Aller au contenu
NIS2 IPAM & CMDB Conformité Sécurité réseau

IPAM, CMDB et NIS2 : comment la gestion des actifs réseau devient un levier de conformité

Sans référentiel réseau fiable connecté à la CMDB, la conformité NIS2 reste sur le papier. Voici ce que la combinaison IPAM + CMDB change concrètement.

Mars 2026 7 min de lecture teemIP SAS

Le problème de fond

NIS2 ne vous demande pas d’acheter un outil précis. Elle impose de démontrer que vous maîtrisez vos risques cyber, que votre direction en assure la gouvernance et que vous pouvez détecter, qualifier et notifier un incident en quelques heures. Pour cela, il faut connaître son périmètre réseau et savoir qui possède quoi. Beaucoup d’organisations ne le savent pas vraiment.

Comment notifier un incident en 24 heures si l’on ne sait pas à quel service appartient l’adresse IP impliquée, ni qui en est responsable dans la CMDB ? L’IPAM couplé à la CMDB est souvent la pièce manquante.

NIS2 concerne notamment les articles 20 (gouvernance), 21 (mesures de sécurité) et 23 (notification d’incidents). Le règlement d’exécution (UE) 2024/2690 précise des exigences concrètes : inventaire d’actifs classifié, journalisation, droits d’accès, historique des changements. En France, l’ANSSI met à disposition le ReCyF comme point d’appui pratique pendant que la transposition nationale se finalise.

IPAM, CMDB : deux référentiels complémentaires

La CMDB recense les actifs de l’organisation : serveurs, équipements, applications, contrats, responsables. L’IPAM documente le plan d’adressage : préfixes, plages, zones DNS, scopes DHCP, segments réseau. Seuls, chacun reste incomplet. Ensemble, ils forment un inventaire exploitable pour NIS2.

Outil
Ce qu’il couvre
Exemples de données
CMDB
Actifs, propriétaires
Applications, contrats, criticité métier
IPAM / DDI
Adresses IP, préfixes
Zones DNS, scopes DHCP, VLAN, VRF, segments
Résultat combiné
Bénéfice NIS2
Exemple concret
IP rattachée à un service
Traçabilité immédiate
Propriétaire identifié en secondes lors d’un incident
Preuve d’audit disponible
Conformité art. 21 & 23
Historique des changements réseau documenté

Dans teemIP, cette intégration est native : le modèle de données unifie IPAM et CMDB, ce qui permet de lier directement chaque objet réseau à un équipement, une application, un responsable ou un contrat de service. C’est l’un des avantages les plus concrets pour un programme NIS2.

Ce que IPAM + CMDB apportent à NIS2

📋
Inventaire des actifs

L’IPAM enrichit la CMDB avec la réalité réseau : chaque adresse, plage et segment est lié à un équipement, un propriétaire et une criticité. C’est l’alignement le plus direct avec le règlement 2024/2690.

📊
Journalisation enrichie

Les logs réseau s’enrichissent des métadonnées IPAM/CMDB : quelle IP, dans quel segment, rattachée à quel service et quel responsable. Les angles morts de journalisation deviennent identifiables.

🚨
Réponse aux incidents

À partir d’une IP observée dans un SIEM, on remonte via l’IPAM vers le préfixe, puis via la CMDB vers le service affecté, l’équipe propriétaire et l’exposition. Gain direct sur le délai de notification de l’article 23.

🏛️
Gouvernance et preuve d’audit

Historique des modifications réseau, droits d’accès, exports versionnés, lien entre IP et actif CMDB. Lors d’un contrôle, la chaîne de preuve est documentée de bout en bout.

Où IPAM et CMDB ne suffisent pas

Quatre angles morts à ne pas négliger.

1. Détection active : savoir qu’une adresse appartient à un équipement CMDB ne dit pas si cet équipement est compromis, vulnérable ou administré de façon anormale. L’EDR, le NDR et la gestion des vulnérabilités restent indispensables.
2. Qualité des données : une CMDB mal maintenue rend l’IPAM moins fiable. La valeur de la liaison IPAM/CMDB dépend directement de la qualité des données des deux côtés. Des revues périodiques sont indispensables.
3. Environnements dynamiques : les environnements cloud, les workloads éphémères et les baux DHCP volatils rendent rapidement caduc un inventaire alimenté à la main. Des connecteurs, des API cloud et des imports automatiques sont nécessaires.
4. Preuve opposable : dans NIS2, faire ne suffit pas, il faut montrer. Un IPAM sans journal d’audit, sans workflow d’approbation et sans exports documentés reste utile à l’exploitation, mais fragile face à un contrôle de supervision.

Architecture cible

L’IPAM ne fonctionne pas seul. Il prend sa pleine valeur NIS2 au centre d’un écosystème connecté.

Alimentation
Scans réseau Baux DHCP API cloud SNMP
Noyau
IPAM / DDI + CMDB (teemIP)
Exploitation
SIEM ITSM IAM / PAM SOAR

Checklist opérationnelle

  • Couvrir tout le périmètre utile dans l’IPAM : on-prem, filiales, cloud, sites distants.
  • Lier chaque objet réseau à un actif CMDB : propriétaire, classification, criticité métier.
  • Synchroniser l’IPAM avec DNS, DHCP, annuaires et API cloud pour maintenir l’inventaire à jour.
  • Tracer tous les changements réseau avec demande, approbation, implémentation et preuve.
  • Enrichir le SIEM avec les métadonnées IPAM/CMDB pour accélérer la résolution IP vers service.
  • Définir la liste des actifs journalisés et la confronter régulièrement au référentiel IPAM.
  • Appliquer RBAC, MFA et revues périodiques sur l’accès à l’IPAM et à la CMDB.
  • Organiser un exercice incident complet : alerte SIEM, qualification via IPAM/CMDB, notification NIS2.
À noter : la qualité de l’inventaire NIS2 dépend de la cohérence entre IPAM et CMDB. Des données désynchronisées entre les deux référentiels sont une source fréquente d’échec lors d’un contrôle ou d’une crise.

Vous voulez évaluer où en est votre périmètre IPAM/CMDB vis-à-vis de NIS2 ?

Un atelier de cadrage permet d’identifier les lacunes en quelques heures.

Demander un atelier de cadrage