🔒 SÉCURITÉ - Audit UnionFlow: Corrections Critiques et Majeures

## 🔴 CRITIQUES
1. Suppression du secret hardcodé du Dockerfile (KEYCLOAK_CLIENT_SECRET)
   Les secrets doivent maintenant être injectés via Kubernetes Secrets

2. Configuration TLS sécurisée par défaut
   - quarkus.oidc.tls.verification=required (au lieu de 'none')
   - Prévient les attaques Man-in-the-Middle
   - 'none' reste disponible uniquement en développement local

## 🟠 MAJEURES
- Ajout de annotationProcessorPaths pour Lombok dans maven-compiler-plugin
  Assure la génération correcte des getters/setters/builders

## 📋 Contexte
Suite à l'audit de sécurité AUDIT_INTEGRAL_COMPLET_2025.md
Score avant: 5.6/10 - NE PAS DÉPLOYER EN PRODUCTION
Problèmes critiques identifiés et corrigés

## ⚠️ ACTION REQUISE
Créer le Kubernetes Secret avant déploiement:
kubectl create secret generic unionflow-client-secrets \
  --namespace=applications \
  --from-literal=keycloak-client-secret='...'

Voir: kubernetes/secrets/README.md

🤖 Generated with Claude Code

src/main/resources/application.properties

@@ -74,7 +74,9 @@ quarkus.oidc.authentication.redirect-path=/auth/callback
 quarkus.oidc.authentication.restore-path-after-redirect=true
 quarkus.oidc.authentication.scopes=openid,profile,email,roles
 quarkus.oidc.token.issuer=https://security.lions.dev/realms/unionflow
-quarkus.oidc.tls.verification=none
+# SÉCURITÉ: TLS verification DOIT être 'required' par défaut
+# Seulement 'none' en développement local (voir application-dev.properties)
+quarkus.oidc.tls.verification=required
 # quarkus.oidc.authentication.force-redirect-https=false  # Not supported in this Quarkus version
 quarkus.oidc.authentication.cookie-same-site=lax
 quarkus.oidc.authentication.java-script-auto-redirect=false