Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27002 - Mesures securite
- ISO/IEC 27035 - Gestion incidents
- ISO 22301 - Continuite d'activite
FIRE Auditor Platform
CyFun Basic
CyFun - Niveau Basic
Socle minimal de protection et de continuite
Niveau d'entree pour etablir rapidement un minimum viable de securite.
Ideal pour lancer une premiere dynamique sans surcharge organisationnelle.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- NIS2 - Directive (UE) 2022/2555
- DORA - Reglement (UE) 2022/2554
Segments strategiques associes
- Resilience technique - NIS2
- Resilience operationnelle - DORA
Indicateurs transversaux de reference
25 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-004 - Couverture d'analyse de risques (perimetre)
% du perimetre soumis a une analyse de risques a jour.
Calcul: (# perimetre analyse <12 mois / perimetre total) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-011 - RTO/RPO atteints lors des tests
% de scenarios ou les objectifs de reprise sont atteints.
Calcul: (# tests conformes / # tests) * 100
Couvre: DORA, CER, ISO 22301, eIDAS
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-014 - Exposition aux vulnerabilites critiques
Nombre ou % de vulnerabilites critiques non corrigees.
Calcul: # CVSS>=9 ouvertes > X jours
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-015 - Delai moyen de patching (critique/haut)
Temps moyen entre publication/identification d'une faille et correction.
Calcul: Moyenne(date patch - date detection)
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-017 - Indice de concentration fournisseurs ICT
Mesure de dependance a 1-3 fournisseurs critiques.
Calcul: Part % du top-1 / top-3 sur services critiques
Couvre: DORA, NIS2, CER, ISO/IEC 27036
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-020 - Couverture SBOM / gestion composants
% produits/systemes avec SBOM maintenu.
Calcul: (# avec SBOM / # produits concernes) * 100
Couvre: CRA, ISO/IEC 27002, Cybersecurity Act
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-024 - Qualite des logs (coverage + retention)
% systemes critiques logues + duree de retention.
Calcul: % coverage + jours retention
Couvre: NIS2, DORA, ISO/IEC 27002
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Gouvernance minimale
Nommer un owner et suivre les actions critiques.
- Owner securite designe
- Top risques identifies
- Revue periodique courte
Hygiene de base
MFA, sauvegarde, controles d'acces essentiels.
- MFA sur comptes critiques
- Sauvegardes testees
- Offboarding standardise
Incident basique
Capacite minimale a reagir sans improvisation totale.
- Playbook court
- Contacts d'escalade
- Registre d'incident
Structure du questionnaire
Questionnaire basic
Questions orientees evidences simples.
- 4 themes x 5-8 questions
- Reponses no/partial/yes
- Commentaire court recommande
Sortie rapport et IA
Resultat
Un plan d'action directement executable.
- 3 quick wins immediats
- Top faiblesses a traiter
- Score de progression de base
Roadmap d'implementation
Sous 30 jours
- Fermer quick wins critiques
- Relancer mini-evaluation
- Preparer passage niveau Important
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.