OGUNObservability · Guardian · Unified · Network
AccueilSécurité & conformité

08 — Défense en profondeur

Une forteresse
à cinq couches.

La sécurité OGUN n'est pas une case à cocher : c'est un design systémique. Authentification forte, contrôle fin des droits, chiffrement transit et repos, traçabilité immuable, gouvernance multi-tenant — chaque couche protège les suivantes.

JWT + Refresh RBAC Audit logs TLS 1.3
Explorer le bouclier Conformité
Data
TLS 1.3 AES-256 JWT RBAC Audit Vault
5 couchesdéfense en profondeur
256 bitchiffrement AES au repos
100 %actions critiques auditées
0 impliciteprincipe zéro-confiance par défaut
09 — Défense en profondeur

Cinq couches, cinq garde-fous

Chaque couche est autonome et observable. Un attaquant qui franchit l'une rencontre immédiatement la suivante — jamais d'angle mort, jamais d'accès direct aux données.

L1

Identité & accès

Surface utilisateur

Authentification forte, sessions courtes renouvelables, fédération d'identité entreprise.

JWT + Refresh OAuth2 / SSO 2FA profils sensibles SSO SAML (phase 2)
L2

Autorisation & rôles

Contrôle fin

RBAC granulaire par module, par site et par action. Principe du moindre privilège strict.

Super Admin Admin Site Superviseur Agent Invité audit
L3

Transport & API

Flux réseau

Chiffrement bout-en-bout, rate limiting, signature des requêtes critiques, validation stricte.

TLS 1.3 Rate limiting adaptatif HMAC signatures OpenAPI schemas stricts
L4

Données & isolation

Stockage

Chiffrement au repos, isolation multi-tenant stricte, anonymisation pour rapports externes.

AES-256 au repos Multi-tenant strict Anonymisation exports Rétention configurable
L5

Audit & observabilité

Preuve & réaction

Traces immuables, détection d'anomalies, alertes sécurité continues, post-mortem facilité.

Audit logs immuables SIEM intégré Alertes anomalies accès Replay forensic
10 — Mécanismes d'accès

Qui entre, comment, pour quoi

JWT + Refresh

Sessions courtes avec renouvellement silencieux et révocation possible côté serveur.

Actif

RBAC granulaire

Rôles Super Admin, Admin Site, Superviseur, Agent, Invité. Permissions par action et par site.

Actif

Multi-tenancy strict

Isolation totale des données entre clients et sites. Aucune fuite transversale possible.

Actif

2FA

Double authentification obligatoire pour Super Admins et profils exposés à sanctions.

Phase 2

OAuth2 / SSO

Fédération d'identité avec l'annuaire entreprise, provisioning automatisé.

Phase 2

Vault secrets

HashiCorp Vault pour la gestion des secrets, rotation automatique des clés critiques.

Actif
11 — Voyage d'une donnée

Chiffrée à chaque étape

  1. 01

    Émission client

    Le desktop 3D, la tablette web, le mobile ou le casque XR initient la requête avec JWT signé.

    JWT signé HMAC
  2. 02

    Transport chiffré

    TLS 1.3 assure la confidentialité et l'intégrité sur tout le réseau.

    TLS 1.3 · PFS
  3. 03

    Gateway API

    Rate limiting, validation schéma, vérification de signature et du JWT, log d'entrée.

    Rate limit + schema
  4. 04

    RBAC check

    Autorisation fine par rôle, site et action avant exécution métier.

    RBAC granulaire
  5. 05

    Exécution métier

    Core NestJS applique la logique, émet événements d'audit détaillés.

    Event sourcing
  6. 06

    Stockage chiffré

    Données sensibles AES-256 au repos, isolation tenant stricte, PostGIS pour le spatial.

    AES-256 at rest
  7. 07

    Audit immuable

    Trace complète horodatée, non modifiable, consultable par superviseur et auditeur.

    Logs immuables
12 — Conformité & gouvernance

Les règles du jeu, formalisées

OGUN s'aligne sur les cadres internationaux et locaux, avec des exigences contractuelles pour chaque client et chaque site.

Moindre privilège

Chaque rôle et chaque service reçoit uniquement les droits strictement nécessaires à sa mission.

Ségrégation environnements

Dev / preprod / prod strictement séparés, secrets vaultés par environnement, pas de credential partagé.

Plan de reprise d'activité

RTO et RPO formalisés, sauvegardes chiffrées quotidiennes, exercices de bascule réguliers.

Supervision continue

Alertes sur anomalies d'accès, scans dépendances, monitoring des clés et des certificats.

Respect vie privée

Anonymisation des rapports externes, rétention configurable par client, respect RGPD et normes locales.

Réponse à incident

Runbooks formalisés, contact sécurité dédié, post-mortem systématique et retour d'expérience partagé.

ISO/IEC 27001 alignéRGPD compatibleOWASP Top 10NIST CSFANSSI hygièneTLS 1.3 Mozilla Modern

La confiance ne s'affirme pas.
Elle se prouve, à chaque couche.

Chaque module OGUN hérite de ces garde-fous — du desktop 3D au smartphone de terrain, jusqu'au casque XR et au backbone Mawu OS.

Mawu OS Architecture suite