A01 Contrôle d’accès défaillant : 11 rôles, 38 autorisations, séparation des locataires basée sur les lignes, autorisation basée sur les objets par entité, sessions sans état.

A02 Échecs cryptographiques : TLS 1.2+/1.3, AES-256 à tous les niveaux de stockage, clés de chiffrement spécifiques aux locataires, aucun stockage local des mots de passe.

A03 Injection : Requêtes strictement typées (pas de SQL brut), modèles d’injection WAF, auto-échappement Vue, désérialisation sécurisée.

A04 Conception non sécurisée : Architecture en couches, protection CSRF, limitation du débit.

A05 Mauvaise configuration de la sécurité : Analyse IaC, ports de gestion isolés, pas d’identifiants par défaut, validation des schémas.

A06 Composants vulnérables : Vérification automatique des dépendances (CVSS ≥ 7 bloque la compilation), surveillance continue.

A07 Échecs d’authentification : OAuth2/OIDC, MFA, validation JWT avec liste blanche d’émetteurs.

A08 Échecs d’intégrité des données : Gates CI/CD, scan des secrets, désérialisation sécurisée.

A09 Échecs de journalisation : Audit Trail, CloudTrail, suivi des erreurs en temps réel.

A10 SSRF : IMDSv2 imposé, pas d’URL personnalisées, WAF, isolation VPC.