Indépendant · AuditableMethodology Book v3bis

// MÉTHODOLOGIE //

Comment les FR Ratings sont calculés

Une méthodologie transparente et déterministe, alignée sur ISO 27001, NIS2 et DORA. Mêmes réponses → même notation, à chaque fois.

Voir l'échelle FR RatingLire la FAQ
FR RISK RATING
FR-A
74.2%
Verified · June 2026

Score agrégé sur 3 référentiels de cybersécurité.

CaBBaBaaAAaa

// VUE D'ENSEMBLE //

Trois référentiels, un score transparent

Finnovia évalue les organisations selon trois référentiels européens de cybersécurité : ISO 27001, NIS2 et DORA. Chaque évaluation repose sur un questionnaire structuré par domaines, dont les réponses sont converties en scores pondérés pour produire une notation globale FR-Rating.

Notre méthodologie est conçue pour être transparente, reproductible et alignée sur les exigences réglementaires européennes. Les pondérations reflètent les priorités de chaque référentiel.

DORA

38 questions · 7 domaines

ISO 27001

56 questions · 10 domaines

NIS2

37 questions · 7 domaines

// FONCTIONNEMENT //

Processus de calcul

  1. 1

    Étape 1 — Score par domaine

    Pour chaque domaine, le score est la moyenne des réponses fournies, convertie en pourcentage. Les réponses « Non applicable » sont exclues. Un domaine où toutes les questions obtiennent le niveau 3 (Géré) aura un score de 75 %.

  2. 2

    Étape 2 — Score global pondéré

    Le score global est calculé comme la somme pondérée des scores de chaque domaine. Chaque domaine contribue proportionnellement à son poids, qui reflète son importance dans le référentiel.

  3. 3

    Étape 3 — Attribution du FR-Rating

    Le score global est converti en FR Rating selon une échelle fixe à 8 niveaux, de FR-Ca (score inférieur à 20 %) à FR-Aaa (score de 90 % ou plus). Chaque niveau correspond à un seuil précis défini dans le code (FR_RATING_THRESHOLDS) — jamais ajusté a posteriori.

// ÉCHELLE DE MATURITÉ //

Notation de chaque réponse sur une échelle de maturité

Chaque question est évaluée sur une échelle de maturité à 5 niveaux, de 0 (aucune mesure en place) à 4 (processus optimisé et en amélioration continue).

NiveauMaturitéScore
0Aucun0%
1Initial25%
2Défini50%
3Géré75%
4Optimisé100%
N/ANon applicableexcluded

// ÉCHELLE FR RATING //

Du score à la notation littérale

La notation FR-Rating traduit le score global en une note comparable, inspirée des notations financières. Elle permet une lecture immédiate du niveau de conformité.

CaCaaBBaBaaAAaAaa
FR-AaaExcellence
≥ 90%
FR-AaTrès élevé
80–89%
FR-AÉlevé
70–79%
FR-BaaSatisfaisant
60–69%
FR-BaModéré
50–59%
FR-BFaible
40–49%
FR-CaaInsuffisant
20–39%
FR-CaCritique
< 20%

// BANDES DE RISQUE //

Trois bandes de risque en un coup d'œil

Les 8 niveaux du FR Rating sont regroupés en trois bandes de risque pour le reporting de haut niveau et le benchmarking — définies dans le Methodology Book §5.1.

≥ 70 %

Risque faible

FR-Aaa · FR-Aa · FR-A

Posture cybersécurité solide, avec des contrôles mesurés, documentés et appliqués de manière constante.

50 – 69 %

Risque moyen

FR-Baa · FR-Ba

Posture satisfaisante avec des axes d'amélioration identifiés et des risques résiduels connus.

< 50 %

Risque élevé

FR-B · FR-Caa · FR-Ca

Lacunes significatives nécessitant une attention immédiate ; contrôles partiels, ad hoc ou absents.

// PONDÉRATIONS DES DOMAINES //

Comment chaque domaine est pondéré

Chaque référentiel attribue des poids différents à ses domaines, reflétant les priorités réglementaires. Les domaines à fort poids ont un impact plus important sur la notation finale.

DORA

38 questions · 7 domaines

Cadre de gestion des risques TIC
20%
Gestion & Signalement des incidents TIC
20%
Tests de résilience opérationnelle numérique
17%
Gestion des risques TIC tiers
18%
Renseignement & Partage sur les menaces
10%
Gouvernance & Responsabilité
10%
Protection & Récupération des données
5%

ISO 27001

56 questions · 10 domaines

Gouvernance & Leadership
15%
Gestion des risques
15%
Contrôle d'accès & Identité
13%
Gestion des incidents
12%
Risque fournisseurs & tiers
10%
Continuité d'activité
10%
Gestion & Classification des actifs
8%
Cryptographie & Protection des données
8%
Sécurité physique & environnementale
5%
Gestion des vulnérabilités & correctifs
4%

NIS2

37 questions · 7 domaines

Gouvernance & Responsabilité du conseil
18%
Signalement des incidents
18%
Mesures techniques de sécurité
25%
Sécurité de la chaîne d'approvisionnement
12%
Gestion des risques & Résilience
12%
Contrôle d'accès & Authentification
8%
Continuité d'activité & Gestion de crise
7%

// VALIDITÉ //

Combien de temps une notation est-elle valable ?

Chaque notation est assortie d'une fenêtre de validité fixe. Une fois expirée, elle ne compte plus comme un justificatif courant et n'apparaît plus sur la page publique des notations.

Notation auto-évaluée

12 mois

À compter de la date de soumission

Reflète les réponses soumises par l'organisation. Aucune revue analyste à ce stade.

Notation vérifiée

24 mois

À compter de la date de signature analyste

Audité contrôle par contrôle par un analyste Finnovia. Seules les notations vérifiées sont publiées.

// NOS ENGAGEMENTS //

Conçue pour la transparence, auditée pour la rigueur

La méthodologie Finnovia repose sur des principes de transparence et de rigueur :

  • Pondérations publiques — les poids de chaque domaine sont communiqués ouvertement.

  • Calcul déterministe — à réponses identiques, score identique. Aucun facteur subjectif n'intervient.

  • Alignement réglementaire — les questionnaires couvrent exhaustivement les exigences de chaque référentiel.

  • Vérification indépendante — les évaluations soumises peuvent être vérifiées par un analyste Finnovia avant publication.

// PRÊT À OBTENIR VOTRE NOTATION //

Réalisez votre première évaluation en quelques minutes

Commencez avec le niveau Discovery gratuit. Passez à une notation vérifiée dès que vous êtes prêt.

Démarrer votre évaluationParcourir les notations publiques