sur un poste, un serveur ou un disque dont on ignore l'existence : une sortie de matériel non tracée est un scénario classique de violation de données.
NIS2 — la gestion des actifs devient réglementaire. La directive (UE) 2022/2555, dite NIS2, est entrée en vigueur ; sa transposition française, pilotée par l'ANSSI, soumet des milliers d'entités essentielles et importantes à des mesures de gestion des risques cyber incluant explicitement « la gestion des actifs » (article 21.2.i). Difficile de démontrer la maîtrise d'un système d'information dont on ne sait pas dénombrer les composants.
Et le volet comptable. Le matériel informatique est aussi une immobilisation : amortissement sur la durée réelle d'utilisation (PCG), mises au rebut à comptabiliser (ANC 2022-06) et obligation d'inventaire physique annuelle de l'article L123-12 du Code de commerce. Un seul passage terrain alimente les deux mondes : la DSI et la direction financière.
Ce que l'audit de votre parc vous apporte
- La preuve d'inventaire que vos auditeurs exigent : audit de certification ISO 27001, contrôle CNIL, exigences NIS2, commissaire aux comptes
- Une CMDB et un outil ITAM enfin alignés sur le terrain, avec des clés de rapprochement durables (étiquettes, numéros de série)
- La détection des actifs fantômes et du matériel inconnu de vos outils — angles morts de sécurité autant que de budget
- Des économies mesurables : maintenance et licences payées sur du matériel disparu, achats en doublon, primes et taxes assises sur le réel
- Un fichier des immobilisations informatiques fiabilisé : amortissements justes, mises au rebut enfin comptabilisées
- Des inventaires récurrents accélérés par l'étiquetage RFID — jusqu'à 10 fois plus rapides qu'au code-barres
Pour aller plus loin : nos guides ISO 27001 et le contrôle A.5.9 et ITAM et CMDB : pourquoi votre CMDB ment, ou découvrez comment l'étiquetage RFID transforme vos inventaires récurrents.
Questions fréquentes
Quelle différence entre votre inventaire physique et un outil de découverte réseau ?
Un outil de découverte (scan réseau, agent, MDM) décrit ce qui est connecté et enrôlé ; il ne voit ni les matériels en stock, ni les équipements débranchés ou hors domaine, ni les écrans et périphériques. Notre inventaire physique constate l'existant sur le terrain, équipement par équipement. Les deux approches se complètent : la réconciliation utilise vos exports d'outils comme source logique, confrontée au constat physique.
Que demande concrètement l'auditeur ISO 27001 au titre du contrôle A.5.9 ?
Un inventaire des informations et autres actifs associés exhaustif, exact, tenu à jour, avec un propriétaire désigné pour chaque actif. En pratique, l'auditeur échantillonne dans les deux sens : il tire des actifs de l'inventaire et va les chercher sur le terrain, puis choisit des équipements en salle et vérifie qu'ils figurent à l'inventaire. Notre livrable est conçu pour cet exercice : constat terrain daté, étiquettes posées, écarts soldés.
Délivrez-vous la certification ISO 27001 ?
Non — la certification est délivrée par un organisme certificateur accrédité, à l'issue de son propre audit. Notre rôle se situe en amont : produire la matière première que cet audit exige, c'est-à-dire un inventaire d'actifs exhaustif constaté sur le terrain, réconcilié avec vos référentiels et documenté. Plus de 30 ans de pratique et plus de 4 500 projets d'inventaire nous permettent de livrer une preuve solide, opposable à l'auditeur.
Le RGPD impose-t-il un inventaire du matériel informatique ?
Pas littéralement, mais il l'exige de fait. Le registre des activités de traitement (article 30) et l'obligation de sécurité (article 32) supposent de savoir sur quels matériels, serveurs et supports les données personnelles circulent — la CNIL recommande d'ailleurs de cartographier ses traitements. Impossible de garantir le chiffrement ou l'effacement d'un disque dont on ignore l'existence : une sortie de matériel non tracée est un scénario classique de violation de données.
Sommes-nous concernés par NIS2, et quel est le lien avec l’inventaire ?
La directive NIS2 est entrée en vigueur et sa transposition française, pilotée par l'ANSSI, soumet des milliers d'entités essentielles et importantes (énergie, transport, santé, numérique, industrie, administrations…) à des mesures de gestion des risques cyber. La gestion des actifs y figure explicitement (article 21.2.i). L'inventaire physique du parc est la première brique démontrable : on ne protège ni ne déclare ce que l'on ne sait pas dénombrer.
Combien de temps dure un inventaire des actifs informatiques ?
Cela dépend du nombre de sites et d'équipements. À titre indicatif, un siège tertiaire se traite en quelques jours ; un réseau multi-sites ou un parc avec datacenters se planifie en campagne de quelques semaines, zone par zone et sans interruption d'activité. L'étiquetage RFID posé lors de l'inventaire initial divise la durée des campagnes récurrentes par 5 à 10.
Votre parc IT, prouvé et réconcilié
Sites, volumes, référentiels en place (CMDB, MDM, fichier comptable) : décrivez votre contexte et recevez un protocole d'inventaire et de réconciliation sur mesure.
Demander un devisOu écrivez-nous directement : contact@cpcongroup.com