🛡️ Un audit “sur parole” n’est plus un audit : c’est une opinion.
En 2026, les PME sont sous pression (menaces, demandes clients, cyber-assurance, audits). Pourtant, beaucoup d’évaluations de maturité reposent encore sur du déclaratif : “Oui, on a la MFA”, “Oui, on patch”, “Oui, on a un PRA”. Le problème n’est pas que ces réponses soient fausses. Le problème est qu’elles sont indéfendables dès qu’un tiers sérieux demande : où est la preuve, qui le fait, à quelle fréquence, et depuis quand ?
Cette exigence n’est pas théorique. Elle suit la réalité du risque : le Verizon DBIR 2025 montre que les petites organisations sont disproportionnellement touchées par les brèches liées au ransomware (ransomware composant 88% des brèches dans les SMB vs 39% dans les grandes organisations).
Et côté budget, la majorité des TPE-PME n’a pas les moyens d’un dispositif “lourd” : le baromètre 2025 de Cybermalveillance.gouv.fr indique que 3/4 investissent moins de 2 000 € en cybersécurité.
Conclusion terrain : si vous voulez une maturité crédible avec peu de ressources, il faut mesurer mieux, pas “déclarer plus”.
✅ Conformité déclarée : “on a une politique”, “on fait des sauvegardes”, “on a des logs”.
Ça décrit une intention ou une existence.
🔍 Maturité réelle : “on applique, on contrôle, on prouve, on améliore”.
Ça décrit une capacité opérationnelle démontrable.
Un exemple concret : “Sauvegardes OK”.
Un tiers (auditeur, assureur, client grand compte) va immédiatement creuser : fréquence, périmètre, tests de restauration, RPO/RTO, hors-ligne/immutabilité. C’est là que se situe la maturité, pas dans la case “oui”.
La logique d’audit moderne repose sur une approche “evidence-based” : une conclusion doit être fondée sur des éléments vérifiables collectés de façon cohérente. C’est exactement l’esprit de l’ISO 19011 : des conclusions fiables et reproductibles nécessitent des preuves.
Ils ne cherchent pas une note “marketing”. Ils cherchent à décider : ce fournisseur est-il suffisamment maîtrisé pour accéder à nos données / notre SI ?
Et leur décision se base sur des éléments concrets : MFA, gestion des accès admin, patching, sauvegardes, réponse incident, traçabilité.
Même quand la collecte démarre par un questionnaire, elle finit de plus en plus par : montrez-moi la preuve. Sans preuves, les “oui” deviennent une zone grise… et une zone de risque contractuel.
L’objectif n’est pas de “tout prouver tout le temps”. L’objectif est de rendre chaque point évalué traçable, rejouable et comparable.
Au lieu d’évaluer “avez-vous la MFA ?”, évaluez une mesure du type :
“Authentification forte sur comptes privilégiés et accès distants”.
Elle doit toujours avoir 4 attributs (sinon elle reste déclarative) :
👤 propriétaire : qui est responsable ? (DSI, IT, Ops, RSSI, prestataire)
📎 preuve : qu’est-ce qui prouve que c’est vrai ? (export, config, ticket, CR)
🗓️ fréquence : à quel rythme on revalide ? (mensuel/trimestriel/annuel)
📈 niveau : à quel niveau de maturité on se situe ? (0–4, par exemple)
Un bon audit de maturité distingue clairement :
C’est cette distinction qui transforme un score en conclusion défendable.
Sans historisation, vous ne pouvez pas répondre à la question la plus importante pour un dirigeant :
“Est-ce qu’on progresse, et est-ce que ça réduit le risque ?”
L’historique permet :
📌 Pour une PME, la comparabilité sert à arbitrer.
Quand tout est déclaratif, toutes les actions semblent équivalentes. Quand c’est mesuré et prouvé, vous pouvez prioriser ce qui réduit réellement l’exposition.
Et c’est indispensable : les PME sont bien ciblées. L’ANSSI indique que parmi les victimes de rançongiciel connues, les PME/TPE/ETI représentent 37%.
Sans maturité mesurable, vous pilotez à l’instinct ; avec une maturité défendable, vous pilotez à l’impact.
🧭 cadrer : périmètre, actifs critiques, dépendances (SI, cloud, prestataires)
🧱 référentiel : mesures “gouvernables” (pas une liste de questions)
📎 preuves : paquet minimal par mesure (doc + preuve d’exécution + revue)
📈 scoring : niveau par mesure, avec justification, et distinction déclaré/démontré
🔁 historiser : baseline → plan d’action → re-mesure (avant/après)
C’est la version pragmatique du “système de management” : légère, mais défendable.
Le déclaratif donne une photo. La maturité défendable donne une trajectoire.
Et dans un contexte où les petites structures sont fortement exposées (DBIR) et où les budgets restent limités, la seule stratégie réaliste est de structurer des mesures prouvables et de suivre la progression dans le temps.
CompliKey permet précisément de rendre un audit de maturité défendable : audit basé sur des mesures, rattachement des preuves, historisation des scores, et lecture avant / après pour démontrer l’impact d’une mission ou d’un plan d’action, sans retomber dans le déclaratif.
