PD-265 — Dossier de conformité Gate 3 (CONFORMITY_CHECK) — v1¶
Date : 2026-03-02 Gate : 3 (CONFORMITY_CHECK) Itération : v1 Documents évalués : PD-265-specification.md, PD-265-tests.md Sources : Review Claude (Phase 1), Confrontation ChatGPT (Phase 2)
1. Synthèse des écarts¶
| Gravité | Nombre |
|---|---|
| BLOQUANT | 4 |
| MAJEUR | 8 |
| MINEUR | 4 |
| Total | 16 |
2. Écarts détaillés¶
BLOQUANTS¶
ECT-01 — Machine d'états mono-état contradictoire¶
Type : Contradiction Sources : Review POINT-01, Confrontation Zone d'ombre §6 Description : La machine d'états est mono-état (§5.4). INV-265-11 déclare ce modèle exhaustif. Mais INV-265-01/02/05/07 imposent chacun un changement d'état inconditionnel vers un DEGRADED_* distinct. En cas de défaillances multiples simultanées (NTS + OCSP), les invariants sont mutuellement exclusifs. Impact : Le système ne peut signaler qu'une seule défaillance, masquant les autres. Violation traçabilité et conformité. Critère affecté : completeness
AMB-01 — Blocage TST non spécifié pour 3 états¶
Type : Ambiguïté Sources : Review POINT-02, Confrontation DIV-01 Description : Le blocage d'émission TST est explicite pour DEGRADED_NTS et DEGRADED_REVOCATION, mais absent pour DEGRADED_TRUSTLIST, DEGRADED_KEY_LIFECYCLE et MAINTENANCE. Impact : Un TST signé par une autorité retirée de la Trusted List ETSI ou par une clé périmée pourrait être non conforme eIDAS. Critère affecté : completeness
AMB-02 — Délai contractuel re-horodatage non défini¶
Type : Ambiguïté Sources : Review POINT-03, Confrontation Zone d'ombre §1 Description : INV-265-06 et TC-ERR-10 référencent un « délai contractuel de traitement » sans valeur numérique. Le rehorodatageLeadTime définit la fenêtre d'éligibilité, pas le délai max de traitement. Impact : INV-265-06 est non testable. TC-ERR-10 ne peut pas être implémenté. Critère affecté : testability
ECT-02 — Contrainte croisée ntsCheckInterval/maxDegradedDuration¶
Type : Hypothèse dangereuse Sources : Review POINT-07 Description : Retour DEGRADED_NTS → HEALTHY requiert 2 contrôles consécutifs. Avec ntsCheckInterval max=3600s, retour min=7200s. Mais maxDegradedDuration min=5min. Configuration valide individuellement mais impossible opérationnellement. Impact : Escalade critique déclenchée avant retour possible. Aucune contrainte croisée spécifiée. Critère affecté : testability
MAJEURS¶
ECT-03 — rehorodatageBatchSize clamp vs INV-265-12¶
Type : Contradiction Sources : Review POINT-04 Description : INV-265-12 interdit les hypothèses implicites. rehorodatageBatchSize utilise un « Clamp à max » au lieu du rejet appliqué aux 13 autres paramètres. Critère affecté : clarity
DIV-01 — Fraîcheur CRL ajoutée par tests¶
Type : Incohérence Spec↔Tests Sources : Review POINT-05 Description : TC-NOM-03 ajoute une contrainte de fraîcheur CRL (crlMaxAge) au retour DEGRADED_REVOCATION→HEALTHY, absente de §5.4. Critère affecté : clarity
DIV-02 — Mapping INV-265-10 → CA-04 incorrect¶
Type : Incohérence Spec↔Tests Sources : Review POINT-06 Description : INV-265-10 (roundtrip sign+verify) mappé vers CA-04 (rotation clé HSM). Deux exigences distinctes. Critère affecté : traceability
AMB-03 — État MAINTENANCE vide¶
Type : Ambiguïté Sources : Review POINT-08 Description : MAINTENANCE est un état valide mais aucun invariant, CA ou flux ne définit les restrictions (TST, contrôles, clés). Critère affecté : completeness
AMB-04 — Archivage logique de clé non défini¶
Type : Ambiguïté Sources : Review POINT-09 Description : « Archivage logique » utilisé sans définition : accès pour vérification, suppression HSM, label post-archivage, ré-activation. Critère affecté : completeness
AMB-05 — maxDegradedDuration scope et action non définis¶
Type : Ambiguïté Sources : Review POINT-11 Description : Le SLA maxDegradedDuration ne précise pas : scope (par état ou cumulé), action concrète d'escalade. Critère affecté : testability
DIV-03 — NTP non spécifié¶
Type : Ambiguïté Sources : Confrontation DIV-02 Description : Le périmètre mentionne « NTS/NTP » mais seul NTS est détaillé dans invariants/flux. Critère affecté : completeness
DIV-04 — Observabilité événement signé¶
Type : Incohérence Spec↔Tests Sources : Confrontation DIV-03 Description : Les tests imposent « événement signé/horodaté » et « motif normé » pour les alertes, non contractualisés dans la spec. Critère affecté : clarity
MINEURS¶
MIN-01 — Transitions MAINTENANCE non testées¶
Type : Incohérence Spec↔Tests Sources : Review POINT-10 Description : Aucun test nominal pour HEALTHY→MAINTENANCE et MAINTENANCE→HEALTHY. Critère affecté : traceability
MIN-02 — Alerte critique non définie¶
Type : Ambiguïté Sources : Review POINT-12 Description : « Alerte critique » utilisée dans 5 contextes sans définition de format, canal, consommateur. Critère affecté : clarity
MIN-03 — Fenêtre divergence 24h révocation¶
Type : Risque conformité Sources : Review POINT-13 Description : Fenêtre de divergence état/réalité pouvant atteindre 24h (ocspCheckInterval max). Critère affecté : completeness
MIN-04 — Re-horodatage en DEGRADED_KEY_LIFECYCLE¶
Type : Hypothèse dangereuse Sources : Review POINT-14 Description : Dilemme non résolu : re-horodatage autorisé ou non avec clé périmée. Critère affecté : completeness
3. Scoring par critère¶
| Critère | Score | Justification |
|---|---|---|
| completeness | 5.0 | 2 BLOQUANTS (ECT-01, AMB-01) + 3 MAJEURS (AMB-03, AMB-04, DIV-03) + 2 MINEURS (MIN-03, MIN-04). État machine fondamentalement incomplet. |
| testability | 5.0 | 2 BLOQUANTS (AMB-02, ECT-02) + 1 MAJEUR (AMB-05). Deux invariants non testables. |
| clarity | 6.0 | 3 MAJEURS (ECT-03, DIV-01, DIV-04) + 1 MINEUR (MIN-02). Structure bonne mais ambiguïtés significatives. |
| traceability | 7.5 | 1 MAJEUR (DIV-02) + 1 MINEUR (MIN-01). Bonne matrice de couverture, un mapping incorrect. |
Moyenne : (5.0 + 5.0 + 6.0 + 7.5) / 4 = 5.875
4. Hypothèses¶
- Les écarts sont comptés après fusion review (Claude) + confrontation (ChatGPT)
- Les divergences confrontation confirmant des points de review ne sont pas doublées
- Le scoring utilise uniquement les écarts non résolus (v1 = tous non résolus)