diff --git a/doc/guide_utilisateur_ci.md b/doc/guide_utilisateur_ci.md
index 7c01f51a4f9fad0326e9814e732cd465d78aa71c..ff22784cd4b2773e3c695b1b9d3d8120ae133d37 100644
--- a/doc/guide_utilisateur_ci.md
+++ b/doc/guide_utilisateur_ci.md
@@ -37,6 +37,7 @@ Notez que le **nom final** de l'image construite est celui que vous indiquez dan
 Vous pouvez suivre les différentes étapes de la CI sur la page [Pipelines](https://gitlab.utc.fr/picasoft/projets/dockerfiles/pipelines), et il est **recommandé** de lire les logs des différentes étapes en cliquant sur chacune d'entre elles. Si la construction et les analyses de sécurité se passent bien, tous les voyants sont au vert (sauf la dernière étape, qui doit être déclenchée manuellement). Sinon, référez-vous à la section [Troubleshooting](#troubleshooting). Si l'analyse de sécurité n'est pas déclenchée, c'est qu'elle n'a pas besoin de l'être.
 
 Enfin, il est de bon ton de vérifier que les CVE whitelistées dans le fichier `clair-whitelist.yml` sont toujours détectées dans le scan de Clair (étape `clair`). Si non, on pourra les enlever de la liste.
+Notez aussi que souvent, les nouvelles CVE sont classées `High`, puis rétrogradée en `Medium`, voire `Negligeable`, parce qu'on s'est rendu compte que l'impact est moins grand qu'on le croyait. Dans ce cas, il convient d'enlever les CVE retrogradées de la liste blanche.
 
 On peut ensuite [déployer le service](guide_deploiement.md).
 
diff --git a/doc/mini_guide_cve.md b/doc/mini_guide_cve.md
index 050b0e593789383c7956b0005bed195ed9985a68..ed1fcd1e98560773495f6dec18c6c77ea96eec90 100644
--- a/doc/mini_guide_cve.md
+++ b/doc/mini_guide_cve.md
@@ -9,6 +9,10 @@ Une mise en liste blanche est **acceptable** si :
 * Il n'existe pas de contre-mesure à la vulnérabilité,
 * La vulnérabilité, même si elle est classée en criticité `High`, a peu de conséquences pour Picasoft. Cela peut être le cas pour une attaque par déni de service causant un usage de 100% du processeur, qui n'aura d'impact que sur Etherpad en raison des limitations de ressources.
 
+Si jamais il reste un paquet contenant une vulnérabilité `High`, et que les conditions ci-dessus ne sont pas remplies, voici deux choses à tenter avant de le whitelister ou de décider de ne pas déployer la mise à jour.
+
+## Suppression d'un paquet inutile
+
 On prend l'exemple de la `CVE-2020-8492 (High)` détectée par Clair lors d'un build de `pica-db-backup-rotation` ([commit](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/commit/078d448a53da4be9330fd0ac9304a7eb3a26e969), [log de Clair](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/jobs/883005))
 
 ![](./images/clair_log_1.png)
diff --git a/pica-plume/Dockerfile b/pica-plume/Dockerfile
index 9974f47e992d39afdd92ae95552a63b9f794d3e7..525d3a5fc7abbdb7e2838c1fe87daa6f9878f12c 100644
--- a/pica-plume/Dockerfile
+++ b/pica-plume/Dockerfile
@@ -1,7 +1,4 @@
-# Change as soon as the tag is published on Docker Hub :
-# https://hub.docker.com/r/plumeorg/plume/tags
-# For now 0.5.0 is not available
-ARG VERSION=latest
+ARG VERSION=v0.5.0
 FROM plumeorg/plume:${VERSION}
 
 ENV PLUME_VERSION=v0.5.0
diff --git a/pica-plume/README.md b/pica-plume/README.md
index f7590caf8fcbe01e559efd372ca74da94d9ac9ac..1c2270aa65f79616f7277b3e61863af484e2d328 100644
--- a/pica-plume/README.md
+++ b/pica-plume/README.md
@@ -18,6 +18,8 @@ Mettre à jour `VERSION` **et** `PLUME_VERSION` dans le [Dockerfile](./Dockerfil
 
 Vérifier que les vulnérabilités de [clair-whitelist.yml](./clair-whitelist.yml) n'ont toujours pas de contre-mesures, sinon appliquez les contre mesures (une mise à jour peut tout à faire résoudre le problème, dans ce cas pensez à enlever les vulnérabilités).
 
+**Attention : vérifier le passage de [l'image de base](https://github.com/Plume-org/Plume/blob/master/Dockerfile) à Debian Buster** : quand ce sera fait, le nombre de CVE diminuera très fortement.
+
 ### Configuration et lancement
 
 Copier le fichier `plume.secrets.example` dans `plume.secrets` et `plume_db.secrets.example` dans `plume_db.secrets` et remplacez les valeurs par des mots de passe de production.
diff --git a/pica-plume/clair-whitelist.yml b/pica-plume/clair-whitelist.yml
index 399ae52c12f35efc1fb281de342799fe979423f5..4b0c60a8797a6f53b9bd5ccec2e2c17d09dd1bd8 100644
--- a/pica-plume/clair-whitelist.yml
+++ b/pica-plume/clair-whitelist.yml
@@ -11,3 +11,4 @@ generalwhitelist:
   CVE-2020-13630: sqlite3 -> dépendance du client PG utilisé uniquement dans l'entrypoint
   CVE-2020-10543: perl -> trop de paquets en dépendent, pas de contre mesures
   CVE-2020-10878: perl -> trop de paquets en dépendent, pas de contre mesures
+  CVE-2020-14155: pcre3 -> pas de contre-mesure