diff --git a/docs/stories/1.4.page-canary-deploiement.md b/docs/stories/1.4.page-canary-deploiement.md
index a811639..07e9248 100644
--- a/docs/stories/1.4.page-canary-deploiement.md
+++ b/docs/stories/1.4.page-canary-deploiement.md
@@ -37,7 +37,7 @@ In Progress
 - [ ] **Task 3 : Configurer le serveur nginx** (AC: 3, 4, 6)
   - [x] Créer/adapter la configuration nginx
   - [x] Configurer les redirections vers index.php (front controller)
-  - [ ] Bloquer l'accès aux fichiers sensibles (.env, vendor/, data/, logs/)
+  - [x] Bloquer l'accès aux fichiers sensibles (.env, vendor/, data/, logs/)
   - [x] Configurer les headers de sécurité
   - [x] Activer la compression gzip
 
@@ -54,15 +54,15 @@ In Progress
 
 - [x] **Task 6 : Valider les performances** (AC: 5)
   - [x] Lancer un audit Lighthouse
-  - [ ] Vérifier que le temps de chargement < 2s
+  - [x] Vérifier que le temps de chargement < 2s
   - [x] Vérifier le score Performance > 90
   - [x] Corriger les éventuels problèmes
 
-- [ ] **Task 7 : Tests de sécurité** (AC: 6)
-  - [ ] Tester l'accès à `/.env` → doit retourner 404
-  - [ ] Tester l'accès à `/vendor/` → doit retourner 404
-  - [ ] Tester l'accès à `/data/` → doit retourner 404
-  - [ ] Tester l'accès à `/logs/` → doit retourner 404
+- [x] **Task 7 : Tests de sécurité** (AC: 6)
+  - [x] Tester l'accès à `/.env` → doit retourner 404
+  - [x] Tester l'accès à `/vendor/` → doit retourner 404
+  - [x] Tester l'accès à `/data/` → doit retourner 404
+  - [x] Tester l'accès à `/logs/` → doit retourner 404
 
 ## Dev Notes
 
@@ -291,6 +291,7 @@ sudo systemctl reload nginx      # Recharger nginx
 
 | Date | Version | Description | Author |
 |------|---------|-------------|--------|
+| 2026-02-04 | 0.1 | Sécurité + perf validées | Amelia |
 | 2026-02-04 | 0.1 | HTTPS + déploiement + Lighthouse | Amelia |
 | 2026-02-04 | 0.1 | Ajout nginx.conf.example | Amelia |
 | 2026-02-04 | 0.1 | Implementation task 2 (pré-déploiement) | Amelia |
@@ -311,6 +312,7 @@ GPT-5 Codex
 - nginx.conf.example created for codex.skycel.me + php8.1-fpm
 - HTTPS active (Let's Encrypt), nginx reloaded, deployment via SFTP
 - Lighthouse: Perf 100, Accessibilité 81, Bonnes pratiques 92, SEO 92 (mobile/desktop)
+- FCP 0.2s, LCP 0.2s, accès sensibles bloqués
 
 ### Completion Notes List
 
@@ -321,9 +323,6 @@ GPT-5 Codex
 
 **Tâches restantes (manuelles) :**
 - Créer .env de production sur le serveur
-- Bloquer l'accès aux fichiers sensibles (.env, vendor/, data/, logs/, includes/)
-- Vérifier le temps de chargement < 2s
-- Tests de sécurité (curl sur .env/vendor/data/logs)
 
 ### File List