GH GambleHub

KPI et métriques de conformité

1) Pourquoi les métriques de Complaens

Les métriques traduisent les exigences et les risques en objectifs gérables. Bon système KPI/KRI :
  • rend le statut de conformité transparent et comparable dans le temps ;
  • lie le travail de la conformité au résultat de l'entreprise (réduction des pertes/pénalités/retards de libération) ;
  • permet de gérer les priorités et les ressources en fonction des faits et non des sensations ;
  • simplifie l'audit : il existe des formules tracables, des sources et des artefacts immuables (evidence).
Termes :
  • KPI - indicateurs d'exécution (efficacité des processus).
  • KRI - Indicateurs de risque (probabilité/impact des événements).
  • SLO/SLA - Niveaux de service cibles/engagements de temps.
  • Leading vs Lagging : indicateurs d'anticipation (leading) et de retard (lagging).

2) Carte des métriques par domaine (matrice de référence)

DomaineKPI/KRITypeFormule (brièvement)Objectif (exemple)
Politiques/formationCertifications CoverageKPIpassé _ cours/doit _ passer≥ 95 %/trimestre
Politique MTTU (taux de mise à jour)KPIt_publikatsii − t_triggera≤ 30 jours
Accès/IAMAccess HygieneKPIobsolète _ droits/tous _ droits≤ 2%
SoD ViolationsKRIen combinaisons toxiques0 (critique)
Données/vie privéeDSAR SLA à tempsKPIdans _ délai/total≥ 98%
TTL ViolationsKRIobjets _ au-delà _ TTL↓ à zéro
Infra/cloud/IaCDrift RateKPIdérives/mesUne tendance ↓
Encryption CoverageKPIressources _ avec _ cryptage/tous100%
DevSecOps/codeSecrets in ReposKRIfuites _ secrets/mes0 critique
License ComplianceKPIpaquets _ avec _ nok _ licence0
AML/transactionsSTR/SAR TimelinessKPIdans _ délai/total≥ 99%
False Positive Rate AMLKPIfaux/tous les alerts≤ 10 % (avec contexte)
Incidents/auditsTime-to-Remediate FindingsKPImédiane t_zakrytiya≤ 30 jours High
Repeat FindingsKRI% de répétitions en 12 mois≤ 5%

3) « North Stars » (North Star) Complaens

1. Audit-ready pour N heures (toutes les evidences sont collectées automatiquement).
2. Zero Critical Violations (zéro incohérence critique en matière de sécurité/réglementation).
3. ≥ 90 % Coverage par des contrôles automatisés (policy-as-code + CCM).

4) Taxonomie des métriques

4. 1 Coverage (couverture)

Coverage de contrôle : systèmes contrôlés/tous les systèmes critiques.
Evidence Coverage : artefacts collectés/par chèque d'audit.
Adoption des politiques : processus où les exigences ont été mises en œuvre/tous les processus cibles.

4. 2 Efficacité (efficacité des contrôles)

Taux de passage des tests de contrôle : passé/total des tests de période.
FPR/TPR (faux-positif ./vrai positif.) pour les règles des détectives.
Incidents Prévenus : cas évités par les contrôles préventifs.

4. 3 Efficacité (coûts/vitesse)

MTTD/MTTR : délai avant le détail/l'élimination.
Cas Cost per (AML/DSAR) : heures × taux + coûts d'infrastructure.
Automation Ratio : solutions auto/toutes les solutions.

4. 4 Timel....( délais)

Exécution du SLA (DSAR/STR/formation) : à temps/total.
Politique Lead Time : du déclencheur à la publication.
Change Lead Time (DevSecOps-gates) : de la PR à la sortie lors des contrôles de conformité.

4. 5 Qualité (qualité des données/processus)

Evidence Integrity :% des artefacts dans WORM avec un résumé de hachage.
Data Defects : erreurs dans les rapports/rapports reg.
Score de formation : score moyen du test, % dès la première fois.

4. 6 Risque Impact (impact sur le risque)

Indice de réduction des risques : ∆ du risque total après remédiation.
Exposition réglementaire : gaps critiques ouverts vs exigences de licence/certification.
$ Avoided Losses (estimation) : pénalités/pertes évitées par la fermeture des gaps.

5) Formules et exemples de calculs

5. 1 DSAR SLA

« DSAR _ SLA = (dans les demandes fermées ≤ 30 jours )/( dans les demandes totales) »

Objectif : ≥ 98 %; zone rouge <95 %, jaune 95-97. 9.

5. 2 Access Hygiene

'AH = droits obsolètes _ (aucun propriétaire/a passé le délai )/tous les droits _

Seuil : ≤ 2 % (zone rouge> 5 %).

5. 3 Drift Rate (IaC/Cloud)

« DR = dérives (incohérences de IaC↔fakt )/mes »

Tendance : baisse constante de 3 mois consécutifs.

5. 4 Time-to-Remediate (по severity)

High : médiane ≤ 30 jours ; Critique : 7 jours ≤. Retard → escalade automobile.

5. 5 AML FPR

'FPR = faux positifs _ alerts/tous _ alerts '

Équilibrer avec les TPR et les pertes de traitement.

5. 6 Evidence Coverage (audit)

'EC = collectés _ artefacts/obligatoires _ par _ check-list '

Objectif : 100 % à la date D de la vérification ; l'objectif opérationnel est de ≥ 95 % en permanence.

6) Sources de données et de preuves (evidence)

DWH : DSAR, Legal Hold, TTL, audit-logs, alertes.
IAM/IGA : rôles, propriétaires, campagnes d'attestation.
CI/CD/DevSecOps : SAST/DAST/SCA, scan secret, licences, gates.
Cloud/IaC : snapshots configs, draft reports, KMS/HSM logs.
SIEM/SOAR/DLP/EDRM : corrélations, playbooks, blocages.
GRC : Registre des exigences, contrôles, waivers et audits.
WORM/Object Lock : archive immuable des artefacts + résumé de hachage.

7) Dashboards (recrutement minimum)

1. Conformité Heatmap - systèmes × normes × statut.
2. SLA Center - DSAR/STR/formation : debline, retard, pronostic.
3. Access & SoD - rôles toxiques, comptes orphelins, progrès des attestations.
4. Retraite & Suppression - Violations de TTL, verrous légaux, tendances.
5. Infra/Cloud Drift - incohérences IaC, cryptage, segmentation.
6. Findings Pipeline - ouvert/expiré/fermé par les propriétaires et severity.
7. Audit Read....- couverture evidence et le temps jusqu'à ce que le bouton soit prêt.

Zones de couleur (exemple) :
  • Vert - objectif atteint/stable.
  • Jaune - risque de rejet, un plan est nécessaire.
  • Le rouge est un écart critique, une escalade immédiate.

8) ligament OKR (exemple de trimestre)

Objectif : Réduire le risque réglementaire et opérationnel sans ralentir les sorties.

KR1 : Augmenter le Coverage des contrôles automatisés de 72 % → 88 %.
KR2 : Réduire l'Hygiene d'accès à partir de 4. 5% → ≤ 2%.
KR3 : 99 % DSAR à temps ; la médiane de la réponse est ≤ 10 jours.
KR4 : Drift Rate cloud − 40 % QoQ.
KR5 : Time-to-Audit-Ready ≤ 8 heures (dry-run).

9) RACI pour les métriques

RôleZone de responsabilité
Head of Compliance / DPO (A)Sélection des KPI/KRI cibles, seuils et aprouves de reporting
Compliance Analytics (R)Modèles, formules, vitrines de données, dashboards
Data Platform (R)Piplines, qualité des données, WORM-archive evidence
SecOps/Cloud Sec (C)Dérive, cryptage, playbooks SOAR
IAM/IGA (C)Attestations, SoD, propriétaires d'accès
Product/DevSecOps (C)Gates, vulnérabilités, scan secret
GRC (R/C)Registre des exigences/contrôles, waivers
Internal Audit (I)Vérification des calculs et des sources

10) Fréquence et procédures de mesure

Au quotidien : alertes CCM, dérive, secrets, incidents critiques.
Chaque semaine : SLA DSAR/STR, DevSecOps gates, Access Hygiene.
Mensuellement : pass rate controles, rediffusions, Evidence Coverage.
Trimestriel : Résumé de l'OKR, Indice de réduction des risques, audit-répétition (dry-run).

Procédure de révision des seuils : analyse des tendances, des coûts et des risques ; changement des seuils - via Board.

11) Qualité des métriques : règles

Une sémantique unique : un dictionnaire de termes et de modèles SQL.
Versioner les formules : « métrique comme code » (référentiel + revu).
Vérification de la reproductibilité : scripts de reperformage pour auditeurs.
Immutabilité des artefacts : chaînes de hachage WORM +.
Privacy : minimisation, masquage, contrôle d'accès aux vitrines KPI.

12) Exemples de requêtes (SQL/pseudo)

12. 1 DSAR SLA (30 jours) :

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs fact) :

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Seuils (exemples de référence, adapter)

MétriqueVertJauneRouge
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)≤ 5/mes6-15/mes> 15/mes
Evidence Coverage100%95–99. 9%< 95%
Taux de passage des contrôles≥ 97%90–96. 9%< 90%
Time-to-Audit-Ready≤ 8 h8-24 h> 24 h

14) Anti-modèles

Métriques « pour le rapport » sans propriétaire et plan d'action.
Le mélange des versions des formules → l'incomparabilité des tendances.
Couverture sans efficacité : Coverage élevé, mais drift élevé et findings répétés.
Ignorer le coût des faux positifs (FPR) dans AML/CCM.
Métriques sans contexte de risque (aucun lien avec KRI et les licences).

15) Chèques-feuilles

Démarrage du système KPI

  • Dictionnaire de métriques et référentiel unique « métriques en tant que code ».
  • Les propriétaires (RACI) et les fréquences de rafraîchissement ont été attribués.
  • Les sources et la vitrine « Conformité » sont connectées.
  • Les zones dashboards et colorimétriques, SLO/SLA et escalade sont personnalisées.
  • WORM archive et hachage des rapports.
  • Dry-run pour l'audit avec reperforma.

Avant le rapport trimestriel

  • Vérification des formules, contrôle des anomalies.
  • Mise à jour des seuils péri-régulateurs.
  • Analyse cost/benefit FPR vs TPR.
  • Plan d'amélioration pour les zones « rouges ».

16) Modèle de maturité des métriques (M0-M4)

M0 Comptabilité manuelle : Tableaux Excel, rapports irréguliers.
M1 Catalogue : une seule vitrine, SLA de base et tendances.
M2 Automatisé : dashboards en temps réel, escalade.
M3 Orchestrated : policy-as-code, CCM, auto-évidence, reperform.
M4 Assurance continue : « audit-ready par bouton », métriques de risque prédictives (ML).

17) Articles wiki liés

Surveillance continue de la conformité (CCM)

Automatisation de la conformité et des rapports

Audit axé sur les risques

Cycle de vie des politiques et procédures

Legal Hold et le gel des données

DSAR : demandes de données des utilisateurs

Graphiques de stockage et de suppression des données

Résultat

Les KPI de complication forts sont des formules compréhensibles, des sources fiables, des propriétaires et des seuils, une vitrine automatisée et des actions de déviation. C'est ainsi que la conformité devient un service prévisible avec un impact mesurable sur le risque et la vitesse de l'entreprise.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.