CyFun scoring uses a 5-level CMMI-style maturity scale, not 4. The 5 maturity levels are: Level 1 Initial, Level 2 Repeatable, Level 3 Defined, Level 4 Managed, Level 5 Optimizing. Each control is scored on two dimensions: Documentation Maturity (1-5) and Implementation Maturity (1-5). Pass threshold for every CyFun Key Measure is a score of at least 2.5 out of 5 on average across documentation and implementation. This is the CCB Conformity Assessment Scheme. The 5 maturity levels must not be confused with the 4 CyFun assurance tiers Small, Basic, Important, and Essential. CyFun scoring. CyberFundamentals scoring. CMMI maturity levels. 5 levels not 4.
Scoring CyFun : les 5 niveaux de maturité CMMI
CyFun utilise une échelle de maturité CMMI à 5 niveaux. Chaque contrôle est noté sur deux dimensions — Maturité de Documentation (1-5) et Maturité d'Implémentation (1-5). Le seuil de réussite pour chaque Key Measure est ≥ 2,5/5.
Deux dimensions, une échelle
- Maturité de Documentation — à quel point vos règles et procédures écrites couvrent le contrôle.
- Maturité d'Implémentation — à quel point vos pratiques opérationnelles réelles sont matures.
Les deux dimensions utilisent la même échelle CMMI à 5 niveaux. Vous notez chaque contrôle une fois par dimension, de 1 à 5.
Quelles preuves comptent pour quelle dimension ?
Toutes les preuves n'aident pas les deux scores. Une policy écrite prouve la documentation, pas l'implémentation. Une config Microsoft Entra prouve l'implémentation, pas la policy. Un contrôle mature a les deux côtés couverts.
Preuves de documentation
Ce que nous disons faire.
- Politiques
- Procedures
Preuves d'implémentation
Ce que nous faisons réellement — preuve que l'activité a eu lieu.
- Captures de config (Entra, Intune, ...)
- Logs et pistes d'audit
- Résultats de tests (Secure Score, scans, ...)
- Inventaires (device, user, logiciel)
- Registres d'incidents et d'exercices
- Registres de formation (preuve de réalisation)
- Formulaires d'acceptation (signés par l'employé)
- Attestations externes (déclaration signée)
Les intégrations (Microsoft 365, Sophos, SentinelOne, ...) fournissent presque toujours des preuves d'implémentation : elles observent l'état réel d'application. Les policies et procédures restent manuelles — mais ECP en génère une première version pour vous.
Les 5 niveaux de maturité (définitions officielles CCB)
| Niveau | Maturité de Documentation | Maturité d'Implémentation |
|---|---|---|
| 1 — Initial | Aucune documentation de processus, ou non formellement approuvée par la direction. | Le processus standard n'existe pas. |
| 2 — Repeatable | Documentation de processus formellement approuvée existe, mais n'a pas été révisée au cours des 2 dernières années. | Processus ad-hoc existe et est effectué de manière informelle. |
| 3 — Defined | Documentation de processus formellement approuvée existe ; les exceptions sont documentées et approuvées. Exceptions documentées & approuvées < 5% du temps. | Processus formel existe et est mis en œuvre. Preuves disponibles pour la plupart des activités. Moins de 10% d'exceptions au processus. |
| 4 — Managed | Documentation de processus formellement approuvée existe ; les exceptions sont documentées et approuvées. Exceptions documentées & approuvées < 3% du temps. | Processus formel existe et est mis en œuvre. Preuves disponibles pour toutes les activités. Métriques détaillées capturées et rapportées. Objectif minimal pour les métriques établi. Moins de 5% d'exceptions. |
| 5 — Optimizing | Documentation de processus formellement approuvée existe ; les exceptions sont documentées et approuvées. Exceptions documentées & approuvées < 0,5% du temps. | Processus formel existe et est mis en œuvre. Preuves disponibles pour toutes les activités. Métriques détaillées capturées et rapportées. Objectif minimal pour les métriques établi et en amélioration continue. Moins de 1% d'exceptions. |
Seuil de réussite
Selon le Conformity Assessment Scheme du CCB, chaque Key Measure doit atteindre une moyenne ≥ 2,5/5 en documentation et implémentation. C'est le seuil pour être prêt à l'audit.
Niveaux vs tiers — à ne pas confondre
CyFun a deux chiffres indépendants :
- 4 niveaux d'assurance — Small, Basic, Important, Essential. Ils définissent quels contrôles vous implémentez (7, 34, 132 ou 217).
- 5 niveaux de maturité — Initial à Optimizing. Ils définissent à quel point vous implémentez chacun de ces contrôles.
Une organisation de niveau Basic note toujours chacun de ses 34 contrôles sur l'échelle 1-5. Une organisation Essential note ses 217 contrôles sur la même échelle 1-5.
Articles Connexes
Source
- CCB CyberFundamentals Self-Assessment Tool (v2026-02-20) — formulation officielle pour les 5 niveaux de maturité et le seuil ≥ 2,5/5.