Comment suivre réellement l’avancement de votre cybersécurité

Beaucoup de PME ont engagé des actions de cybersécurité, mais très peu savent répondre clairement à trois questions simples : où en sommes-nous, est-ce que nous progressons vraiment, et sur quoi devons-nous concentrer nos efforts maintenant ?

C’est là que le suivi devient un vrai sujet. Sans pilotage, la cybersécurité reste une accumulation d’actions techniques, de documents et d’audits ponctuels. Avec pilotage, elle devient un sujet lisible, mesurable et pilotable dans le temps. Le NIST CSF 2.0 va exactement dans ce sens : il explique que les Profiles servent à décrire la posture actuelle et cible, à identifier les écarts, à prioriser les actions et à évaluer les progrès dans le temps. ISO/IEC 27001 rappelle de son côté que l’ISMS doit être établi, mis en œuvre, maintenu et continuellement amélioré.

Le vrai problème : beaucoup d’entreprises font des actions, mais ne suivent pas leur progression

Dans la plupart des PME, la cybersécurité est suivie de manière fragmentée :

1. quelques actions dans un plan ;
2. quelques preuves dans un dossier ;
3. un audit de temps en temps ;
4. des urgences techniques traitées au fil de l’eau ;
5. mais pas de lecture d’ensemble.

Résultat : l’entreprise peut travailler sérieusement sans être capable de démontrer si sa posture s’améliore réellement. Or le NIST insiste justement sur une logique de Current Profile, Target Profile, analyse des écarts et plan d’action révisé dans le temps. Ce n’est pas une photo ponctuelle ; c’est une trajectoire.

Ce que signifie vraiment “suivre sa cybersécurité”

Suivre sa cybersécurité ne veut pas dire compter le nombre d’actions ouvertes ou le nombre de tickets fermés.

Cela veut dire être capable de voir :

1. le niveau de maîtrise actuel ;
2. les écarts encore ouverts ;
3. la progression par domaine ;
4. les preuves réellement disponibles ;
5. les sujets qui stagnent ;
6. les arbitrages à faire.

Autrement dit, le bon suivi ne mesure pas seulement l’activité. Il mesure la progression vers un niveau cible. C’est précisément l’esprit du NIST CSF 2.0, qui recommande d’utiliser les profils pour communiquer la posture, prioriser les résultats attendus et évaluer l’avancement vers ces résultats.

Pourquoi les PME ont du mal à savoir où elles en sont

1. Elles confondent actions réalisées et niveau de maîtrise

Une action terminée ne veut pas forcément dire qu’un sujet est maîtrisé.

Exemple simple : activer la MFA sur une partie des comptes n’équivaut pas à dire que la gestion des accès est réellement sous contrôle.

2. Elles n’ont pas de point de départ clair

Sans vision initiale, il est très difficile de mesurer une progression.

Si l’on ne sait pas quel était le niveau de maturité il y a six mois, on ne peut pas démontrer une amélioration sérieuse.

3. Elles ne relient pas les preuves aux mesures

Une mesure sans preuve actualisée reste fragile. ENISA insiste dans sa guidance 2025 sur les examples of evidence et sur l’évaluation de l’efficacité des mesures de gestion du risque. Cela montre bien que le suivi ne porte pas seulement sur “ce qui est prévu”, mais sur “ce qui est réellement démontrable”.

4. Elles n’ont pas de vue dans le temps

Une photo ponctuelle ne suffit pas. Il faut voir une évolution :

1. ce qui progresse ;
2. ce qui stagne ;
3. ce qui se dégrade ;
4. ce qui reste non démontré.

Les 4 éléments à suivre pour piloter réellement votre cybersécurité

1. La maturité par domaine

Le premier niveau de suivi utile consiste à regarder la maturité par grands thèmes :

1. gestion des accès ;
2. sauvegardes et restauration ;
3. gestion des vulnérabilités ;
4. journalisation ;
5. incidents ;
6. actifs ;
7. fournisseurs ;
8. gouvernance ;
9. sensibilisation.

Cette approche permet d’éviter le brouillard du détail technique. Elle donne une lecture simple de la posture. L’idée est cohérente avec les Profiles du NIST, qui servent à décrire la posture actuelle et cible par outcomes.

2. Les écarts ouverts et leur criticité

Un bon suivi doit montrer :

1. combien d’écarts restent ouverts ;
2. lesquels sont critiques ;
3. depuis quand ;
4. avec quel responsable ;
5. avec quelle échéance.

Sans cela, on voit peut-être une activité, mais on ne voit pas la dette cyber réelle.

3. Les preuves disponibles et à actualiser

C’est un point décisif. Une entreprise peut croire qu’elle progresse alors qu’elle ne sait plus démontrer ce qu’elle affirme.

Le bon suivi doit donc montrer :

1. quelles mesures ont une preuve à jour ;
2. quelles preuves sont manquantes ;
3. quelles preuves doivent être revues ;
4. quels domaines restent trop déclaratifs.

ENISA relie explicitement mise en œuvre, efficacité et preuves.

4. L’évolution dans le temps

C’est ce qui transforme un tableau statique en vrai pilotage.

La direction et les responsables ont besoin de voir :

1. si la maturité monte ;
2. si les écarts critiques baissent ;
3. si les preuves se consolident ;
4. si la trajectoire est cohérente avec les objectifs.

Le NIST explique d’ailleurs que les profils et plans d’action doivent être revus au fil du temps pour mesurer les progrès et ajuster les priorités.

Quels indicateurs sont vraiment utiles

Un bon dashboard cybersécurité pour PME n’a pas besoin d’être énorme. Il doit surtout être lisible.

Les indicateurs les plus utiles sont souvent :

1. maturité globale ;
2. maturité par domaine ;
3. taux de mesures démontrées ;
4. écarts critiques ouverts ;
5. actions en retard ;
6. preuves manquantes ;
7. progression mensuelle ou trimestrielle ;
8. sujets nécessitant arbitrage.

À l’inverse, un reporting trop technique devient vite peu utile pour piloter au niveau direction.

Exemple concret de bon suivi

Prenons une PME qui travaille sur 5 domaines :

1. accès ;
2. sauvegardes ;
3. vulnérabilités ;
4. incidents ;
5. fournisseurs.

Un mauvais suivi dira :

1. 18 actions ouvertes ;
2. 7 fermées ce mois-ci ;
3. 3 réunions tenues.

Un bon suivi dira :

1. la maturité “accès” est passée de 1,8 à 2,6 sur 5 ;
2. les sauvegardes sont partiellement maîtrisées mais encore insuffisamment prouvées ;
3. les vulnérabilités critiques ouvertes ont diminué ;
4. la gestion des fournisseurs reste en retard ;
5. deux arbitrages direction sont nécessaires ce trimestre.

La différence est majeure : le second suivi aide à décider.

Ce qu’un dashboard doit permettre de voir

Un dashboard cyber utile doit permettre de répondre rapidement à ces questions :

1. où en sommes-nous aujourd’hui ;
2. quels domaines progressent ;
3. quels domaines stagnent ;
4. que pouvons-nous démontrer ;
5. que devons-nous prioriser maintenant.

Il ne doit pas seulement servir à “faire joli”. Il doit soutenir la gouvernance. C’est d’ailleurs cohérent avec l’esprit du NIST CSF 2.0, qui vise à fournir un langage commun pour comprendre, évaluer, prioriser et communiquer les résultats cyber.

Les erreurs les plus fréquentes

Suivre uniquement les tâches

On mesure alors l’activité, pas la maîtrise.

Ne faire qu’une photo ponctuelle

Sans historique, la progression reste impossible à démontrer.

Ne pas relier les preuves

Le suivi devient alors trop déclaratif.

Montrer trop de détails techniques

Le pilotage devient illisible pour la direction.

Ne pas définir de cible

Sans niveau cible, on voit des données, mais pas une trajectoire.

La bonne méthode pour une PME

Pour une PME, la méthode la plus simple est souvent :

1. définir quelques domaines clés ;
2. évaluer un niveau actuel ;
3. définir un niveau cible ;
4. suivre les mesures et les preuves associées ;
5. revoir régulièrement l’évolution.

L’ANSSI rappelle d’ailleurs, dans ses guides orientés organisations, une logique d’amélioration continue structurée autour d’objectifs, de revue et de progression, cohérente avec la boucle PDCA d’ISO.

Là où CompliKey a une vraie valeur

C’est précisément sur ce point que CompliKey est bien positionné.

Le sujet n’est pas seulement de lister des mesures. Le sujet est de permettre à une PME de :

1. voir son niveau de maturité ;
2. suivre ses écarts ;
3. rattacher ses preuves ;
4. visualiser sa progression ;
5. donner une lecture claire à la direction.

Autrement dit, CompliKey aide à transformer la cybersécurité en pilotage visible, et pas seulement en suite d’actions dispersées.

En bref

Suivre réellement l’avancement de votre cybersécurité, ce n’est pas compter les actions. C’est mesurer la progression de votre niveau de maîtrise.

Pour cela, il faut suivre :

1. la maturité ;
2. les écarts ;
3. les preuves ;
4. l’évolution dans le temps.

C’est ce qui permet enfin de répondre clairement à deux questions que beaucoup de PME ne savent pas traiter :

où en sommes-nous, et est-ce que nous progressons vraiment ?

FAQ

Comment savoir si ma cybersécurité progresse vraiment ?

En comparant une posture actuelle à une posture cible, puis en suivant l’évolution de la maturité, des écarts et des preuves dans le temps. C’est exactement la logique des Profiles du NIST CSF 2.0. (Publications NIST)

Quels indicateurs cyber faut-il montrer à une PME ou à la direction ?

Les plus utiles sont généralement la maturité globale, la maturité par domaine, les écarts critiques, les preuves disponibles et la progression dans le temps.

Pourquoi beaucoup d’entreprises ne savent-elles pas où elles en sont ?

Parce qu’elles suivent des actions dispersées sans système de mesure commun, sans historique, et sans lien clair entre mesures et preuves.

Les preuves sont-elles vraiment nécessaires pour suivre l’avancement ?

Oui. Sans preuve, la progression reste souvent déclarative. ENISA insiste sur les exemples d’évidence et l’évaluation de l’efficacité des mesures. (enisa.europa.eu)