Analyse IA de contrats : détection des écarts DORA, NIS2, CRA
Uploadez un contrat fournisseur, cloud ou tiers critique. En moins de 2 minutes, l'IA identifie les clauses manquantes, calcule un score de conformité par cadre réglementaire et produit un plan de remédiation priorisé.
Comment ça marche
Trois étapes, un rapport exploitable pour votre direction.
1. Uploadez le contrat
PDF, DOCX, ou texte brut. Jusqu'à 100 000 caractères par document. Le fichier reste chiffré et hébergé dans l'UE — jamais envoyé à un LLM hors juridiction.
2. L'IA analyse contre 5 cadres
Claude Sonnet (Anthropic, API EU) parcourt le contrat clause par clause et compare aux exigences DORA, NIS2, CRA, ISO 22301 et RGPD. Chaque clause est classée : conforme, partielle, non conforme, absente.
3. Rapport de gap exploitable
Score par cadre (0-100), niveau de risque, liste des clauses manquantes et recommandations de rédaction. Exportable en PDF pour la direction juridique et la direction générale.
Clauses vérifiées par cadre réglementaire
Chaque contrat est évalué contre cinq référentiels. L'IA identifie les exigences spécifiques qui devraient figurer selon la nature du contrat et signale celles qui manquent.
NIS2 — Mesures de cybersécurité
- Notification d'incident (early warning 24h + signalement 72h + rapport 1 mois)
- Sécurité de la chaîne d'approvisionnement — transmission aux sous-traitants
- Obligations cryptographie, chiffrement et MFA
- Cyber-hygiène et formation obligatoire à la sensibilisation
- Politiques de sécurité des systèmes d'information
- Preuve d'efficacité — droits d'audit et de test
DORA — Résilience Opérationnelle Numérique
- Gestion du risque tiers TIC (Art. 28–30)
- Obligations de partage du Registre d'Information (RoI)
- Coopération aux tests d'intrusion dirigés par la menace (TLPT, Art. 26–27)
- Stratégie de sortie pour les prestataires TIC critiques (Art. 28.8)
- Transparence et supervision de la chaîne de sous-traitance
- Classification d'incident selon RTS ESA (critères d'incident TIC majeur)
CRA — Règlement Cyber Résilience
- Déclaration du périmètre produits à éléments numériques (PEN)
- Obligations secure-by-default et secure-by-design
- Marquage CE et Déclaration de Conformité
- Gestion des vulnérabilités — divulgation coordonnée + SBOM disponible
- Période de support sécurité (5 ans mini — 15 ans pour certains PEN)
- Notification des vulnérabilités exploitées à l'ENISA (24h / 72h / 14 jours)
- Voie d'évaluation de la conformité (auto-éval vs organisme notifié)
- Responsabilité du fabricant en cas de non-conformité
ISO 22301 — Continuité d'activité
- RTO / RPO / MBCO explicites et mesurables
- Sites de repli, redondance et capacités de bascule
- Tests et exercices de continuité (fréquence, périmètre, preuves)
- Stratégie de sortie et réversibilité avec portabilité des données
- Force majeure avec limites de portée et devoir de mitigation
- Couverture assurantielle alignée sur le profil de risque continuité
RGPD — Protection des données
- Accord de traitement des données (Art. 28) complet
- Autorisation et répercussion des sous-traitants ultérieurs
- Support des droits des personnes (accès, suppression, portabilité)
- Notification de violation sous 72 heures au responsable
- Transferts internationaux (CCT, adéquation, analyse d'impact)
- Droits d'audit et d'inspection du responsable
Exemple de rapport de sortie
Chaque analyse retourne une structure standardisée, enregistrée dans ResiPlan et liée au contrat dans la CMDB.
- CRA: Période de support sécurité minimale (5 ans) — absente
- DORA Art. 28.8: Stratégie de sortie avec portabilité des données — partielle
- NIS2 Art. 21.2.d: Cascade aux sous-traitants critiques — absente
- GDPR Art. 28: Accord de traitement des données — conforme
Cas d'usage typiques
L'analyse s'adapte au type de contrat analysé. Les clauses attendues varient selon la nature de la relation.
Contrats de prestataires TIC critiques (DORA Art. 28)
Contrats cloud, SaaS, paiement, messagerie, hébergement — vérifier toutes les clauses DORA obligatoires incluant stratégie de sortie et coopération TLPT.
Contrats fournisseurs chaîne d'approvisionnement (NIS2 Art. 21.2.d)
Vérification de la cascade : vos obligations NIS2 doivent se propager aux fournisseurs critiques. Détection des clauses cyber-hygiène, notification d'incident ou MFA manquantes.
Contrats fabricants de produits numériques (CRA)
Fabricants de matériel et logiciel dans le périmètre du Cyber Resilience Act — vérifier SBOM, période de support, marquage CE et clauses de notification d'incident.
Accords de traitement des données (RGPD Art. 28)
Complétude DPA : chaîne sous-traitants, mécanismes de transfert, SLA de notification de violation, droits d'audit — aligné sur les lignes directrices du CEPD.
Contrats continuité et reprise (ISO 22301)
Sites alternatifs, prestataires de bascule, fournisseurs de sauvegarde — vérifier que les engagements RTO/RPO, obligations de test et clauses de réversibilité sont présents.
Contrats fournisseurs standards — évaluation générique
Contrats commerciaux génériques avec SLA, responsabilité, PI et confidentialité — évaluation de base même hors cadre réglementaire.
Votre portefeuille de contrats est-il conforme à DORA, NIS2 et CRA ?
En une session d'onboarding, vous analysez 10 contrats critiques. Vous obtenez immédiatement la liste des clauses à renégocier avant la prochaine audit ACPR, ENISA ou autorité nationale.