Skip to main content

Documentation Index

Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt

Use this file to discover all available pages before exploring further.

Project State

Document vivant de l’état du projet. Remplace les snapshots datés (project-state-2026-03-02.md, milestone-1-lockdown-2026-03-02.md archivés). Dernière revue majeure : 2026-04-14 (revue complète de la documentation).

Cible commerciale

  • V1 commerciale : Q2 2026
  • Cible client : PME France / Europe, zéro maturité sécurité, turnkey managed service
  • Mode : solo dev (Nicolas, fondateur + expert MSSP)

Métriques produit

DomaineMétriqueValeur
Audit engineContrôles évalués220 (CIS M365 v6.0.1 : 140 + CISA SCuBA v1.5.0 : 94)
Audit engineProduct areas8 (Entra, Exchange, Teams, SharePoint, Defender, Purview, Fabric, Intune)
Audit engineAutomatisation87% (26 contrôles SCuBA EXO encore manual)
PlateformeModèles Prisma13
PlateformeDocuments GRC générés8 (PSSI, Access, Incident, Remediation, Classification, Breach Notification, IT Charter, Processing Register)
PlateformeRôles applicatifs3 (MSSP_ADMIN, ANALYST, CLIENT_USER)
PlateformeLangues rapportsFR + EN

État par chantier

Moteur d’audit — 87% complet

  • ✅ 220 contrôles évalués via Graph API + cmdlets EXO/Teams/PnP
  • ✅ Schema v3.0 (7 statuts), artefacts JSON
  • ✅ OIDC Workload Identity Federation en CI (zero long-lived secret)
  • ✅ Pre-flight permissions (Test-MsspRequiredPermissions)
  • ✅ Hybrid detection (Test-MsspTenantHybrid) + applicability.hybridOnly gate
  • ✅ Manual validation guides pour contrôles non automatisables
  • ⏳ 13 faux positifs à diagnostiquer (1 résolu sur 14 identifiés)
  • ⏳ 26 SCuBA EXO à automatiser (Attachment filtering, Malware scanning, Anti-Phishing, Spam, Safe Links, DLP, Alerts, Audit Logging)

Plateforme SaaS — 95% complet

  • ✅ Next.js 16 + React 19 + Prisma 7 (13 modèles) + PostgreSQL + Redis + BullMQ
  • ✅ Auth NextAuth v5 + Entra ID SSO (cert X.509 via Vault), RBAC 3 rôles
  • ✅ Multi-tenant (domaine → Vault → SSO config) + audit log applicatif
  • ✅ Orchestration audits : trigger UI → GitLab CI → webhook → BullMQ → Prisma → alertes
  • ✅ Reviewer workflow (ControlReviewHistory)
  • ✅ 8 documents GRC (DOCX + PDF, FR + EN)
  • ✅ Rapports audit PDF/Excel/HTML
  • ✅ Observabilité Sentry full-pipeline + scrubbing PII
  • ✅ Portail client read-only, scheduling BullMQ, API keys, gestion secrets (AES-256-GCM)
  • ⏳ Zéro test Vitest/Playwright — bloquant V1
  • ⏳ Intégration DICT (tagging 220 contrôles + radar 4 axes dashboard)

Infrastructure — prod-ready (pré-prod local)

  • ✅ Docker Compose overlays par service (app, postgres, redis, vault, traefik, openproject)
  • ✅ Vault Shamir seal (5 shares, threshold 3 — 3 DR Owner + 2 trustee notaire) + AppRole
  • ✅ Prisma 7 avec prisma.config.ts + regenerate au container startup
  • ✅ Traefik : mkcert en dev, Let’s Encrypt en prod
  • ⏳ Déploiement VPS production OVH (actuellement pré-prod Docker Desktop Windows, cible MacBook Pro + VPS)

Gates bloquants V1

Priorité immédiate avant démo Q2 2026 :
  1. 14 faux positifs audit — impacte crédibilité score client
  2. 26 SCuBA EXO automation — complétude perçue du framework
  3. Tests plateforme — zéro couverture → risque régression
  4. DICT integration — différenciateur cohérent avec PSSI ANSSI
Voir ROADMAP.md pour le détail et les P2/P3.

Dépendances clés

DépendanceVersionContrainte / Risque
Next.js16 (Turbopack)Stable, aligné React 19
Prisma7prisma.config.ts obligatoire (breaking vs 6.x)
NextAuthv5Rotation AUTH_SECRET invalide toutes sessions
Vault1.xShamir shares perdus = perte secrets (5/3 + trustee notaire mitige, cf. dr/01-keyholders.md)
GitLab CISaaSOIDC WIF stable, rotation token manuelle
SentrySaaSMigration self-hosted planifiée Q3-Q4 2026
Graph APIv1.0 + betaPropriétés beta peuvent changer (vérifier via MCP avant chaque édition)

Documentation