Aller au contenu principal
Komplyo

Méthodologie

Dernière mise à jour : 11 juin 2026

Komplyo évalue la maturité cybersécurité sur l'échelle des Implementation Tiers du NIST CSF 2.0 : T1 Partiel (pratiques informelles et réactives), T2 Informé par le risque (pratiques approuvées mais appliquées de façon inégale), T3 Reproductible (pratiques formalisées, appliquées et revues) et T4 Adaptatif (pratiques anticipatives, améliorées en continu). Chaque sous-catégorie reçoit un tier courant d'après vos réponses ; le profil cible fixe le tier visé — T2 par défaut sur le parcours bonnes pratiques, T3 sur le parcours certification, relevé pour les éléments critiques ou exigés par une certification active, et ajustable par fonction par le propriétaire du compte. Un écart correspond à un tier courant inférieur au tier cible : il alimente la feuille de route et les politiques. Les tiers ne sont pas une note de conformité — ils décrivent la rigueur et l'intégration des pratiques, conformément au NIST CSF 2.0.

L'échelle des Tiers (NIST CSF 2.0)

T1 Partiel : des pratiques existent mais restent informelles et réactives. T2 Informé par le risque : les pratiques sont approuvées par la direction mais appliquées de façon inégale. T3 Reproductible : les pratiques sont formalisées, appliquées et régulièrement revues. T4 Adaptatif : les pratiques s'améliorent en continu et anticipent les menaces.

Chaque réponse du questionnaire correspond à un tier ; les scores sont agrégés par sous-catégorie, catégorie puis fonction CSF (moyenne des éléments répondus). Un élément critique sous le Tier 3 plafonne sa fonction au Tier 2.

Profil courant vs profil cible

Le profil courant est l'état mesuré ; le profil cible est l'état visé, conformément au concept d'Organizational Profile du NIST CSF 2.0. La cible par défaut est T2 (bonnes pratiques) ou T3 (certification), relevée pour les éléments critiques ou couverts par une certification active (ISO 27001, SOC 2). Le propriétaire peut ajuster la cible par fonction CSF, dans les bornes T2–T4, sans jamais abaisser un plancher critique.

Tout élément sous sa cible constitue un écart : il est priorisé dans la feuille de route (Risque ×0,4 + Urgence ×0,3 + Facilité ×0,3) et repris dans les politiques générées comme engagement de remédiation.

Projections de référentiels

Les réponses sont saisies une seule fois dans le langage du CSF 2.0, puis projetées vers ISO 27001, SOC 2 (TSC) et l'article 32 du RGPD via une table de correspondances versionnée. La version du référentiel est épinglée par évaluation pour garantir la reproductibilité des scores.

Le RGPD est affiché en conformité (conforme / partiel / manquant), jamais en maturité : la protection des données est une obligation, pas une échelle de progression.