Preuves
Cette page est une vitrine d’orientation : elle rassemble les forces réellement câblées du dépôt et, pour chacune, renvoie à la preuve la plus dure disponible — l’ADR (Architecture Decision Record, fiche de décision d’architecture) qui la décide, le test qui la vérifie, le runbook qui l’opère. Conformément à ADR 0070, elle pointe vers la trace brute et ne recopie jamais un chiffre, un seuil ou un extrait : la preuve évolue, la page suit le lien, rien à re-synchroniser.
Forces établies
Section intitulée « Forces établies »Accessibilité WCAG AA mécanisée
Section intitulée « Accessibilité WCAG AA mécanisée »Le niveau d’accessibilité visé (WCAG — Web Content Accessibility Guidelines, référentiel d’accessibilité du web ; AA = le palier attendu par le RGAA) est épinglé dans les tests automatisés (axe-core), pas laissé au défaut d’un outil. → ADR 0038 + page Accessibilité.
SLA de remédiation chiffrés
Section intitulée « SLA de remédiation chiffrés »Les failles sont classées par sévérité, chacune avec un délai cible de fermeture chiffré (SLA — Service Level Agreement, engagement de niveau de service). → ADR 0018 + page Sécurité.
Runbook d’incident opérationnel
Section intitulée « Runbook d’incident opérationnel »Une procédure concrète de réponse à incident de sécurité, avec grille de sévérité et étapes à suivre. → runbook Incident response.
RGPD applicatif câblé
Section intitulée « RGPD applicatif câblé »Le périmètre RGPD est tracé et un droit d’opposition au profilage est implémenté au grain le plus fin. → ADR 0026
Surveillance de modèle et porte de sécurité
Section intitulée « Surveillance de modèle et porte de sécurité »Suivi de dérive (drift) et porte de sécurité sur le modèle d’uplift : un modèle qui perd son pouvoir prédictif arrête le pipeline plutôt que de produire des recommandations dégradées. → ADR 0062 + ADR 0067 + ADR 0068.
Déterminisme documentaire à l’octet
Section intitulée « Déterminisme documentaire à l’octet »Ce qui est dérivable du code est généré, commité et comparé octet par octet en CI (Continuous Integration, vérifications automatiques à chaque modification) ; ce qui ne l’est pas est historisé en append-only, sans jamais mentir. → ADR 0028 + ADR 0032.
Ce que nous n’avons pas encore
Section intitulée « Ce que nous n’avons pas encore »Par honnêteté (ADR 0012), voici les forces pas encore acquises, chacune avec son critère de clôture :
- Couverture de tests sous badge dynamique : mesurée en CI mais non publiée sous badge tant qu’un outil dynamique ne la recalcule pas — afficher un chiffre figé serait un mensonge. Devient un badge quand l’outil tourne.
- Note automatisée de bonnes pratiques de sécurité (OpenSSF Scorecard) :
non branchée. Devient un badge quand le workflow
scorecard.ymltournera (ADR 0070). - Scan, signature et provenance des images conteneur : doctrine actée mais câblage en cours. → ADR 0069.