Matrice de responsabilité
Général
| Domaine | Description | Responsabilité |
|---|---|---|
| Conditions d’utilisation | Conformité aux Conditions d’utilisation de Replit. | Vous |
| Réponse aux incidents et notification de violation | Replit répond aux incidents de plateforme et notifie les clients impactés conformément à notre Politique de réponse aux incidents et aux contrats ; vous répondez aux incidents provenant de vos projets, du code de l’application, des données ou des comptes des utilisateurs finaux. | Replit (plateforme) Vous (application) |
| Signalement des vulnérabilités à Replit | Notification à Replit des problèmes découverts dans la plateforme selon le modèle de divulgation responsable. | Replit (triage et correction) Vous (signaler à security@replit.com) |
| Certifications de conformité de la plateforme | Maintien des attestations (par exemple, SOC 2 Type II) et fourniture de preuves aux clients. | Replit |
| Sous-traitants | Replit vérifie et divulgue les sous-traitants qui traitent les données des clients sur la plateforme ; vous vérifiez et divulguez les sous-traitants utilisés par votre application. | Replit (plateforme) Vous (application) |
Replit Agent
| Domaine | Description | Responsabilité |
|---|---|---|
| Génération de code | La génération du code de l’application par Replit Agent. | Replit |
| Révision du code | Vérification de l’exactitude, de la sécurité et des licences de la sortie d’Agent, y compris les dépendances tierces qu’il introduit. | Vous |
| Harnais Agent | Le cadre agentique utilisé par Replit Agent, la gestion de la mémoire, les outils principaux, etc. | Replit |
| Intervention humaine | Approbation des actions sensibles proposées par Agent (déploiements, modifications de secrets, appels sortants). | Vous |
| Invite | Invites et instructions données à Replit Agent. | Vous |
| Injection d’invite et entrée non fiable | Replit renforce le harnais et ajoute des atténuations contre les invites malveillantes (ne garantit pas la prévention) ; vous évitez de fournir à Agent du contenu externe non fiable sans assainissement et validez les sorties. | Replit (garde-fous) Vous (hygiène des entrées) |
| Traitement des invites et interaction avec le modèle | Comment les invites et le code généré sont journalisés, conservés et s’ils sont utilisés pour l’entraînement. | Replit (conforme aux Conditions d’utilisation et à l’Accord de traitement des données) |
| Skills / MCP | Les Skills et outils MCP vérifiés par Replit sont maintenus par Replit ; les Skills et outils MCP installés par l’utilisateur relèvent de votre responsabilité à vérifier, configurer et révoquer. | Replit (première partie) Vous (tiers) |
Environnement de développement
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des identités et des accès de l’espace de travail (comptes, MFA, SSO, SCIM) | Sécurisation de l’accès à votre organisation Replit et à votre espace de travail. | Replit (contrôles) Vous (configuration) |
| Journaux d’audit de l’espace de travail | Journalisation des actions effectuées dans votre espace de travail Replit. | Replit (provisionnement) Vous (révision) |
| Gestion des secrets | Utilisez toujours les Connectors et la fonctionnalité Secrets pour assurer un stockage approprié des secrets. | Vous |
| Stockage des secrets | Replit ne stocke ni ne journalise les secrets en texte clair. | Replit |
| Partage et collaboration | Replit vous donne les outils pour appliquer le contrôle d’accès ; vous êtes responsable du choix de qui peut voir, modifier ou remixer chaque application, interagir avec Agent, configurer les Connectors, voir les secrets, etc. | Replit (contrôle d’accès basé sur les rôles) Vous (configuration) |
| Résidence des données | Où les données de développement des applications sont stockées et traitées. | Replit (capacités) Vous (sélection) |
| Conservation, suppression et export des données | La durée de conservation des données et comment elles sont supprimées ou exportées. | Replit (mécanisme) Vous (configuration) |
| Fonctionnalité et exactitude de l’application | Finition et fonctionnalité de l’application. Replit est responsable de fournir des tests de régression ; vous êtes responsable de la définition de la logique métier souhaitée. | Replit (écriture et infrastructure de test du code) Vous (définition de la logique métier) |
| Connectors | Replit fournit des mécanismes sécurisés pour se connecter à d’autres services ; vous autorisez, faites tourner et révoquez vos identifiants dans les services tiers. | Replit (mécanisme) Vous (identifiants et accès tiers) |
| Environnement d’exécution de développement | Système d’exploitation et environnements d’exécution. | Replit |
| Sécurité réseau | Isolation entre les instances de développement. | Replit |
| Surveillance de la plateforme | Surveillance de l’infrastructure Replit. | Replit |
Applications publiées
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des utilisateurs | Contrôlez comment les utilisateurs se connectent à l’application publiée. | Vous |
| Politique d’utilisation / contrôle d’accès | Contrôlez quels utilisateurs ont accès à quelles ressources ou parties de l’application en fonction de l’autorisation. | Vous |
| PI / Droits d’auteur | Vous êtes responsable de vérifier que la sortie d’Agent et votre application respectent les droits de propriété intellectuelle et les droits d’auteur. | Vous |
| Informations / Données | Les données consommées, créées ou affichées par l’application. | Vous |
| Avis de confidentialité et consentement des utilisateurs finaux | Divulgations de confidentialité, bannières de cookies et consentements affichés à vos utilisateurs finaux. | Vous |
| Conformité réglementaire de votre application | Respect des lois et réglementations applicables à votre application (par exemple, RGPD, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Vous |
| Tests de pénétration de votre application | Tests de sécurité de l’application que vous créez. | Vous |
| Divulgation des vulnérabilités de votre application | Réception et triage des rapports de sécurité des chercheurs concernant votre application. | Vous |
| Protection périphérique (anti-DDoS et WAF) | Atténuation des attaques volumétriques et au niveau de l’application à la périphérie de la plateforme. | Replit |
| Infrastructure des applications publiées | Où s’exécutent les applications publiées, la maintenance de l’infrastructure, la correction des vulnérabilités de la plateforme, etc. | Replit |
| Chiffrement en transit et au repos | TLS pour le trafic ; chiffrement des données stockées sur la plateforme. | Replit |
| Chiffrement au niveau de l’application | Tout chiffrement au niveau de l’application ou des champs et tout magasin de données externe auquel ils se connectent. | Vous |
| Cycle de vie de la publication | Replit fournit des outils pour sélectionner la visibilité de l’application publiée (Privée, Protégée par mot de passe, Publique) ; vous êtes responsable du choix de la visibilité correcte. | Replit (mécanisme) Vous (configuration) |
| Gestion des vulnérabilités | Replit détecte et alerte sur les vulnérabilités dans les dépendances des applications déjà publiées ; vous les atténuez et les remédiez. | Replit (détection) Vous (remédiation) |
| Journalisation et surveillance | Replit surveille la disponibilité de la plateforme et les signaux d’abus ; vous êtes responsable de la journalisation et de la surveillance au niveau de l’application (erreurs, événements métier, activité des utilisateurs). | Replit (plateforme) Vous (application) |
| Sauvegardes et récupération | Sauvegarde du code des applications publiées et du contenu des bases de données gérées par Replit. | Replit |
Comment la responsabilité est divisée
La plupart des lignes du tableau suivent l’un des trois modèles :- Mécanisme vs. configuration. Replit fournit les contrôles : RBAC, paramètres de visibilité, MFA, SSO, résidence des données, conservation. Vous décidez lesquels activer et comment les configurer.
- Détection vs. remédiation. Replit surveille la plateforme et fait apparaître ce qu’elle peut voir : dépendances vulnérables, signaux d’abus, anomalies de la plateforme. Vous surveillez et corrigez ce qui se trouve à l’intérieur de votre application, car vous êtes le seul à savoir ce que « corrigé » signifie dans votre contexte.
- Première partie vs. tiers. Les Skills, outils MCP et Connectors vérifiés par Replit sont examinés par Replit. Tout ce que vous connectez, installez ou câblez vous-même est à vous de vérifier, configurer, faire tourner et révoquer.
Travailler avec Replit Agent
Vous possédez le code qu’Agent génère et vous en êtes responsable. En pratique, cela signifie quelques habitudes :- Révisez avant de déployer. Agent produit du code fonctionnel, mais « fonctionnel » et « correct » sont deux choses différentes. Lisez ce qu’il a écrit, surtout en ce qui concerne l’authentification, la gestion des données et tout ce qui franchit une limite de confiance. Demander à Agent d’écrire des tests et d’expliquer son raisonnement est un bon moyen de détecter les régressions lors des itérations.
- Gardez les secrets hors des invites. Utilisez la fonctionnalité Secrets et les Connectors. Ne collez pas de clés API, de jetons ou d’identifiants dans le chat : Agent n’en a pas besoin en texte clair pour les utiliser, et les coller transforme un secret géré en un secret non géré.
- Expliquez votre logique métier et votre modèle de contrôle d’accès. Dites à Replit Agent qui doit avoir accès à quelles fonctionnalités de votre application. Choisissez l’une des options de publication Privée ou Protégée par mot de passe de Replit si votre application n’est pas destinée à être vue par tout le monde dans le monde.
- Approuvez les actions sensibles délibérément. Lorsqu’Agent propose de publier l’application, une modification de secret ou un appel sortant, l’étape d’intervention humaine vous appartient. Traitez-la comme une vraie révision, pas comme un simple clic.