Checklist sécurité
Éléments à vérifier
- Authentification et autorisation sont séparées.
- RBAC rôle + scope est appliqué.
- Les routes admin sont explicitement sensibles.
- Les secrets ne sont jamais documentés.
- Les données personnelles sont minimisées.
Cohérence
- Les docs sécurité, backend, API et data sont alignées.
- Les règles mairie ne contredisent pas la modération globale.
- Les docs IA respectent les règles sécurité.
Sécurité
-
X-App-Sourcen’est jamais traité comme autorisation. - Les webhooks sont signés et idempotents.
- Les prompts et contextes IA sont filtrés.
- Chat, paiement, claims et admin sont traités comme sensibles.
Dette documentaire
- Les politiques de secrets, logs et audit sont détaillées.
- Les zones RLS Supabase historiques sont identifiées.
- Les checklists sécurité opérationnelles existent.
Hypothèses
- Zero Trust docs marqué Proposed si non configuré.
- Provider auth final non validé si encore ambigu.
Contradictions possibles
- Supabase direct frontend vs Laravel cible.
- IA assistante vs actions automatiques.
- Mairie supervision locale vs censure.
Éléments non confirmés
- Politique exacte de logs.
- Durées de conservation.
- Alerting sécurité.
- Procédures incident.
Éléments critiques
- Audit des routes Laravel réalisé.
- Admin, webhooks, IA, chat et paiements relus manuellement.
- RGPD relu juridiquement.
Validations humaines nécessaires
- Validation sécurité.
- Validation RGPD/juridique.
- Validation exploitation.