SOAP/REST - Sécuriser un service SOAP critique en production avec WS-Security et exigences de conformité

On vous demande de sécuriser un service SOAP exposant des opérations financières sensibles. Le travail doit couvrir : authentification et intégrité via WS-Security (signatures XML, encryption) et gestion des tokens SAML ou certificats X.509 ; mise en place de mutual TLS pour le transport et configuration des keystores/ truststores ; définition d’une policy WSDL (WS-Policy) décrivant exigences de sécurité, et maintien de compatibilité avec des clients hérités ; protection contre les attaques XML (XML External Entity, XML Bomb) et validation stricte du schéma XSD ; gestion des erreurs sécurisée (ne pas divulguer d’informations sensibles) et journalisation conforme (PII masqué, preuve d’audit). Expliquez les fichiers et configurations à modifier (WSDL, policy attachments), comment valider localement avec un client SOAP, et donnez une checklist de tests de sécurité (certificats, replay attacks, XML hardening).