Synthèse sécurité (version partage rectorat)
Document généré le 20/04/2026 20:34:09
Authentification et contrôle d'accès (OWASP A07/A01)
- Politique mots de passe documentée (longueur minimale, complexité, rotation si nécessaire).
- 2FA activable et vérifiée pour les rôles sensibles.
- Gestion de session: expiration, inactivité, invalidation à la déconnexion.
- Contrôle d'accès par rôle appliqué côté API (pas seulement UI).
Journalisation et traçabilité (OWASP A09)
- Journal d'audit actif sur les actions sensibles (droits, exports, validation).
- Rétention des logs définie (durée + responsable).
- Horodatage fiable et corrélable (date/heure UTC/ISO recommandée).
- Procédure d'extraction des logs pour contrôle rectorat.
Vulnérabilités et dépendances (OWASP A06)
- Revue régulière des dépendances (`npm audit` / correctifs critiques).
- Plan de mise à jour mensuel (ou à chaque CVE critique).
- Journal des mises à jour de sécurité conservé dans le dossier de preuves.
Sauvegardes et restauration (OWASP A05 / continuité)
- Sauvegardes de base de données planifiées et vérifiées.
- Test de restauration réalisé et daté (preuve conservée).
- RTO/RPO cibles définis pour le service.
Dossier de preuves
Pièces attendues pour justification sécurité.
- docs/security-evidence/README.md
- docs/security-evidence/01-auth-session-access.md
- docs/security-evidence/02-logs-retention.md
- docs/security-evidence/03-vulnerability-management.md
- docs/security-evidence/04-backup-restore.md
Remplir ces fiches après chaque revue sécurité, incident ou test de restauration.