Document API security prerequisites

README.fr.md

@@ -4,6 +4,7 @@
 ![Python](https://img.shields.io/badge/python-3.11%2B-green)
 ![License](https://img.shields.io/badge/license-Apache--2.0-orange)
 ![Docker](https://img.shields.io/badge/docker-ready-2496ED)
+![Sécurité](https://img.shields.io/badge/s%C3%A9curit%C3%A9-sans_%C3%A9criture_PVE%2FPBS-brightgreen)
 
 Outil Python pour générer un rapport quotidien des sauvegardes Proxmox VE vers Proxmox Backup Server.
 
@@ -22,6 +23,15 @@ L'application collecte les données via les API PVE/PBS, calcule la couverture d
 - ⚠️ Section d'anomalies pour les erreurs ou données de collecte partielles.
 - 🐳 Exécution recommandée avec Docker, ou exécution directe en CLI.
 
+## 🔐 Prérequis
+
+Créer des utilisateurs ou tokens API dédiés à cette application de rapport. Ils doivent être limités aux droits d'audit/lecture seule :
+
+- Proxmox VE : attribuer uniquement le rôle `PVEAuditor` à l'utilisateur ou au token API utilisé par `PVE_API_TOKEN_ID`.
+- Proxmox Backup Server : attribuer uniquement le rôle `Audit` à l'utilisateur ou au token API utilisé par chaque `PBS<number>_API_TOKEN_ID`.
+
+Ne pas utiliser de compte administrateur ou de compte avec droits d'écriture. L'application a seulement besoin de lire l'inventaire, les jobs de sauvegarde, les tâches, les datastores, les namespaces, les snapshots et les données de rétention.
+
 ## 🐳 Utilisation avec Docker
 
 Docker est le mode d'exécution recommandé. L'image contient les dépendances Python et les bibliothèques système nécessaires à WeasyPrint.