Ce que contient la piste d’audit
Chaque décision de gouvernance dans Fundamentum génère un enregistrement d’audit structuré. L’enregistrement est immuable — il ne peut être supprimé, modifié ni altéré rétroactivement. Les enregistrements sont liés cryptographiquement : chacun contient le hachage du précédent, de sorte que toute altération d’un enregistrement historique est immédiatement détectable.
| Champ | Contenu | Objet |
|---|---|---|
| Type d’événement | Déploiement OTA, commande, transition d’état, changement de politique, opération sur identifiant | Classification pour filtrage et rapports |
| Identité de l’acteur | Identité cryptographique de l’entité demandeuse (appareil, utilisateur, API, service) | Non-répudiation — « je n’ai pas autorisé ça » est réfutable |
| Cible | ID d’appareil, catégorie d’appareils ou sous-ensemble de flotte | Portée de l’action |
| Version de politique | Hachage de la configuration de politique en vigueur au moment de la décision | Reproductibilité — la décision peut être réévaluée selon les mêmes règles |
| Décision | Accordée / Refusée, avec justification complète | Preuve de conformité et reconstruction d’incident |
| Horodatage | Horodatage signé cryptographiquement par l’autorité de temps de Fundamentum | Séquençage inviolable |
| Hachage de chaîne | Hachage de l’enregistrement précédent | Détection d’altération — toute modification brise la chaîne |
SOC 2 Type II — ce que ça signifie en pratique
SOC 2 Type II n’est pas un questionnaire ni une auto-évaluation. C’est un audit indépendant qui évalue si les contrôles de sécurité d’une entreprise fonctionnent réellement comme prévu — pas seulement s’ils existent sur papier. Fundamentum opère sous un périmètre SOC 2 Type II audité par RCGT, avec un rapport daté du 15 avril 2026, au sein du Groupe Vectanor.
Ce que SOC 2 Type II débloque pour les clients d’Amotus : Les équipes d’approvisionnement qui exigent une attestation de sécurité de leurs fournisseurs peuvent accepter le rapport SOC 2 Type II comme preuve. Les organisations de santé soumises à HIPAA et aux exigences de Santé Canada peuvent l’inclure dans leur dossier de diligence raisonnable. Les assureurs l’utilisent pour réduire le profil de risque évalué des déploiements gouvernés par Fundamentum. Les bureaux d’approvisionnement en défense l’incluent dans la qualification de fournisseurs compatible CPCSC.
Cas d’usage de conformité
- Reconstruction d’incident : Quand quelque chose tourne mal à grande échelle, la piste d’audit fournit une chronologie complète et inviolable de ce qui a été autorisé, par qui, sous quelle politique, à quel moment. Le délai moyen de diagnostic des incidents sur flottes gouvernées est mesurablement plus court.
- Soumission réglementaire : Les régulateurs de la santé, de l’énergie et des services financiers exigent de plus en plus des preuves de procédures de contrôle des appareils. La piste d’audit de Fundamentum les fournit dans un format structuré et exportable.
- Documentation d’assurance : Les assureurs cyber évaluent le profil de risque d’une flotte selon l’existence et la qualité des contrôles de gouvernance. La certification SOC 2 Type II et une piste d’audit démontrable sont des facteurs matériels dans le calcul des primes.
- Preuve de SLA client : Les clients d’entreprise qui achètent des produits ou services connectés peuvent exiger une preuve de gouvernance des mises à jour. La piste d’audit fournit une preuve cryptographique de chaque décision — horodatages, autorisation et résultat.