Théorie des 3 matrices

Pourquoi 3 matrices ?

L'écosystème GRCA — Matrices de gouvernance et d'audit IA.

Voici le sommaire du document :

---

Sommaire — L'écosystème GRCA : Matrices de gouvernance et d'audit IA:

Préambule — Pourquoi ces matrices existent : la tension entre adoption rapide de l'IA et empilement réglementaire, et le vide que GRCA comble.

I. Architecture d'ensemble : trois matrices, une cohérence — Présentation des quatre instruments (MAGNum, Passeport GRCA100, GRCA500 × MAGNum, MIT 831) et de la logique qui les articule en couches complémentaires.

II. Le MAGNum 2026 — La boussole stratégique — Les 13 vecteurs, les 5 niveaux de maturité, son rôle de langage commun entre DSI et COMEX, et son avantage sur les auto-évaluations narratives.

III. Le GRCA100 — Passeport Confiance IA-INFRA — La décision de déploiement — Les 30 critères sur 6 domaines (Souveraineté, Données, Sécurité IA, Traçabilité, Architecture, Gouvernance), les quatre niveaux de feu (A/B/C/D), et la règle de déclassement automatique.

IV. Le GRCA500 × MAGNum — L'audit IA en profondeur — Les 20 critères pondérés sur 7 sections, les tests d'attaque adversariale (MIA, Model Inversion), et la valeur du bridge entre résultat technique et pilotage stratégique.

V. La GRCA100 Matrice MIT 831 — La cartographie exhaustive des risques — Les 815 mesures d'atténuation issues du MIT AI Risk Initiative, les 4 catégories, les 5 axes GRCA100, et le double référencement MIT / UGAIA.

VI. La dimension souveraineté — Le moteur Ollama / PHI4 — Le problème de fond (auditer la conformité RGPD avec des outils non conformes), le fonctionnement technique du moteur local, et le positionnement face aux alternatives SaaS.

VII. Les liens entre matrices — Comment elles se renforcent mutuellement — Les quatre flux de connexion : MAGNum → GRCA500, Passeport → GRCA500, MIT 831 → Passeport + GRCA500, et Rapport Ollama → Direction.

VIII. Scénarios d'usage typiques — Quatre cas concrets : qualification d'un projet avant déploiement, audit suite à un incident ou demande réglementaire, bilan annuel COMEX, et démarche ISO 42001 / EU AI Act.

IX. Avantages synthétiques — Six points différenciants : couverture complète, souveraineté des données, objectivité reproductible, alignement multi-référentiels, rapport automatique en 5 minutes, et évolutivité sans dépendance éditeur.

---

Ce sommaire suit une progression pédagogique intentionnelle : le "pourquoi" ouvre le document, le "quoi" décrit chaque outil, le "comment ensemble" explique les synergies, et le "pour qui, quand, avec quel bénéfice" ferme la démonstration. Un prospect peut s'arrêter à n'importe quelle section et avoir une compréhension autonome de ce niveau — c'est la structure qui permet d'utiliser le document aussi bien en lecture intégrale qu'en présentation orale par extraits.

---

Préambule : pourquoi ces matrices existent.

Le déploiement de l'intelligence artificielle dans les organisations crée une tension structurelle que la plupart des directions ignorent jusqu'au premier incident : d'un côté, une pression à adopter rapidement des systèmes IA pour rester compétitif ; de l'autre, un empilement réglementaire en accélération (RGPD, EU AI Act, DORA, NIS2) qui sanctionne sévèrement l'improvisation. Entre ces deux forces, les équipes DSI, RSSI et DPO naviguent à l'aveugle, sans instrument de mesure fiable, sans langage commun avec le COMEX, et sans outil capable de prouver leur niveau de conformité à un auditeur externe.

L'écosystème GRCA (Gouvernance, Référentiels, Conformité, Audit) répond précisément à ce vide. Il ne s'agit pas d'un énième guide de bonnes pratiques à lire puis à oublier, mais d'un système de matrices opérationnelles — structurées, pondérées, directement actionnables — qui permet à toute organisation de mesurer objectivement où elle en est, ce qui est critique, et ce qu'elle doit faire dans les 30, 60 et 90 prochains jours. Ce qui différencie fondamentalement GRCA de ses concurrents : chaque matrice intègre nativement un moteur d'analyse par IA locale (Ollama / PHI4 ou Mistral), ce qui signifie qu'aucune donnée d'audit ne quitte jamais l'organisation. La conformité RGPD n'est pas une promesse de présentation — elle est gravée dans l'architecture même de l'outil.

---

I. Architecture d'ensemble : trois matrices, une cohérence.

L'écosystème GRCA se compose de trois matrices complémentaires, qui couvrent trois niveaux de lecture distincts et qui s'articulent entre elles comme des couches d'un même diagnostic.

La première couche est stratégique et de maturité : elle répond à la question "Quelle est la maturité globale de la gouvernance numérique de l'organisation ?" C'est le domaine du MAGNum 2026 (Modèle de Maturité et d'Audit de la Gouvernance du Numérique), référentiel co-produit par le CIGREF, l'IFACI et ISACA France, qui structure la gouvernance numérique en 13 vecteurs et 5 niveaux de maturité.

La deuxième couche est opérationnelle et de conformité projet : elle répond à "Ce projet IA spécifique est-il prêt pour la production ?" C'est le domaine du GRCA100 — Passeport Confiance IA-INFRA, 30 critères répartis en 6 domaines, qui délivre un feu de signalisation (Vert / Orange / Rouge) et une décision de déploiement binaire.

La troisième couche est exhaustive et d'audit de risque : elle répond à "Avons-nous bien cartographié et atténué l'ensemble des risques IA connus à l'état de l'art mondial ?" C'est le domaine de la GRCA100 Matrice MIT 831, qui traduit les 831 mesures d'atténuation du MIT AI Risk Initiative en grille d'audit opérationnel sur 815 mesures actives, 4 catégories et 5 axes GRCA100.

Enfin, une matrice croisée — le GRCA500 × MAGNum — sert de pont entre l'audit IA profond (20 critères techniques spécialisés sur le modèle lui-même, les données, les attaques adversariales) et le référentiel de gouvernance MAGNum 2026, permettant de situer les résultats d'un audit IA dans le cadre stratégique de l'organisation.

Voici comment ces quatre instruments s'utilisent ensemble en pratique : on commence par le MAGNum pour comprendre le niveau de maturité de l'organisation, on utilise le Passeport GRCA100 pour qualifier chaque projet IA avant mise en production, on approfondit avec le GRCA500 × MAGNum lorsqu'un audit complet du modèle IA est nécessaire, et on s'appuie sur la matrice MIT 831 pour un inventaire exhaustif des risques résiduels et des actions correctives à planifier.

---

II. Le MAGNum 2026 — La boussole stratégique.

Ce qu'il est

Le MAGNum 2026 est le référentiel de référence francophone pour la gouvernance numérique des grandes organisations. Produit conjointement par trois associations de premier rang (CIGREF, IFACI, ISACA France), il structure la maturité numérique en 13 vecteurs répartis sur trois axes : Stratégie (Stratégie, Innovation, Risques & conformité, RSE, Données & IA), Opérations (Architecture, Portefeuille de projets, Projets, Services) et Support (Ressources humaines, Prestataires & fournisseurs, Budget & performance, Marketing & communication).

Chaque vecteur est évalué sur 5 niveaux de maturité, du niveau 1 (initial, ad hoc, non formalisé) au niveau 5 (optimisé, piloté par la donnée, en amélioration continue). L'outil d'évaluation associé — le fichier .xlsm avec macros — automatise le calcul et la visualisation des scores.

À quoi il sert concrètement

Le MAGNum sert de langage commun entre le DSI et le COMEX. Il permet de répondre à des questions que personne ne sait formuler précisément autrement : "Sommes-nous en retard sur la gouvernance de l'IA par rapport à notre secteur ?", "Sur quels vecteurs devons-nous investir en priorité ?", "Comment démontrons-nous à notre conseil d'administration que nous gérons sérieusement les risques numériques ?"

Il sert aussi de cadre de réception pour les résultats des autres matrices GRCA : quand le GRCA500 indique un score faible sur la section "Données & IA", ce résultat se traduit immédiatement en score MAGNum sur le vecteur 5, permettant au DSI de contextualiser l'écart dans une vision stratégique.

Son avantage différenciant

Contrairement aux auto-évaluations narratives qui prolifèrent dans les bilans annuels, le MAGNum produit un score objectif, comparable dans le temps (mesure la progression d'une année sur l'autre) et comparable entre pairs (benchmark sectoriel possible). Il est également reconnu par les autorités de contrôle françaises comme cadre de référence légitime pour justifier une démarche de maturité numérique structurée.

---

III. Le GRCA100 — Passeport Confiance IA-INFRA — La décision de déploiement.

Ce qu'il est

Le Passeport Confiance IA-INFRA est l'outil de terrain de la méthode GRCA100. C'est un tableur Excel structuré qui évalue la maturité d'un projet IA sur 30 critères répartis en 6 domaines, avec une règle de notation simple à trois valeurs (0 = absent, 0,5 = partiel, 1 = couvert et démontrable). En moins de trois heures d'entretien avec les équipes DSI, RSSI et DPO, il produit un score global sur 30, un niveau de déploiement, et un radar visuel par domaine.

Les 6 domaines évalués couvrent l'intégralité des risques d'infrastructure d'un projet IA. La Souveraineté évalue si les données restent sous contrôle souverain (hébergement cloud souverain, absence d'API tierces transmettant des données, chiffrement au repos et en transit, contrôle des flux sortants). Les Données vérifient la classification, la pseudonymisation ou anonymisation, le filtrage automatique des données personnelles (PII), la politique de rétention et la réalisation de la DPIA si requise. La Sécurité IA teste la résistance aux attaques spécifiques aux LLM : protection contre le prompt injection, filtrage des sorties du modèle, red teaming régulier, taux de blocage des contenus sensibles supérieur à 95 %, isolation des prompts système. La Traçabilité contrôle la journalisation intégrale des prompts et réponses, le versioning des modèles, l'attribution des sources RAG, l'horodatage avec identifiant utilisateur et la capacité de relecture complète. L'Architecture évalue l'authentification forte (SSO/MFA), le contrôle d'accès par rôles (RBAC), la segmentation réseau, la supervision SIEM avec règles spécifiques IA, et l'existence d'un runbook de gestion d'incident IA testé. Enfin, la Gouvernance vérifie l'identification d'un sponsor métier, la documentation du cas d'usage, la classification formelle selon l'EU AI Act, la validation croisée RSSI/DSI/Juridique, et que le passeport lui-même est validé avant toute mise en production.

Les niveaux de déploiement

Le score global détermine une décision non négociable. Un score entre 26 et 30 (niveau A, feu VERT) signifie que la production est autorisée sans restriction, y compris pour les traitements de données sensibles. Un score entre 20 et 25 (niveau B, feu ORANGE) autorise la production avec un plan de correction formalisé pour les lacunes non bloquantes, à corriger sous 90 jours. Un score entre 15 et 19 (niveau C, feu ORANGE) suspend la mise en production jusqu'à correction des domaines critiques. En dessous de 15 (niveau D, feu ROUGE), le déploiement est interdit — le projet présente des risques majeurs non couverts.

Une règle de déclassement automatique s'applique : deux domaines avec un score inférieur ou égal à 2/5 déclassent le niveau d'un cran quel que soit le score global, et un domaine à 0/5 est bloquant indépendamment du niveau.

Pourquoi c'est supérieur à une checklist classique

La plupart des organisations utilisent des checklists de conformité qui ont deux défauts fatals : elles ne pondèrent pas l'importance relative des critères (manquer une DPIA et manquer un commentaire dans un document sont mis au même niveau), et elles ne produisent pas de décision actionnable. Le Passeport GRCA100 évite les deux pièges : chaque critère est pondéré par domaine, la règle de déclassement protège contre les faux positifs (un score global acceptable qui masquerait un effondrement sur un domaine critique), et la sortie est une décision binaire argumentée — pas une liste de recommandations.

---

IV. La GRCA500 × MAGNum — L'audit IA en profondeur.

Ce qu'elle est

La matrice GRCA500 × MAGNum est l'outil d'audit IA le plus complet de l'écosystème GRCA. Elle évalue 20 critères répartis en 7 sections, avec des pondérations différenciées qui reflètent la criticité réelle de chaque dimension. La section "Cadre légal RGPD" est pondérée à ×1,5 (contrainte réglementaire majeure), "Tests & Accès" à ×1,3 (sécurité opérationnelle, risques directs), "Modèle & Données" à ×1,2 (risques techniques), et "Shadow Models & Ressources" à ×1,0 (contexte et capacités).

Les 7 sections couvrent des dimensions que les audits de conformité classiques ignorent presque systématiquement. Le "Cadre légal RGPD" vérifie la base légale du traitement, la compatibilité de la finalité avec l'article 89 du RGPD, et la légitimité des données d'entraînement. La section "Modèle" inspecte l'architecture documentée du modèle IA, sa taille et son impact carbone, et la traçabilité de la méthode d'entraînement. La section "Données" cartographie les modalités, formats et volumes de données. La section "Tests" est particulièrement distinctive : elle vérifie si l'organisation a réalisé des tests d'attaque adversariale — Membership Inference Attack (le modèle révèle-t-il si une donnée était en entraînement ?), Attribute Inference (reconstruction d'attributs sensibles depuis les sorties), et Model Inversion (reconstruction de données d'entraînement à partir des gradients). La section "Accès" contrôle la sécurisation des API, l'accès aux logits bruts et aux gradients — vecteurs d'attaque majeurs ignorés par 95 % des organisations. La section "Shadow Models" évalue la menace de modèles concurrents capables de reproduire le modèle audité. La section "Ressources" mesure la souveraineté de l'infrastructure et les capacités humaines de l'équipe IA.

La valeur du bridge GRCA500 × MAGNum

La force de cette matrice réside dans son mécanisme de pont entre le résultat technique d'un audit IA et le référentiel de gouvernance MAGNum. Chaque critère GRCA500 est explicitement mappé à un vecteur MAGNum (par exemple : les critères RGPD → Vecteur 3 "Risques & conformité", les critères modèle et données → Vecteur 5 "Données & IA", les critères infrastructure → Vecteur 6 "Architecture"). Cela permet au RSSI de présenter ses résultats d'audit au DSI dans un cadre stratégique qu'il reconnaît, et au DSI de les présenter au COMEX dans un langage de gouvernance que les administrateurs comprennent.

Sans ce bridge, les résultats d'un audit technique restent dans le bureau du RSSI. Avec lui, ils alimentent directement le pilotage stratégique.

---

V. La GRCA100 Matrice MIT 831 — La cartographie exhaustive des risques.

Ce qu'elle est

La matrice MIT 831 est l'instrument le plus puissant — et le moins visible — de l'écosystème GRCA. Elle transforme les 831 mesures d'atténuation publiées par le MIT AI Risk Initiative (AIRI Navigator) en grille d'audit opérationnel directement exploitable. En pratique, 815 mesures actives sont retenues, réparties en 4 catégories (Gouvernance & Supervision avec 248 mesures, Contrôles techniques & sécurité avec 101 mesures, Contrôles opérationnels avec 295 mesures, Transparence & responsabilité avec 171 mesures) et 23 sous-catégories.

Chaque mesure est caractérisée par un identifiant unique MIT stable (permettant de l'ancrer dans des scripts de reporting automatisé), une criticité de C1 à C4, un poids stratégique (Score M1 de 0,15 à 0,30), un axe GRCA100 (Gouvernance, Sécurité, Conformité, Souveraineté, Résilience), les rôles principaux et secondaires responsables, et un double référencement croisé vers le MIT AIRI Navigator et les travaux UGAIA d'Erol GIRAUDY sur les 20 cadres de gouvernance IA (NIST AI RMF, EU AI Act, ISO/IEC 42001, OWASP LLM Top 10, etc.).

Ce qu'elle apporte

Le problème avec l'état de l'art de la gestion des risques IA, c'est que les cadres de référence (NIST, ISO 42001, EU AI Act) indiquent ce qu'il faut faire mais rarement comment le vérifier en audit. La matrice MIT 831 comble exactement cet écart : pour chaque mesure d'atténuation, elle fournit une description opérationnelle de la mesure, les actions correctives concrètes pré-remplies, et le statut à renseigner par l'équipe (À évaluer / Conforme / Partiel / Non conforme).

Un RSSI qui utilise cette matrice peut répondre à n'importe quel auditeur externe ou régulateur avec un niveau de précision et d'exhaustivité que peu d'organisations atteignent. La couverture de 815 mesures issues de la recherche académique mondiale (le MIT AI Risk Repository est à ce jour la base taxonomique la plus complète disponible publiquement) signifie qu'aucun risque connu à l'état de l'art ne peut être dit "non documenté". C'est une protection juridique autant qu'opérationnelle.

---

VI. La dimension souveraineté — Le moteur Ollama / PHI4.

Le problème que personne ne nomme franchement

Auditer la conformité IA avec des outils d'IA qui transmettent les données d'audit à des serveurs cloud américains crée une contradiction que peu d'éditeurs osent pointer : vous évaluez votre conformité RGPD en envoyant vos données confidentielles d'audit à un tiers hors UE. C'est exactement le type de traitement que le RGPD et l'EU AI Act visent à encadrer.

L'écosystème GRCA résout ce problème de manière architecturale, pas contractuelle.

Comment fonctionne le moteur local

Chaque matrice GRCA est accompagnée d'un script Python (ollama_analyse_grca100.py, ollama_analyse_grca500.py, grca100_scoring.py) qui lit le fichier Excel rempli par l'auditeur et soumet les données au moteur Ollama, exécuté localement sur la machine de l'auditeur ou dans le réseau interne de l'organisation. Ollama sert d'interface locale pour des modèles de langage de grande taille téléchargés une fois et fonctionnant entièrement en local : PHI4 (Microsoft, ~10 Go VRAM, recommandé pour GRCA100 pour sa précision et son raisonnement structuré) ou Mistral (alternative plus légère, ~5 Go VRAM, recommandé sur CPU seul ou RAM limitée).

Le flux de données complet est le suivant : l'auditeur remplit le fichier Excel → le script Python lit l'Excel → envoie les données à Ollama en local via l'API 127.0.0.1:11434 → Ollama traite avec PHI4 ou Mistral en mémoire locale → le rapport Word et Markdown est généré sur le disque local. À aucun moment une donnée ne quitte la machine ou le réseau de l'organisation.

Ce que cela change concrètement pour le client

Le résultat produit par le moteur Ollama n'est pas un simple résumé : c'est un rapport d'audit structuré complet — résumé exécutif en trois phrases niveau RSSI/DSI, identification des sections critiques avec actions prioritaires sous 90 jours, points forts de l'organisation, niveau de maturité MAGNum, tableau de bord synthétique à 7 lignes, et plan d'action priorisé. Ce rapport, qui nécessiterait plusieurs heures de rédaction à un consultant senior, est produit en moins de 5 minutes.

La conformité RGPD de l'outil lui-même est intégrale : le traitement est local, aucun sous-traitant de données n'est impliqué, aucun transfert hors UE n'a lieu, et le modèle IA utilisé peut être audité car il est open source et téléchargé en local. L'organisation peut donc utiliser l'outil dans des contextes à sensibilité maximale — audit de systèmes de santé, de données financières, de systèmes de défense — sans aucune dérogation ou analyse de risque de transfert à réaliser.

Positionnement face aux alternatives

Les alternatives au marché sont soit des consultants humains (coût élevé, délai long, reproductibilité limitée), soit des plateformes SaaS d'audit IA (données transmises à l'éditeur, dépendance externe, impossibilité d'usage en contexte sensible), soit des checklists Excel sans intelligence (pas d'analyse, pas de recommandations, pas de rapport). L'écosystème GRCA avec Ollama occupe un espace vide : la puissance analytique d'un système IA, avec la souveraineté totale d'un traitement local.

---

VII. Les liens entre matrices — Comment elles se renforcent mutuellement.

La valeur de l'écosystème GRCA ne réside pas dans chaque matrice prise isolément, mais dans les connexions entre elles. Comprendre ces liens est essentiel pour décider quel instrument utiliser à quel moment.

MAGNum → GRCA500 : Le MAGNum identifie les vecteurs faibles de la gouvernance (par exemple, le vecteur 5 "Données & IA" est en retard). Le GRCA500 permet de creuser spécifiquement ces vecteurs avec un audit technique des modèles IA de l'organisation, et de produire un score chiffré qui alimente en retour la mesure de maturité MAGNum.

Passeport GRCA100 → GRCA500 : Le Passeport est le filtre de premier niveau, rapide (3 heures) et structurel. Si un projet passe le niveau B ou A, le GRCA500 peut affiner l'audit pour les aspects modèle et données. Si le projet est en niveau C ou D, l'urgence est de corriger les fondamentaux avant d'aller plus loin.

MIT 831 → Passeport + GRCA500 : La matrice MIT 831 sert de référentiel de fond pour valider que les critères du Passeport et du GRCA500 couvrent bien l'ensemble des risques connus. Elle est également l'outil naturel pour le plan d'actions correctives : quand un critère est noté "Non conforme" dans le Passeport, c'est dans la MIT 831 qu'on trouve les mesures d'atténuation spécifiques à mettre en œuvre, avec leur criticité et les rôles responsables.

Rapport Ollama → Direction : La chaîne Ollama produit le rapport qui fait le pont entre le technicien qui a rempli les matrices et le décideur qui doit agir. C'est le traducteur automatique entre le langage de l'audit et le langage du pilotage.

---

VIII. Scénarios d'usage typiques.

Scénario 1 — Qualification d'un projet IA avant déploiement. Une organisation envisage de déployer un assistant IA interne basé sur un LLM. Elle utilise le Passeport GRCA100 en phase de cadrage (3 heures avec RSSI, DPO et architecte). Si le score est B ou supérieur, le déploiement est autorisé avec plan de correction. Le script Ollama génère le rapport qui documente la décision pour le dossier de conformité et le conseil d'administration.

Scénario 2 — Audit IA complet suite à un incident ou une demande réglementaire. Une organisation reçoit une demande d'audit de la CNIL ou de son assureur cyber. Elle utilise le GRCA500 × MAGNum pour produire un rapport d'audit complet en quelques heures, avec scoring pondéré, plan d'action 90 jours, et niveau de maturité MAGNum. Le rapport Ollama est produit 100% en local — aucune donnée confidentielle d'audit ne circule.

Scénario 3 — Bilan de maturité annuel pour le COMEX. Le DSI utilise le MAGNum pour produire le bilan annuel de gouvernance numérique sur les 13 vecteurs, en comparant la progression par rapport à l'année précédente et en identifiant les 3 vecteurs prioritaires pour l'année suivante. Ce bilan nourrit directement le plan stratégique numérique présenté au conseil d'administration.

Scénario 4 — Cartographie exhaustive des risques IA pour une démarche ISO 42001 ou EU AI Act. Une organisation en démarche de certification utilise la matrice MIT 831 pour inventorier ses 815 mesures d'atténuation, produire un score de couverture par catégorie et par axe GRCA100, et identifier les mesures manquantes avec leurs actions correctives pré-remplies. C'est une base documentaire qui répond directement aux exigences des audits de certification.

---

IX. Avantages synthétiques — Ce que GRCA apporte qu'aucun autre outil n'offre.

Couverture complète de la pile de gouvernance IA. Du niveau stratégique (MAGNum, 13 vecteurs) au niveau opérationnel projet (Passeport, 30 critères) en passant par l'audit technique profond (GRCA500, 20 critères pondérés) et l'inventaire exhaustif (MIT 831, 815 mesures) : aucun autre écosystème ne couvre simultanément ces quatre couches avec des outils prêts à l'emploi.

Souveraineté totale des données d'audit. Le moteur Ollama/PHI4 garantit qu'aucune donnée ne quitte l'organisation. C'est la seule solution d'audit IA assistée par IA qui soit elle-même conforme RGPD par conception architecturale.

Objectivité et reproductibilité. Les scores sont calculés automatiquement sur des formules fixes et documentées. Deux auditeurs différents, avec les mêmes observations, produiront le même score. C'est opposable en cas de contrôle régulateur.

Alignement multi-référentiels. Chaque critère est ancré dans un ou plusieurs cadres reconnus : RGPD, EU AI Act, NIST AI RMF, ISO/IEC 42001, OWASP LLM Top 10, MAGNum CIGREF/IFACI/ISACA, MIT AI Risk Repository. L'organisation ne parle pas un dialecte propriétaire — elle parle le même langage que les régulateurs et les auditeurs internationaux.

Rapport automatique en moins de 5 minutes. Ce qui représente habituellement plusieurs jours de travail pour un consultant est produit automatiquement par Ollama, en local, avec une qualité de rédaction et d'analyse de niveau senior. C'est un avantage économique direct et un accélérateur d'audit massif.

Évolutivité. Les matrices sont des fichiers Excel et des scripts Python — des formats ouverts, modifiables, intégrables dans un SIEM ou un outil de GRC existant. Il n'y a pas de dépendance à un éditeur, pas d'abonnement SaaS, pas de risque de discontinuité.

---

Contact et accès

Pierre Erol GIRAUDY UGAIA — Users Group Artificial Intelligence Agentique.

Référence UGAIA : ugaia.eu — Atténuation des risques par IA · 20 cadres de gouvernance Source MIT : MIT AIRI Navigator — airi-navigator.com/mitigations

---

Classification : Usage externe — Prospects, partenaires, clients GRCA GRCA100 © Pierre Erol GIRAUDY | UGAIA © | AFEES ©

--- 

Pierre Erol GIRAUDY 

http://about.me/giraudyerol

Pourquoi ce Manifeste ?

Présentation du manifeste GRCA100 pour une gouvernance IA souveraine, abordant risques, conformité RGPD, audit, score de maturité, et feuille de route pour une IA assurée et responsable en entreprise.

Pourquoi ce Manifeste ?

Nous sommes en 2026. L'intelligence artificielle n'est plus une promesse technologique : elle est au cœur des décisions médicales, juridiques, financières et industrielles de millions d'organisations dans le monde. Des chatbots qui gèrent des réclamations clients, des algorithmes qui évaluent des dossiers de crédit, des systèmes qui triage des candidatures d'embauche, des modèles qui assistent les diagnostics médicaux.

Cette intégration massive s'est produite en quelques années seulement, souvent sans que les organisations disposent d'un cadre de gouvernance adapte. La plupart des organisations déployant de l'IA sans être capables de répondre à trois questions pourtant fondamentales.

“La gouvernance de l'IA n'est plus une question de conformité technique. C'est une décision de direction qui engage la responsabilité pénale des dirigeants.”

https://fr.slideshare.net/slideshow/le-manifeste-de-la-gouvernance-ia-souveraine-cadre-strategique-et-conformite-rgpd-pour-l-assurabilite-de-l-ia-en-2026/287409798

---

Erol GIRAUDY.

www.ugaia.eu et www.grca100.eu

https://www.grca100.eu/2026/05/ou-se-situer-dans-ce-schema.html

http://about.me/giraudyerol

Commandes de gouvernances PS1 Audit Interne

CLAUDE GOUVERNANCE :

PS C:\Users\erolg> claude --help

Usage: claude [options] [command] [prompt]

Claude Code - starts an interactive session by default, use -p/--print for non-interactive output

Arguments:

  prompt                                            Your prompt

Options:

  --add-dir <directories...>                        Additional directories to allow tool access to

  --agent <agent>                                   Agent for the current session. Overrides the 'agent' setting.

  --agents <json>                                   JSON object defining custom agents (e.g. '{"reviewer":

                                                    {"description": "Reviews code", "prompt": "You are a code

                                                    reviewer"}}')

  --allow-dangerously-skip-permissions              Enable bypassing all permission checks as an option, without it

                                                    being enabled by default. Recommended only for sandboxes with no

                                                    internet access.

  --allowedTools, --allowed-tools <tools...>        Comma or space-separated list of tool names to allow (e.g.

                                                    "Bash(git *) Edit")

  --append-system-prompt <prompt>                   Append a system prompt to the default system prompt

  --bare                                            Minimal mode: skip hooks, LSP, plugin sync, attribution,

                                                    auto-memory, background prefetches, keychain reads, and CLAUDE.md

                                                    auto-discovery. Sets CLAUDE_CODE_SIMPLE=1. Anthropic auth is

                                                    strictly ANTHROPIC_API_KEY or apiKeyHelper via --settings (OAuth

                                                    and keychain are never read). 3P providers (Bedrock/Vertex/Foundry)

                                                    use their own credentials. Skills still resolve via /skill-name.

                                                    Explicitly provide context via: --system-prompt[-file],

                                                    --append-system-prompt[-file], --add-dir (CLAUDE.md dirs),

                                                    --mcp-config, --settings, --agents, --plugin-dir.

  --betas <betas...>                                Beta headers to include in API requests (API key users only)

  --brief                                           Enable SendUserMessage tool for agent-to-user communication

  --chrome                                          Enable Claude in Chrome integration

  -c, --continue                                    Continue the most recent conversation in the current directory

  --dangerously-skip-permissions                    Bypass all permission checks. Recommended only for sandboxes with

                                                    no internet access.

  -d, --debug [filter]                              Enable debug mode with optional category filtering (e.g.,

                                                    "api,hooks" or "!1p,!file")

  --debug-file <path>                               Write debug logs to a specific file path (implicitly enables debug

                                                    mode)

  --disable-slash-commands                          Disable all skills

  --disallowedTools, --disallowed-tools <tools...>  Comma or space-separated list of tool names to deny (e.g. "Bash(git

                                                    *) Edit")

  --effort <level>                                  Effort level for the current session (low, medium, high, max)

  --exclude-dynamic-system-prompt-sections          Move per-machine sections (cwd, env info, memory paths, git status)

                                                    from the system prompt into the first user message. Improves

                                                    cross-user prompt-cache reuse. Only applies with the default system

                                                    prompt (ignored with --system-prompt). (default: false)

  --fallback-model <model>                          Enable automatic fallback to specified model when default model is

                                                    overloaded (only works with --print)

  --file <specs...>                                 File resources to download at startup. Format:

                                                    file_id:relative_path (e.g., --file file_abc:doc.txt

                                                    file_def:img.png)

  --fork-session                                    When resuming, create a new session ID instead of reusing the

                                                    original (use with --resume or --continue)

  --from-pr [value]                                 Resume a session linked to a PR by PR number/URL, or open

                                                    interactive picker with optional search term

  -h, --help                                        Display help for command

  --ide                                             Automatically connect to IDE on startup if exactly one valid IDE is

                                                    available

  --include-hook-events                             Include all hook lifecycle events in the output stream (only works

                                                    with --output-format=stream-json)

  --include-partial-messages                        Include partial message chunks as they arrive (only works with

                                                    --print and --output-format=stream-json)

  --input-format <format>                           Input format (only works with --print): "text" (default), or

                                                    "stream-json" (realtime streaming input) (choices: "text",

                                                    "stream-json")

  --json-schema <schema>                            JSON Schema for structured output validation. Example:

                                                    {"type":"object","properties":{"name":{"type":"string"}},"required":["name"]}

  --max-budget-usd <amount>                         Maximum dollar amount to spend on API calls (only works with

                                                    --print)

  --mcp-config <configs...>                         Load MCP servers from JSON files or strings (space-separated)

  --mcp-debug                                       [DEPRECATED. Use --debug instead] Enable MCP debug mode (shows MCP

                                                    server errors)

  --model <model>                                   Model for the current session. Provide an alias for the latest

                                                    model (e.g. 'sonnet' or 'opus') or a model's full name (e.g.

                                                    'claude-sonnet-4-6').

  -n, --name <name>                                 Set a display name for this session (shown in /resume and terminal

                                                    title)

  --no-chrome                                       Disable Claude in Chrome integration

  --no-session-persistence                          Disable session persistence - sessions will not be saved to disk

                                                    and cannot be resumed (only works with --print)

  --output-format <format>                          Output format (only works with --print): "text" (default), "json"

                                                    (single result), or "stream-json" (realtime streaming) (choices:

                                                    "text", "json", "stream-json")

  --permission-mode <mode>                          Permission mode to use for the session (choices: "acceptEdits",

                                                    "auto", "bypassPermissions", "default", "dontAsk", "plan")

  --plugin-dir <path>                               Load plugins from a directory for this session only (repeatable:

                                                    --plugin-dir A --plugin-dir B) (default: [])

  -p, --print                                       Print response and exit (useful for pipes). Note: The workspace

                                                    trust dialog is skipped when Claude is run with the -p mode. Only

                                                    use this flag in directories you trust.

  --remote-control-session-name-prefix <prefix>     Prefix for auto-generated Remote Control session names (default:

                                                    hostname)

  --replay-user-messages                            Re-emit user messages from stdin back on stdout for acknowledgment

                                                    (only works with --input-format=stream-json and

                                                    --output-format=stream-json)

  -r, --resume [value]                              Resume a conversation by session ID, or open interactive picker

                                                    with optional search term

  --session-id <uuid>                               Use a specific session ID for the conversation (must be a valid

                                                    UUID)

  --setting-sources <sources>                       Comma-separated list of setting sources to load (user, project,

                                                    local).

  --settings <file-or-json>                         Path to a settings JSON file or a JSON string to load additional

                                                    settings from

  --strict-mcp-config                               Only use MCP servers from --mcp-config, ignoring all other MCP

                                                    configurations

  --system-prompt <prompt>                          System prompt to use for the session

  --tmux                                            Create a tmux session for the worktree (requires --worktree). Uses

                                                    iTerm2 native panes when available; use --tmux=classic for

                                                    traditional tmux.

  --tools <tools...>                                Specify the list of available tools from the built-in set. Use ""

                                                    to disable all tools, "default" to use all tools, or specify tool

                                                    names (e.g. "Bash,Edit,Read").

  --verbose                                         Override verbose mode setting from config

  -v, --version                                     Output the version number

  -w, --worktree [name]                             Create a new git worktree for this session (optionally specify a

                                                    name)

Commands:

  agents [options]                                  List configured agents

  auth                                              Manage authentication

  auto-mode                                         Inspect auto mode classifier configuration

  doctor                                            Check the health of your Claude Code auto-updater. Note: The

                                                    workspace trust dialog is skipped and stdio servers from .mcp.json

                                                    are spawned for health checks. Only use this command in directories

                                                    you trust.

  install [options] [target]                        Install Claude Code native build. Use [target] to specify version

                                                    (stable, latest, or specific version)

  mcp                                               Configure and manage MCP servers

  plugin|plugins                                    Manage Claude Code plugins

  setup-token                                       Set up a long-lived authentication token (requires Claude

                                                    subscription)

  update|upgrade                                    Check for updates and install if available

PS C:\Users\erolg>

Les commandes de gouvernance :

C’est‑à‑dire les commandes qui structurent, contrôlent et sécurisent une communauté, une plateforme ou un environnement IA/technique.

Comme ton document est bloqué, je ne peux pas en extraire le contenu, mais je peux te donner la liste complète des commandes de gouvernance réellement utiles, structurées pour GRCA100 / Guild4AI© / UGAIA© / AFEES©.

---

🧭 1. Commandes de gouvernance (niveau Communauté)

Ces commandes définissent qui fait quoi, comment, et avec quels droits.

• set-governance-policy — Définir la politique de gouvernance
  Structure les règles : souveraineté, conformité, sécurité, rôles, escalade.

• set-role — Attribuer un rôle
  Exemples : Administrateur, Expert IA, Responsable Audit, COMEX, REX.

• set-permission — Définir les permissions d’un rôle
  Lecture, écriture, audit, supervision, publication, accès aux matrices.

• create-group — Créer un groupe fonctionnel
  Exemple : 106 Gouvernance, 105 Audit Cybersécurité, 112 Matrices.

• assign-group-owner — Nommer le responsable d’un groupe
  Garantit la traçabilité et la responsabilité.

• set-escalation-path — Définir les circuits d’escalade
  Technique → RSSI → DPO → COMEX.

---

🧩 2. Commandes de gouvernance (niveau Rôles & Identités)

Pour gérer les membres, leurs droits et leur cycle de vie.

• add-member — Ajouter un membre
• remove-member — Retirer un membre
• promote-member — Monter en rôle
• demote-member — Diminuer les droits
• audit-member — Vérifier les actions d’un membre
• lock-account — Geler un compte en cas d’incident
• rotate-keys — Rotation des clés / tokens / accès API

---

🔐 3. Commandes de gouvernance (niveau Sécurité & Conformité)

Pour la souveraineté, la conformité IA‑Act, RGPD, cybersécurité.

• enable-logging — Activer la journalisation complète
  (Docker → Loki → Grafana → PowerShell → Excel)

• set-data-classification — Classifier les données
  Public / Interne / Sensible / Critique.

• set-retention-policy — Définir les durées de conservation
  Aligné RGPD + IA‑Act.

• enable-audit-mode — Activer le mode audit
  Capture complète des flux, actions, modèles IA, prompts.

• run-compliance-check — Vérifier la conformité
  Matrices GRCA100 / UGAIA / AFEES.

• set-risk-level — Définir le niveau de risque IA‑Act
  Minimal / Limité / Élevé / Critique.

---

⚙️ 4. Commandes de gouvernance (niveau Technique & Supervision)

Pour orchestrer l’infrastructure souveraine.

• deploy-service — Déployer un service
  Exemple : FastAPI, Presidio, Loki, Grafana.

• restart-service — Redémarrer un composant

• check-health — Vérifier l’état des services

• update-container — Mettre à jour une image Docker

• scan-vulnerabilities — Scanner les vulnérabilités

• export-logs — Exporter les logs pour audit

• generate-report — Générer un rapport Excel / PowerShell

---

📊 5. Commandes de gouvernance (niveau Flux & Reporting)

Pour piloter les flux entre groupes et produire les livrables COMEX.

• define-workflow — Définir un workflow inter‑groupes
  Exemple : Incident → Audit → REX → COMEX.

• map-flows — Cartographier les flux
  (Technique, gouvernance, reporting, conformité)

• publish-dashboard — Publier un tableau de bord
  KPIs : conformité, incidents, maturité, risques IA.

• schedule-review — Programmer une revue de gouvernance
  Hebdo / Mensuelle / COMEX.

---

🧱 6. Commandes de gouvernance (niveau Documentation & Traçabilité)

Pour garantir la cohérence documentaire GRCA100.

• create-governance-record — Créer un enregistrement de gouvernance
• update-governance-record — Mettre à jour une fiche
• archive-record — Archiver un document
• validate-matrix — Valider une matrice d’audit
• publish-guideline — Publier une directive officielle

---

🎯 Synthèse ultra‑condensée (format COMEX)

Gouvernance = 6 blocs de commandes :

1. Structure (rôles, groupes, permissions)
2. Identités (membres, accès, clés)
3. Conformité (RGPD, IA‑Act, audit)
4. Technique (Docker, logs, supervision)
5. Flux (workflows, reporting, dashboards)
6. Documentation (matrices, directives, archives)

---

Matrice complète Commandes × Groupes × Responsables × Risques :

Elle est directement exploitable dans GRCA100 / Guild4AI© / UGAIA© / AFEES©, et structurée pour intégration immédiate dans un tableau Excel, une fiche COMEX ou une infographie A3.

Je te la donne en version premium, opérationnelle, exhaustive, avec une logique Gouvernance → Groupes → Rôles → Risques.

---

🧩 Matrice complète : Commandes × Groupes × Responsables × Risques

📌 Légende rapide

• Groupe = un des 13 groupes GRCA100
• Responsable = rôle maître du contrôle
• Risque = risque principal si la commande est mal exécutée ou non appliquée

---

🧱 1. Bloc STRUCTURE (Rôles, groupes, permissions)

Commande	Groupe concerné	Responsable	Risques principaux
set-governance-policy	106 Gouvernance	Responsable Gouvernance	Gouvernance floue, dérives, non‑conformité IA‑Act
create-group	106 Gouvernance	Admin Communauté	Mauvaise segmentation, confusion des flux
set-role	106 Gouvernance	Admin + Gouvernance	Accès inadaptés, escalade non maîtrisée
set-permission	106 Gouvernance	Gouvernance + RSSI	Sur‑exposition des données, fuite d’information
assign-group-owner	106 Gouvernance	Gouvernance	Absence de responsabilité, zones grises
set-escalation-path	106 Gouvernance	Gouvernance + RSSI + DPO	Incidents non traités, retards, sanctions

---

🔐 2. Bloc IDENTITÉS & ACCÈS

Commande	Groupe concerné	Responsable	Risques principaux
add-member	Tous	Admin	Ajout non contrôlé, infiltration
remove-member	Tous	Admin	Accès résiduels, comptes dormants
promote-member	106 / 111	Gouvernance	Sur‑délégation, privilèges excessifs
demote-member	106	Gouvernance	Conflits, perte de traçabilité
audit-member	105 Audit	RSSI + Audit	Actions non tracées, fraude interne
lock-account	105 Audit	RSSI	Compromission persistante
rotate-keys	109 Installations Techniques	RSSI + Tech Lead	Clés compromises, accès illégitimes

---

🛡️ 3. Bloc SÉCURITÉ & CONFORMITÉ

Commande	Groupe concerné	Responsable	Risques principaux
enable-logging	109 Installations Techniques	Tech Lead	Absence de preuves, impossibilité d’audit
set-data-classification	107 Réglementaire & Juridique	DPO	Traitement illégal, fuite de données
set-retention-policy	107	DPO	Non‑conformité RGPD, sanctions
enable-audit-mode	105 Audit	RSSI + Audit	Absence de traçabilité, IA non contrôlée
run-compliance-check	112 Matrices	Audit + Gouvernance	Non‑conformité IA‑Act / RGPD
set-risk-level	112 Matrices	Gouvernance + COMEX	Mauvaise catégorisation des systèmes IA

---

⚙️ 4. Bloc TECHNIQUE (Docker, API, Monitoring)

Commande	Groupe concerné	Responsable	Risques principaux
deploy-service	109 Installations Techniques	Tech Lead	Déploiement instable, faille de config
restart-service	109	Tech Lead	Interruption de service
check-health	109	Tech Lead	Détection tardive des incidents
update-container	109	Tech Lead	Vulnérabilités non corrigées
scan-vulnerabilities	105 Audit Cybersécurité	RSSI	Exploitation de failles
export-logs	105 / 109	RSSI + Audit	Perte de preuves, logs incomplets
generate-report	111 COMEX	Gouvernance + Audit	Mauvaise décision stratégique

---

🔄 5. Bloc FLUX & REPORTING

Commande	Groupe concerné	Responsable	Risques principaux
define-workflow	108 Ateliers & Conférences	Gouvernance	Processus incohérents, erreurs humaines
map-flows	104 Architectures G10	Architecte	Flux non maîtrisés, fuite de données
publish-dashboard	111 COMEX	Gouvernance + COMEX	Mauvaise visibilité, décisions biaisées
schedule-review	106 Gouvernance	Gouvernance	Absence de revue, dérive progressive

---

📚 6. Bloc DOCUMENTATION & TRAÇABILITÉ

Commande	Groupe concerné	Responsable	Risques principaux
create-governance-record	103 Communication	Gouvernance	Absence de preuve documentaire
update-governance-record	103	Gouvernance	Versions contradictoires
archive-record	103	Gouvernance + DPO	Perte d’historique, non‑conformité
validate-matrix	112 Matrices	Audit + Gouvernance	Matrices non fiables
publish-guideline	103 Communication	Gouvernance	Mauvaise diffusion, non‑application

---

🎯 Synthèse COMEX (ultra‑condensée)

Domaine	Commandes clés	Risque majeur
Structure	set-governance-policy, set-role	Gouvernance faible
Identités	add/remove-member, rotate-keys	Compromission
Sécurité	enable-logging, audit-mode	Absence de preuves
Technique	deploy-service, update-container	Vulnérabilités
Flux	define-workflow, dashboards	Mauvaise décision
Documentation	validate-matrix, archive	Non‑conformité

---

Version “Audit Interne” :

C’est‑à‑dire la matrice opérationnelle, pondérée, scorable, RACI‑ready, directement exploitable dans GRCA100 / UGAIA / Guild4AI / AFEES.

C’est la version qui est a utiliser pour :

• piloter un audit interne,
• mesurer la maturité,
• identifier les risques,
• générer un plan d’action,
• produire un reporting COMEX.

Ici la structure premium, prête à injecter dans ton Excel automatisé ou dans ton pipeline PowerShell.

---

🧩 Matrice “Audit Interne” – Commandes × Groupes × RACI × Risques × Scoring

📌 Colonnes standardisées (format GRCA100 Audit Interne)

Voici la structure exacte que tu vas utiliser :

• Commande
• Groupe
• RACI (R = Responsable, A = Accountable, C = Consulted, I = Informed)
• Risque principal
• Criticité (1–5)
• Probabilité (1–5)
• Score Risque = Criticité × Probabilité
• Preuves attendues
• Actions correctives
• Délai
• Statut

---

🧱 1. Bloc STRUCTURE

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
set-governance-policy	106 Gouvernance	R: Gouvernance / A: COMEX / C: RSSI / I: Tous	Gouvernance floue	5	3	15	Politique validée, versionnée	Formaliser, publier, diffuser
set-role	106	R: Gouvernance	Accès inadaptés	4	3	12	Registre des rôles	Revue trimestrielle
set-permission	106	R: Gouvernance / C: RSSI	Sur‑exposition	5	4	20	Matrice des permissions	Réduire privilèges
assign-group-owner	106	R: Gouvernance	Absence de responsabilité	4	2	8	Nomination officielle	Désigner un owner

---

🔐 2. Bloc IDENTITÉS & ACCÈS

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
add-member	Tous	R: Admin	Infiltration	5	2	10	Journal d’ajout	Validation double
remove-member	Tous	R: Admin	Accès résiduels	5	4	20	Registre des départs	Désactivation immédiate
rotate-keys	109	R: RSSI	Clés compromises	5	3	15	Preuve rotation	Automatiser rotation

---

🛡️ 3. Bloc SÉCURITÉ & CONFORMITÉ

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
enable-logging	109	R: Tech Lead / C: RSSI	Absence de preuves	5	4	20	Logs Loki/Grafana	Activer logging complet
enable-audit-mode	105	R: Audit	IA non contrôlée	5	3	15	Mode audit actif	Activer systématiquement
run-compliance-check	112	R: Audit	Non‑conformité IA‑Act	5	3	15	Matrices validées	Revue mensuelle

---

⚙️ 4. Bloc TECHNIQUE

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
deploy-service	109	R: Tech Lead	Déploiement instable	4	3	12	Logs déploiement	Standardiser
update-container	109	R: Tech Lead	Vulnérabilités	5	4	20	Versioning images	Mettre à jour
scan-vulnerabilities	105	R: RSSI	Exploitation de failles	5	3	15	Rapport scan	Corriger failles

---

🔄 5. Bloc FLUX & REPORTING

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
define-workflow	108	R: Gouvernance	Processus incohérents	4	3	12	Workflow documenté	Normaliser
publish-dashboard	111	R: Gouvernance	Mauvaise décision	5	2	10	Dashboard publié	Vérifier données

---

📚 6. Bloc DOCUMENTATION

Commande	Groupe	RACI	Risque	Crit.	Prob.	Score	Preuves	Actions
validate-matrix	112	R: Audit	Matrices non fiables	5	3	15	Matrice validée	Revue mensuelle
archive-record	103	R: Gouvernance / DPO	Perte d’historique	4	2	8	Archive versionnée	Archiver

---

🎯 Synthèse Audit Interne (format COMEX)

• 3 commandes critiques (Score ≥ 20)

  • set-permission
  • remove-member
  • enable-logging
  • update-container

• Risques majeurs

  • Sur‑exposition des données
  • Absence de preuves d’audit
  • Vulnérabilités non corrigées
  • Accès résiduels

• Actions prioritaires

  • Revue des permissions
  • Rotation des clés
  • Activation logging complet
  • Mise à jour des conteneurs

---

Le mode opérationnel.

---

🧩 Objectif

Un script PowerShell qui :

• définit la matrice Audit Interne (Commandes × Groupes × RACI × Risques × Scoring)
• calcule automatiquement le Score
• exporte en CSV ou Excel‑ready (pour ton pipeline existant)

---

🧾 Script PowerShell – Matrice “Audit Interne” automatisée

# ================================
# GRCA100 - Matrice Audit Interne
# Commandes × Groupes × RACI × Risques × Scoring
# Erol GIRAUDY v5 2026 avril 17
# Tests fonctionnels valides
# ================================

$source = "C:\Users\xxxxx\Matrice_AuditInterne_GRCA100.csv"
$clean  = "C:\Users\xxxxx\Matrice_AuditInterne_GRCA100_clean.csv"
$xlsx   = "C:\Users\xxxxx\Matrice_AuditInterne_GRCA100.xlsx"
$pdf    = "C:\Users\xxxxx\Matrice_AuditInterne_GRCA100_COMEX.pdf"

# Matrice d'appartenance Groupe -> Axe radar
$axeParCode = @{
    '106' = 'Gouvernance'
    '122' = 'Gouvernance'
    '109' = 'Sécurité'
    '120' = 'Sécurité'
    '112' = 'Conformité'
    '115' = 'Souveraineté'
    '118' = 'Résilience'
}

# Poids pour score global (M1)
$poidsAxes = @{
    'Gouvernance'   = 0.30
    'Sécurité'      = 0.25
    'Conformité'    = 0.20
    'Souveraineté'  = 0.15
    'Résilience'    = 0.10
}

# ------------------------------------------------------------
# 1. Vérification du fichier source
# ------------------------------------------------------------
if (-not (Test-Path $source)) {
    Write-Host "Fichier introuvable : $source" -ForegroundColor Red
    exit
}

# ------------------------------------------------------------
# 2. Import brut + détection colonnes corrompues
# ------------------------------------------------------------
$raw = Import-Csv -Path $source

if (-not $raw -or $raw.Count -eq 0) {
    Write-Host "Le CSV source est vide ou illisible." -ForegroundColor Red
    exit
}

$colCrit  = ($raw[0].PSObject.Properties.Name | Where-Object { $_ -match "Critic" })
$colProb  = ($raw[0].PSObject.Properties.Name | Where-Object { $_ -match "Prob" })
$colDelai = ($raw[0].PSObject.Properties.Name | Where-Object { $_ -match "D.l" })

# ------------------------------------------------------------
# 3. Reconstruction propre + correction Commande vide
# ------------------------------------------------------------
$compteurCommande = 1

$fixed = foreach ($row in $raw) {

    $commande = $row.Commande
    if ([string]::IsNullOrWhiteSpace($commande)) {
        $commande = ('GRCA100-{0:000}' -f $compteurCommande)
        $compteurCommande++
    }

    [PSCustomObject]@{
        Commande     = $commande
        Groupe       = $row.Groupe
        R            = $row.R
        A            = $row.A
        C            = $row.C
        I            = $row.I
        Risque       = $row.Risque
        Criticite    = $row.$colCrit
        Probabilite  = $row.$colProb
        Preuves      = $row.Preuves
        Actions      = $row.Actions
        Delai        = if ($colDelai) { $row.$colDelai } else { $row.'Délai' }
        Statut       = $row.Statut
    }
}

# ------------------------------------------------------------
# 4. Export CSV propre en UTF‑8 BOM
# ------------------------------------------------------------
$fixed | Export-Csv -Path $clean -NoTypeInformation -Encoding UTF8

$bytes = [System.IO.File]::ReadAllBytes($clean)
$bom   = [byte[]](0xEF,0xBB,0xBF)
[System.IO.File]::WriteAllBytes($clean, $bom + $bytes)

Write-Host "CSV nettoyé et réécrit en UTF‑8 BOM :" -ForegroundColor Green
Write-Host $clean

# ------------------------------------------------------------
# 5. Scoring dynamique
# ------------------------------------------------------------
$data = Import-Csv -Path $clean

$scored = foreach ($row in $data) {

    $crit = $row.Criticite -as [int]
    $prob = $row.Probabilite -as [int]

    if (-not $crit) { $crit = 0 }
    if (-not $prob) { $prob = 0 }

    $score = $crit * $prob

    $niveau = switch ($score) {
        {$_ -ge 20} { "Critique"; break }
        {$_ -ge 15} { "Élevé"; break }
        default     { "Modéré"; break }
    }

    $axe = $null
    if ($row.Groupe -and $axeParCode.ContainsKey($row.Groupe)) {
        $axe = $axeParCode[$row.Groupe]
    }

    [PSCustomObject]@{
        Commande     = $row.Commande
        Groupe       = $row.Groupe
        AxeRadar     = $axe
        R            = $row.R
        A            = $row.A
        C            = $row.C
        I            = $row.I
        Risque       = $row.Risque
        Criticite    = $crit
        Probabilite  = $prob
        ScoreRisque  = $score
        NiveauRisque = $niveau
        Preuves      = $row.Preuves
        Actions      = $row.Actions
        Delai        = $row.Delai
        Statut       = $row.Statut
    }
}

# ------------------------------------------------------------
# 6. Synthèse console
# ------------------------------------------------------------
$nbCritiques = ($scored | Where-Object NiveauRisque -eq 'Critique').Count
$nbEleves    = ($scored | Where-Object NiveauRisque -eq 'Élevé').Count
$nbModeres   = ($scored | Where-Object NiveauRisque -eq 'Modéré').Count

Write-Host ""
Write-Host "=== SYNTHÈSE SCORING ===" -ForegroundColor Cyan
Write-Host "Critiques : $nbCritiques" -ForegroundColor Red
Write-Host "Élevés    : $nbEleves"    -ForegroundColor Yellow
Write-Host "Modérés   : $nbModeres"   -ForegroundColor Green

Write-Host ""
Write-Host "=== ALERTES CRITIQUES ===" -ForegroundColor Red
$scored | Where-Object { $_.ScoreRisque -ge 20 } |
    Format-Table Commande, Risque, ScoreRisque, Actions -AutoSize

# ------------------------------------------------------------
# 7. Préparation des données radar + KPI COMEX
# ------------------------------------------------------------
$axes = 'Gouvernance','Sécurité','Conformité','Souveraineté','Résilience'

$axesScores = @{}
foreach ($axe in $axes) {
    $items = $scored | Where-Object { $_.AxeRadar -eq $axe -and $_.ScoreRisque -gt 0 }
    if ($items.Count -gt 0) {
        $axesScores[$axe] = [math]::Round(($items | Measure-Object -Property ScoreRisque -Average).Average,2)
    } else {
        $axesScores[$axe] = 0
    }
}

$scoreGlobal = 0
foreach ($axe in $axes) {
    $scoreGlobal += $axesScores[$axe] * $poidsAxes[$axe]
}
$scoreGlobal = [math]::Round($scoreGlobal,2)

# ------------------------------------------------------------
# 8. Nettoyage Excel / fichiers existants
# ------------------------------------------------------------
Get-Process excel -ErrorAction SilentlyContinue | Stop-Process -Force -ErrorAction SilentlyContinue
Start-Sleep -Milliseconds 300

if (Test-Path $xlsx) { Remove-Item $xlsx -Force; Start-Sleep -Milliseconds 200 }
if (Test-Path $pdf)  { Remove-Item $pdf  -Force; Start-Sleep -Milliseconds 200 }

# ------------------------------------------------------------
# 9. Excel : création des 3 onglets
# ------------------------------------------------------------
$excel = New-Object -ComObject Excel.Application
$excel.Visible = $false
$excel.DisplayAlerts = $false

$wb = $excel.Workbooks.Add()

$wsAudit = $wb.Worksheets.Item(1)
$wsAudit.Name = "AuditInterne"

$wsSynth = $wb.Worksheets.Add()
$wsSynth.Name = "Synthese COMEX"

$wsHeat = $wb.Worksheets.Add()
$wsHeat.Name = "Heatmap GRCA100"

# ------------------------------------------------------------
# 10. Remplissage AuditInterne
# ------------------------------------------------------------
$headers = $scored[0].PSObject.Properties.Name
for ($i=0; $i -lt $headers.Count; $i++) {
    $wsAudit.Cells.Item(1, $i+1).Value2 = "$($headers[$i])"
    $wsAudit.Cells.Item(1, $i+1).Font.Bold = $true
}

$rowIndex = 2
foreach ($item in $scored) {
    $col = 1
    foreach ($prop in $headers) {
        $wsAudit.Cells.Item($rowIndex, $col).Value2 = "$($item.$prop)"
        $col++
    }
    $rowIndex++
}

$wsAudit.UsedRange.EntireColumn.AutoFit()
$excel.ActiveWindow.SplitRow = 1
$excel.ActiveWindow.FreezePanes = $true

$colScore = ($headers.IndexOf('ScoreRisque') + 1)
if ($colScore -gt 0) {
    $rangeScore = $wsAudit.Range(
        $wsAudit.Cells.Item(2, $colScore),
        $wsAudit.Cells.Item($rowIndex-1, $colScore)
    )

    $fc1 = $rangeScore.FormatConditions.Add(
        [Microsoft.Office.Interop.Excel.XlFormatConditionType]::xlCellValue,
        [Microsoft.Office.Interop.Excel.XlFormatConditionOperator]::xlGreaterEqual,
        "20"
    )
    $fc1.Interior.Color = 255

    $fc2 = $rangeScore.FormatConditions.Add(
        [Microsoft.Office.Interop.Excel.XlFormatConditionType]::xlCellValue,
        [Microsoft.Office.Interop.Excel.XlFormatConditionOperator]::xlGreaterEqual,
        "15"
    )
    $fc2.Interior.Color = 49407

    $fc3 = $rangeScore.FormatConditions.Add(
        [Microsoft.Office.Interop.Excel.XlFormatConditionType]::xlCellValue,
        [Microsoft.Office.Interop.Excel.XlFormatConditionOperator]::xlLess,
        "15"
    )
    $fc3.Interior.Color = 5287936
}

# ------------------------------------------------------------
# 11. Synthèse COMEX : KPI + radar
# ------------------------------------------------------------
$row = 1
$wsSynth.Cells.Item($row,1).Value2 = "Synthèse COMEX GRCA100"
$wsSynth.Cells.Item($row,1).Font.Bold = $true
$wsSynth.Cells.Item($row,1).Font.Size = 14
$row += 2

$wsSynth.Cells.Item($row,1).Value2 = "Score global de maturité"
$wsSynth.Cells.Item($row,2).Value2 = "$scoreGlobal"
$row++

$wsSynth.Cells.Item($row,1).Value2 = "Risques critiques"
$wsSynth.Cells.Item($row,2).Value2 = "$nbCritiques"
$row++

$wsSynth.Cells.Item($row,1).Value2 = "Risques élevés"
$wsSynth.Cells.Item($row,2).Value2 = "$nbEleves"
$row++

$wsSynth.Cells.Item($row,1).Value2 = "Risques modérés"
$wsSynth.Cells.Item($row,2).Value2 = "$nbModeres"
$row += 2

$wsSynth.Cells.Item($row,1).Value2 = "Axe"
$wsSynth.Cells.Item($row,2).Value2 = "Score"
$wsSynth.Range("A$($row):B$($row)").Font.Bold = $true
$row++

$startRadarRow = $row
foreach ($axe in $axes) {
    $wsSynth.Cells.Item($row,1).Value2 = $axe
    $wsSynth.Cells.Item($row,2).Value2 = "$($axesScores[$axe])"
    $row++
}
$endRadarRow = $row-1

$wsSynth.Columns.Item("A:B").AutoFit()

$chartObj = $wsSynth.Shapes.AddChart().Chart
$chartObj.ChartType = 81  # xlRadar
$chartRange = $wsSynth.Range("A$startRadarRow:B$endRadarRow")
$chartObj.SetSourceData($chartRange)
$chartObj.HasTitle = $true
$chartObj.ChartTitle.Text = "Radar GRCA100 - Maturité"
$chartObj.Legend.Delete()

$chartObj.Parent.Left = $wsSynth.Columns.Item("D").Left
$chartObj.Parent.Top  = $wsSynth.Rows.Item(2).Top
$chartObj.Parent.Width  = 350
$chartObj.Parent.Height = 250

# ------------------------------------------------------------
# 12. Heatmap GRCA100 (version stable)
# ------------------------------------------------------------
$wsHeat.Cells.Item(1,1).Value2 = "Groupe"
$wsHeat.Cells.Item(1,2).Value2 = "Score moyen"
$wsHeat.Cells.Item(1,3).Value2 = "Score max"
$wsHeat.Range("A1:C1").Font.Bold = $true

$rowH = 2
$groupes = $scored | Where-Object { $_.Groupe } | Select-Object -ExpandProperty Groupe -Unique
foreach ($g in $groupes) {
    $items = $scored | Where-Object { $_.Groupe -eq $g -and $_.ScoreRisque -gt 0 }
    if ($items.Count -gt 0) {
        $moy = [math]::Round(($items | Measure-Object -Property ScoreRisque -Average).Average,2)
        $max = ($items | Measure-Object -Property ScoreRisque -Maximum).Maximum
    } else {
        $moy = 0
        $max = 0
    }

    $wsHeat.Cells.Item($rowH,1).Value2 = "$g"
    $wsHeat.Cells.Item($rowH,2).Value2 = "$moy"
    $wsHeat.Cells.Item($rowH,3).Value2 = "$max"
    $rowH++
}

$wsHeat.UsedRange.EntireColumn.AutoFit()

# Heatmap stable (sans ColorScaleCriteria)
$rangeHeat = $wsHeat.Range("B2:B$($rowH-1)")
if ($rowH -gt 2) {
    $null = $rangeHeat.FormatConditions.AddColorScale(3)
}

# ------------------------------------------------------------
# 13. Sauvegarde Excel + export PDF
# ------------------------------------------------------------
$wb.SaveAs($xlsx, 51)

$wb.ExportAsFixedFormat(
    0,
    $pdf,
    0,
    $true,
    $false,
    1,
    2,
    $false
)

$wb.Close()
$excel.Quit()

Write-Host ""
Write-Host "Excel généré avec succès :" -ForegroundColor Green
Write-Host $xlsx
Write-Host "PDF COMEX généré :" -ForegroundColor Green
Write-Host $pdf

------------------------------------------------------------------------
Ce pipeline GRCA100 COMEX est maintenant 100% stable.
------------------------------------------------------------------------

Vision dans la console PowerShell.

Ensuite il sera disponible au format Excel et PDF.

                            Version d'un extrais au format PDF

Version Excel.

Matrice audit version finale.

--- 

 Pierre Erol GIRAUDY 

http://about.me/giraudyerol