Contexte : Une entreprise fintech impose des standards de sécurité stricts pour ses conteneurs en production. Le Problème : L'image actuelle s'exécute en root et conserve toutes les Linux capabilities par défaut. Contraintes : Vous devez renforcer l'isolation via Dockerfile et docker-compose. Réduction des capabilities et exécution non-root obligatoires. Aucun changement applicatif. Livrable attendu : Fournir une configuration sécurisée incluant USER non-root et suppression explicite des capabilities inutiles.