diff --git a/tp7-ldap.md b/tp7-ldap.md
index d5b1e5d..986abc4 100644
--- a/tp7-ldap.md
+++ b/tp7-ldap.md
@@ -50,7 +50,7 @@ Déploiement d'un LDAP
 
 Reprenez le TP3 (soit vous avez encore l'infra, soit vous la recréez à partir du sujet) pour avoir l'AS IUTVA. Dans cet AS :
 * Ajoutez une machine qui vous servira de serveur LDAP. Une fois démarrée, installez et configurez le serveur LDAP
-* Configurez une autre machine de l'AS IUTVA pour être client de ce LDAP (pour l'authentification et pour les user/groupes affichés par `ls`)
+* Configurez une autre machine de l'AS IUTVA pour être client de ce LDAP (pour l'authentification, PAM, et pour les user/groupes affichés par `ls`, NSS)
 * Obtenez un joli certificat TLS :
   * Soit en utilisant la CA ACME déjà explorée
   * Soit en recréant une CA ad hoc interne
@@ -61,6 +61,14 @@ Reprenez le TP3 (soit vous avez encore l'infra, soit vous la recréez à partir
 * Programmez une sauvegarde régulière vers une autre machine (cron)
 
 
+Durcissement LDAP
+=================
+
+Choisissez un guide de durcissement LDAP ([exemple1](https://www.openldap.org/doc/admin26/security.html), [exemple2](https://ldapwiki.com/wiki/Best%20Practices%20for%20LDAP%20Security)). Sans mettre toutes les recommandations en place :
+* Analysez les recommandations déjà en place
+* Celles qui seraient souhaitables
+* Comment seraient-elles mises en place (de manière synthétique, pas des commandes exactes)
+
 Une injection LDAP
 ==================