Preparation NIS2

F1 - Capacite d'investissement strategique

Axe F - Finance

Votre organisation dispose-t-elle d'une capacite financiere suffisante pour investir dans la technologie, la cybersecurite et l'innovation sans mettre en danger sa stabilite ?

La capacite d'investissement strategique mesure si l'entreprise peut financer des projets technologiques importants sans desequilibrer sa situation financiere. Une organisation solide planifie ses investissements, elle ne les subit pas.

Indicateur: % budget technologique vs CA

Couvre: ISO/IEC 27001, NIS2, DORA

F2 - Decisions d'investissement fondees sur les risques

Axe F - Finance

Vos decisions d'investissement technologique sont-elles fondees sur une analyse structuree des risques et des impacts financiers ?

Une analyse de risque identifie les menaces possibles et evalue leurs impacts financiers. Investir intelligemment signifie prioriser les projets selon la reduction du risque et la valeur creee.

Indicateur: % dossiers d'investissement avec analyse risque/impact chiffree

Couvre: ISO/IEC 27005, ISO 31000, NIS2, DORA

F3 - Part du budget dediee a l'innovation

Axe F - Finance

Quelle part de votre budget technologique est consacree a l'innovation plutot qu'au maintien des systemes existants ?

Le maintien couvre les couts pour faire fonctionner l'existant. L'innovation finance les projets createurs de valeur. Un bon equilibre evite une posture de simple survie operationnelle.

Indicateur: % budget innovation / budget technologique total

Couvre: NIS2, DORA

F4 - Connaissance du cout des incidents majeurs

Axe F - Finance

Votre organisation connait-elle le cout financier reel d'un incident majeur (interruption de service, cyberattaque, perte de donnees) ?

Un incident majeur peut entrainer pertes de chiffre d'affaires, couts juridiques, amendes et atteinte a la reputation. Quantifier ce cout permet d'arbitrer les investissements de protection.

Indicateur: Estimation cout total d'un incident majeur (direct + indirect)

Couvre: NIS2, DORA, RGPD

F5 - Couverture assurantielle adaptee

Axe F - Finance

Votre organisation a-t-elle evalue si ses assurances couvrent reellement ses principaux risques numeriques ?

Les assurances cyber peuvent couvrir certains impacts financiers. Les garanties doivent rester alignees sur les risques identifies et leur evolution.

Indicateur: % risques numeriques critiques effectivement couverts

Couvre: DORA, NIS2, ISO/IEC 27001

F6 - Diversification des revenus numeriques

Axe F - Finance

Quelle part de vos revenus provient d'activites numeriques ou de services developpes ces dernieres annees ?

La diversification numerique limite la dependance au portefeuille historique et reduit le risque strategique.

Indicateur: % revenus issus de services numeriques recents

Couvre: NIS2, DORA

F7 - Vision d'investissement a moyen terme

Axe F - Finance

Disposez-vous d'un plan d'investissement technologique sur trois a cinq ans aligne avec votre strategie globale ?

Une vision pluriannuelle evite les decisions improvisees et permet d'anticiper les evolutions du marche.

Indicateur: Existence et revue annuelle d'une feuille de route 3-5 ans

Couvre: ISO/IEC 27001, NIS2, DORA

F8 - Maitrise des couts fournisseurs technologiques

Axe F - Finance

Votre organisation controle-t-elle son exposition financiere vis-a-vis de fournisseurs technologiques dominants ?

Une forte dependance a un fournisseur unique peut creer un risque financier et contractuel. La maitrise repose sur la negociation, la diversification et la capacite de sortie.

Indicateur: Indice de concentration fournisseurs ICT critiques

Couvre: DORA, ISO/IEC 27036, Data Act

I1 - Veille technologique structuree

Axe I - Innovation

Votre organisation dispose-t-elle d'un mecanisme structure de veille technologique et reglementaire ?

La veille consiste a surveiller les evolutions technologiques, reglementaires et concurrentielles afin d'anticiper les changements et orienter les decisions.

Indicateur: Frequence de veille + diffusion a la direction

Couvre: NIS2, DORA, AI Act

I2 - Capacite de mise sur le marche rapide

Axe I - Innovation

Votre organisation est-elle capable de lancer rapidement de nouveaux produits ou services numeriques ?

La rapidite de mise sur le marche est un avantage competitif majeur pour transformer l'innovation en resultats concrets.

Indicateur: Time-to-market moyen vs objectif

Couvre: DORA, NIS2

I3 - Culture d'experimentation

Axe I - Innovation

Encouragez-vous les projets pilotes et experimentations encadrees ?

L'experimentation permet de tester des idees a petite echelle avant un deploiement large, en capitalisant sur les apprentissages.

Indicateur: Nombre d'experimentations encadrees par an

Couvre: NIS2, ISO/IEC 27001

I4 - Adoption de technologies emergentes

Axe I - Innovation

Votre organisation evalue-t-elle activement les technologies emergentes (intelligence artificielle, automatisation, cybersecurite avancee) ?

Les technologies emergentes peuvent transformer le modele economique. Leur potentiel doit etre evalue de maniere structuree.

Indicateur: Nombre d'evaluations d'impact techno emergentes par an

Couvre: AI Act, CRA, NIS2

I5 - Capacite d'adaptation technologique

Axe I - Innovation

Votre organisation peut-elle remplacer ou moderniser ses systemes sans blocage majeur ?

La capacite d'adaptation technologique mesure la facilite avec laquelle l'organisation peut faire evoluer ou remplacer ses systemes existants sans interruption excessive ni couts disproportionnes. Une organisation trop dependante de systemes anciens ou rigides devient vulnérable face aux evolutions du marche.

Indicateur: Delai moyen de modernisation/remplacement d'un systeme critique

Couvre: ISO/IEC 27001, ISO 22301, NIS2

I6 - Gouvernance des projets innovants

Axe I - Innovation

Les projets innovants sont-ils evalues selon des criteres clairs de valeur, de risque et de priorite strategique ?

La gouvernance des projets innovants consiste a definir des regles de selection et d'evaluation selon la valeur attendue, le niveau de risque et l'alignement strategique. Sans criteres clairs, l'innovation devient dispersee et inefficace.

Indicateur: % projets innovants evalues via une grille commune

Couvre: ISO/IEC 27001, ISO 31000, DORA

I7 - Integration responsable de l'intelligence artificielle

Axe I - Innovation

L'utilisation de l'intelligence artificielle dans votre organisation est-elle encadree par des regles claires et supervisee par la direction ?

Definition IA: systemes capables d'apprentissage automatique et d'automatisation decisionnelle. L'integration responsable implique l'identification des usages, des regles internes, une supervision humaine et la gestion des risques (biais, erreurs, conformite).

Indicateur: % usages IA inventories et controles par une politique formelle

Couvre: AI Act, RGPD, ISO/IEC 27001

I8 - Part de revenus issus d'innovations recentes

Axe I - Innovation

Quelle proportion de votre chiffre d'affaires provient d'innovations introduites au cours des trois dernieres annees ?

Cet indicateur mesure la capacite reelle de renouvellement de l'offre. Une organisation innovante genere une part significative de ses revenus via des produits ou services recents.

Indicateur: % CA issu d'innovations sur 3 ans

Couvre: NIS2, DORA

R1 - Cartographie des actifs critiques

Axe R - Resilience

Votre organisation a-t-elle identifie et classe ses actifs critiques ?

Un actif critique est un systeme, une application, un processus ou une infrastructure dont l'arret ou la compromission aurait un impact majeur sur l'activite. Sans cartographie claire, la priorisation des protections est impossible.

Indicateur: % actifs critiques identifies et classes

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22301

R2 - Cartographie des dependances critiques

Axe R - Resilience

Votre organisation connait-elle ses dependances critiques (fournisseurs, cloud, partenaires technologiques) ?

Une dependance critique est un tiers dont la defaillance entrainerait un arret ou une degradation majeure de l'activite.

Indicateur: % dependances critiques documentees et analysees

Couvre: DORA, NIS2, ISO/IEC 27036

R3 - Analyse des risques a jour

Axe R - Resilience

Votre organisation dispose-t-elle d'une analyse de risques recente couvrant ses activites critiques ?

L'analyse de risques identifie les menaces et leurs impacts potentiels pour orienter les mesures de maitrise.

Indicateur: % perimetre critique couvert par une analyse < 12 mois

Couvre: ISO/IEC 27005, ISO 31000, NIS2, DORA

R4 - Rapidité de decision face aux risques

Axe R - Resilience

Votre organisation prend-elle rapidement des decisions lorsqu'un risque majeur est identifie ?

Identifier un risque ne suffit pas: il faut decider rapidement de le reduire, l'accepter ou le transferer.

Indicateur: Delai moyen entre identification d'un risque majeur et decision formelle

Couvre: ISO/IEC 27001, NIS2, DORA

R5 - Capacite de detection rapide des incidents

Axe R - Resilience

Votre organisation detecte-t-elle rapidement les incidents majeurs ?

Un incident peut etre une panne, une intrusion ou une fuite de donnees. Plus il est detecte tot, plus son impact est limite.

Indicateur: MTTD sur incidents significatifs

Couvre: NIS2, DORA, ISO/IEC 27035

R6 - Capacite de restauration rapide

Axe R - Resilience

Votre organisation est-elle capable de restaurer rapidement ses services critiques apres un incident ?

Cet indicateur mesure la capacite a redemarrer l'activite dans un delai acceptable pour le metier.

Indicateur: MTTR / taux d'atteinte des objectifs de reprise

Couvre: ISO 22301, DORA, NIS2

R7 - Tests de continuite d'activite

Axe R - Resilience

Votre organisation teste-t-elle regulierement ses plans de continuite ?

Un plan de continuite decrit comment l'activite continue en cas de crise majeure. Sans tests, il reste theorique.

Indicateur: Frequence et couverture des exercices de continuite

Couvre: ISO 22301, CER, DORA

R8 - Sauvegardes reellement restaurables

Axe R - Resilience

Vos sauvegardes de donnees sont-elles regulierement testees pour verifier qu'elles peuvent etre restaurees ?

Une sauvegarde non testee n'est pas une garantie reelle de reprise.

Indicateur: % restaurations de test reussies

Couvre: ISO 22301, DORA, NIS2

R9 - Maitrise des vulnerabilites critiques

Axe R - Resilience

Votre organisation corrige-t-elle rapidement les failles de securite majeures ?

Une vulnerabilite critique est une faiblesse exploitable par un attaquant. Plus elle reste ouverte, plus le risque augmente.

Indicateur: Delai moyen de correction des vulnerabilites critiques

Couvre: ISO/IEC 27002, NIS2, DORA, CRA

R10 - Resilience des fournisseurs critiques

Axe R - Resilience

Votre organisation evalue-t-elle la solidite et la securite de ses fournisseurs critiques ?

Un fournisseur fragile peut devenir un point de defaillance majeur pour l'organisation.

Indicateur: % fournisseurs critiques evalues/audites

Couvre: DORA, NIS2, ISO/IEC 27036

R11 - Capacite de sortie d'un fournisseur majeur

Axe R - Resilience

Votre organisation pourrait-elle changer rapidement de fournisseur technologique critique si necessaire ?

La capacite de sortie evite le lock-in et limite la dependance excessive a un acteur unique.

Indicateur: Niveau de reversibilite teste sur fournisseurs critiques

Couvre: DORA, Data Act, ISO/IEC 27036

R12 - Resilience face aux technologies emergentes (IA incluse)

Axe R - Resilience

Votre organisation surveille-t-elle et encadre-t-elle les risques lies a l'intelligence artificielle ou aux technologies automatisees ?

L'IA peut generer erreurs, biais ou derives si elle n'est pas surveillee. La resilience impose un pilotage continu de ces risques.

Indicateur: Nombre d'incidents IA + niveau de maitrise des controles associes

Couvre: AI Act, NIS2, ISO/IEC 27035

E1 - Gouvernance technologique au niveau du conseil

Axe E - Excellence

Les enjeux technologiques et numeriques sont-ils discutes regulierement au niveau de la direction ou du conseil d'administration ?

Une gouvernance forte implique que la technologie soit un sujet strategique au plus haut niveau, et pas uniquement un sujet technique.

Indicateur: Frequence des revues tech/cyber en direction

Couvre: ISO/IEC 27001, NIS2, DORA

E2 - Responsabilites clairement definies

Axe E - Excellence

Les responsabilites liees a la technologie, a la securite et aux donnees sont-elles clairement attribuees ?

Chaque domaine critique doit avoir un responsable identifie, reconnu et responsabilise sur des objectifs clairs.

Indicateur: % responsabilites critiques formalisees et assignees

Couvre: ISO/IEC 27001, NIS2

E3 - Indicateurs de performance suivis

Axe E - Excellence

Disposez-vous d'indicateurs clairs pour mesurer la performance technologique et la maitrise des risques ?

Un indicateur permet de suivre l'evolution d'un risque ou d'une performance et d'orienter les decisions.

Indicateur: Nombre d'indicateurs stratégiques suivis trimestriellement

Couvre: ISO/IEC 27001, DORA, NIS2

E4 - Audit interne structure

Axe E - Excellence

Votre organisation realise-t-elle des audits internes reguliers sur ses processus technologiques et de securite ?

L'audit interne permet d'identifier les faiblesses avant qu'elles ne deviennent des crises.

Indicateur: Frequence des audits internes et taux de cloture des ecarts

Couvre: ISO/IEC 27001, ISO 19011

E5 - Conformite reglementaire maitrisee

Axe E - Excellence

Votre organisation maitrise-t-elle ses obligations reglementaires numeriques et technologiques ?

Les reglementations imposent des obligations en securite, donnees et resilience. La maitrise exige un pilotage structure.

Indicateur: % obligations critiques couvertes par des preuves a jour

Couvre: NIS2, DORA, AI Act, RGPD

E6 - Culture de transparence

Axe E - Excellence

Les incidents et risques sont-ils remontes de maniere transparente a la direction ?

Une culture saine permet de signaler les problemes sans crainte et d'ameliorer la decision.

Indicateur: Taux de remontée d'incidents significatifs dans les delais internes

Couvre: ISO/IEC 27001, NIS2

E7 - Suivi des plans d'action

Axe E - Excellence

Les plans d'action decides suite a un audit ou un incident sont-ils effectivement realises ?

La credibilite d'une organisation depend de sa capacite a executer ses decisions dans les delais.

Indicateur: % actions cloturees dans le delai cible

Couvre: ISO/IEC 27001, ISO 19011

E8 - Amelioration continue

Axe E - Excellence

Votre organisation ameliore-t-elle regulierement ses processus technologiques et de gestion des risques ?

L'excellence repose sur l'amelioration continue, les retours d'experience et l'apprentissage structure.

Indicateur: Nombre d'ameliorations structurees appliquees par cycle

Couvre: ISO/IEC 27001, ISO 22316