🔒 Matrice de Conformité MVP1 — 38 Services Audités
Nous avons réalisé un audit de conformité complet des 38 services Cert-IX sur 6 dimensions de sécurité : Authentification/Autorisation, Journalisation d'Audit, Gestion des Secrets, Chiffrement, Validation des Entrées et Supervision.
Résultats Clés​
Synthèse des Écarts​
| Priorité | Nombre | Description |
|---|---|---|
| P0 (Bloquant) | 10 | À corriger impérativement avant le lancement |
| P1 (Important) | 11 | À corriger pour le lancement, reportable à J+2 |
| P2 (Post-MVP) | 5 | Améliorations post-lancement |
Distribution des Écarts par Type​
| Type d'Écart | P0 | P1 | P2 | Total |
|---|---|---|---|---|
| AUTHN/AUTHZ | 3 | 4 | 1 | 8 |
| AUDIT | 3 | 4 | 1 | 8 |
| SECRETS | 2 | 1 | 0 | 3 |
| CHIFFREMENT | 1 | 1 | 0 | 2 |
| ENTRÉE | 0 | 1 | 0 | 1 |
| SUPERVISION | 1 | 0 | 1 | 2 |
Écarts P0 Critiques​
- asset-management-service — Pas de middleware JWT direct ; repose sur une vérification de permissions Kafka avec fallback non sécurisé
- checkout-orchestration-service — Pas de middleware JWT sur les routes HTTP
- payment-processing-service — Aucune journalisation d'audit pour les opérations de paiement (exigence PCI DSS)
- scan-worker-service — Aucune journalisation d'audit
- qr-auth-service — La clé de chiffrement CSRF retombe sur une valeur éphémère
6 Flux Critiques Cartographiés​
L'audit a identifié et cartographié 6 flux critiques de bout en bout avec leurs chaînes de services complètes et dépendances de topics Kafka :
- Inscription & Connexion Utilisateur (P0) — 7 services, 3 topics Kafka
- Scan de Vulnérabilités (P0) — 5+ services, 3 patterns de topics Kafka
- Gestion des Actifs (P0) — 5 services, 2 topics Kafka
- Paiement & Abonnement (P0) — 6 services, 3 patterns de topics Kafka
- Conformité & Audit (P1) — 5 services
- Télémétrie Agent (P2) — 4 services
Gel des Contrats d'Événements Kafka​
Les 14 patterns de topics Kafka sont désormais gelés à la v1.0 pour le MVP1. Les règles de versionnage des schémas sont en place :
- Chaque message doit inclure l'en-tĂŞte
schema-version: "1.0" - Seuls les changements additifs sont autorisés (nouveaux champs uniquement)
- Les changements cassants nécessitent de nouvelles versions de topics
Calendrier de Remédiation​
| Jour | Focus | Effort |
|---|---|---|
| Jour 1 | Flux Auth + Scan | 8h |
| Jour 2 | Flux Actifs + Paiement | 8h |
| Jour 3 | Transversal + P1 Critiques | 8h |
| Jour 4 | Validation + Go/No-Go | 4h |
Total : ~28h (3,5 jours ouvrés)
Critères Go/No-Go​
12 critères doivent TOUS être remplis avant le lancement, notamment :
- Tous les écarts P0 remédiés
- Les 4 tests de fumée E2E des flux passent
- Aucun secret codé en dur dans aucun service déployé
- TLS appliqué sur tous les endpoints externes
- Kafka SSL + Redis TLS activés pour tous les services
Documentation Complète​
Consultez la matrice de conformité complète avec les évaluations des 38 services, les diagrammes de flux et les détails de remédiation dans la documentation de la Matrice de Conformité.
Cet audit a été réalisé par l'équipe d'Ingénierie Sécurité Cert-IX dans le cadre du processus de préparation au lancement du MVP1.