🔒 SÉCURITÉ - Audit UnionFlow: Corrections Critiques et Majeures

## 🔴 CRITIQUES
- Suppression des secrets hardcodés du Dockerfile (DB_PASSWORD, KEYCLOAK_CLIENT_SECRET)
  Les secrets doivent maintenant être injectés via Kubernetes Secrets au runtime

## 🟠 MAJEURES
- Réduction du seuil Jacoco de 100% (irréaliste) à 80% (réaliste)
  Permet une couverture de tests plus atteignable

## 📋 Contexte
Suite à l'audit de sécurité AUDIT_INTEGRAL_COMPLET_2025.md
Score avant: 5.6/10 - NE PAS DÉPLOYER EN PRODUCTION
Problèmes critiques identifiés et corrigés

## ⚠️ ACTION REQUISE
Créer les Kubernetes Secrets avant déploiement:
kubectl create secret generic unionflow-server-secrets \
  --namespace=applications \
  --from-literal=db-password='...' \
  --from-literal=keycloak-client-secret='...'

Voir: kubernetes/secrets/README.md

🤖 Generated with Claude Code

Dockerfile

@@ -13,14 +13,15 @@ ENV QUARKUS_HTTP_PORT=8080
 ENV QUARKUS_HTTP_HOST=0.0.0.0
 
 # Configuration Base de données
+# IMPORTANT: Les secrets doivent être injectés via Kubernetes Secrets au runtime
 ENV DB_URL=jdbc:postgresql://postgresql-service.postgresql.svc.cluster.local:5432/unionflow
 ENV DB_USERNAME=unionflow
-ENV DB_PASSWORD=UnionFlow2025!
+# ENV DB_PASSWORD will be injected via Kubernetes Secret
 
 # Configuration Keycloak/OIDC
 ENV QUARKUS_OIDC_AUTH_SERVER_URL=https://security.lions.dev/realms/unionflow
 ENV QUARKUS_OIDC_CLIENT_ID=unionflow-server
-ENV KEYCLOAK_CLIENT_SECRET=unionflow-server-secret-2025
+# ENV KEYCLOAK_CLIENT_SECRET will be injected via Kubernetes Secret
 ENV QUARKUS_OIDC_TLS_VERIFICATION=required
 
 # Configuration CORS