Niveau API : Tous les corps de requête REST et les paramètres de chemin sont vérifiés par validation de schéma. Les requêtes invalides sont rejetées avant d’atteindre la logique métier.

Niveau base de données : Exclusivement des requêtes paramétrées — pas de concaténation de chaînes, pas de SQL brut. Cela empêche les injections SQL par conception.

Niveau WAF : Le type de contenu JSON est imposé pour les requêtes API. Les motifs d’injection connus sont automatiquement bloqués.

Niveau frontend : Auto-échappement Vue 3 dans les templates. Traitement DOM sécurisé pour les contenus HTML (pas d’insertion directe de HTML brut).

Téléversements de fichiers : Vérification de la taille et validation du type de contenu lors des téléversements de documents.

Gestion des erreurs : Les messages d’erreur ne contiennent ni traces de pile ni détails internes. Les erreurs 404 et 403 sont retournées sans corps. Les rapports d’erreur sont automatiquement nettoyés des données personnelles identifiables.