blackproof-evidence-library-v0.1.0-alpha

La bibliothèque de preuves cyber.

BLACKPROOF transforme les réponses déclaratives en preuves attendues : documents, procédures, registres, captures expurgées, rapports, tickets ou attestations.

preuves

17

Preuves attendues versionnées dans la bibliothèque BLACKPROOF v0.1.

catégories

10

Domaines cyber couverts : accès, sauvegardes, incidents, fournisseurs, logs, vulnérabilités, gouvernance.

principe

no upload

La preuve peut être référencée ou résumée sans être envoyée côté serveur.

Catégories

Chaque catégorie indique quand la preuve est utile et quelles limites documenter avant export.

access-control

Contrôle des accès

Questionnaires portant sur MFA, comptes administrateurs, IAM, privilèges, revues d'accès ou authentification.

Limite : Une politique seule ne suffit pas toujours : les accès privilégiés exigent souvent une preuve de configuration ou de revue récente.

backup

Sauvegardes

Questions sur sauvegardes, restauration, fréquence, conservation, RPO/RTO ou résilience des données.

Limite : Une procédure de sauvegarde sans test de restauration reste une preuve faible.

incident-response

Réponse à incident

Questions sur détection, qualification, escalade, notification, gestion de crise ou registre d'incidents.

Limite : Une procédure non testée ou sans registre associé reste surtout déclarative.

business-continuity

Continuité et reprise

Questions sur PRA, PCA, reprise d'activité, continuité métier, crise majeure ou disaster recovery.

Limite : Un plan ancien ou non testé doit être marqué comme dette résiduelle.

supplier-security

Sécurité fournisseurs

Questions sur tiers, sous-traitants, fournisseurs critiques, vendor risk ou prestataires.

Limite : Un registre complet peut contenir des informations sensibles : préférer un extrait contrôlé.

governance

Gouvernance sécurité

Questions sur politique SSI, responsabilités, risques, direction, comité sécurité ou pilotage.

Limite : Une politique générale ne prouve pas l'exécution effective des contrôles.

logging-monitoring

Journalisation et supervision

Questions sur logs, journaux de sécurité, SIEM, EDR, surveillance, détection ou conservation des traces.

Limite : Les logs bruts sont sensibles : exporter une synthèse, une capture expurgée ou une attestation.

vulnerability-management

Vulnérabilités et correctifs

Questions sur patching, CVE, scans, durcissement, pentest, remédiation ou suivi de vulnérabilités.

Limite : Un rapport de scan complet est souvent trop sensible : préférer une synthèse ou un backlog expurgé.

data-protection

Protection des données

Questions sur chiffrement, confidentialité, données sensibles, RGPD/GDPR ou encryption.

Limite : Ne jamais exposer de secret, clé, configuration complète ou chemin sensible dans un export client.

unknown

À qualifier

Questions non reconnues automatiquement par le moteur V1.

Limite : Doit être mappé manuellement avant d'être considéré comme défendable.

Preuves attendues

Une preuve attendue n'est pas forcément exportable telle quelle. BLACKPROOF doit aider à produire le bon niveau d'extrait, d'attestation ou de réserve.

access-control

Politique MFA

Document décrivant les règles d'authentification multifacteur.

Sensibilité : internal

Force : medium

Format : PDF, Markdown, lien interne ou extrait contrôlé

Mapping : recyf.access-control, nis2.risk-management.access-control

access-control

Revue des comptes administrateurs

Preuve de revue périodique des comptes à privilèges.

Sensibilité : confidential

Force : strong

Format : CSV expurgé, rapport de revue ou capture anonymisée

Mapping : recyf.access-control, nis2.risk-management.access-control

backup

Procédure de sauvegarde

Procédure décrivant la fréquence, le périmètre et la conservation des sauvegardes.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou extrait contrôlé

Mapping : recyf.backup, nis2.risk-management.business-continuity

backup

Preuve de test de restauration

Preuve datée qu'une restauration a été testée avec succès.

Sensibilité : confidential

Force : strong

Format : Rapport de test, ticket, journal ou compte rendu

Mapping : recyf.backup, nis2.risk-management.business-continuity

incident-response

Procédure de réponse à incident

Procédure de détection, qualification, escalade et notification d'incident.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou lien interne

Mapping : recyf.incident-response, nis2.incident-handling

incident-response

Registre des incidents

Registre ou journal des incidents de sécurité et de leur traitement.

Sensibilité : confidential

Force : strong

Format : CSV expurgé, rapport ou extrait anonymisé

Mapping : recyf.incident-response, nis2.incident-handling

business-continuity

PRA / PCA

Plan de continuité ou de reprise d'activité.

Sensibilité : confidential

Force : medium

Format : PDF, extrait contrôlé ou mémo de synthèse

Mapping : recyf.business-continuity, nis2.risk-management.continuity

supplier-security

Politique de sécurité fournisseurs

Règles de sélection, suivi et revue des fournisseurs critiques.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou extrait contrôlé

Mapping : recyf.supplier-security, nis2.supply-chain-security

supplier-security

Registre des fournisseurs critiques

Liste qualifiée des fournisseurs critiques avec propriétaires et risques.

Sensibilité : confidential

Force : strong

Format : CSV expurgé ou extrait anonymisé

Mapping : recyf.supplier-security, nis2.supply-chain-security

governance

Politique de sécurité du système d'information

Document de gouvernance décrivant les règles de sécurité applicables.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou page interne

Mapping : recyf.governance, nis2.governance

governance

Registre des risques cyber

Registre des risques identifiés, propriétaires, statuts et plans d'action.

Sensibilité : confidential

Force : strong

Format : CSV expurgé, tableur ou extrait contrôlé

Mapping : recyf.governance, nis2.governance

logging-monitoring

Politique de journalisation

Règles de collecte, conservation et revue des journaux.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou extrait contrôlé

Mapping : recyf.logging-monitoring, nis2.detection

logging-monitoring

Preuve de supervision sécurité

Capture ou rapport montrant la supervision active des événements de sécurité.

Sensibilité : confidential

Force : strong

Format : Capture expurgée, rapport SIEM ou ticket

Mapping : recyf.logging-monitoring, nis2.detection

vulnerability-management

Procédure de gestion des correctifs

Procédure décrivant la priorisation et le traitement des vulnérabilités.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou extrait contrôlé

Mapping : recyf.vulnerability-management, nis2.risk-management.vulnerability

vulnerability-management

Rapport de scan ou suivi de vulnérabilités

Preuve de scan, suivi CVE ou backlog de remédiation.

Sensibilité : confidential

Force : strong

Format : Rapport expurgé, ticketing ou synthèse

Mapping : recyf.vulnerability-management, nis2.risk-management.vulnerability

data-protection

Politique de chiffrement

Règles de chiffrement des données sensibles au repos et en transit.

Sensibilité : internal

Force : medium

Format : PDF, Markdown ou extrait contrôlé

Mapping : recyf.data-protection, nis2.risk-management.encryption

unknown

Preuve documentaire à qualifier

Élément de preuve à rattacher manuellement à une exigence.

Sensibilité : internal

Force : weak

Format : Document, capture, ticket, registre ou mémo

Mapping : custom.unmapped