Aller au contenu principal

Pour les industries réglementées

Quand votre code ne peut pas légalement quitter votre périmètre.

Défense, santé (HDS), finance, secteur public, infrastructures critiques — vos obligations contractuelles interdisent d'envoyer du code source vers un cloud tiers. StaticCodeAudit s'exécute entièrement sur votre matériel. Sans exception.

Secteurs concernés

🛡️

Défense & souveraineté

Le code classifié par les cadres de sécurité nationale ne peut pas être téléversé vers un SaaS commercial. La plupart des éditeurs SAST cloud sont hors périmètre.

À retenir : RGS (FR), DoD Instruction 8500.01, NATO STANAG 4774.

🏥

Santé

HDS (FR), HIPAA (US), RGPD Art. 9 — flux de données de santé patients. Les applications qui les manipulent sont des logiciels auditables, mais le code source lui-même est souvent classifié.

À retenir : HDS, HIPAA, ISO 27799.

🏦

Finance

Logiques de détection de fraude, algorithmes de market-making, modèles de risque — du code qui est la propriété intellectuelle. L'envoyer à un analyseur SaaS crée une surface d'attaque tierce que la plupart des RSSI refusent d'accepter.

À retenir : DORA, PCI-DSS, ISO 27001 Annexe A.

🏛️

Secteur public

RGS (FR), BSI Grundschutz (DE), règles de marché public qui imposent un hébergement souverain et excluent les SaaS américains pour le code sensible.

À retenir : RGS, BSI IT-Grundschutz, ENS (ES).

Ce que vous obtenez

  • Zéro appel sortant pendant l'analyse — vérifiable avec tcpdump. Voir le journal d'audit.
  • Matrice de conformité ISO 27001:2022 Annexe A (93 contrôles), pré-remplie dans le rapport HTML que vous remettez à votre auditeur.
  • Matrice de vérifications OWASP ASVS v5.0.0 (348 exigences, 17 chapitres).
  • Mapping NIST CSF 2.0 (108 sous-catégories) pour la conformité alignée États-Unis / Canada.
  • Export SBOM CycloneDX 1.5 — exigé par le Cyber Resilience Act européen et le Executive Order 14028 américain.
  • Export SARIF 2.1.0 avec tags CWE — s'intègre aux tableaux de bord GitHub/GitLab Advanced Security.
  • Déploiement souverain — binaire unique, fonctionne sur Linux/macOS/Windows, sans Docker, sans JVM, sans base de données.
  • Clause DPO / juridique pré-rédigée pour votre dossier de risque fournisseur. La copier depuis ici.

Frameworks de conformité couverts par StaticCodeAudit

Chaque finding embarque ses metadata de mapping explicite. Quand vous exportez le SARIF ou consultez le HTML, chaque issue est traçable à :

ISO/IEC 27001:2022

Contrôles Annexe A.5–A.8. Findings tagués avec le contrôle qu'ils mettent en évidence (ex. A.8.4 « Accès au code source »).

OWASP Top 10 (2021) + ASVS v5.0.0

Référence standard pour la sécurité applicative. Exigences ASVS niveau 1/2/3 mappées sur des règles spécifiques (47 exigences couvertes).

NIST CSF 2.0

Identify-Protect-Detect-Respond-Recover. Règles taguées avec sous-catégories pertinentes (PR.DS, DE.CM, etc.) — 108 règles mappées.

CWE / CVE

100% des règles builtin portent au moins un identifiant CWE. Références CVE optionnelles pour les règles détectant des patterns de bibliothèques vulnérables.

WCAG 2.1 (UX/accessibilité)

Findings d'accessibilité en HTML / templates mappés sur les critères WCAG 2.1 niveau A/AA — utile pour les marchés publics.

Frameworks sectoriels (reconnus par les régulateurs)

  • Défense / Aérospatial — directives ANSSI (FR), CMMC L2-L3 (chaîne d'approvisionnement DoD US), MIL-STD-1474.
  • Santé — HIPAA Security Rule (US), HDS (FR), ISO 27799, FDA 510(k) validation logicielle.
  • Finance / Banque — PCI-DSS v4.0 §6.2 développement sécurisé, DORA Art. 8 risques TIC, directive NIS2, lignes directrices EBA sur les TIC.
  • Secteur public — eIDAS, clauses ISO 27001 marchés publics, lignes directrices ENISA, services essentiels NIS2.
  • Énergie / Infrastructures critiques — NIS2 Annexe I, NERC CIP (réseau US), IEC 62443 (industriel), NIST SP 800-82.

Preuves d'audit qui survivent à une inspection régulateur

Le rapport HTML inclut le mapping de chaque finding. L'inspecteur d'un régulateur peut vérifier, pour chaque ligne de code source :

  • Quelle règle a déclenché (rule ID + version).
  • Sur quel standard la règle mappe (CWE, OWASP, ISO, ASVS, NIST CSF).
  • Quel sanitizer ou correctif est recommandé (avec exemple de code).
  • La sévérité et la base de cette sévérité (score de risque CWE + contexte organisationnel).
  • Le hash SHA-256 du binaire utilisé (publié sur notre page download).

Comme chaque artefact est en texte clair ou HTML, un régulateur peut archiver l'intégralité du dossier — pas de viewer propriétaire, pas de dashboard SaaS qui pourrait être indisponible dans 5 ans si l'audit est ré-ouvert.

Questions fréquentes (industries régulées)

StaticCodeAudit produit-il un export SARIF compatible avec notre GRC existant ?

Oui. SARIF v2.1.0 est le format OASIS standard. Des outils comme ServiceNow, Jira Security, RSA Archer, MetricStream et Hyperproof ingèrent SARIF nativement. L'option CLI --export sarif produit un JSON unique à côté du rapport HTML.

Le binaire tourne-t-il en environnement air-gapped (sans internet, sans DNS) ?

Oui. Le binaire n'a aucun chemin de code réseau. Il lit les fichiers sources sur disque, écrit un rapport sur disque, quitte. Adapté aux SCIF (US), zone restreinte (FR), sicherer Bereich (DE) et environnements classifiés équivalents.

Qu'en est-il de l'article 21 NIS2 — attestations chaîne d'approvisionnement logicielle ?

StaticCodeAudit produit un SBOM au format CycloneDX (--export sbom). Combiné aux findings SARIF, cela fournit la preuve « mesures techniques et organisationnelles » requise par NIS2 Art. 21(2)(d) pour les entités concernées. Le SBOM CycloneDX liste les dépendances avec versions et hash pour l'attestation chaîne procurement.

Signez-vous votre binaire pour vérification d'intégrité HIPAA / SOC 2 ?

Oui. Chaque release de binaire a un hash SHA-256 publié sur notre page download (la même exposée via /try.php et les URLs de livraison client). Pour Windows, le .exe est signé avec un certificat Authenticode. Les builds macOS sont notarisés. Les builds Linux livrent des signatures détachées.

Y a-t-il une auto-attestation à inclure dans notre audit SOC 2 ?

Oui — notre page sécurité publique (/security.php) décrit l'architecture 100% hors-ligne et la posture zéro appel sortant. Nous pouvons aussi fournir une lettre signée sur demande pour inclusion dans un dossier de preuves SOC 2 Type II (contact : contact@codefixture.com).

Parlez à un ingénieur sécurité de CodeFixture

Nous pouvons signer la clause de flux de données pour votre dossier fournisseur, exécuter StaticCodeAudit sur un échantillon de votre code en partage d'écran, et répondre directement à vos questions de conformité.

Contacter le fondateur