Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27002 - Mesures securite
- ISO/IEC 27017 - Securite cloud
- ISO/IEC 27035 - Gestion incidents
FIRE Auditor Platform
CRA
CRA - Cyber Resilience Act
Reglement (UE) 2024/2847 pour la securite des produits numeriques
Le module CRA transforme les obligations produit en checklist concrete: security by design, SBOM, gestion des vulnerabilites et patching.
Il couvre le cycle de vie complet pour fabricants, importateurs, distributeurs et mainteneurs.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- NIS2 - Directive (UE) 2022/2555
- CRA - Reglement (UE) 2024/2847
- Cybersecurity Act - Reglement (UE) 2019/881
Segments strategiques associes
- Resilience technique - NIS2
- Resilience produit - CRA
- Resilience certification - Cybersecurity Act
Indicateurs transversaux de reference
24 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-004 - Couverture d'analyse de risques (perimetre)
% du perimetre soumis a une analyse de risques a jour.
Calcul: (# perimetre analyse <12 mois / perimetre total) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-014 - Exposition aux vulnerabilites critiques
Nombre ou % de vulnerabilites critiques non corrigees.
Calcul: # CVSS>=9 ouvertes > X jours
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-015 - Delai moyen de patching (critique/haut)
Temps moyen entre publication/identification d'une faille et correction.
Calcul: Moyenne(date patch - date detection)
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-017 - Indice de concentration fournisseurs ICT
Mesure de dependance a 1-3 fournisseurs critiques.
Calcul: Part % du top-1 / top-3 sur services critiques
Couvre: DORA, NIS2, CER, ISO/IEC 27036
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-020 - Couverture SBOM / gestion composants
% produits/systemes avec SBOM maintenu.
Calcul: (# avec SBOM / # produits concernes) * 100
Couvre: CRA, ISO/IEC 27002, Cybersecurity Act
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-024 - Qualite des logs (coverage + retention)
% systemes critiques logues + duree de retention.
Calcul: % coverage + jours retention
Couvre: NIS2, DORA, ISO/IEC 27002
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Security by design
Integrer la securite des la conception et jusqu'au decommissioning.
- Exigences securite dans les specs produit
- Modelisation des menaces projet
- Controles de securite dans le cycle de dev
Vulnerabilites et correctifs
Detecter, qualifier, corriger et informer rapidement.
- Processus de disclosure formalise
- Delais de patching cibles par severite
- Trajectoire de correction tracee
Transparence et preuves
Maintenir les artefacts de conformite et de support.
- SBOM maintenue
- Documentation securite pour clients
- Preuves d'essais et de verification
Impacts attendus
Impact produit
Hausse de la robustesse et baisse des incidents exploites.
- Reduction de surface d'attaque
- Moins de failles critiques en production
- Meilleure maitrise du cycle de maintenance
Impact business
Amelioration de la confiance marche et reduction du risque commercial.
- Argumentaire securite plus solide
- Moins de litiges post-deploiement
- Meilleure readiness appels d'offres
Impact conformite
Preparation continue aux exigences CRA et schemes associes.
- Trajectoire de conformite objectivable
- Preuves reexploitables pour audits
- Connexion avec Cybersecurity Act
Structure du questionnaire
Structure questionnaire CRA
5 domaines: gouvernance produit, SDLC, vuln management, support, preuve.
- Questions par role et responsabilite
- Evidence attendue obligatoire sur points critiques
- Scoring 0..3 et alerte sur non-conformites majeures
KPI de pilotage
Suivre l'amelioration dans la duree.
- Temps moyen de correction CVE
- Taux de produits avec SBOM valide
- Taux de tests securite integres CI/CD
Sortie rapport et IA
Sortie rapport CRA
Rapport pour product management, securite et conformite.
- Score de readiness produit
- Backlog de remediations priorise
- Vue des obligations couvertes/non couvertes
Roadmap d'implementation
Phase 1 - Baseline produit
- Mapper obligations CRA sur portefeuille produit
- Lancer evaluation pilote sur un produit critique
- Valider matrice preuves et owners
Phase 2 - Scale
- Generaliser question bank CRA
- Relier resultats aux pipelines SDLC
- Industrialiser rapports pour direction produit
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.