/ Blog / Évaluer votre maturité cyber : comment passer du mode « Pompier » au mode « Stratège » grâce au CMMI ?
Vue panoramique d'une salle de contrôle moderne avec un professionnel analysant des tableaux de bord de sécurité sur plusieurs écrans
Publié le 17 mai 2024

L’évaluation de la maturité n’est pas un score à atteindre, mais un langage pour traduire les efforts techniques en valeur métier pour votre direction.

  • Elle permet de documenter une progression tangible, même si le nombre d’attaques reste élevé.
  • Elle aide à prioriser les investissements là où le risque métier est le plus critique, optimisant ainsi le budget.

Recommandation : Commencez par cartographier vos processus actuels face aux 5 niveaux de maturité pour identifier les gains rapides et construire un argumentaire solide pour votre prochaine présentation budgétaire.

Vous renforcez les défenses, mettez en place de nouveaux outils, mais le nombre d’alertes et d’incidents ne baisse pas. Face à votre direction, comment justifier que vos équipes ne font pas que « courir après les problèmes » ? Le DSI se retrouve souvent dans cette position délicate : devoir prouver l’efficacité de sa stratégie de cybersécurité avec des indicateurs qui semblent toujours au rouge. La tentation est grande de se reposer sur des audits annuels ou l’achat du dernier outil à la mode, en espérant que cela suffise à rassurer.

Ces approches, bien que nécessaires, ne montrent qu’une partie de l’histoire. Elles mesurent un état à un instant T ou une capacité technologique, mais rarement la progression et la structuration des processus. Et si le véritable enjeu n’était pas d’atteindre un score de sécurité parfait, mais d’utiliser un modèle de maturité comme le CMMI (Capability Maturity Model Integration) pour raconter une histoire ? L’histoire d’une progression maîtrisée, passant du mode « pompier » héroïque qui éteint les incendies, au mode « stratège » qui pilote le risque, anticipe les menaces et dialogue avec le métier.

Cet article n’est pas un guide académique sur le CMMI. C’est une feuille de route pour le DSI qui veut se réapproprier le narratif de la cybersécurité. Nous verrons comment structurer une évaluation qui a du sens pour le CODIR, comment éviter le piège de viser une perfection coûteuse et inutile, et comment transformer cet exercice en un puissant levier de pilotage et de justification budgétaire. L’objectif : faire de la maturité cyber votre meilleur allié stratégique.

Pour vous guider dans cette démarche, cet article explore les facettes essentielles de l’évaluation de la maturité cyber. Vous découvrirez une méthodologie structurée pour passer d’une posture réactive à une véritable stratégie de défense pilotée par les processus.

Sommaire : Piloter sa maturité cyber au-delà des indicateurs techniques

Pourquoi structurer votre évaluation autour de « Identifier, Protéger, Détecter, Répondre, Rétablir » ?

Adopter une structure d’évaluation reconnue est la première étape pour passer d’une conversation technique à un dialogue stratégique. Le framework du NIST, avec ses fonctions clés, offre bien plus qu’une simple checklist : il fournit un langage commun pour décrire le cycle de vie de la gestion du risque cyber. En France comme ailleurs, cette approche est devenue une référence pour sa clarté et sa complétude. Au lieu de lister des outils, vous commencez à décrire des capacités métier : notre capacité à savoir ce que nous devons protéger (Identifier), à le sécuriser (Protéger), à voir quand quelque chose ne va pas (Détecter), à agir face à un incident (Répondre) et à revenir à la normale (Rétablir).

La fonction Identifier est le socle de tout pilotage par la valeur. Avant de pouvoir justifier un budget pour protéger un actif, il faut l’avoir identifié et évalué sa criticité pour l’entreprise. C’est ce qui permet de concentrer les efforts là où l’impact métier est le plus fort. La fonction Protéger, quant à elle, inclut des mesures comme l’authentification multifacteur (MFA), souvent l’un des investissements au ROI le plus rapide et visible. Les fonctions Détecter, Répondre et Rétablir forment la colonne vertébrale de votre résilience. Elles mesurent votre capacité non pas à éviter 100% des attaques — un objectif irréaliste — mais à en minimiser l’impact et à garantir la continuité de l’activité.

Cette structure transforme l’audit de maturité. Ce n’est plus une liste de contrôles techniques abscons pour la direction, mais une évaluation de cinq compétences stratégiques fondamentales. Pour un DSI, c’est l’opportunité de montrer des progrès mesurables dans chaque domaine. Par exemple, même si le nombre de détections augmente (ce qui peut être perçu négativement), vous pouvez démontrer une amélioration drastique du temps de réponse ou de rétablissement, prouvant ainsi que l’équipe maîtrise mieux les incidents. Comme l’indique le NIST Cybersecurity Framework 2.0, en y ajoutant la fonction « Gouverner », ces six domaines offrent une vue d’ensemble complète de la gestion des risques.

Pourquoi viser le niveau 5 (Optimisé) partout est une perte d’argent inutile pour une PME ?

Le modèle CMMI présente une échelle de maturité en cinq niveaux, où le niveau 5 « Optimisé » représente le Saint-Graal : une organisation en amélioration continue, pilotée par les données et l’innovation. La tentation est grande de fixer cet objectif pour tous les processus de sécurité. Pour un DSI, cela semble être la cible ultime à présenter à une direction en quête d’excellence. Pourtant, pour la majorité des entreprises, et en particulier les PME, c’est une erreur stratégique et une source de gaspillage financier. L’approche holistique du CMMI peut vite devenir « décourageante » et peu engageante si elle est perçue comme un sommet inaccessible.

Le coût et la complexité pour atteindre les niveaux 4 (Maîtrisé quantitativement) et 5 (Optimisé) sont exponentiels. Ils exigent des investissements massifs en outillage de mesure, en analyse statistique et en équipes dédiées à l’optimisation des processus. Selon l’analyse du modèle CMMI par OCTO, le niveau 5 incarne une excellence où veille et amélioration continue sont systémiques. Est-il pertinent de déployer de tels moyens pour protéger un périmètre à faible risque ou un processus non critique pour le cœur de métier ? La réponse est non. Le rôle d’un stratège n’est pas de viser l’or partout, mais d’allouer les ressources là où elles génèrent le plus de valeur.

C’est ici qu’intervient le concept de maturité sélective (ou ciblée). Pour un système de paie ou la protection de la propriété intellectuelle, viser un niveau 4 peut être justifié. Pour la gestion des comptes invités sur le Wi-Fi, un niveau 2 (Répétable) ou 3 (Défini) est souvent largement suffisant. L’auditeur de gouvernance en vous doit se poser la question : quel est le niveau de maturité *approprié* au regard du risque métier ? Viser le niveau 5 partout, c’est comme équiper une voiture de ville de freins en carbone-céramique de Formule 1 : c’est impressionnant sur le papier, mais parfaitement inutile et coûteux au quotidien.

De l’héroïsme individuel à la procédure documentée : comment savoir où vous en êtes ?

Avant de pouvoir piloter la maturité, il faut établir une ligne de base. Où se situe réellement votre organisation aujourd’hui ? La plupart des DSI ont une idée intuitive, mais pour convaincre un board, l’intuition ne suffit pas. Il faut une mesure, même simple, basée sur un modèle reconnu. Le CMMI offre une grille de lecture simple pour cette auto-évaluation. La question fondamentale est : vos succès en matière de sécurité reposent-ils sur des processus structurés ou sur l’héroïsme de quelques individus clés ?

Voici une grille simplifiée pour vous positionner :

  • Niveau 1 (Initial / Héroïque) : Les processus sont chaotiques, imprévisibles. Un incident est résolu grâce à l’intervention d’un expert qui « connaît le système ». Le succès n’est pas reproductible et dépend de la disponibilité de cette personne. Comme le note Microsoft, les succès dépendent d’héroïques individuels plutôt que de processus reproductibles.
  • Niveau 2 (Répétable) : Des procédures de base existent et sont documentées. Face à un incident similaire, l’équipe sait suivre une recette. Le processus est reproductible au niveau du projet ou de l’équipe.
  • Niveau 3 (Défini) : Les processus sont standardisés et partagés à l’échelle de toute l’organisation. Tout le monde utilise les mêmes outils et les mêmes procédures pour une tâche donnée. C’est le premier niveau où la maturité devient un actif de l’entreprise et non plus de l’équipe.
  • Niveau 4 (Maîtrisé) : L’organisation mesure la performance de ses processus. Vous avez des indicateurs (KPIs) clairs : temps moyen de résolution, nombre de faux positifs, etc. Les décisions sont prises sur la base de données.
  • Niveau 5 (Optimisé) : L’analyse des données du niveau 4 sert à améliorer proactivement les processus. On ne se contente pas de réagir, on anticipe.

Cette distinction est cruciale. L’héroïsme coûte cher, n’est pas scalable et crée une dette technique et organisationnelle. Une procédure documentée, même simple (Niveau 2), est un actif qui se capitalise. D’après la définition donnée par le CMMI, la maturité est le degré auquel une organisation a déployé des processus documentés, gérés, mesurés et contrôlés. Cette évaluation initiale, même approximative, permet de fixer des objectifs réalistes : passer du niveau 1 à 2 sur la gestion des accès est déjà une victoire stratégique immense.

Votre plan d’action pour un premier audit de maturité

  1. Points de contact : Listez tous les processus où la sécurité intervient (gestion des arrivées/départs, développement, réponse à incident, etc.).
  2. Collecte : Pour chaque processus, inventoriez les documents existants (procédures, checklists, politiques). Sont-ils à jour ? Sont-ils utilisés ?
  3. Cohérence : Confrontez ces documents aux pratiques réelles. L’équipe suit-elle la procédure ou existe-t-il une « méthode officieuse » plus efficace ?
  4. Mémorabilité/émotion : Repérez les « points de douleur » et les succès qui reposent sur un individu unique (« Quand [Prénom] est en vacances, on ne touche à rien »).
  5. Plan d’intégration : Identifiez 2 ou 3 processus clés où passer du niveau 1 à 2 aurait le plus d’impact (ex: formaliser la procédure de restauration d’une sauvegarde).

Le risque de se donner des bonnes notes pour rassurer le board en masquant les vraies lacunes

L’auto-évaluation est un point de départ nécessaire, mais elle comporte un risque majeur : le biais d’optimisme. Il est humain de vouloir présenter un tableau rassurant, surtout lorsque les résultats sont destinés à la direction. Le DSI, pris entre la pression du terrain et les attentes du board, peut être tenté d’arrondir les angles. Le problème est que ce « vernis » de conformité masque les vraies failles et empêche d’allouer les ressources là où elles sont vraiment nécessaires. C’est le chemin le plus court vers un faux sentiment de sécurité.

Les chiffres sont éloquents et montrent un décalage criant entre la perception et la réalité. Une étude ImpactCyber 2024 révèle que 61% des entreprises déclarent être faiblement protégées ou ne pas savoir évaluer leur niveau, et 78% se disent insuffisamment préparées. Pourtant, dans le même temps, de nombreuses organisations affichent des scores de conformité élevés dans leurs rapports internes. Cette dissonance est un indicateur de danger. Elle signifie que les mesures en place sont probablement des « tigres de papier » : des politiques non appliquées, des outils mal configurés ou des processus contournés.

Le rôle de l’auditeur de gouvernance est justement de confronter cette perception à la réalité du terrain. Un tableau comparatif basé sur des données concrètes peut être un outil de communication extrêmement puissant pour le DSI.

Ce tableau, basé sur une analyse comparative de la maturité des entreprises françaises, illustre parfaitement cet écart.

Écart entre perception et réalité de la protection cyber
Perception Réalité
72% pensent être prêtes 77% n’appliquent pas les pratiques de base ANSSI
40% se sentent menacées 1 entreprise sur 5 a déjà subi une cyberattaque
59% ont augmenté le budget cyber 70% n’ont pas de procédure de réaction

Présenter de tels chiffres à un comité de direction change la nature de la conversation. La question n’est plus « sommes-nous bons ? », mais « nos mesures sont-elles réellement efficaces ? ». Cela ouvre la porte à une discussion plus honnête sur les risques et justifie le besoin d’un audit externe ou d’investissements ciblés non pas sur de nouveaux outils, mais sur l’amélioration des processus existants.

A quelle fréquence réévaluer sa maturité pour ajuster le budget de l’année suivante ?

L’évaluation de la maturité n’est pas un événement ponctuel, mais un processus continu de pilotage. La question n’est donc pas tant « faut-il réévaluer ? » que « à quel rythme ? ». Une évaluation annuelle complète est un standard, mais elle est souvent insuffisante pour suivre le rythme des menaces et des transformations de l’entreprise. Un DSI stratège doit penser en termes de « boucles de feedback » de différentes temporalités pour ajuster sa feuille de route et, surtout, son budget.

Le calendrier de réévaluation doit s’adapter au contexte. Une approche pragmatique combine plusieurs niveaux de revue :

  • Évaluation complète (tous les 18-24 mois) : C’est l’audit de fond qui redéfinit la stratégie globale. Il est souvent mené avec un partenaire externe pour garantir l’objectivité.
  • Revues ciblées (trimestrielles) : Elles se concentrent sur les domaines prioritaires identifiés lors de l’évaluation complète. Par exemple, si la gestion des identités a été identifiée comme un point faible (Niveau 1), une revue trimestrielle permet de suivre les progrès du plan d’action pour atteindre le Niveau 2.
  • Évaluations événementielles (ponctuelles) : Une acquisition d’entreprise, un incident de sécurité majeur, un changement réglementaire (comme NIS 2) ou une migration vers le cloud sont autant de déclencheurs pour une réévaluation immédiate sur le périmètre concerné.
  • Auto-évaluation continue (mensuelle) : C’est le rôle des tableaux de bord et des indicateurs de performance (KPIs) suivis par les équipes opérationnelles.

Cette approche cadencée permet de transformer l’évaluation en un véritable outil de pilotage budgétaire. La revue trimestrielle permet d’ajuster les priorités et de réallouer des ressources en cours d’année. L’évaluation complète annuelle ou bisannuelle sert, quant à elle, à construire le dossier d’investissement pour l’année N+1. Elle permet de démontrer les progrès accomplis (par exemple, « nous sommes passés de 40% à 60% de conformité sur le processus X ») et de justifier les investissements nécessaires pour les prochaines étapes. Le benchmark Wavestone 2024 montre que la maturité des grands groupes a légèrement progressé à 53% par rapport aux standards internationaux, soit seulement +1 point en un an. Ce chiffre est un argument puissant pour un DSI : il prouve que la progression est lente, difficile, et qu’elle nécessite des investissements soutenus et un suivi régulier pour être visible.

Quand faire appel à un cabinet de conseil cyber pour valider votre feuille de route sécurité ?

Faire appel à un cabinet de conseil externe n’est pas un aveu de faiblesse, mais un acte de bonne gouvernance. Pour un DSI, c’est une décision stratégique qui répond à plusieurs besoins précis, bien au-delà d’un simple « audit de conformité ». Le bon moment pour solliciter un regard extérieur se situe souvent à des carrefours critiques de la vie de l’entreprise. Un partenaire externe peut apporter l’objectivité nécessaire pour sortir des biais internes, la légitimité pour valider une stratégie auprès du CODIR, et l’expertise pour accélérer la montée en maturité.

Plusieurs déclencheurs peuvent motiver cette démarche :

  1. Après une première auto-évaluation : Une fois que vous avez une vision interne de votre maturité (par exemple, en utilisant le modèle de la section 3), faire valider ce diagnostic par un tiers neutre lui donne un poids considérable. C’est l’argument ultime pour contrer le « tout va bien » du board.
  2. Pour construire une feuille de route budgétaire : Avant de demander un budget d’investissement significatif, faire auditer sa stratégie par un cabinet reconnu permet de présenter un dossier solide, argumenté et crédibilisé par un avis d’expert.
  3. Face à une nouvelle réglementation ou un changement majeur : L’arrivée de NIS 2, une fusion-acquisition ou une migration massive vers le cloud sont des moments où une expertise externe est cruciale pour évaluer les nouveaux risques et définir le plan d’action adéquat.
  4. Quand la progression stagne : Si vos indicateurs de maturité n’évoluent plus malgré les efforts internes, un regard neuf peut aider à identifier les blocages (organisationnels, techniques, culturels) et à redéfinir les priorités.

Le cas des PME est particulièrement parlant. Souvent, elles manquent de ressources dédiées. Une étude récente sur les entreprises françaises a montré que plus de 65 % des PME n’ont pas de responsable dédié à la cybersécurité, et que l’adoption des bonnes pratiques de base comme le MFA y est très faible. Pour ces structures, un accompagnement externe n’est pas une option, c’est une nécessité pour initier et structurer la démarche de sécurisation de manière pragmatique et adaptée à leurs moyens.

La décision de faire appel à un expert doit être un choix stratégique et non une simple réaction. Pour identifier le bon moment, analysez en détail les déclencheurs qui correspondent à votre situation actuelle.

À retenir

  • Les frameworks comme le CMMI ou le NIST ne sont pas des checklists, mais des outils de pilotage pour traduire la technique en stratégie.
  • La maturité absolue est un mythe coûteux. Visez une maturité « sélective » et appropriée au risque métier de chaque processus.
  • Une évaluation externe n’est pas un aveu d’échec, mais un acte de bonne gouvernance pour valider une stratégie et obtenir l’adhésion du board.

Construire une stratégie de défense en profondeur qui survit à l’échec d’une barrière critique

La maturité d’une organisation ne se mesure pas à sa capacité à bloquer toutes les attaques, mais à sa résilience face à l’échec inévitable d’une de ses défenses. C’est le principe de la « défense en profondeur » : superposer des couches de sécurité (technologiques, humaines, procédurales) de sorte que si l’une cède, les suivantes peuvent contenir, détecter ou ralentir l’attaquant. Un DSI stratège ne vend pas une forteresse imprenable, il construit et pilote un système résilient.

Chaque niveau de maturité contribue à cette défense en profondeur. Au niveau 1 (Héroïque), la défense repose sur une seule barrière : l’expert qui intervient. Si cette personne est absente, le système s’effondre. Dès le niveau 2 (Répétable), on ajoute une couche procédurale : même si l’outil de détection initial est contourné, une procédure de revue des logs peut repérer l’anomalie. Au niveau 3 (Défini), la standardisation garantit que ces procédures sont appliquées partout, réduisant les angles morts. Aux niveaux 4 et 5, la mesure et l’optimisation continues permettent d’ajuster les défenses en fonction des nouvelles tactiques d’attaque observées.

Les entreprises dotées d’une gouvernance structurée, d’un budget dédié à la cyber et d’un plan d’actions clair parviennent à stabiliser la part d’attaques réussies, même dans un contexte de menace croissante.

– RESCO Courtage, Analyse de la maturité cyber et résilience des entreprises

Cette approche change radicalement le reporting au CODIR. Au lieu de se focaliser sur le nombre d’attaques bloquées (un indicateur peu pertinent), le DSI peut présenter des indicateurs de résilience : « Cette année, nous avons subi X tentatives de phishing. Y ont abouti à un clic, mais Z ont été bloquées par la deuxième barrière (notre EDR) et aucune n’a abouti à une exfiltration de données. » Cela démontre la maîtrise du risque. Le baromètre 2025 du CESIN indique que 47 % des entreprises interrogées déclarent avoir subi une cyberattaque « significative » en 2024. Ce chiffre, stable malgré l’augmentation des menaces, suggère une maturité accrue de certaines organisations, capables d’absorber les chocs.

La défense en profondeur n’est pas qu’un concept technique, c’est le résultat d’une maturité organisationnelle. Il est crucial de comprendre comment chaque couche de défense contribue à la survie du système global.

Rédiger une PSSI que les employés liront et appliqueront vraiment : la fin du document tiroir

La Politique de Sécurité des Systèmes d’Information (PSSI) est souvent le symbole d’une approche de la maturité déconnectée du terrain. C’est un document de 100 pages, validé par les juristes, exigé par les auditeurs, mais que personne ne lit et qui finit au fond d’un tiroir numérique. Pour un DSI stratège, transformer cette PSSI monolithique en un outil vivant et adopté par les collaborateurs est l’aboutissement concret d’une démarche de maturité. Une bonne PSSI n’est pas un document, c’est un écosystème de ressources pratiques.

Le passage à une « PSSI vivante » implique de la déconstruire. L’idée est de remplacer le document unique par un ensemble de formats adaptés à chaque besoin et à chaque population de l’entreprise. L’enquête ImpactCyber montre que près de 6 entreprises sur 10 (58 %) considèrent que c’est un sujet qui doit mobiliser tout le monde. Pour que cette mobilisation soit effective, il faut fournir les bons outils :

  • Des fiches pratiques par rôle : Un développeur n’a pas les mêmes besoins qu’un commercial. Créer des guides d’une page (« Les 5 règles d’or du développement sécurisé », « Comment gérer les données clients en déplacement ») est infiniment plus efficace.
  • Des modules de formation courts (micro-learning) : Des vidéos de 2 à 5 minutes sur un sujet précis (reconnaître un email de phishing, utiliser le gestionnaire de mots de passe) ont beaucoup plus d’impact qu’une formation annuelle d’une heure.
  • Des rappels contextuels intégrés aux outils : Un message d’alerte dans la messagerie avant de cliquer sur un lien externe, une checklist de sécurité dans l’outil de gestion de projet avant une mise en production, etc.

Cette approche mesure la maturité non pas à l’existence d’une politique, mais à son taux d’adoption et à son efficacité réelle. Vous pouvez mettre en place des indicateurs simples : taux de complétion des modules de formation, résultats des campagnes de phishing simulées, nombre de questions posées au support sur les bonnes pratiques. C’est la preuve ultime pour un DSI que la sécurité n’est plus seulement une affaire d’experts, mais qu’elle infuse la culture de toute l’entreprise.

Pour que la sécurité devienne l’affaire de tous, il est essentiel de ré-imaginer la PSSI. Revoir comment la transformer en ressources engageantes est la dernière étape pour boucler votre stratégie de maturité.

Pour transformer cette analyse en plan d’action concret, la prochaine étape est de réaliser une première auto-évaluation honnête de vos processus actuels face à ce modèle. Cela vous donnera la matière première pour construire votre feuille de route et entamer le dialogue stratégique avec votre direction.

Rédigé par Valérie Dumont, Directrice Cybersécurité & Gouvernance (CISO) et experte en gestion de crise, certifiée CISM et CISA. Avec plus de 18 ans d'expérience, elle accompagne les CODIR des ETI et grands groupes français dans la stratégie de résilience, la conformité (NIS 2, RGPD, LPM) et la traduction des risques techniques en enjeux business.
Comment gérer la sécurité de son site web
4 façons de stocker des données à long terme
Fraîchement publiés
Alignement business : comment intégrer le risque cyber dans la stratégie globale de gestion des risques de l’entreprise ?
CISO moderne : comment parler de risque cyber au comité exécutif sans utiliser de jargon technique ?
Quand faire appel à un cabinet de conseil cyber pour valider votre feuille de route sécurité ?
Évaluer votre maturité cyber : comment passer du mode « Pompier » au mode « Stratège » grâce au CMMI ?
CISSP : est-ce vraiment le sésame indispensable pour devenir directeur cybersécurité ou consultant senior ?
Articles similaires
Rédiger une PSSI que les employés liront et appliqueront vraiment : la fin du document tiroir
Transformer un rapport d’audit accablant en plan de remédiation réalisable sur 12 mois
Construire une stratégie de défense en profondeur qui survit à l’échec d’une barrière critique
Comment garantir la survie de l’entreprise si le système d’information est hors service pendant 72h ?