IVS 2025 · OWASP ASVS 5 · ISO 27001:2022 · NIST SSDF · CWE Top 25

Une méthodologie scientifique,
pas un avis.

Six axes d'évaluation, cinq référentiels publics croisés, sept méthodes de valorisation. Chaque information est adossée à sa source de vérité et accompagnée d'un score de confiance. La méthodologie est publiée, reproductible, et contredisable — c'est le but.

Les 6 axes

Scope complet. RGPD & RA obligatoires. Aucune impasse.

La 1ère solution qui intègre les six dimensions d'une évaluation technique en une seule passe. Conformité réglementaire et Risk Assessment ne sont pas des options payantes — elles sont dans chaque évaluation.

Poids : 18 % 01 / Qualité
Qualité du code

Mesure la lisibilité, la maintenabilité et la robustesse du code source. Chaque métrique est sourcée.

  • Complexité cyclomatique (Radon)
  • Duplication & couverture de tests
  • Type safety & linting
  • Référentiels : IVS §60.4, NIST PW.7
Poids : 25 % 02 / Sécurité
Sécurité & vulnérabilités

Pipeline multi-scanners avec déduplication. Chaque finding pointe vers son CWE/ASVS et porte un score de confiance.

  • Bandit, Trivy, Semgrep croisés
  • OWASP ASVS 5 levels L1-L3
  • CWE/SANS Top 25 v4.18
  • Référentiels : ISO A.8.25-28, NIST RV.1-3
Poids : 20 % 03 / Architecture
Architecture & modularité

Évalue la structure, le couplage et la maturité architecturale. Détection automatique du pattern.

  • Monolithique, microservices, modulaire
  • Bounded contexts & couplage
  • ADR coverage
  • Référentiels : IVS §60.2, ISO A.8.27
Poids : 12 % 04 / Scalabilité
Scalabilité & performance

Détecte les anti-patterns de montée en charge et les goulots d'étranglement potentiels.

  • Idempotence des jobs
  • Détection N+1, cache, queueing
  • Capacité de scaling horizontal
  • Référentiels : IVS §60.3, NIST PW.5
Poids : 15 % 05 / Maintenabilité
Maintenabilité & équipe

Mesure la capacité de l'équipe à faire évoluer le codebase. Bus factor, documentation, onboarding.

  • Bus factor & répartition commits
  • ADRs & documentation
  • Temps d'onboarding estimé
  • Référentiels : IVS §60.5, ISO A.5.37
Poids : 10 % · ★ Obligatoire 06 / Conformité
RGPD & Risk Assessment

Évaluation de la conformité réglementaire et analyse des risques. Intégré d'office dans chaque évaluation — pas en option.

  • RGPD articles 25, 32, 35
  • Risk Assessment complète
  • Licences & red flags
  • Grade A/B/C/D · multiplicateur valo
Pondération

Des poids publiés, calibrés sur 52 184 repos.

Les pondérations par défaut reflètent la distribution observée sur 14 verticales. Elles sont reproductibles et contestables — c'est le but.

§ 5.1 · Pondération par axe Méthodologie v3.4 · calibration Q4-2025
Axe Poids Sources de vérité Outils
Sécurité 25 % OWASP ASVS 5, CWE Top 25, ISO A.8.25-28, NIST RV.1-3 Bandit · Trivy · Semgrep
Architecture 20 % IVS §60.2, ISO A.8.27, NIST PO.3 AST analysis · dependency graph
Qualité 18 % IVS §60.4, NIST PW.7, CWE Top 25 Radon · ESLint · coverage tools
Maintenabilité 15 % IVS §60.5, ISO A.5.37, NIST PO.5 Git log analysis · ADR detection
Scalabilité 12 % IVS §60.3, ISO A.8.6, NIST PW.5 Pattern detection · N+1 finder
Conformité ★ 10 % RGPD art. 25/32/35, ISO A.5-A.8, NIST PS.1-3 Red flag engine · license scanner
Score de confiance

Chaque donnée porte son degré de certitude.

Pas de boîte noire. Chaque métrique, chaque finding du rapport est accompagné d'un pourcentage de confiance (confidence %) qui exprime la fiabilité de la mesure.

— Évaluation classique

  • ? Aucune indication sur la fiabilité d'un findingLe rapport dit « 3 vulnérabilités critiques » — confiance ?
  • ? Pas de source de vérité traçableD'où vient ce score ? Quel outil ? Quel §?
  • ? Impossible de contredire un résultatGrille propriétaire, non reproductible

+ Approche ledgerlens

  • 97 % Confidence sur « CWE-89 détecté en auth.py:42 »3 scanners convergent · AST match · pattern vérifié
  • §5.1 Source de vérité : OWASP ASVS 5 §5.1.3Lien direct vers le paragraphe du standard
  • 100 % Reproductible · même commit = même rapportMéthodologie publiée, contestable ligne à ligne
Valorisation

Sept méthodes croisées. Une fourchette, pas un point.

La valorisation technique n'est pas une science exacte — c'est pour ça qu'on croise sept méthodes et qu'on donne un intervalle Bear / Base / Bull. Backtest ±8 % sur 1 412 deals clôturés.

Berkus
Évaluation pré-revenue

Critères qualitatifs : idée, prototype, équipe, marché, traction. Adapté aux early-stage.

DCF
Discounted Cash Flow

Actualisation des flux futurs projetés. Pondéré par le score de maturité technique.

Multiple ARR
Multiples de revenu récurrent

Multiples sectoriels calibrés sur les transactions comparables de la verticale.

Cost-to-Dup
Coût de reproduction

Estimation du coût de reconstruction du codebase from scratch. LoC × complexité × taux jour.

Scorecard
Comparaison pondérée

Benchmark vs. startups de référence sur critères standardisés (équipe, tech, marché).

VC Method
Retour attendu investisseur

Méthode du retour attendu : valeur de sortie estimée, actualisée au taux attendu par le fonds.

Comps
Transactions comparables

Benchmarking sur les deals similaires clôturés dans la verticale (1 412 transactions calibrées).

RGPD & Risk Assessment

Pas une option. Un pré-requis.

Chez ledgerlens, la conformité RGPD et la Risk Assessment sont intégrées dans chaque évaluation, quel que soit le plan choisi. Un investisseur a besoin de ces données pour prendre une décision éclairée — on ne les cache pas derrière un paywall.

RGPD art. 25
Protection dès la conception

Vérification que le code intègre les principes de privacy by design : minimisation, pseudonymisation, consentement.

RGPD art. 32
Sécurité du traitement

Évaluation des mesures techniques : chiffrement, contrôle d'accès, journalisation, résilience.

RGPD art. 35
Analyse d'impact (DPIA)

Détection des traitements à risque élevé nécessitant une analyse d'impact formelle.

Risk Assessment
Évaluation des risques

Analyse systématique : licences manquantes, secrets commités, dépendances vulnérables, red flags contractuels.

Monitoring continu

Un dashboard pour suivre l'évolution et décider.

L'évaluation ne s'arrête pas au premier rapport. Le dashboard de suivi trace l'évolution des 6 scores dans le temps, détecte les régressions, et aide CTO et investisseurs à prendre des décisions fondées sur des données.

Évolution
Scores dans le temps

Graphiques d'évolution des 6 axes sprint après sprint. Visualisation des tendances long terme.

Alertes
Détection de régression

Notifications automatiques quand un axe chute sous un seuil configurable. Pas de surprise en comité.

Comparaison
Diff inter-sprints

Comparaison détaillée entre deux évaluations : quels findings ont été corrigés, quels nouveaux sont apparus.

Décision
Aide à la décision

Synthèse exécutive : points d'attention, recommandations prioritaires, impact estimé sur la valorisation.

Signature & vérification

Signé. Horodaté. Vérifiable par n'importe qui.

Chaque rapport est signé en Ed25519, hashé en SHA-256, et vérifiable publiquement sans authentification.

Hash
SHA-256 du repo

Le hash du dépôt au commit scanné est inclus dans le rapport. Toute modification du code invalide la correspondance.

Signature
Ed25519

Signature cryptographique du rapport complet. Clé publique rotée annuellement et publiée.

Vérification
Page publique /verify

N'importe qui peut vérifier l'authenticité d'un rapport en collant sa référence — sans compte, sans login.

i18n
7 langues

Interface et rapports disponibles en FR, EN, ES, DE, IT, PT, AR. Findings et recommandations entièrement localisés.

Read code like a balance sheet.

Six axes, score de confiance sur chaque donnée, RGPD & RA inclus, dashboard de suivi, 7 langues. Évaluation gratuite en 7 minutes.

Évaluation gratuite → Retour à l'accueil
Aucune carte requise · OAuth GitHub · Premier rapport en ~7 min