Contexte : Une API publique est exposée sur Internet et subit des tentatives d'attaque. Le Problème : La configuration actuelle n'intègre pas de protections suffisantes contre XSS, injection ou brute force. Contraintes : Utiliser helmet, validation stricte des entrées et rate limiting avancé. Livrable attendu : Mettre en place une stratégie complète de sécurisation protégeant l'application contre les principales vulnérabilités OWASP.