Cette grille d'auto-évaluation de la maturité SSI vous permet de mesurer en 15 minutes le niveau de sécurité de votre organisation sur 20 domaines clés, répartis en 4 axes : Gouvernance, Protection, Détection et Résilience. Chaque domaine est noté de 1 (inexistant) à 5 (optimisé), pour un score global sur 100 qui vous positionne immédiatement par rapport aux exigences ISO 27001 et NIS2.

CONFORMITÉ Auto-évaluation Maturité SSI — Grille Scoring PDF ÉTAPES / CONTRÔLES 1 Les 4 axes d'évaluation 2 Interprétation des résultats 3 Comment utiliser cette grille 4 Téléchargement 5 Ressources complémentaires EXIGENCES CLÉS grille d'auto-évaluation de la… 20 domaines clés Score 80-100 : Score 60-79 : Score 40-59 : ayinedjimi-consultants.fr

Les 4 axes d'évaluation

Gouvernance & Organisation (5 domaines)

Politique de sécurité, organisation SSI, gestion des risques, conformité réglementaire, sensibilisation.

Protection & Contrôle d'accès (5 domaines)

IAM, authentification MFA, comptes privilégiés (PAM), sécurité réseau, chiffrement.

Détection & Réponse (5 domaines)

SIEM/journalisation, EDR/XDR, réponse aux incidents, gestion des vulnérabilités, pentests.

Continuité & Résilience (5 domaines)

Sauvegardes, PCA, PRA, gestion des changements, sécurité supply chain.

Interprétation des résultats

Score 80-100 : Votre organisation est prête pour une certification ISO 27001. Maintenez le cap avec des audits réguliers.
Score 60-79 : Bon niveau mais des gaps à combler. Un plan d'action ciblé suffit.
Score 40-59 : Niveau moyen — un accompagnement structuré est recommandé.
Score <40 : Risques critiques non couverts — intervention urgente nécessaire.

Comment utiliser cette grille

  1. Réunissez votre RSSI, DSI et un représentant métier
  2. Pour chaque domaine, évaluez honnêtement votre niveau actuel (1 à 5)
  3. Additionnez les 20 scores pour obtenir votre note globale
  4. Identifiez les domaines à 1-2 : ce sont vos priorités immédiates
  5. Refaites l'évaluation tous les 6 mois pour mesurer la progression

Téléchargement

PDF gratuit, imprimable en A4. Idéal pour les comités de direction et les revues de sécurité trimestrielles.

Score inférieur à 60 ? Nous proposons un diagnostic approfondi gratuit de 45 minutes pour identifier vos quick wins et construire votre feuille de route. Découvrir notre accompagnement ISO 27001 →

Besoin d'un accompagnement ISO 27001 ?

Du diagnostic à la certification — nous vous guidons à chaque étape.

Découvrir la prestation ISO 27001

Ressources complémentaires

Comment interpréter votre score de maturité SSI

Un score de maturité SSI sur 100 n'est utile que si vous savez le lire dans son contexte. La grille d'auto-évaluation vous positionne sur 4 niveaux de maturité, mais la signification opérationnelle de chaque seuil dépend de la taille de votre organisation, de votre secteur d'activité et des exigences réglementaires auxquelles vous êtes soumis.

  • 0 à 30 points : maturité initiale. La sécurité est gérée au cas par cas, sans processus formalisés. Les risques les plus critiques (absence de gestion des accès, pas de sauvegarde testée, pas de sensibilisation) doivent être traités en urgence avant toute démarche de certification.
  • 31 à 50 points : maturité de base. Des pratiques existent mais sont inégalement déployées et peu documentées. C'est le niveau de la majorité des PME françaises de moins de 200 salariés. Le gap avec NIS 2 ou ISO 27001 est significatif mais surmontable en 12 à 18 mois.
  • 51 à 70 points : maturité définie. Les processus sont documentés et appliqués, les responsabilités sont claires. Ce niveau correspond approximativement aux exigences de NIS 2 pour les entités essentielles. Il reste des lacunes dans les activités de mesure et d'amélioration continue.
  • 71 à 85 points : maturité maîtrisée. Les processus sont mesurés et pilotés par des indicateurs. La sécurité est intégrée dans les décisions d'investissement. C'est le niveau cible pour une première certification ISO 27001 sans écart majeur.
  • 86 à 100 points : maturité optimisée. La sécurité est en amélioration continue, benchmarkée et anticipative. Niveau atteint par les grandes organisations avec un SMSI mature, souvent après plusieurs cycles de certification.

Les 4 axes de la grille et leur interprétation

La grille structure les 20 domaines en 4 axes qui correspondent aux phases du cycle PDCA (Plan-Do-Check-Act) appliqué à la sécurité de l'information :

Axe Gouvernance — Avez-vous les fondations ?

L'axe Gouvernance mesure si votre organisation a défini sa politique de sécurité, attribué les responsabilités et intégré la sécurité dans ses processus décisionnels. Un score faible sur cet axe indique que la sécurité est perçue comme une contrainte technique plutôt qu'une priorité stratégique. Sans gouvernance solide, les autres axes ne tiennent pas.

Axe Protection — Avez-vous les contrôles techniques ?

L'axe Protection couvre les contrôles techniques fondamentaux : gestion des identités et des accès, chiffrement, sécurité réseau, durcissement des systèmes, gestion des vulnérabilités. C'est souvent l'axe où les organisations surestiment leur maturité — avoir un antivirus ne suffit pas pour scorer "3" en protection.

Axe Détection — Savez-vous ce qui se passe ?

L'axe Détection évalue votre capacité à identifier les incidents et les comportements anormaux. Journalisation des événements, surveillance des réseaux, corrélation d'alertes, gestion des vulnérabilités : un score faible ici signifie que vous pourriez être compromis depuis des mois sans le savoir. C'est l'axe le plus fréquemment sous-investi.

Axe Résilience — Savez-vous rebondir ?

L'axe Résilience mesure votre capacité à maintenir les activités critiques et à récupérer après un incident. Sauvegardes testées, plan de continuité d'activité, procédures de gestion des incidents, exercices de crise : un score faible ici est particulièrement inquiétant face au risque ransomware.

Erreurs fréquentes dans l'auto-évaluation SSI

L'auto-évaluation est par nature sujette à des biais cognitifs. Les organisations ont tendance à surestimer leur maturité sur les domaines qu'elles connaissent bien et à ignorer les domaines qu'elles ne pratiquent pas. Voici les pièges les plus courants :

  • Confondre "on a la procédure" avec "on l'applique" : une politique de mot de passe documentée mais non appliquée score 1, pas 3. L'évaluation porte sur la pratique réelle, pas sur l'intention documentée.
  • Évaluer depuis le bureau du RSSI uniquement : demandez à des équipes opérationnelles de noter leur propre domaine. Le gap entre la perception du RSSI et la réalité terrain est souvent révélateur.
  • Ignorer les filiales et les prestataires : si votre SMSI couvre juridiquement des entités que vous ne contrôlez pas opérationnellement, votre maturité réelle est celle du maillon le plus faible.
  • Arrondir vers le haut : si vous hésitez entre 2 et 3, choisissez 2. Un score sous-estimé déclenche des actions d'amélioration utiles ; un score surestimé crée une fausse sécurité.
  • Ne faire l'exercice qu'une fois : la grille est conçue pour être utilisée annuellement, idéalement avant et après un projet d'amélioration. C'est l'évolution du score dans le temps qui est informative, plus que la valeur absolue à un instant donné.

De l'auto-évaluation au plan d'action

Le score est un outil de dialogue, pas une fin en soi. La vraie valeur de la grille réside dans les domaines où vous avez noté 1 ou 2 : ce sont vos vulnérabilités prioritaires. Pour chaque domaine avec un score inférieur à 3, construisez une fiche d'action avec :

  • L'état actuel constaté (description factuelle, pas un jugement)
  • L'état cible visé à 12 mois (score 3 minimum, 4 si réglementairement requis)
  • Les actions à mener (formation, achat de solution, rédaction de procédure, recrutement)
  • Les ressources nécessaires (budget, jours-homme, prestataire)
  • Le responsable et la date de revue

Ce plan d'action, issu directement de la grille, constitue la base de votre feuille de route sécurité. Présentez-le en CODIR avec les scores actuels et les scores cibles : c'est un outil de communication managériale efficace pour obtenir les ressources nécessaires.

Benchmarks sectoriels de maturité SSI

Pour contextualiser votre score, voici des benchmarks indicatifs issus des missions d'évaluation dans différents secteurs :

  • Secteur public (collectivités, hôpitaux) : score médian autour de 35-45. Les contraintes budgétaires et le manque d'expertise interne créent des lacunes importantes en Détection et Résilience.
  • PME industrielles et ETI : score médian autour de 40-55. La sécurité IT est souvent correcte mais la sécurité OT/SCADA est un angle mort fréquent.
  • Secteur financier (assurances, banques régionales) : score médian autour de 55-70. La pression réglementaire (DORA, DSP2) a poussé des investissements significatifs en Gouvernance et Détection.
  • Grandes entreprises certifiées ISO 27001 : score médian autour de 65-80. La certification garantit un socle mais ne prémunit pas contre les lacunes opérationnelles.

Foire aux questions — Auto-évaluation maturité SSI

Cette grille est-elle équivalente à un audit ISO 27001 ?

Non. L'auto-évaluation est un outil de positionnement rapide, pas un substitut à un audit formel. Elle ne couvre pas l'exhaustivité des contrôles de l'Annexe A et ne produit pas de constats documentaires vérifiables. Elle est utile pour identifier les priorités d'investissement et préparer une démarche de certification, mais ne remplace pas l'audit interne ni l'audit de certification.

Quelle est la durée recommandée pour compléter la grille ?

Comptez 15 minutes si vous la remplissez seul, 45 à 90 minutes si vous animez un atelier collectif avec les responsables de chaque domaine. La version atelier est plus riche et plus précise : elle révèle les désaccords de perception entre les équipes, qui sont eux-mêmes des indicateurs de maturité.

Peut-on utiliser cette grille pour NIS 2 ?

Oui, dans une large mesure. Les 4 axes (Gouvernance, Protection, Détection, Résilience) correspondent aux piliers des exigences NIS 2. Un score global inférieur à 50 indique un gap significatif avec les obligations NIS 2 pour les entités essentielles ou importantes. La grille ne couvre cependant pas les exigences spécifiques NIS 2 en matière de notification des incidents (24h/72h) et de politique de sécurité de la chaîne d'approvisionnement.