Varden Security

Assessment module

NIS2

FIRE - Resilience + Excellence

References: Directive (UE) 2022/2555 - NIS2 | Directive (UE) 2022/2557 - CER | Reglement (UE) 2022/2554 - DORA | ISO/IEC 27001, ISO/IEC 27005

Assessment module

Assessment unique sans niveaux, avec scoring et recommandations.

Assessment de 15 questions. Echelle de maturite: 0..5.

Le score enregistre est calcule cote serveur avec la fiche organisation (taille, CA, secteur) et les regles de ponderation admin.

Brouillon local actif.

Comment noter rapidement

  • Note la realite actuelle, pas le niveau cible.
  • Si tu hesites entre 2 scores, prends le score inferieur.
  • Ajoute un commentaire optionnel si un contexte metier est utile pour interpreter la note.
Validateur de coherence: structure des questions, echelle et ponderations verifiees.

Perimetre

Le perimetre NIS2 (entite essentielle/importante) est-il documente ?

Question critique

Sens de la question: Cette question mesure la qualite de la preuve: documents recents, traçabilite, auditabilite et lien direct avec le controle vise. Point evalue: Le perimetre NIS2 (entite essentielle/importante) est-il documente.

Ne note pas l'intention: note uniquement ce qui est demontre par une preuve recente et traçable.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Ne note que ce qui est demontre: une preuve recente et traçable prime sur une declaration.

Si tu es entre 0 et 2: Preuves absentes, anciennes ou non reliees directement au controle evalue.

Si tu es a 3: Preuves presentes mais partielles (dates, ownership ou source pas toujours explicites).

Si tu es entre 4 et 5: Preuves auditables completes: source verifiable, date, responsable et lien au controle.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucune preuve disponible | 3 - Preuves documentees et datees | 5 - Chaine de preuve robuste et maintenue en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gouvernance

La direction est-elle impliquee dans la gouvernance cyber NIS2 ?

Question critique

Sens de la question: Cette question mesure la qualite du pilotage: responsabilites claires, decisions formelles et suivi regulier au bon niveau. Point evalue: La direction est-elle impliquee dans la gouvernance cyber NIS2.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite de pilotage au quotidien, pas l'intention ni le projet en preparation.

Si tu es entre 0 et 2: Roles flous, decisions non formalisees, suivi dependant des personnes et non d'un cadre.

Si tu es a 3: Cadre defini et applique sur le coeur du perimetre, mais encore irregulier selon les equipes.

Si tu es entre 4 et 5: Gouvernance stable, arbitrages traces, revues periodiques et corrections pilotees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre de gouvernance | 3 - Roles clairs et revue reguliere | 5 - Gouvernance mature, anticipe et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gestion des risques

Un cadre de gestion des risques cyber est-il en place et applique ?

Question critique

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Un cadre de gestion des risques cyber est-il en place et applique.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Mesures techniques

Les mesures de securite minimales NIS2 sont-elles deployees ?

Sens de la question: Cette question mesure la maturite de pilotage par indicateur: fiabilite de la mesure, seuils, trajectoire et actions correctives. Point evalue: Les mesures de securite minimales NIS2 sont-elles deployees.

Note selon la qualite du pilotage: donnees fiables, objectif, seuil d'alerte et plan d'action actif.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note selon la qualite de mesure et de pilotage (objectif, seuil, tendance, action).

Si tu es entre 0 et 2: Indicateur absent ou ponctuel, sans cible ni seuil d'alerte exploitable.

Si tu es a 3: Indicateur suivi regulierement avec objectif, mais pilotage encore partiel ou reactif.

Si tu es entre 4 et 5: Indicateur fiable, seuils actifs, tendance exploitee et decisions d'amelioration tracees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Non mesure | 3 - Mesure reguliere avec objectif | 5 - Pilotage predictif avec amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gestion incidents

Un processus de gestion d'incident cyber est-il operationnel ?

Question critique

Sens de la question: Cette question mesure la capacite operationnelle en situation critique: detection, escalation, coordination, reprise et reduction d'impact. Point evalue: Un processus de gestion d'incident cyber est-il operationnel.

Note sur la capacite reelle en crise, pas sur la qualite redactionnelle du processus.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la capacite operationnelle en crise (detection, escalade, reprise), pas la qualite du document seul.

Si tu es entre 0 et 2: Reaction improvisee, delais non maitrises, coordination fragile en incident.

Si tu es a 3: Processus etabli avec quelques tests, mais execution inegale selon les scenarios.

Si tu es entre 4 et 5: Detection/reponse rapides, escalade fluide, reprise maitrisee et boucle de correction active.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Pas de capacite operationnelle | 3 - Processus etabli et applique | 5 - Reponse rapide, robuste et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Notification

Les circuits de notification d'incident aux autorites sont-ils prets ?

Question critique

Sens de la question: Cette question mesure la capacite operationnelle en situation critique: detection, escalation, coordination, reprise et reduction d'impact. Point evalue: Les circuits de notification d'incident aux autorites sont-ils prets.

Note sur la capacite reelle en crise, pas sur la qualite redactionnelle du processus.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la capacite operationnelle en crise (detection, escalade, reprise), pas la qualite du document seul.

Si tu es entre 0 et 2: Reaction improvisee, delais non maitrises, coordination fragile en incident.

Si tu es a 3: Processus etabli avec quelques tests, mais execution inegale selon les scenarios.

Si tu es entre 4 et 5: Detection/reponse rapides, escalade fluide, reprise maitrisee et boucle de correction active.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Pas de capacite operationnelle | 3 - Processus etabli et applique | 5 - Reponse rapide, robuste et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Continuite

Les plans de continuite et reprise sont-ils testes sur les services critiques ?

Sens de la question: Cette question mesure la capacite operationnelle en situation critique: detection, escalation, coordination, reprise et reduction d'impact. Point evalue: Les plans de continuite et reprise sont-ils testes sur les services critiques.

Note sur la capacite reelle en crise, pas sur la qualite redactionnelle du processus.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la capacite operationnelle en crise (detection, escalade, reprise), pas la qualite du document seul.

Si tu es entre 0 et 2: Reaction improvisee, delais non maitrises, coordination fragile en incident.

Si tu es a 3: Processus etabli avec quelques tests, mais execution inegale selon les scenarios.

Si tu es entre 4 et 5: Detection/reponse rapides, escalade fluide, reprise maitrisee et boucle de correction active.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Pas de capacite operationnelle | 3 - Processus etabli et applique | 5 - Reponse rapide, robuste et continuellement amelioree

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Chaine d'approvisionnement

Les risques cyber fournisseurs sont-ils evalues periodiquement ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les risques cyber fournisseurs sont-ils evalues periodiquement.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Vulnerabilites

Les vulnerabilites critiques sont-elles corrigees dans des delais cibles ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les vulnerabilites critiques sont-elles corrigees dans des delais cibles.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Acces

Les acces privilegies sont-ils controles et revus regulierement ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les acces privilegies sont-ils controles et revus regulierement.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Sensibilisation

Les equipes recoivent-elles une sensibilisation cyber periodique ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les equipes recoivent-elles une sensibilisation cyber periodique.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Journalisation

Les logs critiques sont-ils collectes et exploitables en investigation ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les logs critiques sont-ils collectes et exploitables en investigation.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Supervision

Les preuves de conformite NIS2 sont-elles centralisees et auditables ?

Sens de la question: Cette question mesure la qualite de la preuve: documents recents, traçabilite, auditabilite et lien direct avec le controle vise. Point evalue: Les preuves de conformite NIS2 sont-elles centralisees et auditables.

Ne note pas l'intention: note uniquement ce qui est demontre par une preuve recente et traçable.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Ne note que ce qui est demontre: une preuve recente et traçable prime sur une declaration.

Si tu es entre 0 et 2: Preuves absentes, anciennes ou non reliees directement au controle evalue.

Si tu es a 3: Preuves presentes mais partielles (dates, ownership ou source pas toujours explicites).

Si tu es entre 4 et 5: Preuves auditables completes: source verifiable, date, responsable et lien au controle.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucune preuve disponible | 3 - Preuves documentees et datees | 5 - Chaine de preuve robuste et maintenue en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Coordination

Les fonctions metier, IT, risk et legal sont-elles coordonnees sur NIS2 ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les fonctions metier, IT, risk et legal sont-elles coordonnees sur NIS2.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Plan d'action

Un plan de remediation NIS2 priorise est-il suivi jusqu'a cloture ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Un plan de remediation NIS2 priorise est-il suivi jusqu'a cloture.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Retour module

Le bouton rapport IA sera active apres enregistrement de l'assessment.