🔒 SÉCURITÉ - Audit UnionFlow: Corrections Critiques et Majeures

## 🔴 CRITIQUES
1. Suppression du secret hardcodé du Dockerfile (KEYCLOAK_CLIENT_SECRET)
   Les secrets doivent maintenant être injectés via Kubernetes Secrets

2. Configuration TLS sécurisée par défaut
   - quarkus.oidc.tls.verification=required (au lieu de 'none')
   - Prévient les attaques Man-in-the-Middle
   - 'none' reste disponible uniquement en développement local

## 🟠 MAJEURES
- Ajout de annotationProcessorPaths pour Lombok dans maven-compiler-plugin
  Assure la génération correcte des getters/setters/builders

## 📋 Contexte
Suite à l'audit de sécurité AUDIT_INTEGRAL_COMPLET_2025.md
Score avant: 5.6/10 - NE PAS DÉPLOYER EN PRODUCTION
Problèmes critiques identifiés et corrigés

## ⚠️ ACTION REQUISE
Créer le Kubernetes Secret avant déploiement:
kubectl create secret generic unionflow-client-secrets \
  --namespace=applications \
  --from-literal=keycloak-client-secret='...'

Voir: kubernetes/secrets/README.md

🤖 Generated with Claude Code

Dockerfile

@@ -16,8 +16,9 @@ ENV QUARKUS_HTTP_HOST=0.0.0.0
 ENV UNIONFLOW_BACKEND_URL=https://lions.dev/unionflow
 
 # Configuration Keycloak OIDC
+# IMPORTANT: Les secrets doivent être injectés via Kubernetes Secrets au runtime
 ENV KEYCLOAK_AUTH_SERVER_URL=https://security.lions.dev/realms/unionflow
-ENV KEYCLOAK_CLIENT_SECRET=unionflow-client-secret-2025
+# ENV KEYCLOAK_CLIENT_SECRET will be injected via Kubernetes Secret
 
 # Créer l'utilisateur appuser
 RUN addgroup -g 185 appuser && adduser -D -u 185 -G appuser appuser