Créer et publier des applications de manière sécurisée est une responsabilité partagée. Replit est responsable de la sécurité de l’Agent Replit, de la plateforme et de l’infrastructure sur laquelle les charges de travail des clients s’exécutent. Replit prend des mesures pour les exploiter avec des contrôles raisonnables et des paramètres sécurisés par défaut, et fournit des outils que vous pouvez utiliser pour protéger votre application et vos données. Vous êtes responsable du contenu de votre application et de l’utilisation et de la configuration des outils fournis par Replit. Il s’agit d’un équilibre intentionnel. Replit souhaite que vous puissiez créer tout ce que vous imaginez, et cette liberté implique de placer certaines décisions entre vos mains. Le tableau suivant présente le modèle de responsabilité partagée de Replit, structuré selon les schémas établis de responsabilité partagée dans le cloud et l’IA (Microsoft AI SRM, CSA AICM), et basé sur ISO/IEC 42001 et le NIST AI RMF :Documentation Index
Fetch the complete documentation index at: https://docs.replit.com/llms.txt
Use this file to discover all available pages before exploring further.
Matrice des responsabilités
Général
| Domaine | Description | Responsabilité |
|---|---|---|
| Conditions d’utilisation | Conformité aux Conditions d’utilisation de Replit. | Vous |
| Réponse aux incidents et notification de violation | Replit répond aux incidents de plateforme et en informe les clients concernés conformément à sa politique de réponse aux incidents et à ses contrats ; vous répondez aux incidents provenant de vos projets, du code de votre application, de vos données ou des comptes de vos utilisateurs finaux. | Replit (plateforme) Vous (application) |
| Signalement de vulnérabilités à Replit | Notifier Replit des problèmes découverts sur la plateforme selon le modèle de divulgation responsable. | Replit (triage et correction) Vous (signalement à security@replit.com) |
| Certifications de conformité de la plateforme | Maintien des attestations (par exemple, SOC 2 Type II) et fourniture de preuves aux clients. | Replit |
| Sous-traitants | Replit vérifie et divulgue les sous-traitants qui traitent les données des clients sur la plateforme ; vous vérifiez et divulguez les sous-traitants utilisés par votre application. | Replit (plateforme) Vous (application) |
Agent Replit
| Domaine | Description | Responsabilité |
|---|---|---|
| Génération de code | La génération du code de l’application par l’Agent Replit. | Replit |
| Révision du code | Vérification de l’exactitude, de la sécurité et de la licence des sorties de l’Agent, y compris les dépendances tierces qu’il introduit. | Vous |
| Environnement d’exécution de l’Agent | Le cadre agentique utilisé par l’Agent Replit, la gestion de la mémoire, les outils de base, etc. | Replit |
| Supervision humaine | Approbation des actions sensibles proposées par l’Agent (déploiements, modifications de secrets, appels sortants). | Vous |
| Formulation des requêtes | Les requêtes et instructions données à l’Agent Replit. | Vous |
| Injection de requêtes et entrées non fiables | Replit renforce l’environnement et ajoute des mesures d’atténuation contre les requêtes malveillantes (sans garantie de prévention) ; vous évitez de fournir à l’Agent du contenu externe non fiable sans assainissement et validez les sorties. | Replit (garde-fous) Vous (hygiène des entrées) |
| Traitement des requêtes et interaction avec le modèle | La manière dont les requêtes et le code généré sont enregistrés, conservés et s’ils sont utilisés pour l’entraînement. | Replit (conforme aux Conditions d’utilisation et à l’Accord de traitement des données) |
| Skills / MCP | Les Skills et outils MCP vérifiés par Replit sont maintenus par Replit ; les Skills et outils MCP installés par l’utilisateur relèvent de votre responsabilité pour la vérification, la configuration et la révocation. | Replit (première partie) Vous (tiers) |
Environnement de développement
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des identités et des accès de l’espace de travail (comptes, MFA, SSO, SCIM) | Sécurisation de l’accès à votre organisation et espace de travail Replit. | Replit (contrôles) Vous (configuration) |
| Journaux d’audit de l’espace de travail | Enregistrement des actions effectuées dans votre espace de travail Replit. | Replit (fourniture) Vous (révision) |
| Gestion des secrets | Utilisez toujours les Connecteurs et la fonctionnalité Secrets pour garantir le stockage approprié des secrets. | Vous |
| Stockage des secrets | Replit ne stocke ni n’enregistre les secrets en texte clair. | Replit |
| Partage et collaboration | Replit vous donne les outils pour appliquer le contrôle d’accès ; vous êtes responsable du choix de qui peut consulter, modifier ou recréer chaque application, interagir avec l’Agent, configurer les Connecteurs, consulter les secrets, etc. | Replit (contrôle d’accès basé sur les rôles) Vous (configuration) |
| Résidence des données | L’endroit où les données de développement d’applications sont stockées et traitées. | Replit (capacités) Vous (sélection) |
| Rétention, suppression et export des données | La durée de conservation des données et la manière dont elles sont supprimées ou exportées. | Replit (mécanisme) Vous (configuration) |
| Fonctionnalité et exactitude de l’application | Qualité et fonctionnalité de l’application. Replit est responsable de fournir des tests de régression ; vous êtes responsable de définir la logique métier souhaitée. | Replit (écriture du code et infrastructure de test) Vous (définition de la logique métier) |
| Connecteurs | Replit fournit des mécanismes sécurisés pour se connecter à d’autres services ; vous autorisez, renouvelez et révoquez vos identifiants dans les services tiers. | Replit (mécanisme) Vous (identifiants et accès tiers) |
| Environnement d’exécution de développement | Système d’exploitation et environnements d’exécution. | Replit |
| Sécurité réseau | Isolation entre les instances de développement. | Replit |
| Surveillance de la plateforme | Surveillance de l’infrastructure de la flotte Replit. | Replit |
Applications publiées
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des utilisateurs | Contrôlez la façon dont les utilisateurs se connectent à l’application publiée. | Vous |
| Politique d’utilisation / contrôle d’accès | Contrôlez quels utilisateurs ont accès à quelles ressources ou parties de l’application en fonction des autorisations. | Vous |
| Propriété intellectuelle / droits d’auteur | Vous êtes responsable de vérifier que les sorties de l’Agent et votre application respectent les droits de propriété intellectuelle et les droits d’auteur. | Vous |
| Informations / Données | Les données consommées, créées ou affichées par l’application. | Vous |
| Avis de confidentialité et consentement des utilisateurs finaux | Divulgations de confidentialité, bannières de cookies et consentements présentés à vos utilisateurs finaux. | Vous |
| Conformité réglementaire de votre application | Respect des lois et réglementations applicables à votre application (par exemple, RGPD, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Vous |
| Tests d’intrusion de votre application | Tests de sécurité de l’application que vous créez. | Vous |
| Divulgation de vulnérabilités pour votre application | Réception et triage des rapports de sécurité des chercheurs concernant votre application. | Vous |
| Protection en périphérie (anti-DDoS et WAF) | Atténuation des attaques volumétriques et applicatives en périphérie de la plateforme. | Replit |
| Infrastructure des applications publiées | L’endroit où s’exécutent les applications publiées, la maintenance de l’infrastructure, la correction des vulnérabilités de la plateforme, etc. | Replit |
| Chiffrement en transit et au repos | TLS pour le trafic ; chiffrement des données stockées sur la plateforme. | Replit |
| Chiffrement au niveau applicatif | Tout besoin de chiffrement au niveau de l’application ou des champs, ainsi que les magasins de données externes auxquels ils se connectent. | Vous |
| Cycle de vie de publication | Replit fournit des outils pour sélectionner la visibilité de l’application publiée (Privée, Protégée par mot de passe, Publique) ; vous êtes responsable du choix de la visibilité correcte. | Replit (mécanisme) Vous (configuration) |
| Gestion des vulnérabilités | Replit détecte et alerte sur les vulnérabilités dans les dépendances des applications déjà publiées ; vous les atténuez et les corrigez. | Replit (détection) Vous (remédiation) |
| Journalisation et surveillance | Replit surveille la disponibilité de la plateforme et les signaux d’abus ; vous êtes responsable de la journalisation et de la surveillance au niveau de l’application (erreurs, événements métier, activité des utilisateurs). | Replit (plateforme) Vous (application) |
| Sauvegardes et récupération | Sauvegarde du code des applications publiées et du contenu des bases de données gérées par Replit. | Replit |
Comment les responsabilités sont réparties
La plupart des lignes du tableau suivent l’un des trois schémas suivants :- Mécanisme vs. configuration. Replit fournit les contrôles : RBAC, paramètres de visibilité, MFA, SSO, résidence des données, rétention. Vous décidez lesquels activer et comment les configurer.
- Détection vs. remédiation. Replit surveille la plateforme et fait remonter ce qu’elle peut voir : dépendances vulnérables, signaux d’abus, anomalies de la plateforme. Vous surveillez et corrigez ce qui se trouve dans votre application, car vous êtes le seul à savoir ce que « corrigé » signifie dans votre contexte.
- Première partie vs. tiers. Les Skills, outils MCP et Connecteurs vérifiés par Replit sont examinés par Replit. Tout ce que vous connectez, installez ou configurez vous-même relève de votre responsabilité pour la vérification, la configuration, le renouvellement et la révocation.
Travailler avec l’Agent Replit
Vous êtes propriétaire du code généré par l’Agent et en êtes responsable. En pratique, cela implique quelques habitudes :- Révisez avant de publier. L’Agent produit du code fonctionnel, mais « fonctionnel » et « correct » sont deux choses différentes. Lisez ce qu’il a écrit, en particulier en ce qui concerne l’authentification, la gestion des données et tout ce qui franchit une limite de confiance. Demander à l’Agent d’écrire des tests et d’expliquer son raisonnement est un bon moyen de détecter les régressions lors des itérations.
- Gardez les secrets hors des requêtes. Utilisez la fonctionnalité Secrets et les Connecteurs. Ne collez pas de clés API, de jetons ou d’identifiants dans le chat : l’Agent n’a pas besoin de les avoir en texte clair pour les utiliser, et les coller transforme un secret géré en secret non géré.
- Expliquez votre logique métier et votre modèle de contrôle d’accès. Indiquez à l’Agent Replit qui devrait avoir accès à quelles fonctionnalités de votre application. Choisissez l’une des options de publication Privée ou Protégée par mot de passe de Replit si votre application n’est pas destinée à être consultée par tout le monde.
- Approuvez les actions sensibles délibérément. Lorsque l’Agent propose de publier l’application, de modifier un secret ou d’effectuer un appel sortant, l’étape de supervision humaine vous appartient. Traitez-la comme une vraie révision, pas comme un simple clic.