diff --git a/README.md b/README.md
index 2ecbf9d..ba39ba2 100644
--- a/README.md
+++ b/README.md
@@ -34,6 +34,17 @@ Si le plugin est désactivé : il n'est plus possible de s'authentifier avec un
 Ce plugin a vocation a être intégré dans plugins-dist/ ou dans le core dans une 4.x future.
 
 
-### TODO ###
+### Intégration pour sécurité+++ ###
+
+Afin de limiter les impacts d'un accès non autorisé en lecture a la base de données, il reste nécessaire de protéger (chiffrer) les données permettant de s'authentifier ou équivalent. Quelques exemples :
+
+- champ cooki_oubli contenant le token envoyé par email a l'utilisateur lors de la perte du mot de passe
+- champ secret_du_site/alea* contenu dans la table spip_meta
+- etc ?
+
+Le plugin "chiffrer" n'a pas vocation a bloquer tous ces "chemins". Ce travail doit amha être fait au fil de l'eau dans SPIP et peut être réalisé simplement à l'aide des fonctions chiffrer()/dechiffrer().
+
+Utiliser le plugin en l'état, ou l'intégrer dès maintenant au core ou à la dist (https://git.spip.net/spip/spip/issues/4927).
+
+
 
-La fonctionnalité de perte de mot de passe n'a pas encore subit un traitement similaire, de manière générale tous les aléas secrets générés devraient y passer. Maus utiliser le token de récupération du mot de passe c'est autre chose qu un PTH. Le plugin "chiffrer" a pas vocation a bloquer tous ces "chemins". Utiliser le plugin en l'état, ou l'intégrer dès maintenant au core ou à la dist (https://git.spip.net/spip/spip/issues/4927), ça améliore déjà la sécurité.