10. Niveaux de maturité dans le NIST CSF
Objectif du chapitre
Ce chapitre présente les différents niveaux de maturité associés au NIST CSF, leur utilité dans une démarche de progression continue, et les critères à prendre en compte pour évaluer la maturité cybersécurité d’une organisation.
1. Pourquoi évaluer la maturité ?
L’évaluation de la maturité permet de :
- Se situer objectivement dans la mise en œuvre du CSF
- Identifier les points faibles, les axes de progrès
- Justifier des investissements
- Suivre les progrès dans le temps
2. Modèle de maturité du NIST CSF (CSF Implementation Tiers)
Les tiers du NIST CSF ne sont pas des niveaux de certification mais des niveaux d’intégration du risque cybersécurité dans la gouvernance globale.
Tier 1 — Partiel
- Pas ou peu de gouvernance SSI
- Réponse ad hoc
- Peu ou pas d’approche basée sur les risques
- Dépendance individuelle (non systémique)
Tier 2 — Informatif
- Politiques documentées mais incomplètes
- Risques identifiés mais pas traités de façon homogène
- Une certaine sensibilisation existe
Tier 3 — Répété
- Processus définis, suivis, appliqués de manière cohérente
- Intégration dans la gouvernance
- Risques cybersécurité intégrés dans les décisions métiers
Tier 4 — Adaptatif
- Cybersécurité pilotée dynamiquement selon les menaces
- Intelligence partagée (CTI)
- Amélioration continue bien en place
- Très forte résilience et agilité
Quote
Le passage d’un niveau à l’autre est progressif, pas instantané.
3. Utilisation des niveaux de maturité
Les niveaux de maturité servent à :
- Alimenter les profils actuels/cibles
- Structurer un plan de progression
- Communiquer vers la direction avec des éléments synthétiques
- Évaluer l’impact des projets SSI
4. Maturité par fonction CSF
Une même organisation peut avoir :
- Une maturité Tier 3 en Détection
- Mais Tier 1 en Réponse
➡️ Cela permet de cibler les efforts précisément par fonction.
5. Exemples concrets
| Fonction CSF | Niveau Actuel | Objectif |
|---|---|---|
| Identifier | Tier 2 | Tier 3 |
| Protéger | Tier 3 | Tier 4 |
| Détecter | Tier 2 | Tier 3 |
| Répondre | Tier 1 | Tier 3 |
| Restaurer | Tier 2 | Tier 3 |
Synthèse opérationnelle
| Élément | Bonnes pratiques |
|---|---|
| Évaluation | Tous les 12 à 18 mois |
| Méthode | Grille formelle, interviews, preuve documentaire |
| Communication | Graphiques de synthèse, scoring global |
| Utilisation | Feuille de route, priorisation, benchmarks |
| Progrès | Mesuré par changement de tier + indicateurs |