diff --git a/.env.example b/.env.example
new file mode 100644
index 0000000..875fec3
--- /dev/null
+++ b/.env.example
@@ -0,0 +1,16 @@
+# KAWA Environment Variables
+# Copier ce fichier en .env et remplir les valeurs
+
+# Headscale
+HEADSCALE_URL=https://headscale.du-senegal.com
+HEADSCALE_AUTHKEY=<your-authkey-here>
+
+# Telegram Bot Tokens (à récupérer depuis @BotFather)
+TELEGRAM_BOT_VPS=<your-telegram-token>
+TELEGRAM_BOT_LOCAL=<your-telegram-token>
+
+# Gitea Tokens (à générer depuis git.du-senegal.com)
+GITEA_TOKEN=<your-gitea-token>
+
+# Syncthing Device IDs (non sensibles)
+SYNCTHING_VPS_ID=AHF53QZ-ZYCQ2K7-556QBZ2-2UAYZL4-QNEQOGZ-PHZQIAG-4ZRXI3P-QLLJNA6
diff --git a/.gitignore b/.gitignore
index afcf022..1a015a0 100644
--- a/.gitignore
+++ b/.gitignore
@@ -14,3 +14,9 @@ tokens.txt
 # Configs locales
 config.local.*
 *.local
+.env
+
+# Secrets
+.env
+*.env
+secrets/
diff --git a/SECURITY.md b/SECURITY.md
new file mode 100644
index 0000000..a09a524
--- /dev/null
+++ b/SECURITY.md
@@ -0,0 +1,36 @@
+# Sécurité KAWA
+
+## ⚠️ Tokens et Clés
+
+Les tokens et clés ne doivent **JAMAIS** être commités dans git.
+
+### Fichiers à ne PAS commiter:
+- `.env` - Variables d'environnement
+- `*.key` - Clés privées
+- `secrets/` - Dossiers secrets
+- `*_token*` - Fichiers de tokens
+
+### Configuration sécurisée:
+
+1. Copier `.env.example` en `.env`
+2. Remplir les valeurs réelles
+3. Le fichier `.env` est ignoré par git
+
+### Clés à générer:
+
+| Service | Où générer |
+|---------|-----------|
+| Telegram Bot Token | @BotFather |
+| Headscale Auth Key | `headscale preauthkeys create --user kawa` |
+| Gitea Token | git.du-senegal.com → Settings → Applications |
+
+## 🔒 Clés compromises
+
+Si une clé est exposée publiquement:
+1. **Télégram**: @BotFather → Revoke Token
+2. **Headscale**: Générer une nouvelle clé
+3. **Gitea**: Regenerate le token
+
+---
+
+Dernière mise à jour: 2026-03-15