Scanner vos dépôts avec TruffleHog (--only-verified), installer un pre-commit hook git-secrets, configurer des budgets d'alerte à 50/90/100% sur GCP, et restreindre chaque clé à une seule API + IP source = protection maximale en 30 minutes de config.