Data Governance Act - Gouvernance de partage

KPI-001 - Couverture de la cartographie des actifs critiques

% d'actifs/processus critiques identifies, classes et proprietaires designes.

Ce KPI montre si vous savez exactement quels actifs sont critiques, ou ils sont et qui en est responsable. Plus ce taux est eleve, plus vos priorites de protection sont justes.

Calcul: (# actifs critiques cartographies / # actifs critiques estimes) * 100

Couvre: NIS2, DORA, CER, ISO/IEC 27001, ISO 22301

KPI-003 - Score de maturite gouvernance cyber/ICT

Existence et efficacite des roles, comites, politiques, reporting.

Ce KPI verifie si la cyber est pilotee comme un sujet de direction: roles clairs, decisions tracees, arbitrages et suivi. Un bon score signifie que la gouvernance soutient l'execution.

Calcul: Score 0-5 base sur grille d'audit.

Couvre: NIS2, DORA, ISO/IEC 27001, ISO 22316

KPI-005 - Delai moyen de traitement des risques

Temps entre identification du risque et decision de traitement.

Ce KPI mesure la vitesse de reaction de votre gouvernance des risques. Plus le delai baisse, plus vous reduisez la fenetre d'exposition.

Calcul: Moyenne(date decision - date identification)

Couvre: NIS2, DORA, ISO/IEC 27001, ISO/IEC 27005, ISO 31000

KPI-006 - Taux de couverture des controles de securite

% des controles attendus effectivement implementes.

Ce KPI transforme une liste d'exigences en progression mesurable: combien de controles sont reellement en place. Il permet de piloter la conformite comme un plan d'execution concret.

Calcul: (# controles en place / # controles requis) * 100

Couvre: ISO/IEC 27001, ISO/IEC 27002, NIS2, DORA

KPI-009 - Taux d'incidents significatifs / trimestre

Volume d'incidents materiels selon seuils internes.

Ce KPI suit la frequence des incidents qui comptent vraiment pour l'organisation. Analyse dans le temps, il montre si le niveau de risque reel augmente ou diminue.

Calcul: # incidents significatifs / periode

Couvre: NIS2, DORA, RGPD, ISO/IEC 27035

KPI-010 - Conformite notification d'incident (timeliness)

% des incidents notifies dans les delais applicables.

Ce KPI mesure votre capacite a notifier dans les delais legaux/contractuels. Il reduit le risque juridique et prouve la maitrise de votre chaine de crise.

Calcul: (# notifs dans delai / # notifs obligatoires) * 100

Couvre: NIS2, DORA, RGPD

KPI-016 - Couverture EDR/MFA/Chiffrement (controles cles)

% des utilisateurs/systemes couverts par controle cle.

Ce KPI mesure l'adoption des protections minimales sur le terrain. Il permet a la direction de voir rapidement si le socle securite est reellement deploye.

Calcul: (# couverts / # total) * 100

Couvre: NIS2, DORA, ISO/IEC 27002, RGPD, ISO/IEC 27017

KPI-018 - Couverture d'evaluation securite des tiers

% des tiers critiques evalues/audites.

Ce KPI montre si vos tiers critiques sont controles de facon systematique. Il distingue un risque tiers maitrise d'un risque tiers subi.

Calcul: (# tiers evalues / # tiers critiques) * 100

Couvre: DORA, NIS2, ISO/IEC 27036, ISO/IEC 27001

KPI-019 - Exit readiness cloud / reversibilite

Capacite prouvee a migrer ou basculer un service.

Ce KPI mesure votre capacite a sortir proprement d'un fournisseur ou a basculer un service sans rupture majeure. C'est un test concret de resilience face au lock-in.

Calcul: Score 0-5 + preuve de test

Couvre: Data Act, DORA, NIS2, ISO 22301, ISO/IEC 27017

KPI-021 - Taux de secure by design (revues, S-SDLC)

% projets avec gates securite design/review/test.

Ce KPI mesure la prevention: la securite est-elle integree des la conception des projets. Plus il est haut, moins vous payez des corrections tardives.

Calcul: (# projets conformes / # projets) * 100

Couvre: CRA, NIS2, ISO/IEC 27001, ISO/IEC 27002

KPI-022 - Taux de DPIA/PIA realises et a jour

% traitements/produits a risque couverts par analyse d'impact.

Ce KPI verifie que les sujets a risque eleve ont une analyse d'impact recente et exploitable. Il relie privacy, securite et exigences reglementaires.

Calcul: (# DPIA a jour / # DPIA requis) * 100

Couvre: RGPD, ISO/IEC 27701, AI Act

KPI-023 - Taux de minimisation/retention compliance

% donnees conformes aux regles de conservation.

Ce KPI mesure si vous conservez uniquement les donnees utiles et pendant la bonne duree. Il reduit le risque RGPD, l'exposition cyber et les couts de stockage.

Calcul: (# datasets conformes / # datasets) * 100

Couvre: RGPD, ISO/IEC 27701

KPI-025 - Indicateur assurance via certification

% perimetre couvert par certifications/schemas.

Ce KPI donne un signal de confiance externe via certifications et schemas reconnus. Il complete, sans remplacer, les preuves techniques et tests internes.

Calcul: (# systemes certifies / # cible) * 100

Couvre: Cybersecurity Act, ISO/IEC 27001, Data Governance Act, eIDAS

KPI-026 - IA - taux de conformite high-risk controls

% systemes IA haut risque avec mesures requises (gouv, logs, tests, monitoring).

Ce KPI mesure la discipline de conformite sur les systemes IA a haut risque. Il rend pilotable la mise en oeuvre des controles attendus (documentation, supervision, monitoring).

Calcul: (# IA conformes / # IA haut risque) * 100

Couvre: AI Act, ISO/IEC 27001, ISO 22301