frameworks
3
NIS2, France country-pack alpha, custom/unmapped.
blackproof-framework-mapping-v0.1.0-alpha
BLACKPROOF ne vend pas une conformité automatique. Le Framework Mapping relie les questions, les catégories, les exigences de travail NIS2/ReCyF-style, les preuves attendues et la dette documentaire.
frameworks
NIS2, France country-pack alpha, custom/unmapped.
requirements
Exigences de travail reliées aux catégories et aux preuves.
statut
Mapping de travail non officiel, conçu pour structurer un dossier de preuve.
Chaque cadre porte un niveau de confiance et un disclaimer. BLACKPROOF doit rester strict : pas de certification, pas d'avis juridique, pas de conformité garantie.
nis2-eu
Structure de travail BLACKPROOF inspirée des familles de gestion du risque, notification, supply chain et gouvernance de NIS2.
Juridiction : European Union
Statut : official-source
Limite : Ce mapping BLACKPROOF ne constitue pas un avis juridique, une certification ou une transposition nationale officielle.
recyf-fr
Couche française de travail pour relier les preuves BLACKPROOF aux familles cyber attendues par un dossier fournisseur.
Juridiction : France
Statut : country-pack-alpha
Limite : Mapping alpha à relire contre les textes et guides officiels applicables avant tout usage commercial ou contractuel.
blackproof-custom
Espace de qualification pour les questions non reconnues automatiquement par le moteur.
Juridiction : Internal
Statut : internal
Limite : Une exigence custom doit être qualifiée manuellement avant d'être présentée comme défendable.
Une exigence BLACKPROOF n'est utile que si elle pointe vers des preuves attendues et une dette explicite quand ces preuves manquent.
nis2.risk-management.access-control
Preuves liées aux accès, comptes privilégiés, authentification et revues d'accès.
Famille : access-control
Intent : Montrer que les accès sensibles sont gouvernés, protégés et périodiquement revus.
Preuves typiques : access-mfa-policy, access-admin-review
Dette : Une déclaration MFA sans preuve de politique, configuration ou revue reste une dette critique.
Statut : evidence-working-map
recyf.access-control
Famille de travail pour MFA, comptes administrateurs et gestion des privilèges.
Famille : access-control
Intent : Relier les réponses d'accès aux preuves MFA et revues de comptes.
Preuves typiques : access-mfa-policy, access-admin-review
Dette : Les comptes à privilèges doivent être documentés avec plus qu'une simple réponse déclarative.
Statut : non-official-alpha
nis2.risk-management.business-continuity
Preuves de sauvegarde, conservation, restauration et reprise.
Famille : backup
Intent : Montrer que les données peuvent être restaurées et que la procédure est testée.
Preuves typiques : backup-policy, backup-restore-test
Dette : Une politique de backup sans test de restauration reste insuffisante.
Statut : evidence-working-map
recyf.backup
Famille de travail pour procédures de sauvegarde et tests de restauration.
Famille : backup
Intent : Associer les réponses backup à une procédure et à un test daté.
Preuves typiques : backup-policy, backup-restore-test
Dette : Le test de restauration est souvent la preuve forte.
Statut : non-official-alpha
nis2.incident-handling
Preuves de procédure, escalade, registre, qualification et notification d'incident.
Famille : incident-response
Intent : Montrer que l'organisation sait détecter, qualifier, traiter et tracer un incident.
Preuves typiques : incident-response-plan, incident-register
Dette : Une procédure non testée ou sans registre reste faible.
Statut : evidence-working-map
recyf.incident-response
Famille de travail pour procédures de réponse à incident et registre.
Famille : incident-response
Intent : Associer la réponse incident à des documents et traces exploitables.
Preuves typiques : incident-response-plan, incident-register
Dette : Le registre ou un exercice documenté renforce fortement la réponse.
Statut : non-official-alpha
nis2.risk-management.continuity
Preuves de PRA, PCA, continuité d'activité et reprise en situation dégradée.
Famille : business-continuity
Intent : Montrer que la continuité ou la reprise est préparée, documentée et testable.
Preuves typiques : bcp-plan
Dette : Un PRA/PCA périmé ou non testé doit être documenté comme dette résiduelle.
Statut : evidence-working-map
recyf.business-continuity
Famille de travail pour PRA, PCA et résilience opérationnelle.
Famille : business-continuity
Intent : Relier les questions de continuité à un plan exploitable.
Preuves typiques : bcp-plan
Dette : La fraîcheur et le périmètre du plan doivent être visibles.
Statut : non-official-alpha
nis2.supply-chain-security
Preuves relatives aux fournisseurs critiques, tiers, prestataires et sous-traitants.
Famille : supplier-security
Intent : Montrer que les fournisseurs critiques sont identifiés, suivis et revus.
Preuves typiques : supplier-policy, supplier-register
Dette : Un registre fournisseur complet peut être sensible : préférer extrait contrôlé ou synthèse.
Statut : evidence-working-map
recyf.supplier-security
Famille de travail pour vendor risk, tiers et fournisseurs critiques.
Famille : supplier-security
Intent : Associer les réponses supply chain à une politique et un registre.
Preuves typiques : supplier-policy, supplier-register
Dette : La preuve doit montrer le périmètre et la criticité sans exposer la liste complète si sensible.
Statut : non-official-alpha
nis2.governance
Preuves de gouvernance, responsabilité, politiques, risques et pilotage sécurité.
Famille : governance
Intent : Montrer que la cybersécurité est gouvernée et suivie.
Preuves typiques : security-policy, risk-register
Dette : Une politique générale ne prouve pas l'exécution effective des contrôles.
Statut : evidence-working-map
recyf.governance
Famille de travail pour politique SSI, registre des risques et pilotage.
Famille : governance
Intent : Associer les réponses de gouvernance à des éléments de pilotage vérifiables.
Preuves typiques : security-policy, risk-register
Dette : Le registre de risques est plus fort qu'une politique générique seule.
Statut : non-official-alpha
nis2.detection
Preuves liées aux journaux, traces, supervision, SIEM, EDR ou surveillance sécurité.
Famille : logging-monitoring
Intent : Montrer que les événements utiles sont collectés, conservés et supervisés.
Preuves typiques : logging-policy, monitoring-evidence
Dette : Les logs bruts sont sensibles : exporter une synthèse ou une preuve expurgée.
Statut : evidence-working-map
recyf.logging-monitoring
Famille de travail pour logs, SIEM, EDR, détection et conservation des traces.
Famille : logging-monitoring
Intent : Relier les réponses de journalisation à une politique et une preuve de supervision.
Preuves typiques : logging-policy, monitoring-evidence
Dette : La preuve doit éviter d'exposer des traces sensibles.
Statut : non-official-alpha
nis2.risk-management.vulnerability
Preuves de patch management, scans, CVE, durcissement et remédiation.
Famille : vulnerability-management
Intent : Montrer que les vulnérabilités sont identifiées, priorisées et corrigées.
Preuves typiques : patch-policy, scan-report
Dette : Un scan complet peut être trop sensible : préférer synthèse, ticket ou backlog expurgé.
Statut : evidence-working-map
recyf.vulnerability-management
Famille de travail pour patching, scans, CVE et remédiation.
Famille : vulnerability-management
Intent : Associer les réponses de vulnérabilité à une procédure et un suivi concret.
Preuves typiques : patch-policy, scan-report
Dette : Le suivi de remédiation rend la réponse plus défendable qu'une politique seule.
Statut : non-official-alpha
nis2.risk-management.encryption
Preuves de protection des données, chiffrement et confidentialité.
Famille : data-protection
Intent : Montrer que les données sensibles sont protégées sans exposer de secret.
Preuves typiques : data-encryption-policy
Dette : Ne jamais exporter clés, secrets, configurations complètes ou chemins sensibles.
Statut : evidence-working-map
recyf.data-protection
Famille de travail pour chiffrement, données sensibles et confidentialité.
Famille : data-protection
Intent : Associer les réponses data protection à une politique ou un extrait contrôlé.
Preuves typiques : data-encryption-policy
Dette : Les preuves de chiffrement doivent être expurgées et contextualisées.
Statut : non-official-alpha
custom.unmapped
Question non reconnue par le moteur V1.
Famille : unknown
Intent : Forcer une qualification manuelle avant export sérieux.
Preuves typiques : generic-evidence
Dette : Un élément non mappé doit être revu avant d'être présenté au client.
Statut : custom