diff --git a/app/services/realtime_audit_service.py b/app/services/realtime_audit_service.py
index ebbbf4f..248009f 100644
--- a/app/services/realtime_audit_service.py
+++ b/app/services/realtime_audit_service.py
@@ -673,6 +673,19 @@ def _analyze_qualys_audit(r):
     s_disk = (r.get("disk_space") or "")
     s_conn = (r.get("qualys_connectivity") or "").lower()
     s_ver = (r.get("agent_version") or "")
+    s_os_lower = (r.get("os_release") or "").lower()
+
+    # Early exit : si OS EOL (RHEL 5/6), on n'affiche qu'un seul constat global
+    # — les autres warnings (TLS faible, agent vieux) sont des conséquences attendues.
+    if "release 5" in s_os_lower or "release 6" in s_os_lower:
+        return [{
+            "severity": "info",
+            "title": "OS en fin de vie — agent legacy",
+            "fix": "Constat : RHEL 5/6 EOL. L'agent installé est forcément ancien (Qualys 7.x non supporté). "
+                   "Les éventuels warnings TLS, version agent, etc. sont des conséquences attendues "
+                   "et ne sont pas actionnables tant que le serveur est en place. "
+                   "Proposition : à intégrer au plan de migration / décommissionnement de la VM."
+        }]
 
     s_lvm = (r.get("lvm_info") or "")
     s_lrt = (r.get("logrotate_config") or "").lower()
@@ -819,16 +832,7 @@ def _analyze_qualys_audit(r):
                    "Proposition : ticket support pour analyse approfondie."
         })
 
-    # OS EOL (RHEL 5/6)
-    s_os = (r.get("os_release") or "").lower()
-    if "release 5" in s_os or "release 6" in s_os:
-        suggestions.append({
-            "severity": "low",
-            "title": "OS détecté en fin de vie",
-            "fix": "Constat : RHEL 5/6 EOL. "
-                   "Hypothèse : l'agent Qualys 7.x peut ne pas être supporté sur cette version. "
-                   "Proposition : à intégrer au plan de migration/décom du serveur."
-        })
+    # (OS EOL géré en early-exit en haut de la fonction)
 
     return suggestions