Entreprise · Conformité et preuves

Travaux de conformité,
mechanisé.

Les frameworks posent des questions ; la couche qui décide ce que vos agents voient doit y répondre avec des contrôles appliqués et des preuves vérifiables. LeanCTX mappe le Règlement UE sur l'IA, ISO/IEC 42001 et SOC 2 à des mécanismes qu'il applique réellement — et est explicite sur tout ce qu'il ne peut pas.

Honnêteté avant tout : LeanCTX est un outil de support pour le travail de conformité — pas un conseil juridique. "Aligné" est une déclaration technique sur les contrôles applicables, pas une certification. Chaque mappage comporte cet avertissement, et chaque devoir non couvert est une lacune documentée.

Les mappages

Trois frameworks, une matrice honnête chacun.

Des matrices de mappage lisibles par machine, épinglées à des éditions de framework exactes avec un cycle d'examen semestriel. Chacun est livré avec un pack de politique de framework implémentant la tranche applicable — héritez-en, étendez-le ou auditez votre propre pack par rapport à celui-ci.

Regulation (EU) 2024/1689

EU AI Act

11 des 14 contrôles mappés appliqués techniquement

Perspective du déployeur sur le flux de contexte : Art. 12 journalisation (anti-altération, toujours activé), Art. 26(6) conservation des journaux de six mois, Art. 10(5) masquage d'identifiant réglementé, Art. 14(4) surveillance et intervention via plafonds budgétaires stricts, Art. 15(5) contrôle d'accès. La gouvernance des données d'entraînement et les devoirs organisationnels sont des lacunes documentées — pas cachées.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Tranches Annex A applicables, lacunes documentées

A.6.2.6 journalisation des opérations, A.9.2 processus d'utilisation responsable — le pack de politique est la définition du processus appliquée par machine — A.9.4 application de l'usage prévu avec violations enregistrées, A.7.4 contrôle des données avant utilisation. L'AIMS lui-même est organisationnel par définition ; le mappage le dit.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Tranche de pipeline de contexte du TSC, preuves incluses

CC6.1 accès logique (portillon de capacité par défaut refusé), CC6.6 protection des limites (refus d'exfiltration + path jail), CC7.2 surveillance des anomalies (événements de sécurité typés), C1.1 confidentialité (masquage des identifiants et des informations d'identification). Les critères au niveau de l'entité restent avec votre organisation — le mappage trace la frontière.

pack: soc2-context

Source de vérité : les matrices de mappage dans le dépôt — TOML, révisables, diffables. Chaque affirmation de couverture complète nomme le test CI qui prouve l'application ; un test de dérive échoue la construction lorsque les affirmations et les tests divergent.

Rapports de couverture

La conversation d'audit, comme une commande.

Une seule commande rend ce que les évaluateurs veulent réellement voir : des verdicts par contrôle contre votre pack de politique réel et résolu — pas contre une brochure.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

APPLICABLE est vérifié en direct contre votre pack résolu — un pack faible passe à NON-APPLICABLE avec le code de sortie 1, de sorte que le rapport est traitable par CI. ENGINEERIE garantit de citer le test qui les prouve. Les lignes LACUNE indiquent ce qui reste un devoir organisationnel. --json pour votre outil GRC.

Rapport CISO signé

Un rapport unique, toute la période.

Compilez une plage de dates en un seul artefact exécutif : alignement OWASP-Top-10-for-Agents, couverture des frameworks, ce qui a réellement été bloqué et masqué par l'application, et la posture de rétention — signé Ed25519 et vérifiable hors ligne.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Honnête par construction : une période calme signale zéro blocage et une chaîne rompue est signalée, jamais cachée. Le JSON signé est toujours écrit ; --format pdf ajoute un PDF 1.7 sans dépendance pour le conseil d'administration. N'importe qui peut le revérifier avec lean-ctx compliance verify <report.json> — aucun piste d'audit, aucune installation LeanCTX requise.

Faisceaux de preuves

Les auditeurs vérifient — sans avoir à nous faire confiance.

lean-ctx exporte des preuves d'audit ZIP déterministes et signées Ed25519 : le segment d'audit infalsifiable pour la période, le paquet de politiques en vigueur résolu, et les rapports de couverture. Mêmes entrées, faisceau identique au niveau octet — régénérez et comparez.

Le contrepartie, leanctx-verify, est un outil autonome sans code moteur ni dépendances : une deuxième implémentation indépendante du contrat ouvert evidence-bundle-v1. Il s'exécute hors ligne, sur la machine de l'auditeur, en moins d'une minute :

1

Archive + manifeste

regroupe un bien formé et une version supportée

2

Inventaire des fichiers

chaque fichier correspond à son SHA-256, rien n'a été ajouté ni supprimé

3

Relecture de la chaîne

la chaîne de hachage d'audit est recalculée de l'ancre à la tête

4

Signature du manifeste

Ed25519 valide — par rapport à une clé hors bande si vous en avez une

5

Signatures des entrées

chaque ligne de journal individuellement signée et vérifiée

Testé contre les mutations : un seul octet modifié, une seule ligne supprimée, une clé incorrecte — INVALIDE. Le guide de l'auditeur explique en langage clair ce que prouvent les preuves et ce qu'elles ne peuvent pas (les événements sont protégés dès le moment où ils sont enregistrés — pas avant ; un modèle de menace honnête fait partie du format). Source du vérificateur : packages/leanctx-verify.

FAQ

Ce que les équipes de conformité demandent.

LeanCTX nous rend-il conforme au Règlement IA UE / ISO 42001 / SOC 2 ?

Aucun outil ne peut l'affirmer, et nous ne le faisons pas. LeanCTX applique techniquement les contrôles qui résident dans le pipeline de contexte — et prouve cette application avec des tests CI et des preuves d'exécution. Les matrices de mappage indiquent pour chaque contrôle si la couverture est complète (appliqué + testé), partielle (écart résiduel décrit) ou nulle (devoir organisationnel). La conformité est une évaluation humaine ; LeanCTX leur fournit des contrôles applicables et des preuves vérifiables.

Qu'y a-t-il exactement dans les matrices de mappage ?

Des fichiers TOML lisibles par machine, un par cadre, épinglés à une édition exacte du cadre avec un cycle d'examen semi-annuel. Chaque contrôle porte la clause, une exigence en une seule phrase, le mécanisme LeanCTX (règle de pack, événement d'audit, exportation de preuve), la preuve qu'un évaluateur reçoit, l'affirmation de couverture — et pour chaque affirmation complète, le nom du test CI qui prouve son application. Un test de dérive échoue la construction si une affirmation pointe vers un test inexistant.

Comment vérifier notre propre configuration par rapport à un cadre ?

lean-ctx policy coverage --framework eu-ai-act (ou iso42001, soc2) génère l'artefact de conversation d'audit : chaque contrôle comme APPLIQUÉ (vérifié en direct contre votre pack de politique résolu), MOTEUR (garantie moteur prouvée par CI), NON-APPLIQUÉ (votre pack ne contient pas la règle — code de sortie 1, bloquable par CI) ou ÉCAR (devoir organisationnel documenté). Ajoutez --json pour les machines.

Qu'est-ce qu'un bundle de preuves ?

Un ZIP déterministe et signé Ed25519 produit par lean-ctx audit evidence : le segment de chaîne d'audit à preuve de falsification pour une période, le pack de politique résolu qui était en vigueur, et les rapports de couverture CGB + cadre. Des entrées identiques produisent des bundles identiques octet par octet, permettant ainsi à deux parties de régénérer et comparer. Le format est un contrat ouvert (evidence-bundle-v1).

Comment un auditeur peut-il vérifier un bundle sans avoir à nous faire confiance ?

Avec leanctx-verify — un outil autonome qui ne partage aucun code avec le moteur et implémente le contrat publié de manière indépendante. Il rejoue la chaîne de hachage et vérifie toutes les signatures hors ligne en cinq étapes PASS/FAIL, en moins d'une minute. Des tests de mutation prouvent qu'un seul octet inversé, une ligne de journal supprimée ou une clé incorrecte rend le verdict INVALIDE. Un guide pour auditeur en langage simple explique ce que la preuve démontre — et, tout aussi explicitement, ce qu'elle ne peut pas démontrer.

Apportez des preuves à votre prochaine conversation d'audit.

Exécutez le rapport de couverture sur vos propres packs dès aujourd'hui — localement, gratuitement. Ou parlez-nous d'un pilote avec votre équipe de conformité impliquée.