1. Architecture de sécurité en 9 couches
LOOMSEC GRC implémente une défense en profondeur structurée en 9 couches indépendantes. Chaque requête traverse l'intégralité de ces couches avant d'atteindre les données métier.
- 1Couche 1 — Réseau : TLS 1.2+ obligatoire en production — rate limiting distribué via Redis (global, login, API, téléchargements).
- 2Couche 2 — Transport : En-têtes HTTP sécurisés (Helmet) : HSTS, CSP stricte, X-Frame-Options, X-Content-Type-Options.
- 3Couche 3 — Entrée : Validation Zod sur toutes les routes — hardening : désactivation d'eval(), surveillance des prototypes.
- 4Couche 4 — Détection : Routes honeypot (détection scanners/robots), détecteur d'anomalies comportementales en temps réel.
- 5Couche 5 — Authentification : JWT + TOTP (2FA, fenêtre 30 s ±1) — SSO SAML 2.0 / OIDC (Pro+) — rate limiting renforcé sur /auth/login (5 req/15 min).
- 6Couche 6 — Autorisation : RBAC 5 rôles (superadmin, admin, manager, analyst, readonly) — isolation stricte par tenant_id sur toutes les requêtes SQL.
- 7Couche 7 — Chiffrement : Données au repos : AES-256-GCM. Transit : TLS 1.2+. Rotation automatique planifiée des clés.
- 8Couche 8 — Intégrité : Vérification SHA-256 du code source à chaque démarrage — signature Ed25519 de toutes les réponses API — Clock Guard anti-rollback temporel.
- 9Couche 9 — Supervision : Watchdog des schedulers critiques — audit trail hash-chained chiffré (modification détectable immédiatement).