Aller au contenu principal

Checklist sécurité

Éléments à vérifier

  • Authentification et autorisation sont séparées.
  • RBAC rôle + scope est appliqué.
  • Les routes admin sont explicitement sensibles.
  • Les secrets ne sont jamais documentés.
  • Les données personnelles sont minimisées.

Cohérence

  • Les docs sécurité, backend, API et data sont alignées.
  • Les règles mairie ne contredisent pas la modération globale.
  • Les docs IA respectent les règles sécurité.

Sécurité

  • X-App-Source n’est jamais traité comme autorisation.
  • Les webhooks sont signés et idempotents.
  • Les prompts et contextes IA sont filtrés.
  • Chat, paiement, claims et admin sont traités comme sensibles.

Dette documentaire

  • Les politiques de secrets, logs et audit sont détaillées.
  • Les zones RLS Supabase historiques sont identifiées.
  • Les checklists sécurité opérationnelles existent.

Hypothèses

  • Zero Trust docs marqué Proposed si non configuré.
  • Provider auth final non validé si encore ambigu.

Contradictions possibles

  • Supabase direct frontend vs Laravel cible.
  • IA assistante vs actions automatiques.
  • Mairie supervision locale vs censure.

Éléments non confirmés

  • Politique exacte de logs.
  • Durées de conservation.
  • Alerting sécurité.
  • Procédures incident.

Éléments critiques

  • Audit des routes Laravel réalisé.
  • Admin, webhooks, IA, chat et paiements relus manuellement.
  • RGPD relu juridiquement.

Validations humaines nécessaires

  • Validation sécurité.
  • Validation RGPD/juridique.
  • Validation exploitation.