# Audit de sécurité — 4NK_template (projet)

## Menaces

- Secrets, permissions, endpoints sensibles, dépendances, supply chain

## Contrôles

- Scan secrets/permissions
- Audit dépendances (outil selon la pile des projets)
- Vérifs de configuration (auth/TLS/CORS/rate‑limit)
- Journalisation sécurité, traçabilité

## CI

- Job `security-audit` échoue si alerte critique
- Rapports archivés en artefacts

## Politique des secrets

- Exclusivement secrets CI/variables d’environnement
- Rotation régulière, révocation sur incident
- Aucun secret en clair dans le dépôt

## Remédiation

- Prioriser, corriger, documenter dans `CHANGELOG.md`
- Ajouter des tests de non‑régression sécurité si pertinent