Questions fréquentes

Le FR Rating est une note indépendante qui synthétise la posture réglementaire cybersécurité d'une organisation. Il se décline sur 8 niveaux, de FR-Aaa (le plus élevé) à FR-Ca (le plus bas), en agrégeant la maturité de conformité à travers 3 référentiels européens : ISO 27001, NIS2 et DORA.

Finnovia Solutions, une agence européenne indépendante. La plateforme produit deux résultats : un FR Rating auto-évalué calculé automatiquement à partir de vos réponses, et un FR Rating vérifié, examiné contrôle par contrôle par les analystes Finnovia avant publication. Seule la notation vérifiée — disponible sur les plans payants — relève de l'esprit des agences de notation financière comme Moody's ou S&P, appliqué à la cybersécurité.

Chaque contrôle est noté sur une échelle de maturité de 0 (aucune mesure) à 4 (optimisé), normalisé sur 0–100 %, puis agrégé par domaine selon les pondérations applicables. Le score global est rattaché à l'un des 8 niveaux via des seuils fixes (FR-A à partir de 70 %, FR-Aaa à partir de 90 %). La méthodologie complète est publiée sur la page Méthodologie.

Les notations sont regroupées en trois bandes de risque. Risque faible : FR-Aaa, FR-Aa, FR-A (scores ≥ 70 %). Risque moyen : FR-Baa, FR-Ba (scores 50–69 %). Risque élevé : FR-B, FR-Caa, FR-Ca (scores inférieurs à 50 %). Chaque niveau reflète des écarts définis et des priorités d'amélioration.

Trois référentiels : ISO 27001 (norme internationale de management de la cybersécurité), NIS2 (directive européenne sur la sécurité des réseaux et de l'information, applicable depuis 2024) et DORA (Digital Operational Resilience Act, obligatoire pour les entités financières de l'UE depuis 2025).

Live numbers from the assessment engine — DORA: 38 questions across 7 domains; ISO 27001: 56 questions across 10 domains; NIS2: 37 questions across 7 domains.

ISO 27001 is voluntary but globally recognised. NIS2 is mandatory for most large EU entities classified as essential or important. DORA is mandatory for EU financial entities and their critical ICT providers. Most organisations need at least two; Finnovia supports activation per framework.

Un questionnaire ISO 27001 prend environ 35 à 40 minutes pour une personne familière avec les contrôles. NIS2 et DORA prennent chacun environ 25 minutes. Vous pouvez sauvegarder votre progression et la reprendre à tout moment.

Une notation auto-évaluée est valable 12 mois à compter de la soumission. Une notation vérifiée, après revue par un analyste Finnovia, est valable 24 mois à compter de la signature. Les deux expirent automatiquement — des évaluations récurrentes maintiennent la notation à jour.

Une notation auto-évaluée reflète les réponses que vous avez soumises. Une notation vérifiée a été auditée contrôle par contrôle par un analyste Finnovia qui confirme que le scoring est défendable. Seules les notations vérifiées sont publiées et reconnues comme officielles.

Les notations auto-évaluées restent privées à votre organisation. Les notations vérifiées sont publiées sur la page des notations et visibles par tout le monde — c'est tout l'enjeu d'une agence indépendante. Vous restez maître des référentiels que vous choisissez de publier.

Oui. Vous pouvez demander un retrait à tout moment. La notation n'est plus affichée sur la page des notations actives ; elle reste dans nos archives par souci de transparence, avec une mention claire « retirée ».

Les clients payants peuvent inviter leurs fournisseurs à compléter une évaluation. Le fournisseur reçoit un lien privé, remplit le questionnaire, et Finnovia calcule son FR Rating. Vous obtenez un tableau de bord de l'ensemble de vos fournisseurs avec leurs notations — une vue tierce et transparente du risque cyber de votre chaîne d'approvisionnement.

Trois relances automatiques sont envoyées, espacées de 7 jours. Au-delà, le fournisseur apparaît comme « non répondant » dans votre tableau de bord, sans nouvelle sollicitation. Votre liste de fournisseurs montre d'un coup d'œil ceux qui sont évalués, en cours, invités ou non répondants.

Non. Un fournisseur qui réalise une évaluation pour vous ne voit que son propre questionnaire. Il ne voit jamais qui d'autre l'a invité, ni aucune donnée agrégée entre clients. Une fois vérifiée, la notation est portable — autrement dit, plusieurs clients d'un même fournisseur partagent la même notation publiée.

Le suivi fournisseurs est inclus dans les plans Founding Member et Enterprise. Le niveau Discovery gratuit couvre uniquement l'auto-évaluation. Founding Member est plafonné à 25 fournisseurs ; Enterprise supprime le plafond.

Oui — le niveau Discovery est gratuit et vous permet de réaliser des auto-évaluations sur ISO 27001 et NIS2. Des scores partiels par domaine sont affichés. La notation vérifiée, le suivi fournisseurs et le détail complet des résultats nécessitent une montée en gamme.

Le plan Founding Member débloque : les FR Ratings vérifiés par un analyste sur les trois référentiels, le suivi fournisseurs, le tableau de bord complet et une feuille de route de support prioritaire. Le tarif est verrouillé pendant 24 mois. Limité à 50 organisations en Europe.

Le plan Enterprise s'adresse aux organisations disposant d'écosystèmes fournisseurs étendus, d'intégrations sur mesure, d'un CSM dédié et de SLA contractuels. Tarification sur devis. Contactez notre équipe pour plus de détails.

Oui, à tout moment. Vous pouvez passer de Discovery à Founding Member tant que des places restent disponibles, ou de Founding Member à Enterprise. Les passages à un plan inférieur sont pris en compte au renouvellement suivant.

Finnovia opère exclusivement en Europe. L'application est hébergée sur les régions européennes de Vercel ; la base PostgreSQL est sur Supabase, également dans l'UE. Aucune donnée client ne quitte la juridiction européenne.

Oui. Finnovia Solutions est une société française. Nous traitons les données personnelles sur une base contractuelle (votre abonnement). Notre posture RGPD complète, notre registre de traitements et nos sous-traitants sont documentés dans la politique de confidentialité.

Vous et vos collègues autorisés uniquement, par défaut. Pour les notations vérifiées, un analyste Finnovia habilité examine les réponses contrôle par contrôle. Nous ne partageons jamais le contenu des questionnaires avec des tiers. Des statistiques agrégées et entièrement anonymisées peuvent être utilisées pour des benchmarks sectoriels — jamais au niveau d'une organisation sans consentement.

Oui. Finnovia Solutions est détenue par des intérêts privés, n'a pas de branche conseil, ne vend aucun produit de cybersécurité et n'accepte aucune rémunération des organisations notées au-delà de l'abonnement standard. Notre modèle économique, c'est l'abonnement à la notation — pas de conseil, pas de tests d'intrusion, pas d'implémentation. Cette indépendance structurelle, c'est tout l'enjeu.