Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27005 - Gestion risques
- ISO/IEC 27017 - Securite cloud
- ISO 22301 - Continuite d'activite
- ISO/IEC 27036 - Securite fournisseurs
FIRE Auditor Platform
DORA
DORA - Resilience operationnelle numerique
Reglement (UE) 2022/2554 pour le secteur financier et ses tiers ICT
Ce module transforme DORA en parcours operationnel: risque ICT, incidents, continuite, tests et gouvernance des fournisseurs.
Il permet de produire un score de readiness DORA et un plan de remediations executable par equipe metier, risk, IT et conformite.
Le module apporte une lecture de preparation. La conformite formelle DORA exige une revue detaillee des preuves et des processus de gouvernance.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- NIS2 - Directive (UE) 2022/2555
- DORA - Reglement (UE) 2022/2554
Segments strategiques associes
- Resilience technique - NIS2
- Resilience operationnelle - DORA
Indicateurs transversaux de reference
24 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-004 - Couverture d'analyse de risques (perimetre)
% du perimetre soumis a une analyse de risques a jour.
Calcul: (# perimetre analyse <12 mois / perimetre total) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-011 - RTO/RPO atteints lors des tests
% de scenarios ou les objectifs de reprise sont atteints.
Calcul: (# tests conformes / # tests) * 100
Couvre: DORA, CER, ISO 22301, eIDAS
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-014 - Exposition aux vulnerabilites critiques
Nombre ou % de vulnerabilites critiques non corrigees.
Calcul: # CVSS>=9 ouvertes > X jours
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-015 - Delai moyen de patching (critique/haut)
Temps moyen entre publication/identification d'une faille et correction.
Calcul: Moyenne(date patch - date detection)
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-017 - Indice de concentration fournisseurs ICT
Mesure de dependance a 1-3 fournisseurs critiques.
Calcul: Part % du top-1 / top-3 sur services critiques
Couvre: DORA, NIS2, CER, ISO/IEC 27036
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-024 - Qualite des logs (coverage + retention)
% systemes critiques logues + duree de retention.
Calcul: % coverage + jours retention
Couvre: NIS2, DORA, ISO/IEC 27002
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Cadre de gestion du risque ICT
Structurer policies, roles, inventaires et controles permanents.
- Gouvernance risque ICT validee en direction
- Inventaire des actifs et services critiques
- Mecanisme de revue periodique des controles
Gestion des incidents et continuite
Detecter, classifier, notifier et restaurer selon severite.
- Taxonomie d'incidents ICT harmonisee
- Capacite de notification reglementaire
- PCA/PRA testes sur scenarios critiques
Risque tiers ICT
Encadrer dependances cloud et fournisseurs critiques.
- Evaluation pre-contractuelle securite
- Clauses de sortie/reversibilite
- Suivi de concentration et plans alternatifs
Impacts attendus
Impact gouvernance
Responsabilisation du management sur le risque numerique.
- Arbitrages mieux traces en comite
- Vision risque consolidatee multi-entites
- Meilleure priorisation budget/controle
Impact operationnel
Reduction des interruptions et du temps de reprise.
- Detection plus rapide des incidents
- Playbooks de crise plus robustes
- Coordination IT-Risk-Legal renforcee
Impact conformite
Dossier de preuve plus solide face aux superviseurs.
- Trajectoire de conformite objectivable
- Historique des remediations trace
- Rapports direction plus auditables
Structure du questionnaire
Structure questionnaire DORA
Parcours en 5 domaines avec scoring 0..3 et evidence obligatoire.
- Risque ICT
- Incidents et notification
- Resilience operationnelle et tests
- Risque tiers ICT
- Gouvernance et reporting
Regles de notation
Notation orientee execution et robustesse de preuve.
- 0 non en place, 1 partiel, 2 operationnel, 3 robuste et teste
- Poids renforces sur incident, continuite et tiers critiques
- Blocants reglementaires traces separement
Sortie rapport et IA
Sortie rapport DORA
Restitution exploitable management, risk officer et audit interne.
- Score global + sous-scores par domaine
- Top ecarts et risque associe
- Plan 30/90/180 jours avec owner et preuve attendue
Roadmap d'implementation
Phase 1 - Baseline
- Instancier questionnaire DORA v1
- Lancer evaluation pilote sur une entite
- Valider scoring et seuils d'alerte
Phase 2 - Industrialisation
- Etendre aux tiers ICT majeurs
- Relier sorties aux reportings comite
- Automatiser generation rapport IA
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.