1) Mandat (autorisation)
- Aucune action intrusive sans mandat signé et périmètre défini.
- Le mandat précise : objectifs, cibles autorisées (allowlist), fenêtres, limites et règles d’arrêt.
- Contacts d’urgence et procédure de suspension immédiate.
- Traçabilité : chaque action est rattachée à un mandat et à un scope.
2) Périmètre (scope)
- Allowlist : domaines, IPs, applications, environnements (prod/stage) explicitement autorisés.
- Accès, comptes de test, contraintes et dépendances tiers clarifiés au cadrage.
- Pas d’extension implicite du périmètre : validation écrite requise.
3) Méthodologie & garde‑fous
- OSINT / vérifications externes non intrusives selon fréquence convenue.
- Tests intrusifs : opt‑in, rate limits, règles d’arrêt, minimisation du risque opérationnel.
- Preuves reproductibles, pas d’exfiltration inutile.
4) Validation humaine & livraison
- Revue humaine : triage, réduction des faux positifs, priorisation.
- Restitution : synthèse dirigeant + détail technique + preuves (Proof Vault).
- Débrief et retest sur demande (selon mandat).
Cadre contractuel
Le cadre (responsabilités, limites) est décrit dans les CGU/CGV ; le mandat précise le scope concret et les autorisations.