GRC Cybersecurity
Model security controls, compliance claims, and evidence as a knowledge graph. Validate coverage with SHACL shapes. Query gaps with SPARQL. This guide applies the Agent Service Contract ontology and the bra0 application profile to GRC (Governance, Risk, Compliance). Modélisez contrôles de sécurité, déclarations de conformité et preuves en graphe de connaissances. Validez la couverture avec des shapes SHACL. Interrogez les lacunes en SPARQL. Ce guide applique l'ontologie Agent Service Contract et le profil applicatif bra0 à la GRC (Gouvernance, Risque, Conformité).
rudof installed for SHACL validation. The ontology files retroeng.ttl (GRC extension) and bra0-application-profile.ttl. No server, no account, no data leaves your machine.
rudof installé pour la validation SHACL. Les fichiers d'ontologie retroeng.ttl (extension GRC) et bra0-application-profile.ttl. Aucun serveur, aucun compte, aucune donnée ne quitte votre machine.
What this guide produces Ce que ce guide produit
A structured GRC knowledge graph where every compliance claim links to a regulatory framework, a verification status, and evidence. SHACL shapes detect unlinked claims, undocumented security measures, and AI models without human-in-the-loop status. The output is queryable by SPARQL and versionable with Git. Un graphe de connaissances GRC structuré où chaque déclaration de conformité est liée à un cadre réglementaire, un statut de vérification et des preuves. Les shapes SHACL détectent les déclarations non liées, les mesures de sécurité non documentées et les modèles IA sans statut HITL. La sortie est interrogeable par SPARQL et versionnable avec Git.
Steps Étapes
Define regulatory frameworks Définir les cadres réglementaires
Each regulatory framework (NIS2, AI Act, DORA, ISO 27001) is a named resource. Compliance claims reference these frameworks. The verification status is explicit: Verified (audited), Claimed (self-declared), or Gap (not covered). Chaque cadre réglementaire (NIS2, AI Act, DORA, ISO 27001) est une ressource nommée. Les déclarations de conformité référencent ces cadres. Le statut de vérification est explicite : Verified (audité), Claimed (auto-déclaré), ou Gap (non couvert).
@prefix re: <https://omyn.ai/schema/retroeng#> . @prefix rdfs: <http://www.w3.org/2000/01/rdf-schema#> . :fw-nis2 a re:RegulatoryFramework ; rdfs:label "NIS2 Directive"@en ; re:jurisdiction "EU" ; re:effectiveDate "2024-10-18"^^xsd:date . :fw-aiact a re:RegulatoryFramework ; rdfs:label "EU AI Act"@en ; re:jurisdiction "EU" ; re:effectiveDate "2024-08-01"^^xsd:date . :fw-dora a re:RegulatoryFramework ; rdfs:label "DORA"@en ; re:jurisdiction "EU" ; re:effectiveDate "2025-01-17"^^xsd:date .
Model compliance claims with evidence Modéliser les déclarations de conformité avec preuves
A compliance claim links a regulatory framework to a verification status and traceability evidence (PROV-O). Each claim can reference the source screen, document, or audit report it was derived from. Une déclaration de conformité lie un cadre réglementaire à un statut de vérification et des preuves de traçabilité (PROV-O). Chaque déclaration peut référencer l'écran, le document ou le rapport d'audit source.
:claim-nis2 a re:ComplianceClaim ; rdfs:label "NIS2 compliance support"@en ; re:supportsFramework :fw-nis2 ; re:verificationStatus re:Claimed ; prov:wasDerivedFrom :screen-compliance-dashboard . :claim-aiact a re:ComplianceClaim ; rdfs:label "AI Act transparency — risk scoring explainability"@en ; re:supportsFramework :fw-aiact ; re:verificationStatus re:Gap ; # No evidence found — explainability feature not observed rdfs:comment "Vendor claims AI Act readiness but no explainability UI observed."@en .
Model security controls and AI subsystems Modéliser les contrôles de sécurité et sous-systèmes IA
Security measures, software products, and AI models are typed resources. AI models require additional metadata: the base model, the training data status, and the human-in-the-loop classification (Regime S = deterministic platform, Regime C = probabilistic agent — see Computational Grounding corollary). Les mesures de sécurité, produits logiciels et modèles IA sont des ressources typées. Les modèles IA nécessitent des métadonnées supplémentaires : le modèle de base, le statut des données d'entraînement, et la classification HITL (Régime S = plateforme déterministe, Régime C = agent probabiliste — voir le corollaire d'ancrage computationnel).
:ai-risk-engine a re:AIModel ; rdfs:label "Risk scoring engine"@en ; re:basedOnModel "undisclosed" ; re:hitlStatus "unknown" ; re:verificationStatus re:Claimed . :mfa-enforcement a re:SecurityMeasure ; rdfs:label "MFA enforcement on all admin accounts"@en ; re:linkedToProduct :product-platform ; re:verificationStatus re:Verified .
Validate with SHACL shapes Valider avec des shapes SHACL
Four SHACL shapes encode the minimum governance requirements for a GRC knowledge graph. Each violation is a gap in the compliance posture. Quatre shapes SHACL encodent les exigences minimales de gouvernance pour un graphe GRC. Chaque violation est une lacune dans la posture de conformité.
| Shape | Target | Rule |
|---|---|---|
GRC-S1 | ComplianceClaim | Must link to a framework + declare verification statusDoit référencer un cadre + déclarer un statut de vérification |
GRC-S2 | SecurityMeasure | Must have a description + link to a productDoit avoir une description + lien vers un produit |
GRC-S3 | AIModel | Must declare base model + HITL status (Regime S or C)Doit déclarer le modèle de base + statut HITL (Régime S ou C) |
GRC-S4 | SoftwareProduct | Must have ≥1 module + deployment targetDoit avoir ≥1 module + cible de déploiement |
$ rudof shacl-validate \
-s grc-shapes.ttl \
grc-model.ttl
# Output: violations on claims without evidence,
# AI models without HITL classification,
# security measures without product linkQuery compliance gaps Interroger les lacunes de conformité
SPARQL queries extract structured gap reports directly from the model. Les requêtes SPARQL extraient des rapports de lacunes structurés directement depuis le modèle.
PREFIX re: <https://omyn.ai/schema/retroeng#> PREFIX rdfs: <http://www.w3.org/2000/01/rdf-schema#> SELECT ?claim ?label ?framework ?status WHERE { ?claim a re:ComplianceClaim ; rdfs:label ?label ; re:supportsFramework ?framework ; re:verificationStatus ?status . FILTER (?status != re:Verified) } ORDER BY ?framework
PREFIX re: <https://omyn.ai/schema/retroeng#> SELECT ?model ?label ?baseModel ?hitl WHERE { ?model a re:AIModel ; rdfs:label ?label . OPTIONAL { ?model re:basedOnModel ?baseModel } OPTIONAL { ?model re:hitlStatus ?hitl } FILTER (!BOUND(?hitl) || ?hitl = "unknown") }
What this demonstrates Ce que cela démontre
Control Plane — compliance claims and verification statuses are formal ODRL/SHACL-governed assertions, not spreadsheet cells. An auditor can query the graph directly. Control Plane — les déclarations de conformité et statuts de vérification sont des assertions formelles gouvernées par ODRL/SHACL, pas des cellules de tableur. Un auditeur peut interroger le graphe directement.
Semantic Layer — the GRC vocabulary extends the RetroEng ontology with 4 new classes (ComplianceClaim, SecurityMeasure, AIModel, RegulatoryFramework). Concepts have formal definitions, not column headers. Semantic Layer — le vocabulaire GRC étend l'ontologie RetroEng avec 4 nouvelles classes (ComplianceClaim, SecurityMeasure, AIModel, RegulatoryFramework). Les concepts ont des définitions formelles, pas des en-têtes de colonnes.
Data Plane — the entire GRC model is a set of .ttl files in a Git repository. Version history, diff, blame, and branch-per-audit are standard Git operations. No SaaS, no data exfiltration. Data Plane — tout le modèle GRC est un ensemble de fichiers .ttl dans un dépôt Git. Historique de version, diff, blame et branche-par-audit sont des opérations Git standard. Aucun SaaS, aucune exfiltration de données.