v1.0 Novembre 2025
6.2

Architecture de Sécurité

La solution de cashback nouvelle génération

24 novembre 2025
Version 1.0
1

INTRODUCTION

1.1 Objectif du Document

Ce document décrit l'architecture de sécurité globale de la plateforme REWAPP. Il présente les différentes couches de protection mises en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité des données et des services.

DÉFENSE EN PROFONDEUR

L'architecture de sécurité REWAPP est conçue selon le principe de défense en profondeur, avec des mesures de protection à chaque niveau de l'infrastructure et des applications.

1.2 Périmètre

Cette architecture couvre l'ensemble de l'écosystème REWAPP :

  • Application Mobile (iOS/Android) : interface utilisateur pour les clients finaux
  • Site Vitrine (Angular) : présentation de l'offre et inscription
  • Dashboard Admin (Angular) : gestion globale de la plateforme
  • Dashboard Partenaire (Angular + Ionic PWA) : interface pour les commerçants
  • Backend API (NestJS) : services métier et gestion des données
  • Infrastructure Cloud (CapRover) : hébergement et services Docker

1.3 Documents de Référence

Documents Connexes

Référence Titre Description
6.1 Document de Sécurité Vue d'ensemble sécurité, menaces, contre-mesures
6.2.1 Authentification et Autorisation Mécanismes d'authentification, RBAC, sessions
6.2.2 Protection des Données (CSRF/XSS) Protection contre les attaques web
6.2.3 Rate Limiting et Throttling Contrôle du trafic et protection contre les abus
6.3 Conformité RGPD Traitements, consentements, droits utilisateurs
6.4 Conformité PCI DSS Exigences bancaires et tokenisation
6.5 Politique de Gestion des Données Rétention, suppression, archivage
6.6 Sécurité QR Codes Signature, validation, anti-fraude
2

VUE D'ENSEMBLE DE L'ARCHITECTURE DE SÉCURITÉ

2.1 Principes Fondamentaux

L'architecture de sécurité REWAPP repose sur les principes suivants :

Principes de Sécurité

Principe Description Application REWAPP
Défense en profondeur Plusieurs couches de sécurité indépendantes Firewall → WAF → API Gateway → Auth → Validation
Moindre privilège Accès minimum nécessaire pour chaque rôle RBAC strict, scopes OAuth2 limités
Séparation des responsabilités Isolation des composants critiques Microservices isolés, réseau interne serveur segmentée
Sécurité par défaut Configuration sécurisée par défaut HTTPS obligatoire, headers de sécurité
Traçabilité complète Audit trail de toutes les actions Logs centralisés, audit des accès sensibles
Fail-safe Comportement sécurisé en cas d'erreur Deny by default, circuit breakers

2.2 Modèle de Défense en Profondeur

Le modèle de défense en profondeur REWAPP comprend 6 couches de sécurité :

Couches de Sécurité

Couche Niveau Technologies Protection
1. Périmétrique Externe Protection DDoS (Fail2Ban), Nginx reverse proxy (CapRover) WAF DDoS, attaques volumétriques
2. Réseau Infrastructure réseau interne serveur, Security Groups, NACLs Accès non autorisés, segmentation
3. Application Services NestJS Guards, Middleware Auth, validation, injection
4. Données Stockage AES-256, TLS 1.3, OpenSSL Confidentialité, intégrité
5. Identité Accès JWT RS256, 2FA (TOTP) Usurpation, accès non autorisé
6. Monitoring Détection Prometheus + Grafana, Sentry, WAF Logs Intrusion, anomalies

2.3 Schéma Conceptuel

Architecture de sécurité en couches :

ARCHITECTURE 
[INTERNET]
     |
     v
+------------------------+
|   Protection DDoS (Fail2Ban) (DDoS)    |  ← Couche 1 : Protection périmétrique
+------------------------+
     |
     v
+------------------------+
| Nginx reverse proxy (CapRover) + WAF       |  ← Filtrage des requêtes malveillantes
+------------------------+
     |
     v
+------------------------+
| API Gateway (Kong)     |  ← Couche 2 : Rate limiting, auth
+------------------------+
     |
     v
+------------------------+
| Réseau Privé             |  ← Couche 3 : Isolation réseau
|   +------------------+ |
|   | NestJS Backend   | |  ← Couche 4 : Validation applicative
|   +------------------+ |
|   +------------------+ |
|   | PostgreSQL container | |  ← Couche 5 : Chiffrement données
|   +------------------+ |
+------------------------+
3

SÉCURITÉ PÉRIMÉTRIQUE

3.1 Firewall et WAF (Web Application Firewall)

WAF applicatif (ModSecurity) est déployé au niveau de Nginx reverse proxy (CapRover) et de l'API Gateway pour filtrer le trafic malveillant.

Règles WAF

Règle WAF Description Action
SQL Injection Détection des patterns d'injection SQL Block
XSS Détection des scripts malveillants Block
Path Traversal Tentatives d'accès aux fichiers système Block
Bad Bots Blocage des bots malveillants connus Block
Geo Blocking Restriction géographique (France, Belgique, Suisse) Allow/Block
Rate-Based Limitation par IP (1000 req/5min) Block temp.
Custom Rules Règles métier spécifiques REWAPP Configurable
JSON 
// Configuration WAF applicatif
{
  "Name": "REWAPP-WAF-Rules",
  "Rules": [
    {
      "Name": "OWASPCommonRuleSet",
      "Priority": 1,
      "Statement": { 
        "ManagedRuleGroupStatement": { 
          "VendorName": "OWASP", 
          "Name": "OWASPCommonRuleSet" 
        } 
      },
      "OverrideAction": { "None": {} }
    },
    {
      "Name": "OWASPSQLiRuleSet",
      "Priority": 2,
      "Statement": { 
        "ManagedRuleGroupStatement": { 
          "VendorName": "OWASP", 
          "Name": "OWASPSQLiRuleSet" 
        } 
      },
      "OverrideAction": { "None": {} }
    }
  ]
}

3.2 Protection DDoS

Protection DDoS avancée (Fail2Ban + iptables) est activé pour protéger contre les attaques DDoS.

Protection DDoS

Type d'Attaque Protection Temps de Réponse
Volumetric (UDP/TCP flood) Protection DDoS (Fail2Ban + iptables) Automatique
Protocol attacks (SYN flood) Protection DDoS avancée (Fail2Ban + iptables) < 1 minute
Application layer (HTTP flood) WAF + Rate limiting Automatique

Capacités de mitigation :

  • Absorption jusqu'à plusieurs Tbps de trafic
  • Détection automatique des patterns d'attaque
  • Notification en temps réel via Prometheus + Grafana
  • Support 24/7 de l'équipe de sécurité

3.3 CDN et Edge Security

Nginx reverse proxy (CapRover) est utilisé comme CDN pour :

  • Distribuer les assets statiques (app web, images)
  • Terminer le TLS au plus proche des utilisateurs
  • Appliquer les règles WAF en edge
  • Cacher les réponses non sensibles

Configuration TLS

Paramètre Configuration Justification
Protocole TLS 1.2 minimum, TLS 1.3 recommandé Sécurité des communications
Ciphersuites AES-GCM, ChaCha20-Poly1305 Chiffrement fort
OCSP Stapling Activé Performance validation certificat
HTTP/2 Activé Performance et multiplexage
Cache protection Activé Protection de l'origine
4

SÉCURITÉ RÉSEAU

4.1 Architecture Réseau Interne Serveur

L'infrastructure REWAPP est déployée dans une réseau interne serveur avec isolation réseau complète.

Architecture Réseau Interne

Réseau Type CIDR Composants
Public Réseau A Public 10.0.1.0/24 NAT Gateway, Load Balancer
Public Réseau B Public 10.0.2.0/24 NAT Gateway (redondance)
Private Réseau A Privé 10.0.10.0/24 Docker Services, Applications
Private Réseau B Privé 10.0.11.0/24 Docker Services (redondance)
Data Réseau A Isolé 10.0.20.0/24 PostgreSQL container, Redis container
Data Réseau B Isolé 10.0.21.0/24 PostgreSQL (redondant), Redis (réplica)

4.2 Security Groups et ACL

Security Groups (niveau instance)

Security Groups

Security Group Source Port Description
sg-alb 0.0.0.0/0 443 HTTPS depuis Internet
sg-api sg-alb 3000 API depuis ALB uniquement
sg-postgresql sg-api 5432 PostgreSQL depuis API uniquement
sg-redis sg-api 6379 Redis depuis API uniquement
sg-admin IP Admin VPN 22 SSH administration uniquement

Network ACLs (niveau réseau interne)

Network ACLs

Réseau Règle Entrante Règle Sortante
Public Allow 443 (HTTPS), Deny reste Allow all
Private Allow depuis Réseau public Allow vers Réseau données
Data Allow depuis Private uniquement Deny sortant Internet

4.3 Segmentation Réseau

Principe de segmentation appliqué :

  • Zone DMZ (Public) : seul le Load Balancer est exposé
  • Zone Application (Private) : services backend isolés
  • Zone Données (Data) : bases de données sans accès Internet direct
RÈGLE ABSOLUE

Les bases de données n'ont JAMAIS d'accès Internet direct.

4.4 VPN et Connexions Privées

Connexions Sécurisées

Connexion Type Usage
VPN WireGuard IPSec Administration, accès depuis bureaux
VPN Client WireGuard OpenVPN Accès développeurs, support
Réseau privé Docker Réseau privé Docker Connexion aux services CapRover sans Internet
Direct Connect Fibre dédiée (Prévu Phase 3) Connexion haute performance
5

SÉCURITÉ APPLICATIVE

5.1 Authentification

RÉFÉRENCE

Voir document 6.2.1 Authentification et Autorisation pour les détails complets.

Mécanismes d'Authentification

Mécanisme Technologie Contexte d'Utilisation
Email/Mot de passe Bcrypt (12 rounds) Inscription classique
OAuth2/OIDC JWT RS256 Single Sign-On, API
2FA TOTP (Google Authenticator) Dashboard Admin (OBLIGATOIRE)
Magic Link Token JWT 15min Récupération mot de passe

Exigences mots de passe

  • Longueur minimum : 8 caractères
  • Au moins 1 majuscule, 1 minuscule, 1 chiffre
  • Au moins 1 caractère spécial recommandé
  • Vérification contre liste des mots de passe compromis (HaveIBeenPwned)
  • Expiration : 90 jours pour les admins, illimité pour les utilisateurs

Gestion des tokens JWT

Tokens JWT

Type de Token Durée de Vie Stockage Révocation
Access Token 15 minutes Memory (app) Automatique à expiration
Refresh Token 7 jours Secure Storage Blacklist Redis
API Key (partenaires) 1 an Base de données Révocation manuelle

5.2 Autorisation (RBAC)

Modèle RBAC (Role-Based Access Control) :

Rôles et Permissions

Rôle Plateforme Permissions
Super Admin Dashboard Admin Accès total, configuration système
Admin Dashboard Admin Gestion utilisateurs, partenaires, transactions
Support Dashboard Admin Consultation seule, support utilisateurs
Partenaire Owner Dashboard Partenaire Toutes les fonctionnalités commerçant
Partenaire Staff Dashboard Partenaire Scan QR, consultation statistiques
Client App Mobile Gestion compte, QR code, historique
TYPESCRIPT 
// Exemple de Guard d'autorisation NestJS
@Injectable()
export class RolesGuard implements CanActivate {
  constructor(private reflector: Reflector) {}

  canActivate(context: ExecutionContext): boolean {
    const requiredRoles = this.reflector.get<Role[]>('roles', context.getHandler());
    if (!requiredRoles) return true;
    
    const request = context.switchToHttp().getRequest();
    const user = request.user;
    
    return requiredRoles.some(role => user.roles?.includes(role));
  }
}

5.3 Protection contre les Attaques Web

RÉFÉRENCE

Voir document 6.2.2 Protection des Données (CSRF/XSS) pour les détails complets.

Protections Contre les Attaques

Attaque Protection Implémentation
XSS (Cross-Site Scripting) CSP, Échappement, Validation Helmet.js, DOMPurify
CSRF (Cross-Site Request Forgery) Tokens CSRF, SameSite cookies csurf middleware
SQL Injection Requêtes paramétrées, ORM TypeORM
NoSQL Injection Validation schema, sanitization class-validator
Path Traversal Validation chemins, whitelist path.normalize
Clickjacking X-Frame-Options, CSP frame-ancestors Helmet.js
TYPESCRIPT 
// Configuration Helmet.js - Headers de sécurité HTTP
app.use(helmet({
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'self'"],
      scriptSrc: ["'self'", "https://cdn.rewapp.fr"],
      styleSrc: ["'self'", "'unsafe-inline'"],
      imgSrc: ["'self'", "data:", "https:"],
      connectSrc: ["'self'", "https://api.rewapp.fr"],
      frameSrc: ["'none'"],
      objectSrc: ["'none'"]
    }
  },
  hsts: { maxAge: 31536000, includeSubDomains: true, preload: true },
  referrerPolicy: { policy: 'strict-origin-when-cross-origin' }
}));

5.4 Validation des Entrées

Toutes les entrées utilisateur sont validées côté serveur :

TYPESCRIPT 
// Exemple de DTO avec validation
export class CreateUserDto {
  @IsEmail()
  @Transform(({ value }) => value.toLowerCase().trim())
  email: string;

  @IsString()
  @MinLength(8)
  @Matches(/^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)/)
  password: string;

  @IsString()
  @MinLength(2)
  @MaxLength(50)
  @Matches(/^[a-zA-ZÀ-ÿ\s'-]+$/)
  firstName: string;

  @IsOptional()
  @IsPhoneNumber('FR')
  phone?: string;
}
6

SÉCURITÉ DES DONNÉES

6.1 Chiffrement en Transit

TLS OBLIGATOIRE

Toutes les communications utilisent TLS 1.3 (minimum TLS 1.2)

Chiffrement des Communications

Connexion Protocole Certificat
Client → Reverse proxy TLS 1.3 Let's Encrypt (automatique via CapRover)
Reverse proxy → API TLS 1.2 Certificat interne
ALB → API TLS 1.2 Certificat interne
API → PostgreSQL TLS 1.2 Certificat PostgreSQL
API → Redis TLS 1.2 Certificat Redis
API → Services tiers TLS 1.3 Certificats publics

Configuration TLS recommandée :

  • Ciphersuites : TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256
  • Perfect Forward Secrecy (PFS) : ECDHE obligatoire
  • Désactivation : SSLv3, TLS 1.0, TLS 1.1

6.2 Chiffrement au Repos

Chiffrement des Données Stockées

Donnée Algorithme Gestion Clé Stockage
Base de données (PostgreSQL) AES-256 clés de chiffrement serveur PostgreSQL container
Fichiers (MinIO) AES-256-GCM clés de chiffrement serveur stockage serveur local (MinIO)
Cache (Redis) AES-256 clés de chiffrement serveur Redis container
Backups AES-256 clés de chiffrement serveur MinIO (serveur backup)
Mots de passe Bcrypt (12 rounds) N/A (hash) PostgreSQL
Tokens sensibles HMAC-SHA256 Secret interne PostgreSQL

6.3 Gestion des Clés de Chiffrement

Gestion des clés de chiffrement (OpenSSL) est utilisé pour la gestion centralisée des clés :

Clés de Chiffrement

Clé Usage Rotation Accès
rewapp-db-key Chiffrement PostgreSQL Annuelle (automatique) Service API uniquement
rewapp-minio-key Chiffrement fichiers MinIO Annuelle (automatique) Service API uniquement
rewapp-secrets-key variables d'environnement CapRover Annuelle (automatique) CI/CD, Services
rewapp-qr-signing Signature QR codes Trimestrielle (manuelle) Service QR uniquement
RÈGLE DE SÉCURITÉ

Aucune clé en clair dans le code source ou les variables d'environnement.

6.4 Tokenisation des Données Bancaires

RÉFÉRENCE

Voir document 6.4 Conformité PCI DSS pour les détails complets.

RÈGLE FONDAMENTALE

REWAPP ne stocke JAMAIS les données de carte bancaire. Les transactions utilisent OpenBanking — REWAPP communique uniquement via les API Plaid.

Stockage des Données Bancaires

Donnée Stockage REWAPP Stockage Partenaire Bancaire
Numéro de carte Jamais Token uniquement
Date d'expiration Jamais Chez le partenaire
CVV Jamais Jamais stocké
Token bancaire Token référence Données complètes

Flux de tokenisation

  1. 1
    Saisie

    Utilisateur saisit ses coordonnées bancaires

  2. 2
    Transmission directe

    L'app envoie directement au partenaire bancaire (Plaid)

  3. 3
    Tokenisation

    Le partenaire retourne un token opaque

  4. 4
    Stockage sécurisé

    REWAPP stocke uniquement ce token

  5. 5
    Utilisation

    Les transactions utilisent le token, jamais les données brutes

7

SÉCURITÉ DES API

7.1 API Gateway

Kong API Gateway est déployé comme point d'entrée unique pour toutes les API :

Fonctionnalités API Gateway

Fonctionnalité Configuration Description
Authentication JWT Plugin Validation des tokens JWT RS256
Rate Limiting Rate Limiting Plugin Contrôle du débit par utilisateur/IP
Logging File Log, HTTP Log Audit trail des requêtes
Request Transform Request Transformer Normalisation des requêtes
CORS CORS Plugin Contrôle des origines autorisées
IP Restriction IP Restriction Plugin Whitelist admin (VPN)

7.2 Rate Limiting et Throttling

RÉFÉRENCE

Voir document 6.2.3 Rate Limiting et Throttling pour les détails complets.

Limites par Endpoint

Endpoint Limite Fenêtre Action si Dépassement
/api/auth/login 5 requêtes 1 minute Block 15 min
/api/auth/register 3 requêtes 1 heure Block 1 heure
/api/qr/generate 10 requêtes 1 minute Block 5 min
/api/transactions 100 requêtes 1 minute Throttle + Warning
/api/* (authenticated) 300 requêtes 1 minute Throttle
/api/* (anonymous) 60 requêtes 1 minute Block temporaire
TYPESCRIPT 
// Configuration Rate Limiting avec Redis
ThrottlerModule.forRoot([
  {
    name: 'short',
    ttl: 1000,    // 1 seconde
    limit: 3,     // 3 requêtes max
  },
  {
    name: 'medium',
    ttl: 60000,   // 1 minute
    limit: 100,   // 100 requêtes max
  },
  {
    name: 'long',
    ttl: 3600000, // 1 heure
    limit: 1000,  // 1000 requêtes max
  },
])

7.3 Authentification API

Méthodes d'Authentification API

Type de Client Méthode d'Auth Token Durée
App Mobile Bearer JWT Access + Refresh 15min / 7j
Dashboard Web Bearer JWT + Cookie Access + Refresh 15min / 7j
Webhooks entrants HMAC Signature Header X-Signature Par requête
Services internes mTLS + API Key Certificat client Illimité

7.4 Validation des Requêtes

Toutes les requêtes API sont validées :

  • Content-Type : application/json uniquement (sauf upload)
  • Taille maximale : 10 MB pour les requêtes standard
  • Encoding : UTF-8 obligatoire
  • Schema validation : OpenAPI 3.0 stricte
8

SÉCURITÉ MOBILE

8.1 Sécurisation de l'Application

Mesures de Sécurité Mobile

Mesure iOS Android Description
Code Obfuscation Activé (release) ProGuard/R8 Protection contre reverse engineering
Certificate Pinning Prévention MITM
Jailbreak/Root Detection Blocage appareils compromis
Debugger Detection Protection runtime
Screenshot Prevention Écrans sensibles Écrans sensibles FLAG_SECURE

8.2 Stockage Sécurisé

Stockage Sécurisé par Plateforme

Donnée iOS Android
Access Token Keychain (kSecAttrAccessibleWhenUnlocked) EncryptedSharedPreferences
Refresh Token Keychain (kSecAttrAccessibleAfterFirstUnlock) Android Keystore
Secure Enclave Hardware Keystore (TEE)
Données utilisateur Core Data (chiffré) Room (SQLCipher)

8.3 Communications Sécurisées

  • TLS 1.3 pour toutes les communications
  • Certificate Pinning sur les domaines REWAPP
  • Pas de données sensibles en cache HTTP
  • Timeout agressif sur les connexions (30 secondes)
9

MONITORING ET DÉTECTION

9.1 Logs de Sécurité

Tous les événements de sécurité sont centralisés dans Prometheus + Grafana Logs :

Événements de Sécurité

Événement Niveau Rétention Alerte
Connexion réussie INFO 90 jours Non
Échec connexion WARN 1 an Si > 5 en 5 min
Changement mot de passe INFO 1 an Notification utilisateur
Accès admin INFO 2 ans Audit trail
Erreur authentification JWT WARN 1 an Si > 10 en 1 min
Tentative SQL injection ERROR 2 ans Immédiate
Accès données sensibles INFO 2 ans Audit trail
Modification permissions WARN 2 ans Immédiate (admin)

9.2 Détection d'Intrusion

Outils de Détection

Outil Fonction Alertes
Fail2Ban + détection intrusions Détection menaces serveur Prometheus → alerting
WAF Logs Requêtes bloquées Dashboard temps réel
Application Logs Comportements anormaux Sentry → Slack
Logs d'audit serveur Actions API serveur Audit compliance

Règles de détection personnalisées

  • Connexion depuis nouveau pays : notification + 2FA obligatoire
  • Nombre excessif de génération QR : blocage temporaire
  • Tentative d'accès à ressource non autorisée : log + alerte
  • Volume anormal de transactions : review manuel

9.3 Alertes et Escalade

Matrice d'Escalade

Sévérité Temps de Réponse Canal Escalade
Critique < 15 min PagerDuty + Téléphone CTO immédiat
Haute < 1 heure Slack #security Lead Dev
Moyenne < 4 heures Slack #security Équipe sécurité
Basse < 24 heures Email Revue hebdomadaire
10

GESTION DES INCIDENTS

10.1 Plan de Réponse aux Incidents

Étapes de réponse aux incidents de sécurité :

Étape 1 : Détection

Identification de l'incident via monitoring ou signalement

2
Étape 2 : Containment

Isolation des systèmes affectés (blocage IP, révocation tokens)

3
Étape 3 : Investigation

Analyse des logs, identification de la cause racine

4
Étape 4 : Eradication

Correction de la vulnérabilité, patch de sécurité

5
Étape 5 : Recovery

Restauration des services, vérification intégrité

6
Étape 6 : Post-mortem

Documentation, amélioration des contrôles

10.2 Procédures d'Escalade

Chaîne d'Escalade

Type d'Incident Responsable Initial Escalade N+1 Escalade N+2
Attaque en cours Équipe Ops CTO Direction
Fuite de données DPO CTO + Direction CNIL (si applicable)
Indisponibilité service Équipe Ops CTO Direction
Fraude détectée Équipe Support Équipe Sécurité Direction + Juridique

10.3 Communication de Crise

Plan de Communication

Audience Canal Délai Contenu
Équipe interne Slack #incident Immédiat Statut technique
Utilisateurs affectés Email + Push < 24h Impact et actions
Tous utilisateurs Blog + App < 48h Communication transparente
Autorités (CNIL) Formulaire officiel < 72h Notification RGPD si breach
11

SYNTHÈSE DES MESURES DE SÉCURITÉ

11.1 Tableau Récapitulatif

Conformité des Mesures de Sécurité

Exigence Mesure Implémentée Conformité
Chiffrement en transit HTTPS/TLS 1.3 obligatoire
Chiffrement au repos AES-256 (PostgreSQL, MinIO, Redis)
Hashage mots de passe Bcrypt (12 rounds)
Tokens d'authentification JWT RS256, expiration courte
Signature QR Code HMAC-SHA256, validité 15 min
Données bancaires Tokenisation PCI DSS via partenaire
Protection API Rate limiting + WAF + CORS
2FA Admin TOTP obligatoire pour tous les admins
Audit trail Logs centralisés, rétention 2 ans
Conformité RGPD Consentement, droits, DPO

11.2 Certifications et Audits

Certifications

Certification/Audit Statut Fréquence
PCI DSS (via partenaire bancaire) Conforme Continue
RGPD Conforme Audit annuel
Pentest externe Prévu Phase 2 Annuel
Audit de code À chaque release majeure Continue
Revue architecture sécurité Document présent Trimestrielle

11.3 Points de Contact Sécurité

Contacts

Rôle Responsabilité Contact
CTO Responsable sécurité technique cto@rewapp.fr
DPO Protection des données personnelles dpo@rewapp.fr
Équipe Sécurité Opérations de sécurité security@rewapp.fr
Support Signalement incidents utilisateurs support@rewapp.fr
CONCLUSION

Cette architecture de sécurité assure une protection complète de l'écosystème REWAPP, avec une défense en profondeur couvrant tous les aspects : périmétrique, réseau, applicatif, données, et monitoring. Les mesures implémentées respectent les standards de l'industrie (OWASP, PCI DSS, RGPD) et sont régulièrement auditées.