Autodiagnostic de robustesse Numérique

Q1Prioritaire

Les projets SI sont-ils évalués au regard de leur utilité réelle et de la valeur d'usage apportée aux utilisateurs ?

1Pas d'évaluation formelle : les projets sont lancés sur opportunité, demande ou tendance technologique

2Évaluation sur critères techniques ou financiers (ROI, faisabilité) sans questionner l'utilité réelle

3Utilité questionnée en amont mais valeur d'usage supposée, pas de mesure auprès des utilisateurs

4Utilité démontrée : valeur d'usage mesurée auprès des utilisateurs réels avant généralisation ou en suivi post-déploiement

Ne sait pas

Non applicable

Q2Prioritaire

Le périmètre des applications et services critiques pour l'activité est-il formellement défini ?

1Pas de liste : on ne sait pas précisément quelles applications sont critiques

2Liste informelle connue de quelques personnes, non documentée

3Liste documentée mais critères de criticité non explicites ou non à jour

4Cartographie complète avec critères de criticité, mise à jour annuelle, validée par les métiers

Ne sait pas

Non applicable

Q3Prioritaire

Existe-t-il une stratégie de réduction des dépendances fournisseurs pour les applications critiques ?

1Aucune réflexion : les choix sont faits sans considérer les dépendances

2Conscience du risque mais pas d'action : on sait qu'on est dépendant de certains fournisseurs

3Stratégie formalisée sur certains périmètres ou applications, pas encore généralisée

4Stratégie documentée avec objectifs chiffrés, revue annuelle systématique des dépendances

Ne sait pas

Non applicable

Des clauses de réversibilité ou d'escrow sont-elles prévues dans les contrats des fournisseurs critiques ?

1Aucune clause : les contrats ne prévoient rien sur la sortie

2Sujet évoqué en négociation mais non formalisé dans les contrats

3Clauses présentes dans certains contrats critiques (couverture partielle)

4Clauses systématiques sur tous les fournisseurs critiques, testées au moins une fois

Ne sait pas

Non applicable

Les données des applications critiques peuvent-elles être exportées dans des formats ouverts et exploitables ?

1Pas de vérification ou risque qu'aucun export ne soit possible : données bloquées dans l'application ou export uniquement via prestation éditeur

2Vérification informelle ou Export possible mais format propriétaire ou non documenté

3Critères vérifié lors du choix de la solution ou Export en format ouvert disponible mais jamais testé en conditions réelles

4Export systématiquement possibles, en formats ouverts testé annuellement, procédure documentée, délai connu

Ne sait pas

Non applicable

Q22

L'organisation contribue-t-elle aux projets libres ou aux communs numériques qu'elle utilise ?

1Aucune contribution : consommation pure des ressources open source

2Contributions ponctuelles non formalisées (remontées de bugs, documentation)

3Contributions régulières à certains projets utilisés (code, financement, gouvernance)

4Politique de contribution formalisée, budget dédié, participation active à des communautés sectorielles

Ne sait pas

Non applicable

Q6Prioritaire

L'empreinte du SI (énergie, carbone, volumes de données) est-elle mesurée et pilotée ?

1Aucune donnée : on ne connaît ni la consommation ni les volumes du SI

2Données partiellement connues (ex: factures cloud) mais pas consolidées ni analysées

3Mesure réalisée (bilan carbone ou inventaire volumes) mais pas de pilotage ni d'objectifs

4Mesure régulière et systématique avec objectifs chiffrés, politique de rétention appliquée, revue trimestrielle

Ne sait pas

Non applicable

Q7Prioritaire

Des plafonds explicites (stockage, calcul, disponibilité) sont-ils définis pour les services SI ?

1Aucun plafond : les ressources sont allouées à la demande sans limite

2Plafonds envisagés ou discutés mais non formalisés

3Plafonds définis pour certains services mais pas de suivi ni d'alerte

4Plafonds systématiquement définis, alertes automatiques, revue régulière en cas de dépassement

Ne sait pas

Non applicable

Q21Prioritaire

Une démarche d'éco-conception est-elle déployée pour les projets et services SI ?

1Aucune démarche : l'éco-conception n'est pas un critère dans les projets SI

2Sensibilisation faite ou référentiel identifié (RGESN, GR491, ISO 20125) mais pas d'application concrète

3Démarche appliquée sur certains projets pilotes ou nouveaux développements, pas généralisée

4Démarche systématique : critères intégrés dans tous les projets, équipes formées, indicateurs suivis

Ne sait pas

Non applicable

Q9Prioritaire

La DSI privilégie-t-elle des solutions modulaires, documentées et maintenables en interne ?

1Pas de critère : les solutions sont choisies sur les fonctionnalités/prix uniquement

2Volonté affichée mais pas de critères formels dans les choix

3Critères intégrés dans certains appels d'offres ou choix techniques

4Critères systématiques avec scoring, documentation exigée, revue architecture

Ne sait pas

Non applicable

Q10Prioritaire

Un mode de fonctionnement dégradé est-il défini, validé par les métiers et testé pour les applications critiques ?

1Aucun mode dégradé prévu : si l'application est indisponible, l'activité s'arrête complètement

2Mode dégradé techniquement envisagé mais non formalisé ni discuté avec les métiers

3Mode dégradé documenté et validé par les métiers mais jamais testé

4Mode dégradé documenté, validé métier, testé annuellement avec PV

Ne sait pas

Non applicable

Q23Prioritaire

Les équipes sont-elles sensibilisées à questionner systématiquement le besoin et la complexité des solutions avant tout choix technologique ?

1Culture du "toujours plus" : la technologie est perçue comme solution par défaut, le besoin est rarement questionné

2Sensibilisation ponctuelle mais réflexe "techno-solutionniste" dominant

3Questionnement intégré dans certains projets, équipes formées à la démarche

4Culture ancrée : le "pourquoi" précède systématiquement le "comment", arbitrages simplicité/fonctionnalités documentés

Ne sait pas

Non applicable

Des alternatives non numériques ou à moindre dépendance technologique sont-elles identifiées pour les fonctions critiques ?

1Jamais envisagé : si le SI tombe, l'activité s'arrête

2Question posée mais pas de réponse formalisée

3Alternatives identifiées pour certaines fonctions critiques

4Alternatives documentées et testées pour toutes les fonctions critiques

Ne sait pas

Non applicable

Q12Prioritaire

Les sauvegardes des données critiques sont-elles testées régulièrement par des exercices de restauration ?

1Sauvegardes existantes mais jamais testées (ou pas de sauvegarde)

2Test réalisé une fois il y a longtemps, non renouvelé

3Test annuel sur quelques systèmes critiques

4Test trimestriel ou mensuel, PV de restauration, RTO validé <4h

Ne sait pas

Non applicable

Q11

Les risques géographiques/climatiques sont-ils identifiés et traités ?

1Non évalué : on ne s'est pas posé la question des points de défaillance

2Risques identifiés pour certains systèmes mais pas d'action engagée

3Diversification engagée sur les systèmes les plus critiques

4Cartographie SPOF complète, plan de traitement, diversification systématique

Ne sait pas

Non applicable

Q13

Les composants critiques du SI (matériel, logiciel, licences) sont-ils inventoriés avec suivi de leur obsolescence ?

1Pas d'inventaire des composants critiques

2Inventaire partiel ou non maintenu à jour

3Inventaire complet mais pas de suivi de l'obsolescence

4Inventaire complet et systématiquement à jour avec alertes fin de support et plan de renouvellement validé

Ne sait pas

Non applicable

Q14Prioritaire

Existe-t-il un tableau de bord SI suivi régulièrement incluant des indicateurs de continuité, coût et empreinte carbone ?

1Pas de tableau de bord : le pilotage se fait au fil de l'eau

2Indicateurs existants (ex: incidents) mais pas consolidés ni revus régulièrement

3Tableau de bord existant mais incomplet (ex: pas de carbone) ou revu irrégulièrement

4Tableau de bord complet, revu mensuellement, présenté en comité direction

Ne sait pas

Non applicable

Q15Prioritaire

Chaque compétence critique est-elle maîtrisée par au moins 2 personnes dans l'équipe (redondance des compétences) ?

1Aucune redondance : personnes uniques sur des compétences clés, si X part personne ne sait faire

2Risque identifié sur certaines compétences mais pas d'action de transfert

3Recouvrement partiel : documentation existante mais pas de binôme formé

4Binôme systématique sur les compétences critiques, rotation ou formation croisée

Ne sait pas

Non applicable

Q17Prioritaire

Des analyses post-incident (post-mortem) sont-elles réalisées systématiquement après chaque incident majeur ?

1Pas de post-mortem : après un incident on passe à autre chose

2Discussion informelle mais pas de formalisation ni de suivi des actions

3Post-mortem formalisé sur les incidents majeurs, actions identifiées

4Post-mortem systématique <7j, sans blâme, actions suivies jusqu'à clôture

Ne sait pas

Non applicable

Q16

Les rôles et responsabilités en cas d'incident majeur sont-ils définis dans la gouvernance (RACI de crise) ?

1Pas de définition : en cas d'incident on improvise

2Rôles évoqués mais pas formalisés ni partagés

3RACI documenté mais jamais testé en exercice

4RACI documenté, testé en exercice annuel, contacts à jour

Ne sait pas

Non applicable

Q18Prioritaire

L'accessibilité des services numériques est-elle assurée pour tous les publics (handicap, illectronisme, langues) ?

1Non considéré : l'accessibilité n'est pas un critère dans les projets

2Audit prévu ou sensibilisation faite mais pas d'action corrective

3Corrections en cours : audit réalisé, plan d'action engagé, conformité partielle

4Conformité RGAA niveau AA systématique + canal alternatif opérationnel et testé (téléphone, guichet)

Ne sait pas

Non applicable

Q19

Les choix d'arbitrage entre disponibilité et sobriété (ex: maintenance planifiée, service réduit la nuit) sont-ils communiqués aux usagers ?

1Pas d'arbitrage fait : le service est dimensionné pour disponibilité maximale

2Arbitrages faits mais non communiqués aux usagers

3Communication ponctuelle (ex: mail de maintenance) sans explication des raisons

4Communication proactive et systématique expliquant les choix, canal de feedback usagers régulièrement analysé

Ne sait pas

Non applicable

Q20

Les biais potentiels des algorithmes et modèles IA utilisés sont-ils évalués ?

1Non concerné ou non considéré : pas d'algo identifié ou sujet jamais abordé

2Algos/IA inventoriés, risque de biais identifié mais pas d'évaluation

3Audit réalisé une fois sur les principaux algorithmes

4Audit régulier, procédure de recours usager, supervision humaine des décisions

Ne sait pas

Non applicable

S1Prioritaire

Les données sensibles sont-elles hébergées en juridiction maîtrisée (UE) ?

1Localisation inconnue

2Connue hors UE

3UE sans certif

4France/UE + certif

Ne sait pas

Non applicable

S2Prioritaire

La dépendance budgétaire à un fournisseur unique est-elle limitée (<40% du budget SI) ?

1>60%

240-60%

3<40% sans plan

4<30% diversification active

Ne sait pas

Non applicable

S3Prioritaire

Le coût total de sortie (migration, adaptation, formation) est-il chiffré avant engagement ?

1Jamais

2Après signature

3Avant approximatif

4Systématique précis

Ne sait pas

Non applicable

L'organisation peut-elle opérer ses briques critiques sans recours au prestataire d'origine ?

1100% externe

2Compétences partielles (<30% briques)

350% briques

4Autonomie critique

Ne sait pas

Non applicable

La continuité de maintenance est-elle assurée si un éditeur critique disparaît (code source, escrow, fork) ?

1Aucune garantie

2Dépendance identifiée

3Escrow ou accès partiel

4Code accessible ou fork viable

Ne sait pas

Non applicable

Les chaînes d'approvisionnement matériel sont-elles diversifiées ?

1Source unique

2Risque identifié

32 sources

4Multi-sources + stock

Ne sait pas

Non applicable

Les applications critiques sont-elles portables vers un autre environnement cloud / onprem ?

1Lock-in total

2Conscience du risque

3Portabilité partielle testée

4Portabilité complète validée

Ne sait pas

Non applicable

L'exposition aux lois extraterritoriales (Cloud Act, FISA) est-elle évaluée et mitigée ?

1Exposition non évaluée

2Fournisseurs US identifiés, pas de plan

3Données sensibles séparées, chiffrement client

4Architecture souveraine données critiques, plan B actif

Ne sait pas

Non applicable

Les risques géopolitiques fournisseurs sont-ils cartographiés ?

1Jamais

2Conscience

3Cartographie

4Cartographie + mitigation

Ne sait pas

Non applicable

S10

Les modèles IA utilisés et leurs données d'entraînement sont-ils maîtrisés (hébergement, traçabilité) ?

1Aucune visibilité

2Inventaire partiel

3Traçabilité documentée

4Maîtrise complète, audit régulier

Ne sait pas

Non applicable

Autodiagnostic de robustesse Numérique

Informations générales

Finalité

Autonomie

Sobriété

Low-tech

Résilience

Gouvernance

Acceptabilité

Souveraineté numérique

Confirmation

Génération en cours...

Diagnostic envoyé !