Dom/rpa_vision_v3
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs(playbook): Mettre à jour Playbook DSI/RSSI v1.1

Browse Source 
Clarifications modèle de déploiement:
- Solution 100% on-premise ("boîte noire")
- Aucune connexion externe, aucun service cloud
- Compatible air-gap (environnements déconnectés)
- Accès bases de données en lecture seule uniquement

Nouvelle section 11 - Continuité de service et sauvegardes:
- SLA simple (pas de PCA/PRA - produit non vital)
- Responsabilité client pour les sauvegardes
- API backup Dashboard documentées (workflows, correction packs, config, logs)
- Export modèles entraînés opt-in (anonymisés)
- Procédure mise à jour hors-ligne
- Procédure rollback

Précisions conformité:
- Plan d'Assurance Sécurité (PAS) mentionné
- IA Act européen ajouté aux certifications visées

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
This commit is contained in:
Dom
2026-01-19 15:38:48 +01:00
parent 275aace599
commit 35f0cb3461
1 changed files with 176 additions and 17 deletions
Download Patch File Download Diff File Expand all files Collapse all files

193
docs/PLAYBOOK_DSI_RSSI.md
View File

@@ -1,6 +1,6 @@
# Playbook DSI/RSSI - RPA Vision V3
**Version:** 1.0
**Version:** 1.1
**Date:** 19 janvier 2026
**Classification:** Document technique - Usage interne
**Public cible:** Directeurs des Systèmes d'Information, Responsables Sécurité SI
@@ -19,8 +19,9 @@
8. [Déploiement sécurisé](#8-déploiement-sécurisé)
9. [Monitoring et alertes](#9-monitoring-et-alertes)
10. [Procédures d'urgence](#10-procédures-durgence)
11. [Conformité réglementaire](#11-conformité-réglementaire)
12. [Checklist de validation](#12-checklist-de-validation)
11. [Continuité de service et sauvegardes](#11-continuité-de-service-et-sauvegardes)
12. [Conformité réglementaire](#12-conformité-réglementaire)
13. [Checklist de validation](#13-checklist-de-validation)
---
@@ -30,7 +31,24 @@
RPA Vision V3 est une solution d'automatisation robotisée des processus (RPA) basée sur la vision par ordinateur. Conçue pour les environnements exigeants (santé, finance, administration), elle intègre nativement des mécanismes de sécurité enterprise-grade.
### 1.2 Points clés sécurité
### 1.2 Modèle de déploiement
> **IMPORTANT : Solution 100% On-Premise**
RPA Vision V3 est une **solution "boîte noire"** entièrement autonome :
| Caractéristique | Description |
|-----------------|-------------|
| **Déploiement** | 100% on-premise, aucune connexion externe requise |
| **Dépendances** | Aucun service cloud, aucun outil externe |
| **Données** | Restent exclusivement sur l'infrastructure client |
| **Base de données** | Accès en lecture seule uniquement |
| **Mises à jour** | Package distribué hors-ligne, installé manuellement |
| **Air-gap** | Compatible environnements déconnectés |
**Aucune donnée ne quitte l'infrastructure du client.**
### 1.3 Points clés sécurité
| Domaine | Capacité | Niveau |
|---------|----------|--------|
@@ -41,11 +59,14 @@ RPA Vision V3 est une solution d'automatisation robotisée des processus (RPA) b
| Validation entrées | SQL/NoSQL/XSS protection | ✅ Enterprise |
| Déploiement | 100% on-premise, air-gap compatible | ✅ Enterprise |
### 1.3 Certifications visées
### 1.4 Certifications et conformité
- ISO 27001 (Sécurité de l'information)
- HDS (Hébergeur de Données de Santé) - en préparation
- RGPD compliant by design
- **RGPD** : Compliant by design
- **IA Act européen** : Architecture compatible
- **ISO 27001** : Contrôles implémentés
- **HDS** : En préparation (si déploiement santé)
**Document contractuel** : Un Plan d'Assurance Sécurité (PAS) sera fourni pour chaque déploiement client.
---
@@ -603,9 +624,146 @@ allowlist.remove_allowed_ip("compromised.ip.address")
---
## 11. Conformité réglementaire
## 11. Continuité de service et sauvegardes
### 11.1 RGPD
### 11.1 Politique de continuité
> **Note importante** : RPA Vision V3 n'est **pas un système vital** pour l'établissement. En cas d'indisponibilité, les processus peuvent être exécutés manuellement.
**Approche SLA simple** (pas de PCA/PRA complet) :
| Engagement | Valeur | Description |
|------------|--------|-------------|
| Disponibilité cible | 99% | Hors maintenance planifiée |
| Temps de réponse support | < 24h | Jours ouvrés |
| Temps de résolution | < 72h | Incidents critiques |
| Maintenance planifiée | Préavis 48h | Communication client |
### 11.2 Sauvegardes - Responsabilité client
**Les sauvegardes sont sous la responsabilité de l'établissement.**
Le Dashboard intègre des fonctionnalités de téléchargement pour faciliter cette tâche :
#### API de sauvegarde disponibles
| Endpoint | Description | Format |
|----------|-------------|--------|
| `GET /api/backup/stats` | Statistiques des données | JSON |
| `POST /api/backup/full` | Backup complet | ZIP |
| `GET /api/backup/workflows` | Workflows uniquement | ZIP |
| `GET /api/backup/correction-packs` | Correction packs | ZIP |
| `GET /api/backup/config` | Configuration (sanitisée) | ZIP |
| `GET /api/logs/download` | Logs d'audit | ZIP |
#### Fréquence recommandée
| Type de données | Fréquence | Responsable |
|-----------------|-----------|-------------|
| Workflows | Quotidien | Client |
| Correction Packs | Hebdomadaire | Client |
| Configuration | Après chaque modification | Client |
| Logs d'audit | Selon politique SIEM | Client |
#### Procédure de sauvegarde
```bash
# Via Dashboard UI
1. Connectez-vous au Dashboard (http://localhost:5001)
2. Section "Sauvegardes"
3. Cliquez sur "Télécharger backup complet"
# Via API (script automatisable)
curl -o backup_$(date +%Y%m%d).zip \
-H "Authorization: Bearer $RPA_TOKEN_ADMIN" \
http://localhost:5001/api/backup/full
```
### 11.3 Export des modèles entraînés (Opt-in)
**Fonctionnalité optionnelle** pour partager les apprentissages avec l'éditeur (amélioration continue).
| Caractéristique | Description |
|-----------------|-------------|
| **Données exportées** | Embeddings FAISS, patterns de correction |
| **Anonymisation** | ✅ Aucune donnée brute, aucun screenshot |
| **Consentement** | Explicite, opt-in uniquement |
| **Bénéfice client** | Amélioration des performances |
#### API export modèles
```bash
# Télécharger les modèles entraînés
curl -o models_$(date +%Y%m%d).zip \
-H "Authorization: Bearer $RPA_TOKEN_ADMIN" \
http://localhost:5001/api/backup/trained-models
```
> **Note** : Ces fichiers contiennent uniquement des vecteurs numériques (embeddings) et des statistiques agrégées. Aucune donnée personnelle ou capture d'écran n'est incluse.
### 11.4 Mises à jour système
**Distribution hors-ligne** : Les mises à jour sont fournies sous forme de packages ZIP.
#### API gestion des versions
| Endpoint | Description |
|----------|-------------|
| `GET /api/version` | Version actuelle |
| `GET /api/version/system-info` | Information système |
| `GET /api/version/check-update` | Vérifier mise à jour disponible |
| `POST /api/version/create-backup` | Créer point de restauration |
| `GET /api/version/backups` | Lister points de restauration |
| `POST /api/version/upload-update` | Uploader package mise à jour |
#### Procédure de mise à jour
```bash
# 1. Créer un point de restauration
curl -X POST -H "Authorization: Bearer $RPA_TOKEN_ADMIN" \
-H "Content-Type: application/json" \
-d '{"label": "avant_mise_a_jour_3.1.0"}' \
http://localhost:5001/api/version/create-backup
# 2. Télécharger le package depuis le portail éditeur (hors-ligne)
# Le fichier update_3.1.0.zip contient update_manifest.json
# 3. Uploader le package
curl -X POST -H "Authorization: Bearer $RPA_TOKEN_ADMIN" \
-F "file=@update_3.1.0.zip" \
http://localhost:5001/api/version/upload-update
# 4. Vérifier et appliquer (redémarrage requis)
curl http://localhost:5001/api/version/check-update
systemctl restart rpa-vision
```
### 11.5 Rollback en cas de problème
En cas de problème après mise à jour, restaurer depuis un point de restauration :
```bash
# Lister les backups disponibles
curl -H "Authorization: Bearer $RPA_TOKEN_ADMIN" \
http://localhost:5001/api/version/backups
# Restaurer (procédure manuelle)
# 1. Arrêter le service
systemctl stop rpa-vision
# 2. Restaurer depuis le backup
cd /opt/rpa-vision
tar -xzf /path/to/backup_3.0.0_avant_mise_a_jour_3.1.0.tar.gz
# 3. Redémarrer
systemctl start rpa-vision
```
---
## 12. Conformité réglementaire
### 12.1 RGPD
| Exigence | Implémentation |
|----------|----------------|
@@ -616,7 +774,7 @@ allowlist.remove_allowed_ip("compromised.ip.address")
| Registre traitements | Logs d'audit |
| DPO notification | Alertes configurables |
### 11.2 HDS (Hébergeur Données Santé)
### 12.2 HDS (Hébergeur Données Santé)
| Exigence | Statut |
|----------|--------|
@@ -627,7 +785,7 @@ allowlist.remove_allowed_ip("compromised.ip.address")
| Plan de continuité | ⏳ À documenter |
| Audit externe | ⏳ À planifier |
### 11.3 ISO 27001
### 12.3 ISO 27001
| Contrôle | Référence | Statut |
|----------|-----------|--------|
@@ -642,9 +800,9 @@ allowlist.remove_allowed_ip("compromised.ip.address")
---
## 12. Checklist de validation
## 13. Checklist de validation
### 12.1 Pré-déploiement
### 13.1 Pré-déploiement
- [ ] Clés générées avec entropie suffisante (32+ chars)
- [ ] ENCRYPTION_PASSWORD configuré (non-défaut)
@@ -659,7 +817,7 @@ allowlist.remove_allowed_ip("compromised.ip.address")
- [ ] Certificats TLS valides
- [ ] Reverse proxy configuré
### 12.2 Post-déploiement
### 13.2 Post-déploiement
- [ ] Test authentification admin
- [ ] Test authentification read-only
@@ -672,7 +830,7 @@ allowlist.remove_allowed_ip("compromised.ip.address")
- [ ] Alertes configurées
- [ ] Backup procédures testées
### 12.3 Vérification automatique
### 13.3 Vérification automatique
```python
from core.security import check_security_requirements
@@ -690,7 +848,7 @@ print(result)
# }
```
### 12.4 Commande de validation
### 13.4 Commande de validation
```bash
cd /opt/rpa-vision
@@ -733,6 +891,7 @@ cd /opt/rpa-vision
| Version | Date | Auteur | Modifications |
|---------|------|--------|---------------|
| 1.0 | 19/01/2026 | Équipe RPA Vision | Version initiale |
| 1.1 | 19/01/2026 | Équipe RPA Vision | Ajout section 11 (continuité service, sauvegardes, export modèles, mises à jour, rollback). Clarification modèle on-premise. Précisions PAS et SLA. |
---