source
Source
Point d'entrée de la demande : questionnaire client, clause contractuelle, exigence NIS2/ReCyF, audit, politique interne ou demande de direction.
Sortie : Une demande traçable, datée et rattachée à un contexte.
Méthode versionnée
BLACKPROOF ne promet pas que vous êtes conforme. BLACKPROOF structure ce que vous pouvez prouver, ce qui manque, ce qui est faible, et ce qu'il faut corriger avant d'envoyer un dossier cyber à un tiers.
blackproof-method-v0.1.0-alpha
Chaque réponse cyber doit être reliée à une chaîne explicite : source, exigence, preuve, test, dette, action.
source
Point d'entrée de la demande : questionnaire client, clause contractuelle, exigence NIS2/ReCyF, audit, politique interne ou demande de direction.
Sortie : Une demande traçable, datée et rattachée à un contexte.
requirement
Traduction de la source en exigence de sécurité compréhensible : contrôle attendu, objectif de sécurité, mesure, clause ou risque couvert.
Sortie : Une exigence catégorisée et mappable.
evidence
Élément permettant de soutenir une réponse : procédure, politique, capture expurgée, journal, rapport, ticket, attestation, registre ou test.
Sortie : Une preuve attendue, disponible, manquante, périmée, déclarative ou non exportable.
test
Indice permettant d'évaluer si la preuve tient réellement : fraîcheur, périmètre, force probante, cohérence, sensibilité et réutilisabilité.
Sortie : Un niveau de confiance et une limite explicite.
debt
Écart entre la réponse déclarée et le niveau de preuve attendu. La dette peut être critique, haute, moyenne ou faible.
Sortie : Une dette de preuve priorisée.
action
Correction concrète : ajouter une preuve, produire un extrait contrôlé, documenter une réserve, exclure un périmètre ou planifier une remédiation.
Sortie : Un backlog de remédiation utilisable.
BLACKPROOF distingue une preuve attendue, disponible, manquante, périmée, déclarative ou sensible non exportable. Ce détail est central : une réponse cyber sans preuve reste une dette.
expected
La preuve est attendue mais n'a pas encore été fournie.
Impact : Crée une dette de preuve.
available
La preuve existe et peut être référencée ou exportée selon sa sensibilité.
Impact : Réduit ou supprime la dette associée.
missing
La preuve attendue n'existe pas ou n'a pas été retrouvée.
Impact : Maintient une dette de preuve.
expired
La preuve existe mais sa fraîcheur ou sa validité est insuffisante.
Impact : Crée une dette élevée.
declared
La réponse repose sur une déclaration sans preuve vérifiable suffisante.
Impact : Crée une dette moyenne.
not-exportable
La preuve existe mais ne peut pas être exportée telle quelle car elle est sensible.
Impact : Crée une dette résiduelle et appelle un extrait contrôlé ou une attestation.
Le score n'est pas une note de conformité. C'est une mesure de défendabilité documentaire.
0–20
Le dossier repose principalement sur des déclarations ou des preuves absentes.
21–50
Le dossier peut être préparatoire, mais il ne doit pas être envoyé sans réserves importantes.
51–70
Le dossier contient des preuves utiles mais plusieurs points restent fragiles.
71–85
Le dossier est exploitable, avec quelques limites à documenter.
86–100
Le dossier est cohérent, documenté et réutilisable, sans constituer une certification.