Phase L — Operations Excellence

Post-socle D-K. Objectif : durcir l'exploitation en rendant les derniers points critiques automatises et prouvables.

L1 — Continuous DRP

Un backup n'est valide que si sa restauration est testee automatiquement.

Pipeline Jenkins hebdomadaire (dimanche nuit) :

1. Restauration cloud-perso (Nextcloud) depuis PBS vers VM de test isolee
2. Tests automatiques : ping, curl page login, fichier canary
3. Si OK → metrique Prometheus NEBULA-DRP-readiness=1 + destruction VM test
4. Si KO → incident IRIS + notification + destruction VM test

L2 — Detection-as-Code

Sortir du "ClickOps SOC" — toutes les regles et workflows versionnees dans Gitea :

graph LR
    A[Modification regle] --> B[PR Gitea]
    B --> C[Jenkins CI<br/>wazuh-logtest]
    C -->|OK| D[Merge + Deploy API]
    C -->|KO| E[Rollback + IRIS]

• Regles Wazuh (XML) versionnees dans HyperdriveCore/soc-rules
• Workflows Shuffle (JSON) versionnees
• Validation automatique par wazuh-logtest avant deploiement

L3 — SSH ephemere via Vault

Remplacer la cle SSH statique du bastion par des certificats ephemeres :

sequenceDiagram
    participant GC as Guacamole
    participant WR as Wrapper script
    participant VT as Vault SSH Engine
    participant VM as VM cible

    GC->>WR: Demande connexion SSH
    WR->>VT: Authentification AppRole
    VT-->>WR: Certificat SSH (2-5 min)
    WR->>VM: Connexion avec certificat
    Note over VM: Session active
    Note over VT: Certificat expire automatiquement

Avantages : cle compromise = inutilisable en minutes, audit trail complet dans Vault, plus de "golden key" statique.