AI Act readiness

F1 - Capacite d'investissement strategique

Axe F - Finance

Votre organisation dispose-t-elle d'une capacite financiere suffisante pour investir dans la technologie, la cybersecurite et l'innovation sans mettre en danger sa stabilite ?

La capacite d'investissement strategique mesure si l'entreprise peut financer des projets technologiques importants sans desequilibrer sa situation financiere. Une organisation solide planifie ses investissements, elle ne les subit pas.

Indicateur: % budget technologique vs CA

Couvre: ISO/IEC 27001, NIS2, DORA

F5 - Couverture assurantielle adaptee

Axe F - Finance

Votre organisation a-t-elle evalue si ses assurances couvrent reellement ses principaux risques numeriques ?

Les assurances cyber peuvent couvrir certains impacts financiers. Les garanties doivent rester alignees sur les risques identifies et leur evolution.

Indicateur: % risques numeriques critiques effectivement couverts

Couvre: DORA, NIS2, ISO/IEC 27001

F7 - Vision d'investissement a moyen terme

Axe F - Finance

Disposez-vous d'un plan d'investissement technologique sur trois a cinq ans aligne avec votre strategie globale ?

Une vision pluriannuelle evite les decisions improvisees et permet d'anticiper les evolutions du marche.

Indicateur: Existence et revue annuelle d'une feuille de route 3-5 ans

Couvre: ISO/IEC 27001, NIS2, DORA

I1 - Veille technologique structuree

Axe I - Innovation

Votre organisation dispose-t-elle d'un mecanisme structure de veille technologique et reglementaire ?

La veille consiste a surveiller les evolutions technologiques, reglementaires et concurrentielles afin d'anticiper les changements et orienter les decisions.

Indicateur: Frequence de veille + diffusion a la direction

Couvre: NIS2, DORA, AI Act

I3 - Culture d'experimentation

Axe I - Innovation

Encouragez-vous les projets pilotes et experimentations encadrees ?

L'experimentation permet de tester des idees a petite echelle avant un deploiement large, en capitalisant sur les apprentissages.

Indicateur: Nombre d'experimentations encadrees par an

Couvre: NIS2, ISO/IEC 27001

I4 - Adoption de technologies emergentes

Axe I - Innovation

Votre organisation evalue-t-elle activement les technologies emergentes (intelligence artificielle, automatisation, cybersecurite avancee) ?

Les technologies emergentes peuvent transformer le modele economique. Leur potentiel doit etre evalue de maniere structuree.

Indicateur: Nombre d'evaluations d'impact techno emergentes par an

Couvre: AI Act, CRA, NIS2

I5 - Capacite d'adaptation technologique

Axe I - Innovation

Votre organisation peut-elle remplacer ou moderniser ses systemes sans blocage majeur ?

La capacite d'adaptation technologique mesure la facilite avec laquelle l'organisation peut faire evoluer ou remplacer ses systemes existants sans interruption excessive ni couts disproportionnes. Une organisation trop dependante de systemes anciens ou rigides devient vulnérable face aux evolutions du marche.

Indicateur: Delai moyen de modernisation/remplacement d'un systeme critique

Couvre: ISO/IEC 27001, ISO 22301, NIS2

I6 - Gouvernance des projets innovants

Axe I - Innovation

Les projets innovants sont-ils evalues selon des criteres clairs de valeur, de risque et de priorite strategique ?

La gouvernance des projets innovants consiste a definir des regles de selection et d'evaluation selon la valeur attendue, le niveau de risque et l'alignement strategique. Sans criteres clairs, l'innovation devient dispersee et inefficace.

Indicateur: % projets innovants evalues via une grille commune

Couvre: ISO/IEC 27001, ISO 31000, DORA

I7 - Integration responsable de l'intelligence artificielle

Axe I - Innovation

L'utilisation de l'intelligence artificielle dans votre organisation est-elle encadree par des regles claires et supervisee par la direction ?

Definition IA: systemes capables d'apprentissage automatique et d'automatisation decisionnelle. L'integration responsable implique l'identification des usages, des regles internes, une supervision humaine et la gestion des risques (biais, erreurs, conformite).

Indicateur: % usages IA inventories et controles par une politique formelle

Couvre: AI Act, RGPD, ISO/IEC 27001

R1 - Cartographie des actifs critiques

Axe R - Resilience

Votre organisation a-t-elle identifie et classe ses actifs critiques ?

Un actif critique est un systeme, une application, un processus ou une infrastructure dont l'arret ou la compromission aurait un impact majeur sur l'activite. Sans cartographie claire, la priorisation des protections est impossible.

Indicateur: % actifs critiques identifies et classes

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22301

R4 - Rapidité de decision face aux risques

Axe R - Resilience

Votre organisation prend-elle rapidement des decisions lorsqu'un risque majeur est identifie ?

Identifier un risque ne suffit pas: il faut decider rapidement de le reduire, l'accepter ou le transferer.

Indicateur: Delai moyen entre identification d'un risque majeur et decision formelle

Couvre: ISO/IEC 27001, NIS2, DORA

R5 - Capacite de detection rapide des incidents

Axe R - Resilience

Votre organisation detecte-t-elle rapidement les incidents majeurs ?

Un incident peut etre une panne, une intrusion ou une fuite de donnees. Plus il est detecte tot, plus son impact est limite.

Indicateur: MTTD sur incidents significatifs

Couvre: NIS2, DORA, ISO/IEC 27035

R6 - Capacite de restauration rapide

Axe R - Resilience

Votre organisation est-elle capable de restaurer rapidement ses services critiques apres un incident ?

Cet indicateur mesure la capacite a redemarrer l'activite dans un delai acceptable pour le metier.

Indicateur: MTTR / taux d'atteinte des objectifs de reprise

Couvre: ISO 22301, DORA, NIS2

R7 - Tests de continuite d'activite

Axe R - Resilience

Votre organisation teste-t-elle regulierement ses plans de continuite ?

Un plan de continuite decrit comment l'activite continue en cas de crise majeure. Sans tests, il reste theorique.

Indicateur: Frequence et couverture des exercices de continuite

Couvre: ISO 22301, CER, DORA

R8 - Sauvegardes reellement restaurables

Axe R - Resilience

Vos sauvegardes de donnees sont-elles regulierement testees pour verifier qu'elles peuvent etre restaurees ?

Une sauvegarde non testee n'est pas une garantie reelle de reprise.

Indicateur: % restaurations de test reussies

Couvre: ISO 22301, DORA, NIS2

R12 - Resilience face aux technologies emergentes (IA incluse)

Axe R - Resilience

Votre organisation surveille-t-elle et encadre-t-elle les risques lies a l'intelligence artificielle ou aux technologies automatisees ?

L'IA peut generer erreurs, biais ou derives si elle n'est pas surveillee. La resilience impose un pilotage continu de ces risques.

Indicateur: Nombre d'incidents IA + niveau de maitrise des controles associes

Couvre: AI Act, NIS2, ISO/IEC 27035

E1 - Gouvernance technologique au niveau du conseil

Axe E - Excellence

Les enjeux technologiques et numeriques sont-ils discutes regulierement au niveau de la direction ou du conseil d'administration ?

Une gouvernance forte implique que la technologie soit un sujet strategique au plus haut niveau, et pas uniquement un sujet technique.

Indicateur: Frequence des revues tech/cyber en direction

Couvre: ISO/IEC 27001, NIS2, DORA

E2 - Responsabilites clairement definies

Axe E - Excellence

Les responsabilites liees a la technologie, a la securite et aux donnees sont-elles clairement attribuees ?

Chaque domaine critique doit avoir un responsable identifie, reconnu et responsabilise sur des objectifs clairs.

Indicateur: % responsabilites critiques formalisees et assignees

Couvre: ISO/IEC 27001, NIS2

E3 - Indicateurs de performance suivis

Axe E - Excellence

Disposez-vous d'indicateurs clairs pour mesurer la performance technologique et la maitrise des risques ?

Un indicateur permet de suivre l'evolution d'un risque ou d'une performance et d'orienter les decisions.

Indicateur: Nombre d'indicateurs stratégiques suivis trimestriellement

Couvre: ISO/IEC 27001, DORA, NIS2

E4 - Audit interne structure

Axe E - Excellence

Votre organisation realise-t-elle des audits internes reguliers sur ses processus technologiques et de securite ?

L'audit interne permet d'identifier les faiblesses avant qu'elles ne deviennent des crises.

Indicateur: Frequence des audits internes et taux de cloture des ecarts

Couvre: ISO/IEC 27001, ISO 19011

E5 - Conformite reglementaire maitrisee

Axe E - Excellence

Votre organisation maitrise-t-elle ses obligations reglementaires numeriques et technologiques ?

Les reglementations imposent des obligations en securite, donnees et resilience. La maitrise exige un pilotage structure.

Indicateur: % obligations critiques couvertes par des preuves a jour

Couvre: NIS2, DORA, AI Act, RGPD

E6 - Culture de transparence

Axe E - Excellence

Les incidents et risques sont-ils remontes de maniere transparente a la direction ?

Une culture saine permet de signaler les problemes sans crainte et d'ameliorer la decision.

Indicateur: Taux de remontée d'incidents significatifs dans les delais internes

Couvre: ISO/IEC 27001, NIS2

E7 - Suivi des plans d'action

Axe E - Excellence

Les plans d'action decides suite a un audit ou un incident sont-ils effectivement realises ?

La credibilite d'une organisation depend de sa capacite a executer ses decisions dans les delais.

Indicateur: % actions cloturees dans le delai cible

Couvre: ISO/IEC 27001, ISO 19011

E8 - Amelioration continue

Axe E - Excellence

Votre organisation ameliore-t-elle regulierement ses processus technologiques et de gestion des risques ?

L'excellence repose sur l'amelioration continue, les retours d'experience et l'apprentissage structure.

Indicateur: Nombre d'ameliorations structurees appliquees par cycle

Couvre: ISO/IEC 27001, ISO 22316