[
  {
    "categorie": "documentaire",
    "numero": 1,
    "point": "Politique de classification des incidents écrite et signée par la direction (matrice severity vers reporting DORA et NIS2)",
    "priorite": "Critique",
    "evidence_requise": "Document PDF signé COMEX + matrice severity/reporting versionnée"
  },
  {
    "categorie": "documentaire",
    "numero": 2,
    "point": "Procédure de notification DORA 4 heures documentée, validée par la direction juridique, mise à jour annuellement",
    "priorite": "Critique",
    "evidence_requise": "Runbook DORA + visa direction juridique + log de revue annuelle"
  },
  {
    "categorie": "documentaire",
    "numero": 3,
    "point": "Procédure de notification NIS2 24 heures documentée, alignée sur le portail national (MonEspaceNIS2, BSI, ACN)",
    "priorite": "Critique",
    "evidence_requise": "Runbook NIS2 + mapping portail par juridiction + comptes utilisateurs"
  },
  {
    "categorie": "documentaire",
    "numero": 4,
    "point": "DPA RGPD signé avec le fournisseur de status page, incluant la liste des sous-traitants",
    "priorite": "Haute",
    "evidence_requise": "DPA contresigné + annexe sous-traitants à jour"
  },
  {
    "categorie": "documentaire",
    "numero": 5,
    "point": "Registre des fournisseurs ICT à jour, conforme DORA Article 28 paragraphe 3",
    "priorite": "Critique",
    "evidence_requise": "Registre Excel/SaaS + champ CIFA + date dernière revue"
  },
  {
    "categorie": "documentaire",
    "numero": 6,
    "point": "Exit strategy du fournisseur de status page testée annuellement et documentée",
    "priorite": "Haute",
    "evidence_requise": "Plan de sortie + compte-rendu du test annuel"
  },
  {
    "categorie": "documentaire",
    "numero": 7,
    "point": "Plan de communication de crise validé par le COMEX (rôles, messages-types, canaux)",
    "priorite": "Haute",
    "evidence_requise": "Document signé COMEX + RACI + templates de communication"
  },
  {
    "categorie": "technique",
    "numero": 8,
    "point": "Status page hébergée hors infrastructure applicative, avec preuve d'indépendance testée",
    "priorite": "Critique",
    "evidence_requise": "Diagramme d'architecture + résultat du test d'isolation (chaos test)"
  },
  {
    "categorie": "technique",
    "numero": 9,
    "point": "Horodatage RFC 3339 UTC partout, sans exception (interface, API, exports)",
    "priorite": "Critique",
    "evidence_requise": "Capture interface + payload API + export JSON/RSS daté UTC"
  },
  {
    "categorie": "technique",
    "numero": 10,
    "point": "Severity codée sur 4 niveaux minimum (operational, degraded, partial outage, major outage)",
    "priorite": "Haute",
    "evidence_requise": "Documentation produit + capture statuts + table de correspondance interne"
  },
  {
    "categorie": "technique",
    "numero": 11,
    "point": "Export structuré disponible en JSON, RSS et Atom, complété par ICS pour la maintenance",
    "priorite": "Haute",
    "evidence_requise": "URLs publiques des flux + exemples de payload archivés"
  },
  {
    "categorie": "technique",
    "numero": 12,
    "point": "Audit trail visible sur chaque mise à jour, identifiant l'auteur (rôle minimum)",
    "priorite": "Critique",
    "evidence_requise": "Capture interface + extrait log d'audit + politique de rôles"
  },
  {
    "categorie": "technique",
    "numero": 13,
    "point": "Versionnage des mises à jour incidents, jamais d'écrasement rétroactif",
    "priorite": "Critique",
    "evidence_requise": "Démonstration historique d'un incident + politique de modification"
  },
  {
    "categorie": "technique",
    "numero": 14,
    "point": "Monitoring multi-régions en place sur au moins 4 zones (EU, US, APAC, UK)",
    "priorite": "Haute",
    "evidence_requise": "Liste des sondes par région + rapport de couverture mensuel"
  },
  {
    "categorie": "technique",
    "numero": 15,
    "point": "Notifications cross-canal opérationnelles : e-mail, webhook, RSS, SMS optionnel",
    "priorite": "Moyenne",
    "evidence_requise": "Liste des canaux activés + test d'envoi trimestriel"
  },
  {
    "categorie": "technique",
    "numero": 16,
    "point": "Archivage immuable WORM ou registre signé sur au minimum 6 ans",
    "priorite": "Critique",
    "evidence_requise": "Stratégie d'archivage + preuve d'immuabilité (hash, S3 Object Lock, Glacier)"
  },
  {
    "categorie": "technique",
    "numero": 17,
    "point": "Sécurité du domaine status : DNSSEC actif, HTTPS strict, HSTS, CAA, test HSTS validé",
    "priorite": "Haute",
    "evidence_requise": "Rapport DNSSEC + capture HSTS preload + CAA record + scan TLS"
  },
  {
    "categorie": "organisationnel",
    "numero": 18,
    "point": "Rôle DORA Incident Notifier désigné par écrit, avec backup (équivalent CSSF eDesk role)",
    "priorite": "Critique",
    "evidence_requise": "Lettre de nomination + backup + extrait organigramme"
  },
  {
    "categorie": "organisationnel",
    "numero": 19,
    "point": "Astreinte 24/7 sur le canal status page, avec rotation documentée et calendrier annuel",
    "priorite": "Critique",
    "evidence_requise": "Calendrier d'astreinte + outil de paging + politique de rotation"
  },
  {
    "categorie": "organisationnel",
    "numero": 20,
    "point": "Drill 4 heures trimestriel sous forme de tabletop exercise, suivi d'un post-mortem du drill",
    "priorite": "Haute",
    "evidence_requise": "Compte-rendu du drill + plan d'actions + post-mortem signé"
  },
  {
    "categorie": "organisationnel",
    "numero": 21,
    "point": "Mapping documenté des autorités nationales par juridiction (ACPR / BaFin / ACN / CSSF / Banca d'Italia + CSIRT NIS2 + CNIL et équivalents RGPD)",
    "priorite": "Haute",
    "evidence_requise": "Tableau de correspondance + URLs et contacts officiels par pays"
  },
  {
    "categorie": "organisationnel",
    "numero": 22,
    "point": "KPI delay-to-publish suivi en continu, avec objectif inférieur à 15 minutes",
    "priorite": "Haute",
    "evidence_requise": "Dashboard interne + rapport mensuel + seuils d'alerte"
  },
  {
    "categorie": "organisationnel",
    "numero": 23,
    "point": "Communications clients pré-rédigées par scenario, validées par DPO et direction juridique",
    "priorite": "Moyenne",
    "evidence_requise": "Bibliothèque de messages-types + visa DPO + visa direction juridique"
  },
  {
    "categorie": "organisationnel",
    "numero": 24,
    "point": "Formation annuelle des équipes SRE et communication sur les obligations DORA et NIS2",
    "priorite": "Haute",
    "evidence_requise": "Plan de formation + liste de présence + feuille d'évaluation"
  },
  {
    "categorie": "organisationnel",
    "numero": 25,
    "point": "Revue annuelle COMEX et conseil d'administration sur les incidents majeurs (DORA Article 17)",
    "priorite": "Critique",
    "evidence_requise": "Compte-rendu COMEX + délibération du conseil + indicateurs d'incidents"
  }
]