9) Sécurité, conformité, gouvernance — RAG

Registre & bases légales

• Registre des traitements (finalité, base légale, durée, sous-traitants, transfert hors UE).
• DPA fournisseurs (LLM API, SaaS index/search), clauses SCC.
• DPIA si données sensibles/volumes élevés.

Rétention & localisation

• Logs 90j, traces 30j, index 12–24 mois. TTL/partitions DB.
• Stockage UE only, sauvegardes chiffrées (KMS/HSM).

DSR (Data Subject Rights)

• Accès : export JSON des traces/feedback par user_hash (sous 30 j).
• Suppression : purge document + chunks + embeddings + snapshots d’index.
• Rectification : correctif + ré-indexation priorisée.

Contrôle d’accès

• Claims IdP : role business_unit region scopes.
• RBAC + ABAC : vérification back-end + RLS côté SQL.
• Filtrage au retrieval : métadonnées index = claims utilisateur.
• Decision logs : tracer allow/deny + raison.

Matrice d’accès (ex.)

Chiffrement

• At-rest : DB, blobs, index (clé KMS/Vault, enveloppe AES-256-GCM).
• In-transit : TLS 1.2+ mutual TLS entre services sensibles.
• Bring-Your-Own-Key / HSM pour documents très sensibles.

Rotation & secrets

• Rotation clés 90j (KMS/Vault), re-chiffrement lazy.
• Secrets via Vault (short-lived) + sidecar/agent.
• CI/CD : scan secrets (gitleaks), image signing (cosign), SBOM (Syft).

Réseau & durcissement

• Private endpoints / VPC-peering ; egress restreint.
• WAF/Rate limit, mTLS pour l’API RAG.
• Pods rootless, PSS/PSA, read-only FS, seccomp.

Gouvernance

• Policies écrites : classification, IA acceptable, secrets, accès.
• Comité risque : revue mensuelle incidents/red teaming.
• SoD / break-glass : accès admin temporaires tracés.

Audit & KPIs sécurité

• Événements : policy_deny purge key_rotate dsr_done.
• KPIs : taux deny, âge clés, délai DSR, secrets détectés, conformité scans.
• Alertes : deny_rate↑, purge_fail↑, key_age_hours > seuil.

Livrables

• Matrice d’accès (roles × BU × types × régions).
• Procédures : purge DSR, rotation clés, onboarding/offboarding.
• Registre GDPR + DPA + DPIA.
• Rapport d’audit trimestriel + plan d’actions.

Contrat sécurité (JSON exportable)

{
  "classification":["public","interne","confidentiel","tres_sensible"],
  "pii":{"ingest_mask":true,"output_filters":true,"log_user_hash":true},
  "retention":{"logs_days":90,"traces_days":30,"index_days":365},
  "rbac":{"claims":["role","business_unit","region"],"rls_sql":true,"search_filters":true},
  "crypto":{"at_rest":"KMS_AES256","in_transit":"TLS1.2+","rotation_days":90},
  "dsr":{"access":true,"delete":true,"rectify":true,"sla_days":30},
  "audit":{"events":["policy_deny","purge","key_rotate","dsr_done"],"retention_days":365}
}