// Méthodologie de notation //

Méthodologie de notation

Découvrez comment Finnovia évalue et note la posture de cybersécurité de votre organisation.

Vue d'ensemble

Finnovia évalue les organisations selon trois référentiels européens de cybersécurité : ISO 27001, NIS2 et DORA. Chaque évaluation repose sur un questionnaire structuré par domaines, dont les réponses sont converties en scores pondérés pour produire une notation globale FR-Rating.

Notre méthodologie est conçue pour être transparente, reproductible et alignée sur les exigences réglementaires européennes. Les pondérations reflètent les priorités de chaque référentiel.

DORA

38 questions · 7 domaines

ISO 27001

56 questions · 10 domaines

NIS2

37 questions · 7 domaines

Échelle de maturité

Chaque question est évaluée sur une échelle de maturité à 5 niveaux, de 0 (aucune mesure en place) à 4 (processus optimisé et en amélioration continue).

NiveauMaturitéDescriptionScore
0AucunAucune mesure en place ou pratique non documentée.0%
1InitialPratiques ad hoc, non formalisées ni répétables.25%
2DéfiniProcessus documenté et appliqué de manière cohérente.50%
3GéréProcessus mesuré, contrôlé et régulièrement audité.75%
4OptimiséAmélioration continue, benchmarking et adaptation proactive.100%

Les questions marquées « Non applicable » sont exclues du calcul et ne pénalisent pas le score.

Processus de calcul

Étape 1 — Score par domaine

Pour chaque domaine, le score est la moyenne des réponses fournies, convertie en pourcentage. Les réponses « Non applicable » sont exclues. Un domaine où toutes les questions obtiennent le niveau 3 (Géré) aura un score de 75 %.

Étape 2 — Score global pondéré

Le score global est calculé comme la somme pondérée des scores de chaque domaine. Chaque domaine contribue proportionnellement à son poids, qui reflète son importance dans le référentiel.

Étape 3 — Attribution du FR-Rating

Le score global est converti en notation FR-Rating selon une grille fixe à 7 niveaux, de FR-Caa (score inférieur à 25 %) à FR-Aaa (score supérieur ou égal à 95 %).

Grille FR-Rating

La notation FR-Rating traduit le score global en une note comparable, inspirée des notations financières. Elle permet une lecture immédiate du niveau de conformité.

FR-AaaExcellence
≥ 90%
FR-AaTrès élevé
≥ 80%
FR-AÉlevé
≥ 70%
FR-BaaSatisfaisant
≥ 60%
FR-BaModéré
≥ 50%
FR-BFaible
≥ 40%
FR-CaaInsuffisant
≥ 20%
FR-CaCritique
< 20 %

Pondérations par référentiel

Chaque référentiel attribue des poids différents à ses domaines, reflétant les priorités réglementaires. Les domaines à fort poids ont un impact plus important sur la notation finale.

DORA

38 questions · 7 domaines

Cadre de gestion des risques TIC20%
Gestion & Signalement des incidents TIC20%
Tests de résilience opérationnelle numérique17%
Gestion des risques TIC tiers18%
Renseignement & Partage sur les menaces10%
Gouvernance & Responsabilité10%
Protection & Récupération des données5%

ISO 27001

56 questions · 10 domaines

Gouvernance & Leadership15%
Gestion des risques15%
Contrôle d'accès & Identité13%
Gestion des incidents12%
Risque fournisseurs & tiers10%
Continuité d'activité10%
Gestion & Classification des actifs8%
Cryptographie & Protection des données8%
Sécurité physique & environnementale5%
Gestion des vulnérabilités & correctifs4%

NIS2

37 questions · 7 domaines

Gouvernance & Responsabilité du conseil18%
Signalement des incidents18%
Mesures techniques de sécurité25%
Sécurité de la chaîne d'approvisionnement12%
Gestion des risques & Résilience12%
Contrôle d'accès & Authentification8%
Continuité d'activité & Gestion de crise7%

Nos engagements

La méthodologie Finnovia repose sur des principes de transparence et de rigueur :

  • Pondérations publiques — les poids de chaque domaine sont communiqués ouvertement.
  • Calcul déterministe — à réponses identiques, score identique. Aucun facteur subjectif n'intervient.
  • Alignement réglementaire — les questionnaires couvrent exhaustivement les exigences de chaque référentiel.
  • Vérification indépendante — les évaluations soumises peuvent être vérifiées par un analyste Finnovia avant publication.