Mercator gagne en profondeur d’analyse, s’aligne sur le RGPD CNIL et s’invite sur les scènes d’une conférence et d’un podcast !
🌲 Analyse de dépendances : vue des dépendances amont/aval
Mercator s’enrichit d’une vue permettant d’analyser les dĂ©pendances en amont et en aval de chaque objet. Plus besoin de naviguer manuellement de nĹ“ud en nĹ“ud : la structure hiĂ©rarchique des relations apparaĂ®t d’un coup d’Ĺ“il, facilitant les analyses d’impact avant incident ou avant une maintenance planifiĂ©e. IdĂ©al pour les Ă©quipes qui doivent analyser ou rapporter rapidement les dĂ©pendances d’un actif critique Ă leurs Ă©quipes, leur direction ou Ă leurs auditeurs.
⚙️ Choix du moteur de rendu dans les vues
Il est dĂ©sormais possible dans les vues de sĂ©lectionner le moteur de rendu graphique directement depuis l’interface de l’explorateur. Dot, Neato, FDP, Sfdp, Twopi, Circo — chaque moteur Graphviz produit un rendu diffĂ©rent selon la nature et la densitĂ© du graphe. Cette flexibilitĂ© permet d’optimiser la lisibilitĂ© selon le contexte : cartographie rĂ©seau dense, vue applicative ou analyse d’impact multi-couches. Un paramètre simple, pour un confort visuel très concret.
đź”’ Registre des traitements RGPD : alignement complet avec les exigences de la CNIL
Le registre des traitements de Mercator a Ă©tĂ© entièrement revu pour s’aligner sur le registre officiel CNIL (mis Ă jour en mars 2026). Plusieurs champs ont Ă©tĂ© renommĂ©s pour correspondre au texte RGPD — "Base juridique du traitement", "DurĂ©e de conservation des donnĂ©es", "CatĂ©gories de destinataires des donnĂ©es" — et de nouveaux champs ont Ă©tĂ© ajoutĂ©s : data_source, data_collection_obligation, data_subject_rights, et automated_decision_making. Pour les organisations soumises au RGPD, la complĂ©tude et l’auditabilitĂ© du registre n’ont jamais Ă©tĂ© aussi solides.
Voir le modèle de données →
🌳 Hiérarchie des informations : classifications multi-niveaux
Les objets "Information" dans Mercator peuvent dĂ©sormais ĂŞtre organisĂ©s en hiĂ©rarchie parent/enfant, chaque niveau conservant son propre niveau de classification. Cette Ă©volution permet de modĂ©liser fidèlement la rĂ©alitĂ© documentaire des organisations — du rĂ©fĂ©rentiel de donnĂ©es mĂ©tier aux actifs les plus sensibles — tout en garantissant une traçabilitĂ© fine des niveaux de sensibilitĂ©. Un atout majeur pour les RSSI et les DPO qui structurent leur gouvernance de l’information.
📋 Deming : périodicité hebdomadaire, registre des risques et gestion des exceptions
Plusieurs Ă©volutions importantes sont en cours dans Deming ce mois-ci. La pĂ©riodicitĂ© hebdomadaire des contrĂ´les est dĂ©sormais disponible, pour les organisations qui ont besoin d’un suivi Ă haute frĂ©quence. Par ailleurs, deux discussions communautaires très actives mĂ©ritent votre attention : le registre des risques (discussion #562) — nous allons clĂ´turer cette discussion prochainement, la fonctionnalitĂ© sera disponible le mois prochain ! — et la gestion des exceptions/non-conformitĂ©s (issue #590), qui propose un workflow de validation des exceptions liĂ© aux contrĂ´les non conformes. Venez partager votre cas d’usage et voter : vos retours façonnent directement la roadmap.
Participer au registre des risques → | Participer à la gestion des exceptions →
🎧 Podcast : "La cybersécurité expliquée à ma grand-mère"
Mercator fait l’objet d’un Ă©pisode dĂ©diĂ© dans le podcast "La cybersĂ©curitĂ© expliquĂ©e Ă ma grand-mère" — la cartographie du SI dĂ©mystifiĂ©e, accessible, et prĂ©sentĂ©e dans un format qui donne vraiment envie de s’y mettre. Si vous cherchez un contenu Ă partager avec vos Ă©quipes ou vos dirigeants pour expliquer pourquoi cartographier son SI, c’est par lĂ !
🎤 BSides Luxembourg 2026 : Mercator à la conférence
Mercator sera prĂ©sentĂ© Ă la confĂ©rence BSides Luxembourg 2026 avec la session "Mapping the Invisible: Why System Cartography Matters for Security and Compliance". Une occasion de rencontrer la communautĂ©, d’Ă©changer sur les cas d’usage rĂ©els, et de comprendre pourquoi la cartographie de SI est bien plus qu’un exercice de conformitĂ© — c’est un outil opĂ©rationnel de pilotage de la sĂ©curitĂ©. Ă€ venir !
Chaque retour, chaque issue, chaque discussion fait avancer les deux projets. Continuez à partager vos expériences — et si vous participez à BSides Luxembourg, venez nous dire bonjour !
Liens utiles : Documentation | Support communautaire | Guide d’installation
A busy April: Mercator aligns with GDPR/CNIL requirements, gains deeper analysis capabilities, and steps into the spotlight at BSides !
🌲 Dependency Analysis: Tree View for Upstream and Downstream Dependencies
Mercator gains a tree view for analyzing upstream and downstream dependencies of any object. No more manual node-by-node navigation: the hierarchical structure of relationships appears at a glance, making impact analysis before incidents or planned maintenance much faster. Ideal for teams that need to quickly analyse or explain the dependencies of a critical asset to management or auditors.
⚙️ Rendering Engine Selection in the Explorer
It is now possible to select the Graphviz rendering engine directly from the explorer interface. Dot, Neato, FDP, Sfdp, Twopi, Circo — each engine produces a different layout depending on the nature and density of the graph. This flexibility lets you optimize readability depending on context: dense network maps, application views, or multi-layer impact analysis. A small setting with a very real impact on visual clarity.
🌳 Information Hierarchy: Multi-Level Classification
Information objects in Mercator can now be organized into parent/child hierarchies, with each level maintaining its own classification level. This makes it possible to faithfully model real-world data governance structures — from business data repositories to the most sensitive assets — while ensuring fine-grained traceability of sensitivity levels. A major asset for CISOs and DPOs structuring their information governance.
đź”’ Processing Register: Full GDPR/CNIL Alignment
Mercator’s processing register has been thoroughly revised to align with the official CNIL GDPR register (updated March 2026). Several fields have been renamed to match the GDPR text — "Legal basis for processing", "Data retention period", "Categories of data recipients" — and new fields have been added: data_source, data_collection_obligation, data_subject_rights, and automated_decision_making. For GDPR-regulated organizations, the completeness and auditability of the register have never been stronger.
đź“‹ Deming: Weekly Frequency, Risk Register & Exception Management
Several significant updates are in progress in Deming this month. Weekly control frequency is now available for organizations that need high-frequency monitoring. Two very active community discussions also deserve your attention: the risk register (discussion #562) — this discussion will close soon, and the feature will be available next month! — and exception/non-conformity management (issue #590), which proposes a validation workflow for exceptions linked to non-compliant controls. Share your use case and cast your vote — your feedback shapes the roadmap directly.
Join the risk register discussion → | Join the exception management discussion →
🎤 BSides Luxembourg 2026: Mercator on Stage
Mercator will be presented at BSides Luxembourg 2026 in a session titled "Mapping the Invisible: Why System Cartography Matters for Security and Compliance". A great opportunity to meet the community, discuss real-world use cases, and understand why IT cartography is far more than a compliance exercise — it’s an operational security management tool. Stay tuned!
Every issue, every discussion, every piece of feedback moves both projects forward. Keep sharing your experiences — and if you’re attending BSides Luxembourg, come say hello!
Useful links: Documentation | Community support | Installation guide
Sourcentis | Mercator | Deming