### Objet
Axes de tests pour `lecoffre-back-mini` (sans exemples d’implémentation).

### Couverture prioritaire
- **Santé**: `/health` et métriques associées
- **Auth/Session**: middleware `auth`, gestion tokens, expirations, nettoyages
- **Intégrations**: `idnot`, `sms`, `email`, `stripe`, `signer`
- **Process**: cohérence des flux exposés par `process.routes`

### Résilience
- **Reconnection signer**: simulation déconnexions/retards
- **Retry emails**: files d’attente et reprises

### Sécurité
- **Entrées**: validation, schémas, erreurs typées
- **Secrets**: vérification de la non-exposition via réponses API

### Auth IdNot
- Vérifier POST `/api/v1/idnot/auth` avec un code long dans le corps JSON (`{ code }`) retourne un statut applicatif (4xx/5xx) mais pas 502.
- Vérifier qu’un corps JSON invalide (ex: JSON mal formé) renvoie `400`.
- Vérifier qu’un GET/POST avec segment d’URL trop long n’est plus utilisé par le front.

Focus régression v1.0.3:
- Cas « utilisateur non rattaché à une étude » doit renvoyer `403` (plus de 502).

### Traces attendues (v1.0.4)
- En cas d’échec IdNot, vérifier la présence d’un log avec `url`, `status`, `statusText` et `bodySnippet`.