Normes internationales
Referentiel de normes utilise pour structurer les modules, les assessments et l'interpretation des ecarts.
ISO/IEC 27001
Segment: SMSI | Usage: Maturite ISMS, audits
Base structurante cyber
ISO/IEC 27002
Segment: Mesures securite | Usage: Taux implementation controles
Complement operationnel
ISO/IEC 27005
Segment: Gestion risques | Usage: Mise a jour cartographie risques
Alignement NIS2
ISO/IEC 27017
Segment: Securite cloud | Usage: Evaluation CSP
Lien DORA/Data Act
ISO/IEC 27035
Segment: Gestion incidents | Usage: MTTR, tests IR
Indicateurs performance reponse
ISO 22301
Segment: Continuite d'activite | Usage: RTO, RPO
Pilier resilience operationnelle
ISO 22316
Segment: Resilience organisationnelle | Usage: Indicateurs gouvernance
Approche strategique
ISO 31000
Segment: Risk management | Usage: Coherence methodologie risques
Transversal
ISO/IEC 27701
Segment: Privacy management | Usage: Integration RGPD
Pont donnees-securite
ISO/IEC 27036
Segment: Securite fournisseurs | Usage: % fournisseurs evalues
Dependances critiques
ISO/IEC 27018
Segment: Protection des donnees personnelles dans le cloud public | Usage: Taux de controles privacy cloud couverts
Pont entre cloud security et RGPD
ISO 22320
Segment: Gestion d'urgence et gestion d'incident | Usage: Temps de coordination de crise multi-equipes
Renforce la commande/coordination en crise
ISO 37301
Segment: Compliance management system | Usage: Taux de controles de conformite verifies
Cadre management conformite transversal
PCI DSS
Segment: Securite des donnees cartes de paiement | Usage: % d'exigences PCI conformes
Baseline sectorielle pour paiements
NIST Cybersecurity Framework (CSF 2.0)
Segment: Pilotage cyber par fonctions | Usage: Maturite gouvernance et fonctions CSF
Referentiel pragmatique d'amelioration continue
COBIT 2019
Segment: Gouvernance et management IT | Usage: Capacite de gouvernance IT orientee valeur
Alignement strategie, risque et controle IT
ITIL 4
Segment: Management des services numeriques | Usage: Qualite et stabilite des processus ITSM
Operationalisation service management
NIS2
DirectiveDirective (UE) 2022/2555
NIS2 renforce la cybersecurite des entites essentielles et importantes avec des exigences de gouvernance, gestion des risques, notification d'incident et supervision.
Points cles
- Gouvernance cyber au niveau direction
- Mesures minimales de securite et gestion des tiers
- Obligations de notification d'incident
Usage dans FIRE
- Qualification de perimetre et obligations
- Scoring des mesures de gestion du risque
- Generation de plan de remediation priorise
DORA
ReglementReglement (UE) 2022/2554
DORA impose une resilience operationnelle numerique robuste au secteur financier, avec gouvernance ICT, tests de resilience et gestion des risques fournisseurs ICT.
Points cles
- Cadre de gestion du risque ICT
- Gestion et declaration des incidents ICT
- Tests de resilience operationnelle (dont avances)
Usage dans FIRE
- Assessments resilience operationnelle
- Suivi des incidents et delais de reprise
- Pilotage du risque concentration fournisseurs
CER
DirectiveDirective (UE) 2022/2557
CER traite la resilience des entites critiques face aux menaces physiques et hybrides, avec analyse de risques, mesures de protection et continuite des services essentiels.
Points cles
- Identification des entites critiques
- Evaluation des risques multisources
- Plans de resilience et continuite
Usage dans FIRE
- Evaluation de continuite metier
- Indicateurs de resilience interdependances
- Rapports de preparation et stress tests
CRA
ReglementReglement (UE) 2024/2847
Le Cyber Resilience Act introduit des exigences de securite pour les produits avec elements numeriques sur tout leur cycle de vie, incluant traitement des vulnerabilites.
Points cles
- Security by design/by default
- Gestion des vulnerabilites et mises a jour
- Obligations de transparence et signalement
Usage dans FIRE
- KPI patching et vulnerabilites critiques
- Suivi des delais de correction
- Trajectoire de conformite produit
RGPD
ReglementReglement (UE) 2016/679
Le RGPD encadre le traitement des donnees personnelles, impose responsabilite, securite adequate, droits des personnes et notification des violations.
Points cles
- Base legale et responsabilite du traitement
- Droits des personnes concernees
- Securite des traitements et gestion des violations
Usage dans FIRE
- Evaluation privacy by design et gouvernance
- Suivi des violations et delais de notification
- Plan d'amelioration registre + mesures techniques
Data Act
ReglementReglement (UE) 2023/2854
Le Data Act organise l'acces et le partage de donnees, notamment issues d'objets connectes, et encadre l'equite contractuelle, l'interoperabilite et le changement de fournisseur cloud.
Points cles
- Acces et portabilite des donnees
- Conditions de partage B2B/B2G
- Interoperabilite et switching cloud
Usage dans FIRE
- Evaluation dependance fournisseur cloud
- Indicateurs de reversibilite et portabilite
- Rapport de maturite gouvernance data
Data Governance Act
ReglementReglement (UE) 2022/868
Le Data Governance Act met en place des mecanismes de confiance pour le partage de donnees, avec intermediaires de donnees, reutilisation de certaines donnees publiques et data altruism.
Points cles
- Cadre de partage de donnees de confiance
- Intermediaires et obligations de neutralite
- Mecanismes de gouvernance europeens
Usage dans FIRE
- Assessment gouvernance data inter-organisation
- Evaluation des controles de confiance
- Preparation des usages data mutualises
eIDAS
ReglementReglement (UE) 910/2014 (et evolutions eIDAS 2.0)
eIDAS encadre l'identite electronique et les services de confiance (signature, cachet, horodatage, etc.) pour des transactions numeriques fiables dans l'UE.
Points cles
- Identification electronique transfrontaliere
- Services de confiance qualifies
- Integrite et non-repudiation des echanges
Usage dans FIRE
- Evaluation identite et preuves numeriques
- Maturite des controles de confiance
- Trajectoire de conformite trust services
Cybersecurity Act
ReglementReglement (UE) 2019/881
Le Cybersecurity Act renforce le role de l'ENISA et etablit un cadre europeen de certification cybersecurite pour produits, services et processus ICT.
Points cles
- Cadre de certification cybersecurite UE
- Niveaux d'assurance et schemes
- Appui institutionnel via ENISA
Usage dans FIRE
- Assessment maturite assurance/certification
- KPI de couverture de certification
- Rapport d'alignement exigences de confiance
AI Act
ReglementReglement europeen sur l'intelligence artificielle (AI Act)
L'AI Act introduit une approche par niveau de risque des systemes d'IA, avec interdictions, obligations renforcees pour les systemes a haut risque et exigences de transparence.
Points cles
- Classification des systemes d'IA par risque
- Obligations providers/deployers
- Gouvernance, documentation et supervision humaine
Usage dans FIRE
- Qualification des usages IA de l'organisation
- Assessments de conformite IA et traceabilite
- Rapports de risques et plans de mise en conformite
EUCC
SchemaSchema europeen EUCC (Common Criteria-based)
EUCC structure la certification cyber des produits/services ICT selon une approche Common Criteria. Il renforce la confiance et la comparabilite des niveaux d assurance.
Points cles
- Parcours de certification cyber produit/service
- Niveaux d assurance et exigences d evaluation
- Articulation avec les attentes Cybersecurity Act
Usage dans FIRE
- Qualification des produits a certifier
- KPI readiness de certification
- Alignement des preuves techniques et documentaires
EBA ICT Guidelines
GuideEBA/GL/2019/04 - Guidelines on ICT and Security Risk Management
Les lignes directrices EBA renforcent la gouvernance ICT, la maitrise des risques de securite et la supervision des dispositifs numeriques dans le secteur bancaire.
Points cles
- Gouvernance ICT et responsabilites direction
- Gestion du risque securite et continuite
- Maitrise des risques d outsourcing et de dependance
Usage dans FIRE
- Evaluation prudentielle bancaire complementaire a DORA
- Scoring de maturite gouvernance ICT
- Plan d actions priorise pour les exigences superviseur
EIOPA Cloud Outsourcing
GuideEIOPA Guidelines on outsourcing to cloud service providers
Les guidelines EIOPA cadrent l outsourcing cloud dans l assurance: gouvernance, due diligence, clauses contractuelles, supervision continue et strategie de sortie.
Points cles
- Cadre de gouvernance de l outsourcing cloud
- Exigences contractuelles, audit et controle
- Reversibilite et gestion de concentration des risques
Usage dans FIRE
- Assessments cloud/tiers secteur assurance
- KPI de supervision fournisseurs cloud
- Plans de remediations orientes conformite prudentielle
Circulaires NBB/FSMA
CirculaireCirculaires prudentielles belges (NBB et FSMA) selon perimetre
Les circulaires NBB/FSMA precisent des attentes nationales de gouvernance, securite, outsourcing et continuite pour les acteurs supervises en Belgique.
Points cles
- Attentes nationales complementaires aux textes UE
- Precisions de supervision sur ICT, risque et controle
- Exigences de documentation et de preuve en audit
Usage dans FIRE
- Localisation Belgique des assessments reglementaires
- Adaptation des plans de remediation au superviseur local
- Consolidation des preuves pour revues prudentielles
