Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO 22301 - Continuite d'activite
- ISO 22316 - Resilience organisationnelle
- ISO 31000 - Risk management
FIRE Auditor Platform
CER
CER - Resilience des entites critiques
Directive (UE) 2022/2557 sur la resilience physique et intersectorielle
Ce module couvre la preparation CER: analyse des risques, interdependances, continute des services essentiels et coordination de crise.
Il complete la lecture cyber NIS2 par une vision physique et organisationnelle de la resilience.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- NIS2 - Directive (UE) 2022/2555
- CER - Directive (UE) 2022/2557
Segments strategiques associes
- Resilience technique - NIS2
- Resilience physique - CER
Indicateurs transversaux de reference
24 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-004 - Couverture d'analyse de risques (perimetre)
% du perimetre soumis a une analyse de risques a jour.
Calcul: (# perimetre analyse <12 mois / perimetre total) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-011 - RTO/RPO atteints lors des tests
% de scenarios ou les objectifs de reprise sont atteints.
Calcul: (# tests conformes / # tests) * 100
Couvre: DORA, CER, ISO 22301, eIDAS
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-014 - Exposition aux vulnerabilites critiques
Nombre ou % de vulnerabilites critiques non corrigees.
Calcul: # CVSS>=9 ouvertes > X jours
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-015 - Delai moyen de patching (critique/haut)
Temps moyen entre publication/identification d'une faille et correction.
Calcul: Moyenne(date patch - date detection)
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-017 - Indice de concentration fournisseurs ICT
Mesure de dependance a 1-3 fournisseurs critiques.
Calcul: Part % du top-1 / top-3 sur services critiques
Couvre: DORA, NIS2, CER, ISO/IEC 27036
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-024 - Qualite des logs (coverage + retention)
% systemes critiques logues + duree de retention.
Calcul: % coverage + jours retention
Couvre: NIS2, DORA, ISO/IEC 27002
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Analyse des risques et dependances
Identifier les points de rupture pouvant affecter les services essentiels.
- Cartographie actifs/processus critiques
- Interdependances internes/externes
- Scenarios de disruption multi-risques
Mesures de protection et continuite
Prevenir, absorber et restaurer l'activite.
- Mesures de protection proportionnees
- PCA/PRA aligns sur fonctions vitales
- Exercices de crise periodiques
Coordination autorites et ecosysteme
Assurer la coherence de la reponse entre acteurs.
- Points de contact identifies
- Protocoles de communication de crise
- Partage d'information avec parties prenantes
Impacts attendus
Impact business
Reduction des pertes en cas d'evenement majeur.
- Moins d'arrets prolonges
- Meilleure priorisation des protections critiques
- Reprise plus rapide des services
Impact organisationnel
Clarification des responsabilites de crise.
- Chaines de decision plus courtes
- Role de chaque equipe mieux defini
- Meilleure preparation inter-metiers
Impact conformite
Lecture tracee des obligations CER et connexions NIS2.
- Mise en coherence des plans resilience
- Dossier de preuve structurable
- Suivi de maturite documente dans le temps
Structure du questionnaire
Structure questionnaire CER
Evaluation en 4 blocs: risque, protection, continuite, coordination.
- Questions basees sur scenarios de disruption
- Evidence exigee pour mesures critiques
- Scoring 0..3 avec seuils d'alerte
Focus d'evaluation
Prioriser les risques ayant impact systemique.
- Dependance a un site unique
- Dependance a un prestataire unique
- Absence de plan de communication de crise
Sortie rapport et IA
Sortie rapport CER
Vue direction resiliente et plan de reduction des vulnerabilites.
- Carte des scenarios critiques
- Liste des mesures insuffisantes
- Plan d'amelioration avec priorites et delais
Roadmap d'implementation
Phase 1 - Cadrage
- Definir perimetre entites/services critiques
- Lancer baseline de maturite CER
- Valider hypotheses de risque majeures
Phase 2 - Renforcement
- Tester les scenarios de rupture prioritaire
- Durcir continuite et coordination externe
- Connecter CER et NIS2 dans les reportings
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.