| Couche 1 — Séparation CU | ✅ Clarifie que pv-backend-svc est limité à C_Sign/C_Verify/C_OpenSession et que seule l'identité pv-crypto-user peut créer des clés. |
| Couche 2 — Credentials isolés | ✅ pv-crypto-user non déployé sur le backend et accès Secrets Manager bloqué par IAM HSM-Backend-Role. |
| Couche 3 — Validation applicative | ✅ Valide les labels lors des créations via Crypto Service, avec couverture opérationnelle attendue. |
| Couche 4 — Quorum | ✅ Contrôle procédural documenté, appliqué aux créations de clés avec validation à deux personnes. |
| Couche 5 — Détection temps réel | ✅ Filtres/alertes CloudWatch sur créations et labels non conformes, couverture explicite. |
| Couche 6 — Audit mensuel | ✅ Inventaire mensuel et alerte CRITICAL en cas de non-conformité. |
| Couche 7 — Baseline immuable | ✅ Baseline S3 versionnée eu-west-3 et comparaison mensuelle, delta = CRITICAL. |
| Risque résiduel H-07 | Acceptable : la défense en profondeur combinée (séparation CU, contrôles IAM, validation, détection et audits) réduit suffisamment le risque pour l'acceptation contractuelle. |