AI Act readiness

KPI-001 - Couverture de la cartographie des actifs critiques

% d'actifs/processus critiques identifies, classes et proprietaires designes.

Ce KPI montre si vous savez exactement quels actifs sont critiques, ou ils sont et qui en est responsable. Plus ce taux est eleve, plus vos priorites de protection sont justes.

Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301

KPI-002 - Couverture de la cartographie des dependances (internes + tiers)

% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.

Ce KPI mesure votre visibilite sur ce qui fait reelement tourner vos services: fournisseurs, cloud, interconnexions et applications cles. Il aide a anticiper les ruptures en cascade.

Calcul: (# dependances critiques documentees / # dependances critiques) * 100

Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017

KPI-003 - Score de maturite gouvernance cyber/ICT

Existence et efficacite des roles, comites, politiques, reporting.

Ce KPI verifie si la cyber est pilotee comme un sujet de direction: roles clairs, decisions tracees, arbitrages et suivi. Un bon score signifie que la gouvernance soutient l'execution.

Calcul: Score 0-5 base sur grille d'audit.

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316

KPI-005 - Delai moyen de traitement des risques

Temps entre identification du risque et decision de traitement.

Ce KPI mesure la vitesse de reaction de votre gouvernance des risques. Plus le delai baisse, plus vous reduisez la fenetre d'exposition.

Calcul: Moyenne(date decision - date identification)

Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000

KPI-006 - Taux de couverture des controles de securite

% des controles attendus effectivement implementes.

Ce KPI transforme une liste d'exigences en progression mesurable: combien de controles sont reellement en place. Il permet de piloter la conformite comme un plan d'execution concret.

Calcul: (# controles en place / # controles requis) * 100

Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA

KPI-007 - MTTR (Mean Time To Recover/Respond)

Temps moyen pour restaurer un service apres incident.

Le MTTR mesure le temps pour revenir a la normale apres un incident. C'est l'un des indicateurs les plus importants pour juger la resilience operationnelle.

Calcul: Moyenne(heure retour service - heure incident)

Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035

KPI-008 - MTTD (Mean Time To Detect)

Temps moyen de detection d'un incident.

Le MTTD mesure la rapidite de detection. Plus vous detectez tot, plus vous limitez l'impact metier et les couts de remediations.

Calcul: Moyenne(heure detection - heure debut estime)

Couvre: NIS2, DORA, ISO/IEC 27035

KPI-009 - Taux d'incidents significatifs / trimestre

Volume d'incidents materiels selon seuils internes.

Ce KPI suit la frequence des incidents qui comptent vraiment pour l'organisation. Analyse dans le temps, il montre si le niveau de risque reel augmente ou diminue.

Calcul: # incidents significatifs / periode

Couvre: NIS2, DORA, RGPD, ISO/IEC 27035

KPI-011 - RTO/RPO atteints lors des tests

% de scenarios ou les objectifs de reprise sont atteints.

Ce KPI verifie si vos objectifs de reprise sont tenables en conditions de test. Il valide la credibilite de vos plans de continuite.

Calcul: (# tests conformes / # tests) * 100

Couvre: DORA, CER, ISO 22301, eIDAS

KPI-012 - Frequence et couverture des exercices de crise

Nombre d'exercices et % du perimetre couvert.

Ce KPI mesure l'entrainement reel de l'organisation a la crise: a quelle frequence et sur quel perimetre. Sans exercices, les plans restent theoriques.

Calcul: # exercices/an + % perimetre

Couvre: CER, DORA, ISO 22301, ISO/IEC 27035

KPI-013 - Taux de sauvegardes restaurables (restore success rate)

% de restaurations reussies lors des tests.

Ce KPI confirme que vos sauvegardes sont utilisables, pas seulement presentes. C'est la metrique prioritaire contre ransomware et perte de donnees.

Calcul: (# restores OK / # tests) * 100

Couvre: DORA, NIS2, ISO 22301, eIDAS

KPI-018 - Couverture d'evaluation securite des tiers

% des tiers critiques evalues/audites.

Ce KPI montre si vos tiers critiques sont controles de facon systematique. Il distingue un risque tiers maitrise d'un risque tiers subi.

Calcul: (# tiers evalues / # tiers critiques) * 100

Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001

KPI-019 - Exit readiness cloud / reversibilite

Capacite prouvee a migrer ou basculer un service.

Ce KPI mesure votre capacite a sortir proprement d'un fournisseur ou a basculer un service sans rupture majeure. C'est un test concret de resilience face au lock-in.

Calcul: Score 0-5 + preuve de test

Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017

KPI-021 - Taux de secure by design (revues, S-SDLC)

% projets avec gates securite design/review/test.

Ce KPI mesure la prevention: la securite est-elle integree des la conception des projets. Plus il est haut, moins vous payez des corrections tardives.

Calcul: (# projets conformes / # projets) * 100

Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002

KPI-022 - Taux de DPIA/PIA realises et a jour

% traitements/produits a risque couverts par analyse d'impact.

Ce KPI verifie que les sujets a risque eleve ont une analyse d'impact recente et exploitable. Il relie privacy, securite et exigences reglementaires.

Calcul: (# DPIA a jour / # DPIA requis) * 100

Couvre: RGPD, ISO/IEC 27701, AI Act

KPI-025 - Indicateur assurance via certification

% perimetre couvert par certifications/schemas.

Ce KPI donne un signal de confiance externe via certifications et schemas reconnus. Il complete, sans remplacer, les preuves techniques et tests internes.

Calcul: (# systemes certifies / # cible) * 100

Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS

KPI-026 - IA - taux de conformite high-risk controls

% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).

Ce KPI mesure la discipline de conformite sur les systemes IA a haut risque. Il rend pilotable la mise en oeuvre des controles attendus (documentation, supervision, monitoring).

Calcul: (# IA conformes / # IA haut risque) * 100

Couvre: AI Act, ISO/IEC 27001, ISO 22301

KPI-027 - IA - incidents de performance/securite post-deploiement

Nombre d'incidents IA (derive, erreurs critiques, abus).

Ce KPI suit les incidents IA une fois les modeles en production: derives, erreurs graves, abus. Il permet d'ajuster rapidement les controles et de stabiliser la resilience algorithmique.

Calcul: # incidents / periode + gravite

Couvre: AI Act, NIS2, ISO/IEC 27035