Recalibre la section sécurité au modèle de menace réel : portail sans donnée patient (licences + compteurs agrégés) → HTTPS + login/mot de passe fort suffisent. Retire la recommandation VPN/IP allowlist (overkill). CSRF déjà couvert par SameSite=Lax ; rate-limiting /login = nice-to-have au proxy. https_only désormais implémenté (app_aivanov 884661a). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>