Document technique public

Méthodologie SECURIT-E ProofOps

Transparence totale : voici exactement comment chaque score est calculé, quelles sources nous utilisons, et quelles sont nos limites.

Sommaire

Scanner ProofOps — observations passives
Formule de scoring
10 catégories ProofOps détaillées
Génération des findings et severity
Tableau "qui doit corriger quoi"
Projection avant/après
Coffre Merkle SHA-256 déterministe
Sources documentaires (28 références)

1. Scanner ProofOps — observations passives

Le scanner collecte les preuves sans aucune intrusion réseau. Aucune tentative d'exploitation, aucun fuzzing, aucun bruteforce. Conformité légale française et européenne assurée.

Contrôles effectués (ordre)

HTTPS HEAD probe sur https://target/ avec timeout 10s, redirect=follow. Capture : status code, headers, server banner.
HTTPS GET passif sur la racine pour récupérer cookies + meta tags + détection technologies (WordPress, Shopify, Drupal via signatures HTML).
Analyse cookies : flags Secure / HttpOnly / SameSite sur chaque cookie reçu.
Headers de sécurité : présence/absence de HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP.
TLS handshake sur port 443 via node:tls. Capture : protocole (TLSv1.2/1.3), cipher suite, certificat (issuer, subject, validity, jours restants, SAN).
DNS lookups via node:dns/promises : NS, MX, TXT (SPF), TXT _dmarc, CAA.
Public files : GET /.well-known/security.txt (RFC 9116), GET /robots.txt.

Méthodologie ouverte : code source de l'algorithme de scoring disponible sur demande à najib@securit-e.com.

2. Formule de scoring

Le score global ProofOps va de 0 à 100, où 100 = posture cyber excellente. Il est calculé comme l'inverse du score de risque interne.

Pondération des axes (sur 100)

Axe	Poids	Justification (référence)
Surface (HTTPS joignable, validation de base)	40 pts	ANSSI Guide d'hygiène 2023 - Mesure 1
Headers HTTP de sécurité	35 pts	OWASP Secure Headers Project
TLS / certificat	20 pts	NIST SP 800-52 Rev. 2
Email (SPF/DMARC)	15 pts	RFC 7208 / RFC 7489
Exposition / bannières	10 pts	ANSSI Mesure 8 (configuration management)

Le score ProofOps publié est l'inverse de ce score interne : 100 - risk_score. Plus le score est haut, mieux c'est.

3. 10 catégories ProofOps détaillées

Pour la lecture par axe, le score est décomposé en 10 catégories indépendantes, chacune notée sur 100.

Catégorie	Critère principal	Source
Site web	HTTPS joignable + headers manquants	OWASP / ANSSI
Email (SPF/DMARC/DKIM)	Présence + politique stricte	RFC 7489
DNS	CAA configuré	RFC 8659 (CAA)
TLS / certificat	TLSv1.2/1.3 + jours restants	NIST SP 800-52
Headers HTTP	HSTS+CSP+XFO+XCTO+RP+PP	OWASP Secure Headers
Cookies	Secure+HttpOnly+SameSite	OWASP Application Security
Exposition	Server banner + X-Powered-By masqués	ANSSI Mesure 8
Réputation	Cross-check ransomware.live + CISA KEV	Public threat intel
Capacité de preuve	Logs HTTP + DNS + TLS capturables	ISO 27001:2022 A.8.15
Configuration & hygiène	security.txt + robots.txt safe + COOP	RFC 9116 / Mozilla Web Security

4. Génération des findings et severity

Severity (CVSS v3.1 inspirée)

critical : compromission imminente possible (HTTPS down, certificat expiré)
high : risque élevé (HSTS absent, SPF/DMARC absents, TLS 1.0/1.1)
medium : vulnérabilité exploitable en chaîne d'attaque (CSP absent, XFO absent, cookies non Secure)
low : hygiène insuffisante (XCTO absent, RP absent, banner exposé)
info : recommandation de durcissement (PP absent, COOP absent, security.txt absent)

Effort en heures et gain en points

Chaque finding porte un effort_hours et un risk_reduction_pts. Ces valeurs sont issues de notre observation terrain (estimation expert basée sur ~50 audits PME) et de la documentation ANSSI/CIS Controls.

Mappings réglementaires

Chaque finding mappé à : NIS2 Article (21.2.x), RGPD Article (32, 33, 34), ISO 27001:2022 (A.x.x), MITRE ATT&CK (Tx).

5. Tableau "qui doit corriger quoi"

Le responsable est inféré par catégorie de finding selon une grille déterministe :

Catégorie finding	Responsable inféré
email, dns	Admin domaine / IT (registrar + admin Microsoft 365 ou Google Workspace)
tls	Hébergeur ou prestataire infrastructure
cookie	Développeur web / Prestataire site
header	Développeur web ou DSI
exposure	DSI / Prestataire infrastructure
config	DSI / Hébergeur
tech	DSI

La priorité (P0/P1/P2) est dérivée directement de la severity : critical→P0, high→P1, medium/low/info→P2.

6. Projection avant/après

Le score projeté est calculé comme : min(100, score_actuel + somme(risk_reduction_pts des findings)).

⚠️ Disclaimer projection : la projection assume que toutes les actions du plan sont exécutées correctement et vérifiées par re-scan ProofOps. Aucun gain n'est garanti tant qu'un re-scan T1 ne le confirme pas. C'est ce que nous appelons "ProofOps T0/T1".

7. Coffre Merkle SHA-256 déterministe

Le Coffre Merkle de SECURIT-E est un arbre Merkle SHA-256 déterministe :

Canonicalisation JSON déterministe (clés triées) avant hash
Hash : SHA-256 (NIST FIPS 180-4)
Combine : sha256(min(a,b) || max(a,b)) — ordering lexicographique pour éviter chosen-plaintext attacks
Vérifiable : tout vérificateur peut re-calculer la racine en re-hashant les feuilles dans le même ordre

Endpoint public : POST /api/proofops/merkle avec actions build / verify / hash.

Honnête : nous ne publions pas le hash sur une blockchain (Bitcoin, Ethereum), nous ne le notarisons pas chez un huissier. Pour une chaîne de garde notariale réelle, prestation Audit Souverain-grade + procédure huissier sur devis.

8. Sources documentaires

Toutes nos analyses citent leurs sources publiquement. Voici les 28 références principales :

RFC 6797 (HTTP Strict Transport Security) — datatracker.ietf.org
RFC 7208 (Sender Policy Framework) — datatracker.ietf.org
RFC 7489 (Domain-based Message Authentication) — datatracker.ietf.org
RFC 8659 (DNS Certification Authority Authorization) — datatracker.ietf.org
RFC 9116 (security.txt) — datatracker.ietf.org
NIST SP 800-52 Rev. 2 (TLS Implementation Guidelines) — csrc.nist.gov
NIST SP 800-61r2 (Computer Security Incident Handling)
NIST SP 800-63B (Digital Identity Guidelines)
NIST SP 800-207 (Zero Trust Architecture)
NIST FIPS 180-4 (SHA-256)
ANSSI Guide d'hygiène informatique 2023 — cyber.gouv.fr
ANSSI EBIOS Risk Manager 2018
ANSSI Guide IA générative 2024
ANSSI Qualification PASSI / SecNumCloud
CERT-FR Bulletins d'actualité hebdomadaires
CISA KEV catalog (Known Exploited Vulnerabilities) — cisa.gov
MITRE ATT&CK Enterprise v15 (2024) — attack.mitre.org
MITRE D3FEND (defensive countermeasures)
OWASP Top 10 2021 + OWASP API Top 10 2023
OWASP Web Security Testing Guide v4.2
OWASP Secure Headers Project
ISO/IEC 27001:2022 + ISO/IEC 27002:2022 + ISO/IEC 27005:2022
Directive UE 2022/2555 NIS2 (transposition FR loi du 30 avril 2024)
Règlement UE 2016/679 RGPD
Règlement UE 2022/2554 DORA
Verizon DBIR 2024 / IBM Cost of a Data Breach 2024
FBI IC3 Annual Report 2024
Mandiant M-Trends 2024 / ENISA Threat Landscape 2024

Pour aller plus loin

Si une partie de cette méthodologie n'est pas claire ou si vous identifiez une faiblesse, écrivez à najib@securit-e.com. Nous publions et corrigeons.

Voir aussi : page Limites — ce que SECURIT-E ne fait PAS.