PDS-38: Durcir HTTPS et headers de sécurité web
- Backend: SecurityHeadersMiddleware (HSTS, X-Content-Type-Options, X-Frame-Options, COOP, Referrer-Policy, Permissions-Policy)
- Frontend: hooks.server.ts injecte HSTS, X-Content-Type-Options, COOP, Referrer-Policy, Permissions-Policy
- CSP déclarative via svelte.config.ts (PDS-56), Trusted Types en mode rapport
- Script check-security-headers.sh pour vérification HTTP
- ADR-021 accepté, compromis MVP documentés
- make quality: 148 tests backend 88%, 74 tests frontend, build OK