{
  "version": "blackproof-evidence-library-v0.1.0-alpha",
  "summary": {
    "version": "blackproof-evidence-library-v0.1.0-alpha",
    "itemCount": 17,
    "categoryCount": 10,
    "categories": [
      {
        "category": "access-control",
        "label": "Contrôle des accès",
        "itemCount": 2
      },
      {
        "category": "backup",
        "label": "Sauvegardes",
        "itemCount": 2
      },
      {
        "category": "incident-response",
        "label": "Réponse à incident",
        "itemCount": 2
      },
      {
        "category": "business-continuity",
        "label": "Continuité et reprise",
        "itemCount": 1
      },
      {
        "category": "supplier-security",
        "label": "Sécurité fournisseurs",
        "itemCount": 2
      },
      {
        "category": "governance",
        "label": "Gouvernance sécurité",
        "itemCount": 2
      },
      {
        "category": "logging-monitoring",
        "label": "Journalisation et supervision",
        "itemCount": 2
      },
      {
        "category": "vulnerability-management",
        "label": "Vulnérabilités et correctifs",
        "itemCount": 2
      },
      {
        "category": "data-protection",
        "label": "Protection des données",
        "itemCount": 1
      },
      {
        "category": "unknown",
        "label": "À qualifier",
        "itemCount": 1
      }
    ]
  },
  "items": [
    {
      "id": "access-mfa-policy",
      "title": "Politique MFA",
      "category": "access-control",
      "description": "Document décrivant les règles d'authentification multifacteur.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown, lien interne ou extrait contrôlé",
      "categoryLabel": "Contrôle des accès",
      "useWhen": "Questionnaires portant sur MFA, comptes administrateurs, IAM, privilèges, revues d'accès ou authentification.",
      "limitations": "Une politique seule ne suffit pas toujours : les accès privilégiés exigent souvent une preuve de configuration ou de revue récente.",
      "mappedRequirements": [
        "recyf.access-control",
        "nis2.risk-management.access-control"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "access-admin-review",
      "title": "Revue des comptes administrateurs",
      "category": "access-control",
      "description": "Preuve de revue périodique des comptes à privilèges.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "CSV expurgé, rapport de revue ou capture anonymisée",
      "categoryLabel": "Contrôle des accès",
      "useWhen": "Questionnaires portant sur MFA, comptes administrateurs, IAM, privilèges, revues d'accès ou authentification.",
      "limitations": "Une politique seule ne suffit pas toujours : les accès privilégiés exigent souvent une preuve de configuration ou de revue récente.",
      "mappedRequirements": [
        "recyf.access-control",
        "nis2.risk-management.access-control"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "backup-policy",
      "title": "Procédure de sauvegarde",
      "category": "backup",
      "description": "Procédure décrivant la fréquence, le périmètre et la conservation des sauvegardes.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou extrait contrôlé",
      "categoryLabel": "Sauvegardes",
      "useWhen": "Questions sur sauvegardes, restauration, fréquence, conservation, RPO/RTO ou résilience des données.",
      "limitations": "Une procédure de sauvegarde sans test de restauration reste une preuve faible.",
      "mappedRequirements": [
        "recyf.backup",
        "nis2.risk-management.business-continuity"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "backup-restore-test",
      "title": "Preuve de test de restauration",
      "category": "backup",
      "description": "Preuve datée qu'une restauration a été testée avec succès.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "Rapport de test, ticket, journal ou compte rendu",
      "categoryLabel": "Sauvegardes",
      "useWhen": "Questions sur sauvegardes, restauration, fréquence, conservation, RPO/RTO ou résilience des données.",
      "limitations": "Une procédure de sauvegarde sans test de restauration reste une preuve faible.",
      "mappedRequirements": [
        "recyf.backup",
        "nis2.risk-management.business-continuity"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "incident-response-plan",
      "title": "Procédure de réponse à incident",
      "category": "incident-response",
      "description": "Procédure de détection, qualification, escalade et notification d'incident.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou lien interne",
      "categoryLabel": "Réponse à incident",
      "useWhen": "Questions sur détection, qualification, escalade, notification, gestion de crise ou registre d'incidents.",
      "limitations": "Une procédure non testée ou sans registre associé reste surtout déclarative.",
      "mappedRequirements": [
        "recyf.incident-response",
        "nis2.incident-handling"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "incident-register",
      "title": "Registre des incidents",
      "category": "incident-response",
      "description": "Registre ou journal des incidents de sécurité et de leur traitement.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "CSV expurgé, rapport ou extrait anonymisé",
      "categoryLabel": "Réponse à incident",
      "useWhen": "Questions sur détection, qualification, escalade, notification, gestion de crise ou registre d'incidents.",
      "limitations": "Une procédure non testée ou sans registre associé reste surtout déclarative.",
      "mappedRequirements": [
        "recyf.incident-response",
        "nis2.incident-handling"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "bcp-plan",
      "title": "PRA / PCA",
      "category": "business-continuity",
      "description": "Plan de continuité ou de reprise d'activité.",
      "sensitivity": "confidential",
      "strength": "medium",
      "recommendedFormat": "PDF, extrait contrôlé ou mémo de synthèse",
      "categoryLabel": "Continuité et reprise",
      "useWhen": "Questions sur PRA, PCA, reprise d'activité, continuité métier, crise majeure ou disaster recovery.",
      "limitations": "Un plan ancien ou non testé doit être marqué comme dette résiduelle.",
      "mappedRequirements": [
        "recyf.business-continuity",
        "nis2.risk-management.continuity"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "supplier-policy",
      "title": "Politique de sécurité fournisseurs",
      "category": "supplier-security",
      "description": "Règles de sélection, suivi et revue des fournisseurs critiques.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou extrait contrôlé",
      "categoryLabel": "Sécurité fournisseurs",
      "useWhen": "Questions sur tiers, sous-traitants, fournisseurs critiques, vendor risk ou prestataires.",
      "limitations": "Un registre complet peut contenir des informations sensibles : préférer un extrait contrôlé.",
      "mappedRequirements": [
        "recyf.supplier-security",
        "nis2.supply-chain-security"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "supplier-register",
      "title": "Registre des fournisseurs critiques",
      "category": "supplier-security",
      "description": "Liste qualifiée des fournisseurs critiques avec propriétaires et risques.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "CSV expurgé ou extrait anonymisé",
      "categoryLabel": "Sécurité fournisseurs",
      "useWhen": "Questions sur tiers, sous-traitants, fournisseurs critiques, vendor risk ou prestataires.",
      "limitations": "Un registre complet peut contenir des informations sensibles : préférer un extrait contrôlé.",
      "mappedRequirements": [
        "recyf.supplier-security",
        "nis2.supply-chain-security"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "security-policy",
      "title": "Politique de sécurité du système d'information",
      "category": "governance",
      "description": "Document de gouvernance décrivant les règles de sécurité applicables.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou page interne",
      "categoryLabel": "Gouvernance sécurité",
      "useWhen": "Questions sur politique SSI, responsabilités, risques, direction, comité sécurité ou pilotage.",
      "limitations": "Une politique générale ne prouve pas l'exécution effective des contrôles.",
      "mappedRequirements": [
        "recyf.governance",
        "nis2.governance"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "risk-register",
      "title": "Registre des risques cyber",
      "category": "governance",
      "description": "Registre des risques identifiés, propriétaires, statuts et plans d'action.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "CSV expurgé, tableur ou extrait contrôlé",
      "categoryLabel": "Gouvernance sécurité",
      "useWhen": "Questions sur politique SSI, responsabilités, risques, direction, comité sécurité ou pilotage.",
      "limitations": "Une politique générale ne prouve pas l'exécution effective des contrôles.",
      "mappedRequirements": [
        "recyf.governance",
        "nis2.governance"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "logging-policy",
      "title": "Politique de journalisation",
      "category": "logging-monitoring",
      "description": "Règles de collecte, conservation et revue des journaux.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou extrait contrôlé",
      "categoryLabel": "Journalisation et supervision",
      "useWhen": "Questions sur logs, journaux de sécurité, SIEM, EDR, surveillance, détection ou conservation des traces.",
      "limitations": "Les logs bruts sont sensibles : exporter une synthèse, une capture expurgée ou une attestation.",
      "mappedRequirements": [
        "recyf.logging-monitoring",
        "nis2.detection"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "monitoring-evidence",
      "title": "Preuve de supervision sécurité",
      "category": "logging-monitoring",
      "description": "Capture ou rapport montrant la supervision active des événements de sécurité.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "Capture expurgée, rapport SIEM ou ticket",
      "categoryLabel": "Journalisation et supervision",
      "useWhen": "Questions sur logs, journaux de sécurité, SIEM, EDR, surveillance, détection ou conservation des traces.",
      "limitations": "Les logs bruts sont sensibles : exporter une synthèse, une capture expurgée ou une attestation.",
      "mappedRequirements": [
        "recyf.logging-monitoring",
        "nis2.detection"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "patch-policy",
      "title": "Procédure de gestion des correctifs",
      "category": "vulnerability-management",
      "description": "Procédure décrivant la priorisation et le traitement des vulnérabilités.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou extrait contrôlé",
      "categoryLabel": "Vulnérabilités et correctifs",
      "useWhen": "Questions sur patching, CVE, scans, durcissement, pentest, remédiation ou suivi de vulnérabilités.",
      "limitations": "Un rapport de scan complet est souvent trop sensible : préférer une synthèse ou un backlog expurgé.",
      "mappedRequirements": [
        "recyf.vulnerability-management",
        "nis2.risk-management.vulnerability"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "scan-report",
      "title": "Rapport de scan ou suivi de vulnérabilités",
      "category": "vulnerability-management",
      "description": "Preuve de scan, suivi CVE ou backlog de remédiation.",
      "sensitivity": "confidential",
      "strength": "strong",
      "recommendedFormat": "Rapport expurgé, ticketing ou synthèse",
      "categoryLabel": "Vulnérabilités et correctifs",
      "useWhen": "Questions sur patching, CVE, scans, durcissement, pentest, remédiation ou suivi de vulnérabilités.",
      "limitations": "Un rapport de scan complet est souvent trop sensible : préférer une synthèse ou un backlog expurgé.",
      "mappedRequirements": [
        "recyf.vulnerability-management",
        "nis2.risk-management.vulnerability"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "data-encryption-policy",
      "title": "Politique de chiffrement",
      "category": "data-protection",
      "description": "Règles de chiffrement des données sensibles au repos et en transit.",
      "sensitivity": "internal",
      "strength": "medium",
      "recommendedFormat": "PDF, Markdown ou extrait contrôlé",
      "categoryLabel": "Protection des données",
      "useWhen": "Questions sur chiffrement, confidentialité, données sensibles, RGPD/GDPR ou encryption.",
      "limitations": "Ne jamais exposer de secret, clé, configuration complète ou chemin sensible dans un export client.",
      "mappedRequirements": [
        "recyf.data-protection",
        "nis2.risk-management.encryption"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    },
    {
      "id": "generic-evidence",
      "title": "Preuve documentaire à qualifier",
      "category": "unknown",
      "description": "Élément de preuve à rattacher manuellement à une exigence.",
      "sensitivity": "internal",
      "strength": "weak",
      "recommendedFormat": "Document, capture, ticket, registre ou mémo",
      "categoryLabel": "À qualifier",
      "useWhen": "Questions non reconnues automatiquement par le moteur V1.",
      "limitations": "Doit être mappé manuellement avant d'être considéré comme défendable.",
      "mappedRequirements": [
        "custom.unmapped"
      ],
      "evidenceStatusAdvice": "Marquer disponible uniquement si la preuve existe, est récente, contextualisée et exportable ou référencée sans exposer de secret."
    }
  ]
}