Varden Security

Assessment module

AI Act

FIRE - Innovation + Excellence

References: Reglement (UE) 2024/1689 - AI Act | Reglement (UE) 2016/679 - RGPD | Directive (UE) 2022/2555 - NIS2 | ISO/IEC 42001, ISO/IEC 23894

Assessment module

Assessment unique sans niveaux, avec scoring et recommandations.

Assessment de 15 questions. Echelle de maturite: 0..5.

Le score enregistre est calcule cote serveur avec la fiche organisation (taille, CA, secteur) et les regles de ponderation admin.

Brouillon local actif.

Comment noter rapidement

  • Note la realite actuelle, pas le niveau cible.
  • Si tu hesites entre 2 scores, prends le score inferieur.
  • Ajoute un commentaire optionnel si un contexte metier est utile pour interpreter la note.
Validateur de coherence: structure des questions, echelle et ponderations verifiees.

Inventaire IA

Un inventaire des systemes IA (internes et tiers) est-il maintenu a jour ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Un inventaire des systemes IA (internes et tiers) est-il maintenu a jour.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Classification risque

Chaque systeme IA est-il classe selon les categories de risque de l'AI Act ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Chaque systeme IA est-il classe selon les categories de risque de l'AI Act.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Usages interdits

Un controle existe-t-il pour prevenir tout usage IA interdit ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Un controle existe-t-il pour prevenir tout usage IA interdit.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gouvernance

Les roles provider/deployer et responsabilites de conformite sont-ils attribues ?

Sens de la question: Cette question mesure la qualite du pilotage: responsabilites claires, decisions formelles et suivi regulier au bon niveau. Point evalue: Les roles provider/deployer et responsabilites de conformite sont-ils attribues.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite de pilotage au quotidien, pas l'intention ni le projet en preparation.

Si tu es entre 0 et 2: Roles flous, decisions non formalisees, suivi dependant des personnes et non d'un cadre.

Si tu es a 3: Cadre defini et applique sur le coeur du perimetre, mais encore irregulier selon les equipes.

Si tu es entre 4 et 5: Gouvernance stable, arbitrages traces, revues periodiques et corrections pilotees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre de gouvernance | 3 - Roles clairs et revue reguliere | 5 - Gouvernance mature, anticipe et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Documentation

La documentation technique et fonctionnelle des systemes IA est-elle complete ?

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: La documentation technique et fonctionnelle des systemes IA est-elle complete.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Qualite des donnees

Des controles de qualite, representativite et biais des donnees sont-ils appliques ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Des controles de qualite, representativite et biais des donnees sont-ils appliques.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Supervision humaine

Une supervision humaine est-elle definie pour les decisions sensibles ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Une supervision humaine est-elle definie pour les decisions sensibles.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Transparence

Les utilisateurs sont-ils informes lorsqu'ils interagissent avec un systeme IA ?

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Les utilisateurs sont-ils informes lorsqu'ils interagissent avec un systeme IA.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Robustesse

Des tests de robustesse et de securite des modeles sont-ils realises regulierement ?

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Des tests de robustesse et de securite des modeles sont-ils realises regulierement.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Monitoring

Les derives de performance et incidents IA sont-ils surveilles en production ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Les derives de performance et incidents IA sont-ils surveilles en production.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gestion incidents

Un processus de gestion des incidents IA significatifs est-il operationnel ?

Question critique

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Un processus de gestion des incidents IA significatifs est-il operationnel.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Tiers IA

Les fournisseurs IA tiers sont-ils evalues contractuellement et techniquement ?

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Les fournisseurs IA tiers sont-ils evalues contractuellement et techniquement.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Conformite

Une revue periodique de conformite AI Act est-elle planifiee ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Une revue periodique de conformite AI Act est-elle planifiee.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Competences

Les equipes metier, IT et legal sont-elles formees aux exigences AI Act ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les equipes metier, IT et legal sont-elles formees aux exigences AI Act.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Feuille de route

Une trajectoire de mise en conformite IA sur 12 mois est-elle formalisee ?

Sens de la question: Cette question mesure la gouvernance IA pratique: classification des usages, supervision, robustesse technique et controles de conformite. Point evalue: Une trajectoire de mise en conformite IA sur 12 mois est-elle formalisee.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la gouvernance IA operationnelle: supervision, robustesse, controle de derive et conformite.

Si tu es entre 0 et 2: Usage IA peu encadre, responsabilites et controles insuffisants.

Si tu es a 3: Cadre IA existe mais n'est pas encore pleinement stabilise sur tous les usages critiques.

Si tu es entre 4 et 5: Gouvernance IA robuste, controles techniques et organisationnels preuves a l'appui.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Usage IA non encadre | 3 - Gouvernance IA definie et appliquee | 5 - Gouvernance IA robuste, controlee et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Retour module

Le bouton rapport IA sera active apres enregistrement de l'assessment.