Mercator — Connaître, comprendre et maîtriser votre SI
À l’heure où les cyberattaques se multiplient et se complexifient, où NIS2 impose de nouvelles obligations aux entités essentielles et importantes, et où la surface d’attaque des organisations ne cesse de s’étendre, cartographier son système d’information n’est plus une option. C’est le point de départ indispensable de toute stratégie de sécurité efficace.
Mercator est un outil Open Source de cartographie SI, né du terrain et aligné sur les recommandations de l’ANSSI. Il s’adresse aux RSSI, responsables IT et équipes techniques qui veulent reprendre le contrôle de leur système d’information avec une solution pragmatique, accessible et éprouvée — sans investissement logiciel majeur.
Pourquoi Mercator ?
Beaucoup d’outils de cartographie sont trop complexes, trop coûteux ou trop rigides pour une adoption rapide. Mercator est né du terrain, pour le terrain.
📊 Conforme ANSSI
Aligné sur le guide de cartographie de l'ANSSI. Score de maturité automatique, identification des écarts, rapports prêts pour audits.🔓 100 % Open Source
Licence GPL. Code source ouvert, transparent, personnalisable. Aucun module caché, aucun frein à l'adoption.🚀 Facile à déployer
Installation en quelques minutes via Docker ou guide d'installation détaillé. Prise en main rapide pour les équipes techniques.🤝 Communauté active
500+ étoiles GitHub, contributeurs internationaux, forum actif. Élu Meilleur Projet Open Source OW2 2024.Sept vues pour une cartographie complète — du contrat fournisseur à la salle machine
Mercator organise la cartographie de votre système d’information en sept vues complémentaires, couvrant l’intégralité du périmètre — des relations contractuelles jusqu’aux équipements physiques.
Vue du RGPD — Le registre des traitements et vos mesures de sécurité.
Vue écosystème — Fournisseurs, partenaires, sous-traitants et les relations contractuelles qui vous lient à eux.
Vue du système d’information — Vos processus, vos activités, vos acteurs et les informations qu’ils manipulent.
Vue de l’administration — Les annuaires, les zones les administrateurs.
Vue applicative — Tous vos logiciels, regroupés en blocs applicatifs, avec leurs bases de données et leurs services.
Vue administration — Souvent oubliée, pourtant critique : qui a le droit de modifier quoi ? Les comptes à privilèges, les annuaires d’entreprise, les droits d’accès.
Vue infrastructure logique — Réseaux, VLANs, pare-feux, zones de sécurité, flux de données.
Vue infrastructure physique — Serveurs, baies, salles, sites.
Analyse d’impact et exploration interactive
Cliquez sur n’importe quel objet de la cartographie pour visualiser instantanément ses dépendances en amont et en aval. Depuis une application, remontez jusqu’aux serveurs qui l’hébergent, aux bases de données, et aux processus métiers qu’elle supporte — ou suivez le chemin inverse.
Cette navigation transforme une documentation statique en une carte vivante de votre infrastructure.
Mercator permet notamment de détecter les SPOF (points de défaillance uniques) avant qu’ils deviennent des incidents, d’analyser l’impact d’une panne ou d’un changement avant qu’il se produise, de visualiser les chaînes de dépendances sur plusieurs niveaux, et de planifier la continuité d’activité avec des données fiables et à jour.
Conformité et maturité
Mercator calcule un score de maturité de votre cartographie à partir de la complétude et de la qualité des informations. Vous obtenez une vue claire de vos écarts, par domaine (gouvernance, protection, défense, résilience), avec une priorisation des actions d’amélioration.
Les rapports générés sont directement exploitables pour vos audits, comités de direction et revues réglementaires (NIS2, ISO 27001, HDS).
BPMN 2.0 — Le pont entre métier et infrastructure
Mercator intègre un éditeur BPMN 2.0 pour modéliser vos processus métiers et les connecter directement à votre infrastructure technique.
Concrètement, cela vous permet de répondre en quelques secondes à des questions critiques : Quels processus métiers sont affectés si ce serveur tombe en panne ? Quelles applications supportent ce processus réglementaire ? Quels flux techniques sous-tendent ce service essentiel ?
C’est le chaînon manquant entre l’équipe IT et la direction, et entre la cartographie technique et les exigences de la conformité NIS2.
API REST et intégrations
Mercator expose une API REST complète, documentée en OpenAPI/Swagger, pour s’intégrer nativement dans votre écosystème IT existant. Chaque objet de la cartographie — applications, serveurs, flux, processus — est accessible, créable et modifiable via l’API, avec une authentification sécurisée et un contrôle fin des droits d’accès.
L’API ouvre la voie à une cartographie vivante, alimentée en continu par vos outils : synchronisation bidirectionnelle avec votre CMDB (ServiceNow, GLPI…), import automatique depuis Active Directory, VMware ou Kubernetes, export vers vos plateformes GRC ou de gestion des risques.
Elle permet également d’intégrer Mercator dans vos pipelines CI/CD pour mettre à jour la cartographie à chaque déploiement, ou de développer des connecteurs personnalisés vers vos outils métiers. Une documentation interactive OpenAPI est disponible directement depuis l’interface.
Rapports et tableaux de bord
Des tableaux de bord dynamiques donnent une vue synthétique de votre paysage informatique : répartition des actifs, taux de documentation, indicateurs de conformité, évolution du parc.
Mercator génère également des rapports professionnels exportables en PDF, Excel et CSV : inventaire d’actifs, analyse des fournisseurs, cartographie applicative, état de conformité. Prêts pour vos audits et vos comités de direction.
Ils utilisent Mercator
Mercator est déployé dans des hôpitaux, grandes écoles, centres de recherche, administrations et entreprises privées — en France et dans plus de 30 pays.
Ce qu’en disent les utilisateurs
« Un grand bravo pour cet outil accessible qui nous permet aujourd’hui d’avancer sur nos travaux de cartographie. »
— Responsable IT, hôpital certifié ISO 27001
« La mise en œuvre de Mercator a été un vrai gain de temps pour notre équipe. L’intégration des recommandations ANSSI est un atout majeur. »
— CISO d’une grande école française
« Encore merci pour Mercator, qui continue d’être un outil de référence dans notre entreprise ! »
— Directeur technique, entreprise e-commerce
Reconnaissance de la communauté
🏆 Meilleur Projet Open Source OW2 2024
Mercator a été élu Meilleur Projet Open Source 2024 par la communauté OW2, pour la qualité du code, la richesse de la documentation, la dynamique communautaire et l’impact réel dans le domaine de la cybersécurité.
500+ ⭐ GitHub · 72 forks · 30+ pays
Présentations en conférences
Mercator a été présenté dans les conférences majeures de la communauté sécurité et Open Source : 🎥 Voxxed Days 2025, 🎥 Hack.lu 2024, 🎥 SSTIC 2023, 📰 Linux Pratique n°146.
Open Source et support professionnel
Mercator est entièrement gratuit
Toutes les fonctionnalités de Mercator sont disponibles gratuitement sous la licence GPL. Il n'y a ni modules cachés, ni limitations fonctionnelles, ni intelligence artificielle. L'assistance communautaire est assurée via GitHub Issues et Discussions.
Contrat de support professionnel
Pour les organisations qui ont besoin de garanties contractuelles, Sourcentis propose un contrat de support annuel. Il comprend un temps de réponse garanti (4h à 48h selon la criticité), un support par e-mail avec interlocuteur dédié, la livraison de correctifs sous 5 jours ouvrés, un accompagnement à l'installation et à la prise en main, ainsi que l'accès à la base de connaissances avancée.
Idéal pour : établissements de santé, entités essentielles NIS2, grandes organisations, tout contexte où la disponibilité de l'outil est critique et où un SLA contractuel est requis.
Sourcentis est référencé sur le marché RESAH APoLLO 77, ce qui permet aux établissements de santé et acteurs publics de contractualiser sans appel d'offres.
Démarrer avec Mercator
Installation rapide — Suivez le guide d'installation sur GitHub ou déployez en quelques minutes avec Docker.
Documentation complète — Tout est disponible sur dbarzin.github.io/mercator : configuration, API, guides par fonctionnalité.
Rejoindre la communauté — Posez vos questions, partagez vos retours et contribuez sur GitHub Discussions.