Status: 🚧 À compléter (phase Discovery — audit obligatoire avant MVP)
Ce fichier DOIT être complété AVANT de passer en phase MVP.
| Surface | Risque | Vecteur possible | Protection |
|---|---|---|---|
| API | — | — | Auth JWT / API Key |
| DB | — | Injection SQL | ORM + validation |
| Auth | — | Brute force | Rate limit + MFA |
| Données | — | Data leak | Chiffrement at rest |
- Injection (SQL, LDAP, XSS)
- Authentification cassée
- Exposition de données sensibles
- Mauvaise configuration sécurité
- Composants vulnérables (CVE watch)
- Tous les endpoints authentifiés sauf liste blanche explicite
- Tokens expirables (JWT max 1h, refresh 7j)
- Pas de secrets dans le code (env vars uniquement)
- Validation côté serveur pour TOUS les inputs
- Sanitisation avant persistance
- Taille maximale définie pour chaque champ
- Principe du moindre privilège
- Isolation par tenant/utilisateur
- Audit log pour les accès sensibles
- Rate limiting sur les endpoints publics
- CORS strict (liste blanche)
- Headers sécurité (CSP, HSTS, X-Frame-Options)
- Pas d'erreurs techniques exposées en prod
- Audit OWASP Top 10 réalisé
- Pas de CVE critique sur les dépendances
- Revue de code sécurité faite
Généré par Software Factory — OBLIGATOIRE avant passage MVP