Skip to main content

Défense en profondeur

La sécurité de SuperSOC ne repose pas sur une mesure unique mais sur un empilement de couches complémentaires : si l'une cède, les autres limitent l'impact.

Synthèse des couches

CoucheMesureClasse de risque couverte
RéseauVLAN, pfSense, VPN WireGuardPropagation latérale, exposition
Conteneurno-new-privileges, réseau internalÉlévation de privilèges, exposition DB
AuthentificationJWT access/refresh, argon2idVol d'identifiants, force brute
AutorisationRBAC par dépendancesAccès non autorisé
DonnéesComptes au moindre privilège (DCL)Impact d'une compromission applicative
TraçabilitéAudit append-onlyRépudiation, effacement de traces
FrontendToken en mémoire (anti-XSS)Vol de token via XSS

Token en mémoire (anti-XSS)

Côté frontend Vue.js, le token JWT est conservé en mémoire plutôt que dans le localStorage. Le localStorage est lisible par n'importe quel script de la page ; en cas de faille XSS, un token qui y serait stocké serait exfiltrable. Le garder en mémoire réduit cette surface (au prix d'une reconnexion au rechargement, géré par le refresh token).

Principe directeur

Chaque couche attrape une classe de problème différente. Aucune n'est suffisante seule, mais leur combinaison rend une compromission complète nettement plus coûteuse pour un attaquant.

Phrase de synthèse pour l'oral

« Nous n'avons pas une sécurité, nous avons des sécurités en couches : réseau, conteneur, authentification, autorisation, données et traçabilité. Chacune limite l'impact d'une défaillance des autres. »