Je vais mettre en production une API REST publique. Donne-moi une checklist de sécurité infrastructure/réseau : 1. **Rate Limiting** : Stratégies recommandées. 2. **Headers HTTP** : Lesquels forcer (HSTS, CSP, X-Content-Type-Options). 3. **CORS** : Configuration restrictive. 4. **Logging** : Ce qu'il faut logger vs ne jamais logger (PII, secrets).