« Prometteur, différencié, mais sur-claimé. »
Pour devenir un vrai outil d'audit : preuves de passivité, réversibilité, et validation indépendante.
Les 10 critères identifiés par l'audit externe. Chaque critère doit être validé indépendamment avant de revendiquer le statut « outil d'audit ».
-
◈
1. Preuve de passivité totale
Captures réseau démontrant zéro paquet émis pendant les phases G.1/G.2. Wireshark ou tcpdump sur 3 environnements hétérogènes.
→ Demo audit montre une simulation. Besoin de captures réelles.
-
○
2. Preuve de réversibilité
G.6 restaure l'état exact pré-greffe. Démo avec snapshot avant/après, checksum, diff binaire. Pas juste en lab — sur infra hétérogène réelle.
-
◈
3. Définition du scope d'audit
Inventaire ? Sécurité ? Conformité ? Observabilité ? Le papier mélange les 4. Produire une matrice claire : ce qu'on audite vs ce qu'on ne couvre pas.
→ À définir explicitement dans le papier v2.
-
○
4. Sécurité du connecteur auto-adaptatif
Preuve que le générateur de connecteurs ne peut pas devenir un scanner actif ou écrire involontairement. Tests de bordure, sandboxing.
-
○
5. Tests sur environnements chiffrés & legacy
Protocoles E2E chiffrés, certificate pinning, équipements OT non-IP, réseaux segmentés. Le papier admet ces limitations — les documenter avec des vrais tests.
-
◈
6. Contrôle d'accès basé TPM
Vérifier que le modèle Pilote/Opérateur/Biotechnicien/Lecteur est appliqué en pratique. Tests de contournement, matrice de droits.
→ Cockpit agents.08.ma implémente RBAC+MFA. Validation formelle à documenter.
-
○
7. Intégrité des logs
Logs immuables, signés, auditable après reboot, crash, et accès physique. Chaîne de confiance vérifiable.
-
✓
8. Benchmarks reproductibles
Reproduire les affirmations : 15-22s scan, 96% succès, 98%/94% découverte. Sur datasets publics ou partagés.
→ Demo audit : 38s pour 8 organismes. Métrique à documenter sur infra réelle.
-
◈
9. Review juridique RGPD
Valider les claims RGPD et « double usage » avec un conseil juridique, pas juste des diagrammes d'architecture.
→ ISO 27001 (85/100) et ExpertCyber (94/100) en cours. Review juridique à planifier.
-
○
10. Pilotes réels tiers
Pilotes dans des PME, datacenters, et environnements multi-sites avec publication des cas d'échec. Pas juste des démos contrôlées.
La critique est juste. Le concept tient. La preuve manque.
On a 6 mois pour transformer un whitepaper visionnaire en produit auditable.
La roadmap est claire. On commence par la Phase 1 cette semaine.