Méthode versionnée

La preuve avant la conformité.

BLACKPROOF ne promet pas que vous êtes conforme. BLACKPROOF structure ce que vous pouvez prouver, ce qui manque, ce qui est faible, et ce qu'il faut corriger avant d'envoyer un dossier cyber à un tiers.

blackproof-method-v0.1.0-alpha

ProofGraph

Chaque réponse cyber doit être reliée à une chaîne explicite : source, exigence, preuve, test, dette, action.

source

Source

Point d'entrée de la demande : questionnaire client, clause contractuelle, exigence NIS2/ReCyF, audit, politique interne ou demande de direction.

Sortie : Une demande traçable, datée et rattachée à un contexte.

requirement

Exigence

Traduction de la source en exigence de sécurité compréhensible : contrôle attendu, objectif de sécurité, mesure, clause ou risque couvert.

Sortie : Une exigence catégorisée et mappable.

evidence

Preuve

Élément permettant de soutenir une réponse : procédure, politique, capture expurgée, journal, rapport, ticket, attestation, registre ou test.

Sortie : Une preuve attendue, disponible, manquante, périmée, déclarative ou non exportable.

test

Test

Indice permettant d'évaluer si la preuve tient réellement : fraîcheur, périmètre, force probante, cohérence, sensibilité et réutilisabilité.

Sortie : Un niveau de confiance et une limite explicite.

debt

Dette

Écart entre la réponse déclarée et le niveau de preuve attendu. La dette peut être critique, haute, moyenne ou faible.

Sortie : Une dette de preuve priorisée.

action

Action

Correction concrète : ajouter une preuve, produire un extrait contrôlé, documenter une réserve, exclure un périmètre ou planifier une remédiation.

Sortie : Un backlog de remédiation utilisable.

Statuts de preuve

BLACKPROOF distingue une preuve attendue, disponible, manquante, périmée, déclarative ou sensible non exportable. Ce détail est central : une réponse cyber sans preuve reste une dette.

expected

Attendue

La preuve est attendue mais n'a pas encore été fournie.

Impact : Crée une dette de preuve.

available

Disponible

La preuve existe et peut être référencée ou exportée selon sa sensibilité.

Impact : Réduit ou supprime la dette associée.

missing

Manquante

La preuve attendue n'existe pas ou n'a pas été retrouvée.

Impact : Maintient une dette de preuve.

expired

Périmée

La preuve existe mais sa fraîcheur ou sa validité est insuffisante.

Impact : Crée une dette élevée.

declared

Déclarative

La réponse repose sur une déclaration sans preuve vérifiable suffisante.

Impact : Crée une dette moyenne.

not-exportable

Non exportable

La preuve existe mais ne peut pas être exportée telle quelle car elle est sensible.

Impact : Crée une dette résiduelle et appelle un extrait contrôlé ou une attestation.

Score ProofDebt

Le score n'est pas une note de conformité. C'est une mesure de défendabilité documentaire.

0–20

Non défendable

Le dossier repose principalement sur des déclarations ou des preuves absentes.

21–50

Dette critique

Le dossier peut être préparatoire, mais il ne doit pas être envoyé sans réserves importantes.

51–70

Partiellement défendable

Le dossier contient des preuves utiles mais plusieurs points restent fragiles.

71–85

Solide avec réserves

Le dossier est exploitable, avec quelques limites à documenter.

86–100

Bien structuré

Le dossier est cohérent, documenté et réutilisable, sans constituer une certification.

Invariants de sécurité

No upload by default
Traitement local dans le navigateur
Aucune preuve sensible envoyée côté serveur par défaut
Entrées bornées au niveau moteur
Exports CSV protégés contre la formula injection
Exports Markdown échappés
Fingerprint ProofPack en SHA-256
Vérification locale du ProofPack
Aucune promesse de certification réglementaire
BLACKPROOF est un outil d'aide à la structuration de preuves cyber. Il ne fournit pas de certification NIS2, ReCyF ou ISO 27001, ne remplace pas un audit qualifié et ne constitue pas un avis juridique.