Normes internationales pertinentes
- ISO/IEC 27001 - SMSI
- ISO/IEC 27002 - Mesures securite
- ISO/IEC 27005 - Gestion risques
- ISO 22301 - Continuite d'activite
FIRE Auditor Platform
Diagnostic
Maturite digitale
Photographie rapide de la maturite numerique et cyber
Cette page reprend le socle de ton ancien module de maturite digitale et le cadre pour le produire proprement dans FIRE.
Le but est de transformer un questionnaire simple en parcours robuste, score exploitable et plan d'action priorise.
Ce module est un diagnostic d'orientation. Une conclusion de conformite exige une revue d'evidence et un audit structure.
Mode
Questionnaire structure
Sortie
Score + plan + rapport IA
Integration
Compatible Gemma2 / Mistral
References issues du classeur Indicateurs.xlsx
Reglements et directives pertinents
- NIS2 - Directive (UE) 2022/2555
- DORA - Reglement (UE) 2022/2554
- CER - Directive (UE) 2022/2557
- CRA - Reglement (UE) 2024/2847
- RGPD - Reglement (UE) 2016/679
- Data Act - Reglement (UE) 2023/2854
- Cybersecurity Act - Reglement (UE) 2019/881
- AI Act - Reglement (UE) 2024/1689
Segments strategiques associes
- Resilience technique - NIS2
- Resilience operationnelle - DORA
- Resilience physique - CER
- Resilience produit - CRA
- Resilience donnees - RGPD
- Resilience algorithmique - AI Act
- Resilience certification - Cybersecurity Act
Indicateurs transversaux de reference
27 indicateurs KPI/KRI rattaches a ce module. Ils sont convertis en questionnaires versionnes dans le catalogue FIRE.
KPI-001 - Couverture de la cartographie des actifs critiques
% d'actifs/processus critiques identifies, classes et proprietaires designes.
Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301
KPI-002 - Couverture de la cartographie des dependances (internes + tiers)
% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.
Calcul: (# dependances critiques documentees / # dependances critiques) * 100
Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017
KPI-003 - Score de maturite gouvernance cyber/ICT
Existence et efficacite des roles, comites, politiques, reporting.
Calcul: Score 0-5 base sur grille d'audit.
Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316
KPI-004 - Couverture d'analyse de risques (perimetre)
% du perimetre soumis a une analyse de risques a jour.
Calcul: (# perimetre analyse <12 mois / perimetre total) * 100
Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000
KPI-005 - Delai moyen de traitement des risques
Temps entre identification du risque et decision de traitement.
Calcul: Moyenne(date decision - date identification)
Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000
KPI-006 - Taux de couverture des controles de securite
% des controles attendus effectivement implementes.
Calcul: (# controles en place / # controles requis) * 100
Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA
KPI-007 - MTTR (Mean Time To Recover/Respond)
Temps moyen pour restaurer un service apres incident.
Calcul: Moyenne(heure retour service - heure incident)
Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035
KPI-008 - MTTD (Mean Time To Detect)
Temps moyen de detection d'un incident.
Calcul: Moyenne(heure detection - heure debut estime)
Couvre: NIS2, DORA, ISO/IEC 27035
KPI-009 - Taux d'incidents significatifs / trimestre
Volume d'incidents materiels selon seuils internes.
Calcul: # incidents significatifs / periode
Couvre: NIS2, DORA, RGPD, ISO/IEC 27035
KPI-010 - Conformite notification d'incident (timeliness)
% des incidents notifies dans les delais applicables.
Calcul: (# notifs dans delai / # notifs obligatoires) * 100
Couvre: NIS2, DORA, RGPD
KPI-011 - RTO/RPO atteints lors des tests
% de scenarios ou les objectifs de reprise sont atteints.
Calcul: (# tests conformes / # tests) * 100
Couvre: DORA, CER, ISO 22301, eIDAS
KPI-012 - Frequence et couverture des exercices de crise
Nombre d'exercices et % du perimetre couvert.
Calcul: # exercices/an + % perimetre
Couvre: CER, DORA, ISO 22301, ISO/IEC 27035
KPI-013 - Taux de sauvegardes restaurables (restore success rate)
% de restaurations reussies lors des tests.
Calcul: (# restores OK / # tests) * 100
Couvre: DORA, NIS2, ISO 22301, eIDAS
KPI-014 - Exposition aux vulnerabilites critiques
Nombre ou % de vulnerabilites critiques non corrigees.
Calcul: # CVSS>=9 ouvertes > X jours
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-015 - Delai moyen de patching (critique/haut)
Temps moyen entre publication/identification d'une faille et correction.
Calcul: Moyenne(date patch - date detection)
Couvre: CRA, NIS2, DORA, ISO/IEC 27002
KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)
% des utilisateurs/systemes couverts par controle cle.
Calcul: (# couverts / # total) * 100
Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017
KPI-017 - Indice de concentration fournisseurs ICT
Mesure de dependance a 1-3 fournisseurs critiques.
Calcul: Part % du top-1 / top-3 sur services critiques
Couvre: DORA, NIS2, CER, ISO/IEC 27036
KPI-018 - Couverture d'evaluation securite des tiers
% des tiers critiques evalues/audites.
Calcul: (# tiers evalues / # tiers critiques) * 100
Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001
KPI-019 - Exit readiness cloud / reversibilite
Capacite prouvee a migrer ou basculer un service.
Calcul: Score 0-5 + preuve de test
Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017
KPI-020 - Couverture SBOM / gestion composants
% produits/systemes avec SBOM maintenu.
Calcul: (# avec SBOM / # produits concernes) * 100
Couvre: CRA, ISO/IEC 27002, Cybersecurity Act
KPI-021 - Taux de secure by design (revues, S-SDLC)
% projets avec gates securite design/review/test.
Calcul: (# projets conformes / # projets) * 100
Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002
KPI-022 - Taux de DPIA/PIA realises et a jour
% traitements/produits a risque couverts par analyse d'impact.
Calcul: (# DPIA a jour / # DPIA requis) * 100
Couvre: RGPD, ISO/IEC 27701, AI Act
KPI-023 - Taux de minimisation/retention compliance
% donnees conformes aux regles de conservation.
Calcul: (# datasets conformes / # datasets) * 100
Couvre: RGPD, ISO/IEC 27701
KPI-024 - Qualite des logs (coverage + retention)
% systemes critiques logues + duree de retention.
Calcul: % coverage + jours retention
Couvre: NIS2, DORA, ISO/IEC 27002
KPI-025 - Indicateur assurance via certification
% perimetre couvert par certifications/schemas.
Calcul: (# systemes certifies / # cible) * 100
Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS
KPI-026 - IA - taux de conformite high-risk controls
% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).
Calcul: (# IA conformes / # IA haut risque) * 100
Couvre: AI Act, ISO/IEC 27001, ISO 22301
KPI-027 - IA - incidents de performance/securite post-deploiement
Nombre d'incidents IA (derive, erreurs critiques, abus).
Calcul: # incidents / periode + gravite
Couvre: AI Act, NIS2, ISO/IEC 27035
Piliers d'evaluation
Gouvernance et strategie
Aligner direction, budget et pilotage des risques cyber.
- Feuille de route numerique validee et suivie trimestriellement
- Budget dedie aux priorites technologiques et de securite
- Reporting de risque pour arbitrages de direction
Infrastructure et cloud
Stabiliser la base technique avant d'ajouter de la complexite.
- Outils collaboratifs centralises et gouvernes
- Sauvegardes automatisees, testees, avec copie isolee
- Acces distant protege (MFA, revues de droits, comptes nominatifs)
Securite et resilience
Passer d'une securite reactive a une securite pilotee.
- MFA sur les acces critiques
- Inventaire des actifs et patching prioritaire
- PCA/PRA teste avec RTO/RPO minimaux
Structure du questionnaire
Structure conseillee
Questionnaire en 4 blocs, 5 a 10 questions par bloc.
- Questions binaires pour le MVP (Oui/Non/N/A)
- Chaque question liee a une evidence attendue
- Poids variable selon criticite metier
Notation
Scoring normalise pour un suivi dans le temps.
- Score global sur 100
- Sous-scores par pilier
- Niveau de risque derive du taux de couverture
Sortie rapport et IA
Sortie rapport
Ce que le moteur FIRE doit produire a la fin du module.
- Resume executif (1 page)
- Top 5 ecarts majeurs + actions 30/90 jours
- Payload JSON exploitable par Gemma2 et Mistral
Roadmap d'implementation
Phase 1 - MVP
- Finaliser question bank v1
- Activer scoring global + par pilier
- Generer rapport standard en base
Phase 2 - Durcissement
- Ajouter evidence/commentaire par question
- Ajouter versionning des questions
- Ajouter comparaison campagne N vs N-1
Prochaine etape: transformer ces blocs de contenu en banques de questions versionnees, puis lancer les campagnes dans le dashboard FIRE.