Data Governance Act - Gouvernance de partage

F1 - Capacite d'investissement strategique

Axe F - Finance

Votre organisation dispose-t-elle d'une capacite financiere suffisante pour investir dans la technologie, la cybersecurite et l'innovation sans mettre en danger sa stabilite ?

La capacite d'investissement strategique mesure si l'entreprise peut financer des projets technologiques importants sans desequilibrer sa situation financiere. Une organisation solide planifie ses investissements, elle ne les subit pas.

Indicateur: % budget technologique vs CA

Couvre: ISO/IEC 27001, NIS2, DORA

F4 - Connaissance du cout des incidents majeurs

Axe F - Finance

Votre organisation connait-elle le cout financier reel d'un incident majeur (interruption de service, cyberattaque, perte de donnees) ?

Un incident majeur peut entrainer pertes de chiffre d'affaires, couts juridiques, amendes et atteinte a la reputation. Quantifier ce cout permet d'arbitrer les investissements de protection.

Indicateur: Estimation cout total d'un incident majeur (direct + indirect)

Couvre: NIS2, DORA, RGPD

F5 - Couverture assurantielle adaptee

Axe F - Finance

Votre organisation a-t-elle evalue si ses assurances couvrent reellement ses principaux risques numeriques ?

Les assurances cyber peuvent couvrir certains impacts financiers. Les garanties doivent rester alignees sur les risques identifies et leur evolution.

Indicateur: % risques numeriques critiques effectivement couverts

Couvre: DORA, NIS2, ISO/IEC 27001

F7 - Vision d'investissement a moyen terme

Axe F - Finance

Disposez-vous d'un plan d'investissement technologique sur trois a cinq ans aligne avec votre strategie globale ?

Une vision pluriannuelle evite les decisions improvisees et permet d'anticiper les evolutions du marche.

Indicateur: Existence et revue annuelle d'une feuille de route 3-5 ans

Couvre: ISO/IEC 27001, NIS2, DORA

F8 - Maitrise des couts fournisseurs technologiques

Axe F - Finance

Votre organisation controle-t-elle son exposition financiere vis-a-vis de fournisseurs technologiques dominants ?

Une forte dependance a un fournisseur unique peut creer un risque financier et contractuel. La maitrise repose sur la negociation, la diversification et la capacite de sortie.

Indicateur: Indice de concentration fournisseurs ICT critiques

Couvre: DORA, ISO/IEC 27036, Data Act

I3 - Culture d'experimentation

Axe I - Innovation

Encouragez-vous les projets pilotes et experimentations encadrees ?

L'experimentation permet de tester des idees a petite echelle avant un deploiement large, en capitalisant sur les apprentissages.

Indicateur: Nombre d'experimentations encadrees par an

Couvre: NIS2, ISO/IEC 27001

I5 - Capacite d'adaptation technologique

Axe I - Innovation

Votre organisation peut-elle remplacer ou moderniser ses systemes sans blocage majeur ?

La capacite d'adaptation technologique mesure la facilite avec laquelle l'organisation peut faire evoluer ou remplacer ses systemes existants sans interruption excessive ni couts disproportionnes. Une organisation trop dependante de systemes anciens ou rigides devient vulnérable face aux evolutions du marche.

Indicateur: Delai moyen de modernisation/remplacement d'un systeme critique

Couvre: ISO/IEC 27001, ISO 22301, NIS2

I6 - Gouvernance des projets innovants

Axe I - Innovation

Les projets innovants sont-ils evalues selon des criteres clairs de valeur, de risque et de priorite strategique ?

La gouvernance des projets innovants consiste a definir des regles de selection et d'evaluation selon la valeur attendue, le niveau de risque et l'alignement strategique. Sans criteres clairs, l'innovation devient dispersee et inefficace.

Indicateur: % projets innovants evalues via une grille commune

Couvre: ISO/IEC 27001, ISO 31000, DORA

I7 - Integration responsable de l'intelligence artificielle

Axe I - Innovation

L'utilisation de l'intelligence artificielle dans votre organisation est-elle encadree par des regles claires et supervisee par la direction ?

Definition IA: systemes capables d'apprentissage automatique et d'automatisation decisionnelle. L'integration responsable implique l'identification des usages, des regles internes, une supervision humaine et la gestion des risques (biais, erreurs, conformite).

Indicateur: % usages IA inventories et controles par une politique formelle

Couvre: AI Act, RGPD, ISO/IEC 27001

R1 - Cartographie des actifs critiques

Axe R - Resilience

Votre organisation a-t-elle identifie et classe ses actifs critiques ?

Un actif critique est un systeme, une application, un processus ou une infrastructure dont l'arret ou la compromission aurait un impact majeur sur l'activite. Sans cartographie claire, la priorisation des protections est impossible.

Indicateur: % actifs critiques identifies et classes

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22301

R4 - Rapidité de decision face aux risques

Axe R - Resilience

Votre organisation prend-elle rapidement des decisions lorsqu'un risque majeur est identifie ?

Identifier un risque ne suffit pas: il faut decider rapidement de le reduire, l'accepter ou le transferer.

Indicateur: Delai moyen entre identification d'un risque majeur et decision formelle

Couvre: ISO/IEC 27001, NIS2, DORA

R11 - Capacite de sortie d'un fournisseur majeur

Axe R - Resilience

Votre organisation pourrait-elle changer rapidement de fournisseur technologique critique si necessaire ?

La capacite de sortie evite le lock-in et limite la dependance excessive a un acteur unique.

Indicateur: Niveau de reversibilite teste sur fournisseurs critiques

Couvre: DORA, Data Act, ISO/IEC 27036

E1 - Gouvernance technologique au niveau du conseil

Axe E - Excellence

Les enjeux technologiques et numeriques sont-ils discutes regulierement au niveau de la direction ou du conseil d'administration ?

Une gouvernance forte implique que la technologie soit un sujet strategique au plus haut niveau, et pas uniquement un sujet technique.

Indicateur: Frequence des revues tech/cyber en direction

Couvre: ISO/IEC 27001, NIS2, DORA

E2 - Responsabilites clairement definies

Axe E - Excellence

Les responsabilites liees a la technologie, a la securite et aux donnees sont-elles clairement attribuees ?

Chaque domaine critique doit avoir un responsable identifie, reconnu et responsabilise sur des objectifs clairs.

Indicateur: % responsabilites critiques formalisees et assignees

Couvre: ISO/IEC 27001, NIS2

E3 - Indicateurs de performance suivis

Axe E - Excellence

Disposez-vous d'indicateurs clairs pour mesurer la performance technologique et la maitrise des risques ?

Un indicateur permet de suivre l'evolution d'un risque ou d'une performance et d'orienter les decisions.

Indicateur: Nombre d'indicateurs stratégiques suivis trimestriellement

Couvre: ISO/IEC 27001, DORA, NIS2

E4 - Audit interne structure

Axe E - Excellence

Votre organisation realise-t-elle des audits internes reguliers sur ses processus technologiques et de securite ?

L'audit interne permet d'identifier les faiblesses avant qu'elles ne deviennent des crises.

Indicateur: Frequence des audits internes et taux de cloture des ecarts

Couvre: ISO/IEC 27001, ISO 19011

E5 - Conformite reglementaire maitrisee

Axe E - Excellence

Votre organisation maitrise-t-elle ses obligations reglementaires numeriques et technologiques ?

Les reglementations imposent des obligations en securite, donnees et resilience. La maitrise exige un pilotage structure.

Indicateur: % obligations critiques couvertes par des preuves a jour

Couvre: NIS2, DORA, AI Act, RGPD

E6 - Culture de transparence

Axe E - Excellence

Les incidents et risques sont-ils remontes de maniere transparente a la direction ?

Une culture saine permet de signaler les problemes sans crainte et d'ameliorer la decision.

Indicateur: Taux de remontée d'incidents significatifs dans les delais internes

Couvre: ISO/IEC 27001, NIS2

E7 - Suivi des plans d'action

Axe E - Excellence

Les plans d'action decides suite a un audit ou un incident sont-ils effectivement realises ?

La credibilite d'une organisation depend de sa capacite a executer ses decisions dans les delais.

Indicateur: % actions cloturees dans le delai cible

Couvre: ISO/IEC 27001, ISO 19011

E8 - Amelioration continue

Axe E - Excellence

Votre organisation ameliore-t-elle regulierement ses processus technologiques et de gestion des risques ?

L'excellence repose sur l'amelioration continue, les retours d'experience et l'apprentissage structure.

Indicateur: Nombre d'ameliorations structurees appliquees par cycle

Couvre: ISO/IEC 27001, ISO 22316