Utiliser Mercator pour le pilotage de "L'Indice de Résilience Numérique"

[MCF241]

Bonjour,

Nous avons de plus en plus de normes qui nous tombent dessus dont certaines font sense, à mon avis, mais qui peuvent a voir pour conséquence un surplus non négligeable d'efforts à fournir.

Je parle ici de l'indice de résilience numérique.

Il me semble que les critère peuvent être intégrés directement dans le processus de cartographie (voir: le readme de la fiche de calcul de l'IRN.

• Il y a donc un critère de cartographie en 8 point couverts par Mercator
• Puis les 8 piliers de la résilience numérique qui pourrais être un rapport ou inclus dans la section RGPD
• Les risques (nous les avons d'une certaine manière)
• Les bénéfices

Donc je me pose la question sur la possibilité d'utiliser Mercator pour réaliser l'audit et le rapport IRN ;)

[dbarzin]

Bonne remarque, et la demande est légitime, c'est exactement le type de référentiel que Mercator peut alimenter nativement, puisqu'il part lui-même de la cartographie des systèmes critiques métier. La logique de l'IRN — partir des fonctions vitales pour remonter aux actifs numériques — est précisément ce que Mercator modélise avec les processus métier, les blocs applicatifs et l'infrastructure sous-jacente.

En termes de données, les 4 critères quantitatifs de l'IRN sont quasiment couverts si on enrichit légèrement les tables existantes. Il faudrait ajouter sur :

• entity : origine_fournisseur (FR / EU / extra-EU),
• applicaitons : open_source (booléen),
• relations : cout_annuel_licence, et clause_reversibilite (booléen).

La géolocalisation des données est déjà partiellement couverte par le module RGPD (hébergement, transferts hors UE). Avec ces enrichissements, le calcul du ratio dépenses EU vs extra-EU et du taux d'adoption open source devient automatique.

Pour les 4 critères qualitatifs (gouvernance, préparation aux chocs, suivi réglementaire, compétences internes), il serait pertinent d'ajouter une table irn_evaluations simple — liée à une période et à un périmètre (système critique) — stockant les scores R/NR des 8 piliers avec un champ commentaire. Ce serait l'équivalent, dans Mercator, de ce que fait le module de conformité dans Deming. On peut d'ailleurs envisager un lien avec les processus pour qualifier quels processus métier sont "vitaux" au sens IRN.

Côté interface, un écran dédié "IRN" dans la section Rapports, avec un spider chart (les 8 dimensions) et un score global calculé à partir des données cartographiées, serait la restitution naturelle.

C'est techniquement faisable avec les données déjà présentes + les quelques champs à ajouter. Le rapport pourrait distinguer ce qui est calculé automatiquement (quantitatif) de ce qui est saisi manuellement (qualitatif).

Je suis partant pour intégrer ça — probablement dans une prochaine version. Si tu veux contribuer ou tester une implémentation, n'hésite pas commenter ou à partager la fiche de calcul IRN de référence (celle mentionnée dans le README) pour qu'on aligne précisément les critères. 🙂

[MCF241]

voici le fichier fourni par l'aDRI :
Questionnaire_IRN_v0.4.xlsx

C'est légèrement confessant vu que je ne sais pas si c'est un fichier par appli/ fournisseur ou si c'est le référentiel d'audit.
Je voulais, à l'origine, faire un formulaire grist ou un BPMn pour le remplir. Mais Mercator m'a semblé le plus opportun.