eIDAS - Services de confiance numerique

KPI-001 - Couverture de la cartographie des actifs critiques

% d'actifs/processus critiques identifies, classes et proprietaires designes.

Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301

KPI-002 - Couverture de la cartographie des dependances (internes + tiers)

% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.

Calcul: (# dependances critiques documentees / # dependances critiques) * 100

Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017

KPI-003 - Score de maturite gouvernance cyber/ICT

Existence et efficacite des roles, comites, politiques, reporting.

Calcul: Score 0-5 base sur grille d'audit.

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316

KPI-004 - Couverture d'analyse de risques (perimetre)

% du perimetre soumis a une analyse de risques a jour.

Calcul: (# perimetre analyse <12 mois / perimetre total) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000

KPI-005 - Delai moyen de traitement des risques

Temps entre identification du risque et decision de traitement.

Calcul: Moyenne(date decision - date identification)

Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000

KPI-006 - Taux de couverture des controles de securite

% des controles attendus effectivement implementes.

Calcul: (# controles en place / # controles requis) * 100

Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA

KPI-007 - MTTR (Mean Time To Recover/Respond)

Temps moyen pour restaurer un service apres incident.

Calcul: Moyenne(heure retour service - heure incident)

Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035

KPI-008 - MTTD (Mean Time To Detect)

Temps moyen de detection d'un incident.

Calcul: Moyenne(heure detection - heure debut estime)

Couvre: NIS2, DORA, ISO/IEC 27035

KPI-009 - Taux d'incidents significatifs / trimestre

Volume d'incidents materiels selon seuils internes.

Calcul: # incidents significatifs / periode

Couvre: NIS2, DORA, RGPD, ISO/IEC 27035

KPI-010 - Conformite notification d'incident (timeliness)

% des incidents notifies dans les delais applicables.

Calcul: (# notifs dans delai / # notifs obligatoires) * 100

Couvre: NIS2, DORA, RGPD

KPI-011 - RTO/RPO atteints lors des tests

% de scenarios ou les objectifs de reprise sont atteints.

Calcul: (# tests conformes / # tests) * 100

Couvre: DORA, CER, ISO 22301, eIDAS

KPI-012 - Frequence et couverture des exercices de crise

Nombre d'exercices et % du perimetre couvert.

Calcul: # exercices/an + % perimetre

Couvre: CER, DORA, ISO 22301, ISO/IEC 27035

KPI-013 - Taux de sauvegardes restaurables (restore success rate)

% de restaurations reussies lors des tests.

Calcul: (# restores OK / # tests) * 100

Couvre: DORA, NIS2, ISO 22301, eIDAS

KPI-014 - Exposition aux vulnerabilites critiques

Nombre ou % de vulnerabilites critiques non corrigees.

Calcul: # CVSS>=9 ouvertes > X jours

Couvre: CRA, NIS2, DORA, ISO/IEC 27002

KPI-015 - Delai moyen de patching (critique/haut)

Temps moyen entre publication/identification d'une faille et correction.

Calcul: Moyenne(date patch - date detection)

Couvre: CRA, NIS2, DORA, ISO/IEC 27002

KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)

% des utilisateurs/systemes couverts par controle cle.

Calcul: (# couverts / # total) * 100

Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017

KPI-017 - Indice de concentration fournisseurs ICT

Mesure de dependance a 1-3 fournisseurs critiques.

Calcul: Part % du top-1 / top-3 sur services critiques

Couvre: DORA, NIS2, CER, ISO/IEC 27036

KPI-018 - Couverture d'evaluation securite des tiers

% des tiers critiques evalues/audites.

Calcul: (# tiers evalues / # tiers critiques) * 100

Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001

KPI-019 - Exit readiness cloud / reversibilite

Capacite prouvee a migrer ou basculer un service.

Calcul: Score 0-5 + preuve de test

Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017

KPI-020 - Couverture SBOM / gestion composants

% produits/systemes avec SBOM maintenu.

Calcul: (# avec SBOM / # produits concernes) * 100

Couvre: CRA, ISO/IEC 27002, Cybersecurity Act

KPI-021 - Taux de secure by design (revues, S-SDLC)

% projets avec gates securite design/review/test.

Calcul: (# projets conformes / # projets) * 100

Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002

KPI-024 - Qualite des logs (coverage + retention)

% systemes critiques logues + duree de retention.

Calcul: % coverage + jours retention

Couvre: NIS2, DORA, ISO/IEC 27002

KPI-025 - Indicateur assurance via certification

% perimetre couvert par certifications/schemas.

Calcul: (# systemes certifies / # cible) * 100

Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS

KPI-026 - IA - taux de conformite high-risk controls

% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).

Calcul: (# IA conformes / # IA haut risque) * 100

Couvre: AI Act, ISO/IEC 27001, ISO 22301

KPI-027 - IA - incidents de performance/securite post-deploiement

Nombre d'incidents IA (derive, erreurs critiques, abus).

Calcul: # incidents / periode + gravite

Couvre: AI Act, NIS2, ISO/IEC 27035