Tous les secrets (clés API, identifiants de base de données, certificats) sont stockés via AWS SSM Parameter Store sous forme de chaînes chiffrées (SecureString), protégées par un chiffrement KMS. Leur distribution à l’application se fait de manière automatisée et chiffrée — sans intervention manuelle.

Les secrets ne sont jamais stockés dans le code source, dans des fichiers d’environnement commités ou dans les logs. Un scanner automatique de secrets vérifie chaque commit dans la pipeline CI/CD pour détecter toute donnée d’accès insérée par erreur. Au démarrage en production, il est validé qu’aucune clé de développement ou de test n’est utilisée — l’application refuse de démarrer si de telles clés sont détectées.

Les rapports d’erreur sont automatiquement nettoyés des données personnelles (PII-Scrubbing).