La croissance exponentielle des cyberattaques illustre la capacité des adversaires à exploiter les vulnérabilités humaines et techniques pour contourner les défenses existantes (Georgiadou et al., 2021). Dans un tel contexte, le diagnostic de la maturité cyber pourrait devenir un levier majeur pour orienter les efforts de protection. Toutefois, cette évaluation reste complexe, en raison de l’hétérogénéité des environnements techniques, de l’adoption massive des services cloud et de l’évolution rapide des vecteurs d’attaque (Cremer et al., 2022). Face à ces défis, le framework MITRE ATT&CK®, créé en 2013, constitue une base de connaissances structurée des tactiques et techniques adverses. Sa granularité, sa modularité et ses mises à jour régulières en font un outil adapté pour l’émulation d’attaques, la détection proactive ou l’analyse post-incident (Strom et al., 2018). Si son utilisation est bien ancrée dans les pratiques opérationnelles, son potentiel comme instrument structuré de diagnostic de la maturité cyber reste encore peu exploré dans les travaux scientifiques (Pirca & Lallie, 2023). Par conséquent, nous proposons de traiter la problématique suivante : en quoi le framework MITRE ATT&CK® peut être un outil de diagnostic de la maturité cyber d’une organisation ? Pour y répondre, nous avons mené une recherche-intervention au sein d’une banque française avec pour objectif de concevoir, tester et affiner un dispositif d’évaluation fondé sur MITRE ATT&CK®.

Fondements Théoriques

L’approche strictement technique de la cybersécurité ne suffit plus à rendre compte de ses enjeux actuels. Elle s’impose désormais comme une fonction stratégique intégrée à la gouvernance des organisations. Elle participe à la maîtrise des risques numériques susceptibles d’affecter la continuité des activités, d’engendrer des non-conformités réglementaires, ou encore de compromettre l’intégrité des systèmes et la confidentialité des données sensibles au sein des environnements numériques. C’est dans cette optique que la maturité cyber doit être analysée, non comme un simple indicateur de performance technique, mais comme une ressource stratégique à part entière. La notion de maturité cyber renvoie à la « capacité à adopter les meilleurs pratiques, se conformer aux normes, gérer de façon proactive son profil de risque (niveau de préparation humain, organisationnel et technique), apprendre et se remettre d’une attaque » (Farjaudon & Gardès, 2024, p.69). Le diagnostic organisationnel, quant-à-lui, constitue une démarche méthodologique rigoureuse pour appréhender la maturité cyber dans sa complexité systémique. Tel que défini par Charrette & Bouchard (2020, p.16), il s’agit d’un « processus d’évaluation de l’état actuel (Lewin, 1964) d’une organisation (unité administrative, équipe, climat de travail, etc.), qui utilise des modèles conceptuels et des méthodes spécifiques en vue de soutenir cette organisation dans la résolution d’une situation identifiée comme étant appelée à changer ». Le diagnostic, en ce sens, ne se limite pas à un état des lieux technique. Il engage une dynamique réflexive et transformationnelle : comprendre un système pour mieux l’adapter. Il s’agit d’une posture fondée à la fois sur l’analyse (conceptuelle et empirique) et sur la capacité à formuler des leviers d’action. En cybersécurité, cela implique de s’appuyer sur des outils qui permettent non seulement d’objectiver les pratiques existantes, mais aussi de structurer leur amélioration progressive. Dans ce contexte, le framework MITRE ATT&CK® constitue un outil pertinent de structuration de l’évaluation. Il offre une grille analytique fine pour analyser les postures défensives à travers les tactiques et techniques adverses identifiées. En cela, il ne s’agit pas simplement d’un référentiel descriptif, mais bien d’un instrument de gestion prescriptif, qui oriente les priorités, facilite la standardisation des pratiques et alimente la gouvernance des risques cyber.

Méthodologie

Pour explorer le potentiel du framework MITRE ATT&CK® comme outil de diagnostic de la maturité cyber, notre recherche a adopté une méthodologie de type recherche-intervention, définie comme une démarche visant à  « comprendre en profondeur le fonctionnement du système, aider à définir des trajectoires possibles d’évolution, aider à en choisir une, [mais aussi à] la réaliser, à en évaluer le résultat » (Allard-Poesi & Perret, 2003, p.95). Ce choix méthodologique vise à transformer la réalité organisationnelle tout en produisant des connaissances scientifiques. L’étude a été menée au sein d’une banque française de taille intermédiaire, comptant 594 salariés. Dix-huit acteurs clés aux profils variés ont été mobilisés via deux cycles successifs de travail. Le premier, mené de février à avril 2024, reposait sur des entretiens semi-directifs adossés à une grille d’auto-évaluation fondée sur les mesures d’atténuation du framework MITRE ATT&CK®. Chaque mesure était notée sur une échelle de maturité en cinq niveaux (figure 1), inspirée des modèles Capability Maturity Model Integration (CMMI) et de l’échelle de maturité SSI de l’ANSSI.

Figure 1. Barème de notation de la maturité cyber.

Cette approche a permis d’amorcer une dynamique réflexive, mais a aussi révélé deux limites majeures : une variabilité d’interprétation des niveaux et un biais d’optimisme dans les réponses. Pour dépasser ces contraintes, un second cycle, conduit de mars à avril 2025, a introduit un questionnaire progressif structuré par niveaux, contraignant le passage au niveau supérieur à la validation de critères précis, accompagnée de preuves documentaires (procédures, audits, rapports internes, etc.). Ce dispositif, associé à des entretiens complémentaires et à une analyse documentaire des politiques et incidents passés, a permis de fiabiliser les données recueillies. Chaque mesure d’atténuation a ainsi été notée. Ensuite, les scores ont été projetés sur la matrice MITRE ATT&CK® ; chaque technique étant liée à ses mesures d’atténuation correspondantes.

Principaux résultats

La recherche-intervention menée a permis de concevoir, tester et affiner un outil de diagnostic de la maturité cyber. Ce dispositif associe à chaque mesure d’atténuation, une échelle de maturité en cinq niveaux. L’ensemble des 44 atténuations du module Enterprise a été évalué, puis projeté sur la matrice MITRE ATT&CK® pour calculer un score de maturité par technique, en fonction des mesures de défense associées. Nous avons ainsi pu produire concevoir une cartographie du niveau de couverture défensive de l’organisation. La figure 2 illustre une matrice fictive. Chaque case correspond à une technique spécifique, avec une coloration reflétant le niveau de maturité associé. Les techniques non couvertes sont représentées par des cases blanches. Cette représentation a joué un rôle central dans la compréhension partagée des forces et des faiblesses du système d’information (SI). Elle a notamment contribué à la détection des incohérences entre la perception des équipes et la réalité observée, d’objectiver les priorités d’action et de structurer le dialogue entre les métiers et les experts techniques.

Figure 2. Matrice fictive du niveau de maturité cyber d’une organisation.

L’application de cette matrice dépasse le simple cadre d’une évaluation descriptive. Intégrée à plusieurs processus organisationnels, elle a démontré sa capacité à orienter les pratiques et à renforcer la posture de cybersécurité. Elle a d’abord été utilisée pour guider les décisions d’investissement en cybersécurité, en évaluant systématiquement les outils selon leur capacité à couvrir des techniques peu maîtrisées. Cette logique, en accord avec les recommandations de Blair (2023), favorise des choix technologiques alignés sur les besoins réels, renforçant ainsi la pertinence des dépenses engagées. La matrice a également transformé la gestion des vulnérabilités. En identifiant les techniques critiques mal couvertes, elle favorise une hiérarchisation rigoureuse des efforts de remédiation, optimisant l’allocation des ressources sur les zones les plus sensibles. Enfin, son utilisation lors de tests d’intrusion a permis de confronter la maturité déclarée aux réalités opérationnelles. Les écarts observés ont déclenché des réévaluations immédiates, instaurant un processus d’amélioration continue. Ainsi, l’intégration systématique de la matrice MITRE ATT&CK® dans ces processus organisationnels a démontré sa valeur, non seulement comme un instrument d’évaluation, mais également comme un moteur d’évolution stratégique des pratiques cyber au sein de l’organisation.

Recommandations

Les résultats obtenus mettent en lumière plusieurs axes concrets d’amélioration que les organisations peuvent intégrer à leur démarche de gouvernance cyber. En premier lieu, il est recommandé de structurer les diagnostics de maturité cyber autour de référentiels opérationnels tels que le framework MITRE ATT&CK®. Ce dernier permet d’aligner les évaluations sur les comportements réels des adversaires, facilitant l’identification des failles les plus critiques et l’objectivation des priorités d’action. Deuxièmement, les outils de diagnostic doivent être conçus pour favoriser l’appropriation par les parties prenantes. La projection des résultats sur la matrice MITRE ATT&CK® constitue un levier efficace pour engager les directions générales, souvent éloignées des considérations techniques, dans une dynamique de pilotage des risques. Troisièmement, l’utilisation du diagnostic ne doit pas se limiter à un exercice ponctuel. Il est essentiel de l’intégrer dans les processus existants : choix d’investissements, gestion des vulnérabilités, planification des audits ou suivi de plans d’action. Cette intégration garantit la continuité de l’amélioration et la réévaluation régulière des priorités face à l’évolution des menaces. Enfin, nous encourageons les organisations à inscrire cette démarche dans une logique d’amélioration continue. La mise à jour régulière du framework, tout comme l’évolution des contextes technologiques et réglementaires, implique un suivi récurrent et une réévaluation périodique du niveau de maturité. L’appropriation durable du cadre MITRE ATT&CK® passe par sa diffusion pédagogique et son intégration dans les cycles de gestion de la sécurité.

Impact et utilité

Le dispositif développé au cours de cette recherche-intervention répond à un besoin croissant des organisations : disposer d’un outil structuré, compréhensible et actionnable pour évaluer leur maturité cyber. Fondé sur les mesures d’atténuation du framework MITRE ATT&CK®, l’outil permet d’objectiver les pratiques existantes, d’identifier les zones de fragilité peu visibles ou insuffisamment documentées et de prioriser les efforts de sécurisation sur les techniques adverses les plus critiques. Il dépasse ainsi la logique d’auto-évaluation déclarative pour proposer un diagnostic fondé sur des preuves tangibles, articulé à une matrice visuelle immédiatement exploitable. L’un des apports majeurs réside dans la capacité du dispositif à servir de support de pilotage partagé. Sa lisibilité facilite un dialogue transversal entre les directions générales, les métiers, les responsables techniques et les acteurs de la conformité. En favorisant une compréhension commune des priorités cyber, il renforce la cohérence des décisions, qu’il s’agisse d’investissements technologiques, de gestion des vulnérabilités ou de planification des audits. Il constitue ainsi un levier de gouvernance pour ancrer la cybersécurité dans les processus stratégiques des organisations. Sur le plan académique, cette recherche met en lumière le potentiel du framework MITRE ATT&CK® lorsqu’il est mobilisé au service d’un diagnostic organisationnel rigoureux. Elle contribue à combler une lacune de la littérature en démontrant qu’un référentiel technique peut devenir un instrument de gestion prescriptif, capable de structurer une trajectoire d’amélioration continue. Enfin, la transférabilité de l’outil ouvre la voie à des usages dans d’autres secteurs d’activité, et à la constitution, à terme, d’un indicateur de maturité cyber harmonisé à l’échelle sectorielle ou nationale à l’image d’un cyberscore. En ce sens, le dispositif proposé dépasse le simple cadre de l’évaluation pour devenir un vecteur d’alignement stratégique et de résilience organisationnelle.

Conclusion

Ce travail a proposé une nouvelle approche du diagnostic de la maturité cyber en s’appuyant sur le framework MITRE ATT&CK®, dans une perspective à la fois opérationnelle, stratégique et scientifique. Grâce à une recherche-intervention menée au sein d’une organisation bancaire, nous avons conçu, expérimenté et affiné un outil d’évaluation structuré autour des mesures d’atténuation documentées par MITRE. Ce dispositif permet de mesurer de manière progressive et fondée sur des preuves le niveau réel de couverture défensive d’une organisation face aux techniques adverses. Les résultats obtenus montrent que ce cadre peut dépasser son usage initial de cartographie des comportements malveillants pour devenir un véritable levier de gouvernance cyber. Il facilite l’objectivation des priorités, soutient la coordination entre les parties prenantes techniques et non techniques et oriente plus efficacement les décisions d’investissement en cybersécurité. Intégrée aux processus de gouvernance, la matrice devient ainsi un support de pilotage partagé et un outil d’alignement stratégique. Sur le plan scientifique, cette recherche contribue à élargir les usages du framework MITRE ATT&CK® en le requalifiant comme instrument de diagnostic organisationnel. Elle met en évidence la valeur des démarches de diagnostic comme leviers de transformation dans des environnements numériques complexes, où la sécurité ne peut être dissociée des dynamiques managériales. Ces résultats ouvrent plusieurs perspectives, à la fois méthodologiques et empiriques : formalisation des pondérations, extension du dispositif aux techniques non couvertes, articulation avec d’autres référentiels comme Common Attack Pattern Enumerations and Classifications (CAPEC™) ou Common Weakness Enumeration (CWE). La méthode mériterait également d’être testée dans des contextes organisationnels variés, notamment dans des structures à ressources limitées ou à forte dépendance technologique (santé, collectivité, industrie, etc.). Une telle généralisation permettrait de consolider la robustesse du cadre et de favoriser l’émergence d’un indice harmonisé de maturité cyber.