(EN) Method and system embodiments for assessing control maturity in security operations environments are described. According to some embodiments, the method facilitates a nonintrusive, automated means to configure and detect security controls installed in an Information Technology (IT) environment. The system verifies that these controls function as expected over a specified period of time and then maps each security control to a cell in a matrix of operational functions crossed with asset classes. The system captures metrics for security control activity that are displayed in the matrix to facilitate an assessment of security control architectural maturity. The system automatically generates visual and textual reports that provide recommendations to improve cybersecurity by enhancing existing and adding new controls, specify a suggested timeline for introducing those controls, and document gaps in compliance. The reports include automated remediation recommendations per compliance framework, including the ability to apply custom frameworks.
(FR) L'invention concerne des modes de réalisation d'un procédé et d'un système destinés à évaluer la maturité des contrôles dans des environnements d'opérations de sécurité. Selon certains modes de réalisation, le procédé facilite un moyen automatisé non intrusif de configurer et de détecter des contrôles de sécurité installés dans un environnement des technologies de l'information (IT). Le système vérifie que ces contrôles fonctionnent comme prévu sur un laps de temps spécifié, puis associe chaque contrôle de sécurité à une cellule dans une matrice de fonctions opérationnelles croisées avec des classes d'actifs. Le système capture des métriques relatives à l'activité de contrôles de sécurité, qui sont affichées dans la matrice pour faciliter une évaluation de la maturité architecturale des contrôles de sécurité. Le système génère automatiquement des comptes rendus visuels et textuels qui donnent des recommandations pour améliorer la cyber-sécurité en renforçant les contrôles existants et en en ajoutant de nouveaux, spécifient un échéancier suggéré pour introduire ces contrôles, et répertorient les lacunes dans la conformité. Les comptes rendus comprennent des recommandations curatives automatisées selon un cadre de conformité, incluant la possibilité d'appliquer des cadres sur mesure.