Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27035 - Gestion incidents
- ISO 22301 - Continuite d'activite
FIRE Auditor Platform
AI Act
AI Act readiness
Classifier le risque et preparer les obligations provider/deployer
Le module reutilise ton ancienne logique AI Act: gate de classification puis checklist d'obligations.
Le but est de rendre le parcours actionnable avec un score de preparation et un plan de remediation.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- AI Act - Reglement (UE) 2024/1689
Segments strategiques associes
- Resilience algorithmique - AI Act
Indicateurs transversaux de reference
18 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-011 - RTO/RPO atteints lors des tests
% de scenarios ou les objectifs de reprise sont atteints.
Calcul: (# tests conformes / # tests) * 100
Couvre: DORA, CER, ISO 22301, eIDAS
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-022 - Taux de DPIA/PIA realises et a jour
% traitements/produits a risque couverts par analyse d'impact.
Calcul: (# DPIA a jour / # DPIA requis) * 100
Couvre: RGPD, ISO/IEC 27701, AI Act
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Classification de risque
Evaluer prohibited, high-risk, limited ou minimal risk.
- Signaux de pratiques interdites
- Signaux high-risk selon usage
- Qualification du role (provider/deployer)
Checklist d'obligations
Verifier les exigences applicables selon categorie.
- Gouvernance et documentation
- Human oversight et transparence
- Monitoring post-deploiement
Controle d'execution
Prouver que les mesures existent et fonctionnent.
- Owner de chaque obligation
- Evidence associee
- Etat d'avancement et blocants
Structure du questionnaire
Methode
Un gate initial, puis scoring 0..3 par exigence.
- 0 = non en place
- 1 = partiel
- 2 = presque
- 3 = operationnel et prouvable
Sortie rapport et IA
Sortie attendue
Rapport legal-tech orientee execution.
- Categorie de risque et implications
- Liste des exigences non couvertes
- Plan de remediation priorise par severite
Roadmap d'implementation
Phase 1
- Brancher gate de classification
- Activer checklist de controle par niveau
- Generer rapport AI Act standard
Phase 2
- Ajouter workflow legal review
- Ajouter tracing des changements de modele
- Ajouter suivi des obligations post-market
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.