docs(exceptions_v3): #20 - rule active console = pos-inf.txt brouillon (6 prefixes), pas dom_inf_rule_v2.txt (91)

docs/exceptions_v3.md

@@ -33,7 +33,7 @@ Suivi des cas où la règle V3 produit un résultat incorrect (faux positif/nég
 | 17 | 2026-04-24 | Toutes les ENV-* et POS-* | Toutes les rules QQL | Précédence opérateurs : `OR ... AND Server` sans parenthèses → seul le dernier OR est filtré par Server | Manque de parenthèses autour des grands `OR` dans les rules QQL | **Filtre Server inopérant** : les workstations passaient à travers les filtres ENV-*/POS-* (sauf le dernier item du OR) → KPI faussés | Ajout systématique de `( ... )` autour de tous les grands OR dans toutes les rules ENV-* et POS-* (5+6 = 11 règles) + `gen_xlsx.py` mis à jour | 🟢 | 2026-04-24 |
 | 18 | 2026-04-24 | `TAG-OBS` | OS obsolètes manquants | Liste TAG-OBS incomplète | Manquaient : Win Server 2008 R2, Win7 (sans espace, embedded), RHEL 7 (EOL juin 2024), Oracle Linux 5/6, SLES 11/12, Solaris 10, AIX 6.1 + typo "Server  5" double espace | **Audit obsolescence incomplet** : assets EOL non détectés → risque sécu non remonté | Liste étendue dans `gen_xlsx.py` + typo fixée (à appliquer en console Qualys) | 🟡 | (gen_xlsx fait, console à faire) |
 | 19 | 2026-04-24 | `POS-DMZ` vs `TAG-SED`/`TAG-SEI` | 7 assets en désaccord audit DMZ | 3 en POS-DMZ sans SED/SEI + 4 avec SED/SEI hors POS-DMZ | Tags STAT manuels non synchronisés à la création/modif d'assets DMZ | **Trou audit sécurité** : assets DMZ non classifiés en exposition directe/indirecte → mauvaise priorisation patch/scan | Rectification finale 2026-04-25 : 3 ajouts à SED/SEI (`vppintaweb1` SED, `vppintaweb2` SED, `vrameased1` SEI) + 1 retrait `vpdecasas4` (n'aurait pas dû être en SEI) + 3 confirmés légitimement hors DMZ (LAN exposé via NAT : `vpdsiawsus1` SED, `vppeaabst3` SEI, `vpvpnaems1` SED Ubuntu). Total cohérent : POS-DMZ=48, SED+SEI=48 | 🟢 | 2026-04-25 |
-| 20 | 2026-04-25 | `POS-INF` trop restrictif | 5 assets seulement | API Qualys live confirme 5 (vpbipamod1, vpsimasvp1, vraptbjup1, vraiiavid1/2) | **rule_type console = `GLOBAL_ASSET_VIEW`** alors que `gen_xlsx.py` dit `Asset Inventory` (= Asset Search). Les 5 retournés sont d'ailleurs tous dans la liste d'EXCLUSIONS de la QQL gen_xlsx (vpbipa*, vpsimas*, vraptb*, vraiia* tous exclus dans dom_inf_rule_v2.txt) → confirme que la rule appliquée par la console n'est PAS celle de notre référentiel | **Périmètre Infrastructure totalement faux** : la rule active dans Qualys est inconnue/obsolète, le dashboard remonte 5 alors qu'on devrait avoir 91 préfixes match. DSI sous-estime la surface d'attaque infra. | Console Qualys : éditer POS-INF, changer Tag Rule Type de `Global Asset View` → **`Asset Inventory` (Asset Search)** + coller la QQL de `C:\Claude\sanef\QL\inputs\dom_inf_rule_v2.txt` + Re-evaluate | 🔴 | À fixer (QQL console) |
+| 20 | 2026-04-25 | `POS-INF` trop restrictif | 5 assets seulement | API Qualys live confirme 5 (vpbipamod1, vpsimasvp1, vraptbjup1, vraiiavid1/2) | **La rule active dans la console Qualys = `C:\Claude\sanef\inputs\pos-inf.txt`** (seulement 6 préfixes : vpsimas*, vpppear*, vpppeas*, vpbipa*, vraiia*, vraptb*) au lieu de la rule v3 cible **`C:\Claude\sanef\QL\inputs\dom_inf_rule_v2.txt`** (91 préfixes). Le brouillon initial des exclusions a été appliqué à la place de la vraie rule. | **Périmètre Infrastructure totalement faux** : 5 assets au lieu d'~80-100 attendus. DSI sous-estime largement la surface d'attaque infra. | Console Qualys : éditer POS-INF → coller la QQL complète de `dom_inf_rule_v2.txt` (91 préfixes + exclusions Gestion) → Re-evaluate. Vérifier aussi le rule_type (`Asset Inventory` = Asset Search). | 🔴 | À fixer (QQL console) |
 
 ---