CRA - Cyber Resilience Act

KPI-001 - Couverture de la cartographie des actifs critiques

% d'actifs/processus critiques identifies, classes et proprietaires designes.

Ce KPI montre si vous savez exactement quels actifs sont critiques, ou ils sont et qui en est responsable. Plus ce taux est eleve, plus vos priorites de protection sont justes.

Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301

KPI-002 - Couverture de la cartographie des dependances (internes + tiers)

% des dependances critiques (cloud, OT, fournisseurs, SaaS) documentees.

Ce KPI mesure votre visibilite sur ce qui fait reelement tourner vos services: fournisseurs, cloud, interconnexions et applications cles. Il aide a anticiper les ruptures en cascade.

Calcul: (# dependances critiques documentees / # dependances critiques) * 100

Couvre: NIS2, DORA, CER, CRA, ISO/IEC 27036, ISO 22301, ISO/IEC 27017

KPI-003 - Score de maturite gouvernance cyber/ICT

Existence et efficacite des roles, comites, politiques, reporting.

Ce KPI verifie si la cyber est pilotee comme un sujet de direction: roles clairs, decisions tracees, arbitrages et suivi. Un bon score signifie que la gouvernance soutient l'execution.

Calcul: Score 0-5 base sur grille d'audit.

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316

KPI-004 - Couverture d'analyse de risques (perimetre)

% du perimetre soumis a une analyse de risques a jour.

Ce KPI indique la part du perimetre effectivement analysee avec une vision recente des risques. Si le taux est bas, des decisions critiques sont prises sans base de risque fiable.

Calcul: (# perimetre analyse <12 mois / perimetre total) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27005, ISO 31000

KPI-005 - Delai moyen de traitement des risques

Temps entre identification du risque et decision de traitement.

Ce KPI mesure la vitesse de reaction de votre gouvernance des risques. Plus le delai baisse, plus vous reduisez la fenetre d'exposition.

Calcul: Moyenne(date decision - date identification)

Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000

KPI-006 - Taux de couverture des controles de securite

% des controles attendus effectivement implementes.

Ce KPI transforme une liste d'exigences en progression mesurable: combien de controles sont reellement en place. Il permet de piloter la conformite comme un plan d'execution concret.

Calcul: (# controles en place / # controles requis) * 100

Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA

KPI-007 - MTTR (Mean Time To Recover/Respond)

Temps moyen pour restaurer un service apres incident.

Le MTTR mesure le temps pour revenir a la normale apres un incident. C'est l'un des indicateurs les plus importants pour juger la resilience operationnelle.

Calcul: Moyenne(heure retour service - heure incident)

Couvre: NIS2, DORA, CER, ISO 22301, ISO/IEC 27035

KPI-008 - MTTD (Mean Time To Detect)

Temps moyen de detection d'un incident.

Le MTTD mesure la rapidite de detection. Plus vous detectez tot, plus vous limitez l'impact metier et les couts de remediations.

Calcul: Moyenne(heure detection - heure debut estime)

Couvre: NIS2, DORA, ISO/IEC 27035

KPI-009 - Taux d'incidents significatifs / trimestre

Volume d'incidents materiels selon seuils internes.

Ce KPI suit la frequence des incidents qui comptent vraiment pour l'organisation. Analyse dans le temps, il montre si le niveau de risque reel augmente ou diminue.

Calcul: # incidents significatifs / periode

Couvre: NIS2, DORA, RGPD, ISO/IEC 27035

KPI-010 - Conformite notification d'incident (timeliness)

% des incidents notifies dans les delais applicables.

Ce KPI mesure votre capacite a notifier dans les delais legaux/contractuels. Il reduit le risque juridique et prouve la maitrise de votre chaine de crise.

Calcul: (# notifs dans delai / # notifs obligatoires) * 100

Couvre: NIS2, DORA, RGPD

KPI-012 - Frequence et couverture des exercices de crise

Nombre d'exercices et % du perimetre couvert.

Ce KPI mesure l'entrainement reel de l'organisation a la crise: a quelle frequence et sur quel perimetre. Sans exercices, les plans restent theoriques.

Calcul: # exercices/an + % perimetre

Couvre: CER, DORA, ISO 22301, ISO/IEC 27035

KPI-013 - Taux de sauvegardes restaurables (restore success rate)

% de restaurations reussies lors des tests.

Ce KPI confirme que vos sauvegardes sont utilisables, pas seulement presentes. C'est la metrique prioritaire contre ransomware et perte de donnees.

Calcul: (# restores OK / # tests) * 100

Couvre: DORA, NIS2, ISO 22301, eIDAS

KPI-014 - Exposition aux vulnerabilites critiques

Nombre ou % de vulnerabilites critiques non corrigees.

Ce KPI mesure le stock de failles critiques encore ouvertes. Plus il est eleve, plus votre surface d'attaque reste exploitable.

Calcul: # CVSS>=9 ouvertes > X jours

Couvre: CRA, NIS2, DORA, ISO/IEC 27002

KPI-015 - Delai moyen de patching (critique/haut)

Temps moyen entre publication/identification d'une faille et correction.

Ce KPI suit la vitesse de correction des vulnerabilites importantes. Il donne une lecture simple de votre hygiene technique et de votre discipline d'exploitation.

Calcul: Moyenne(date patch - date detection)

Couvre: CRA, NIS2, DORA, ISO/IEC 27002

KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)

% des utilisateurs/systemes couverts par controle cle.

Ce KPI mesure l'adoption des protections minimales sur le terrain. Il permet a la direction de voir rapidement si le socle securite est reellement deploye.

Calcul: (# couverts / # total) * 100

Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017

KPI-017 - Indice de concentration fournisseurs ICT

Mesure de dependance a 1-3 fournisseurs critiques.

Ce KPI evalue la concentration de vos dependances fournisseurs. Un indice eleve signale un risque fort de rupture ou de lock-in.

Calcul: Part % du top-1 / top-3 sur services critiques

Couvre: DORA, NIS2, CER, ISO/IEC 27036

KPI-018 - Couverture d'evaluation securite des tiers

% des tiers critiques evalues/audites.

Ce KPI montre si vos tiers critiques sont controles de facon systematique. Il distingue un risque tiers maitrise d'un risque tiers subi.

Calcul: (# tiers evalues / # tiers critiques) * 100

Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001

KPI-019 - Exit readiness cloud / reversibilite

Capacite prouvee a migrer ou basculer un service.

Ce KPI mesure votre capacite a sortir proprement d'un fournisseur ou a basculer un service sans rupture majeure. C'est un test concret de resilience face au lock-in.

Calcul: Score 0-5 + preuve de test

Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017

KPI-020 - Couverture SBOM / gestion composants

% produits/systemes avec SBOM maintenu.

Ce KPI mesure votre visibilite sur les composants logiciels utilises. Il accelere l'identification des produits exposes lors d'une faille supply-chain.

Calcul: (# avec SBOM / # produits concernes) * 100

Couvre: CRA, ISO/IEC 27002, Cybersecurity Act

KPI-021 - Taux de secure by design (revues, S-SDLC)

% projets avec gates securite design/review/test.

Ce KPI mesure la prevention: la securite est-elle integree des la conception des projets. Plus il est haut, moins vous payez des corrections tardives.

Calcul: (# projets conformes / # projets) * 100

Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002

KPI-024 - Qualite des logs (coverage + retention)

% systemes critiques logues + duree de retention.

Ce KPI mesure si vos journaux sont assez complets et conserves assez longtemps pour enqueter. Sans logs de qualite, detection, forensics et audit deviennent fragiles.

Calcul: % coverage + jours retention

Couvre: NIS2, DORA, ISO/IEC 27002

KPI-025 - Indicateur assurance via certification

% perimetre couvert par certifications/schemas.

Ce KPI donne un signal de confiance externe via certifications et schemas reconnus. Il complete, sans remplacer, les preuves techniques et tests internes.

Calcul: (# systemes certifies / # cible) * 100

Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS

KPI-026 - IA - taux de conformite high-risk controls

% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).

Ce KPI mesure la discipline de conformite sur les systemes IA a haut risque. Il rend pilotable la mise en oeuvre des controles attendus (documentation, supervision, monitoring).

Calcul: (# IA conformes / # IA haut risque) * 100

Couvre: AI Act, ISO/IEC 27001, ISO 22301

KPI-027 - IA - incidents de performance/securite post-deploiement

Nombre d'incidents IA (derive, erreurs critiques, abus).

Ce KPI suit les incidents IA une fois les modeles en production: derives, erreurs graves, abus. Il permet d'ajuster rapidement les controles et de stabiliser la resilience algorithmique.

Calcul: # incidents / periode + gravite

Couvre: AI Act, NIS2, ISO/IEC 27035