La création et la publication d’applications de manière sécurisée est une responsabilité partagée. Replit est responsable de la sécurité de Replit Agent, de la plateforme et de l’infrastructure sur laquelle s’exécutent les charges de travail des clients. Replit prend des mesures pour les exploiter avec des contrôles raisonnables et des paramètres par défaut sécurisés, et fournit des outils que vous pouvez utiliser pour protéger votre application et vos données. Vous êtes responsable du contenu de votre application et de l’utilisation et de la configuration des outils fournis par Replit. Il s’agit d’un équilibre intentionnel. Replit veut que vous puissiez créer tout ce que vous pouvez imaginer, et cette liberté signifie mettre certaines décisions entre vos mains. Le tableau suivant présente le modèle de responsabilité partagée de Replit, structuré selon les modèles de responsabilité partagée cloud et IA établis (Microsoft AI SRM, CSA AICM), et basé sur ISO/IEC 42001 et le NIST AI RMF :Documentation Index
Fetch the complete documentation index at: https://docs.replit.com/llms.txt
Use this file to discover all available pages before exploring further.
Matrice de responsabilité
Général
| Domaine | Description | Responsabilité |
|---|---|---|
| Conditions d’utilisation | Conformité aux Conditions d’utilisation de Replit. | Vous |
| Réponse aux incidents et notification de violation | Replit répond aux incidents de plateforme et notifie les clients impactés conformément à notre Politique de réponse aux incidents et aux contrats ; vous répondez aux incidents provenant de vos projets, du code de l’application, des données ou des comptes des utilisateurs finaux. | Replit (plateforme) Vous (application) |
| Signalement des vulnérabilités à Replit | Notification à Replit des problèmes découverts dans la plateforme selon le modèle de divulgation responsable. | Replit (triage et correction) Vous (signaler à security@replit.com) |
| Certifications de conformité de la plateforme | Maintien des attestations (par exemple, SOC 2 Type II) et fourniture de preuves aux clients. | Replit |
| Sous-traitants | Replit vérifie et divulgue les sous-traitants qui traitent les données des clients sur la plateforme ; vous vérifiez et divulguez les sous-traitants utilisés par votre application. | Replit (plateforme) Vous (application) |
Replit Agent
| Domaine | Description | Responsabilité |
|---|---|---|
| Génération de code | La génération du code de l’application par Replit Agent. | Replit |
| Révision du code | Vérification de l’exactitude, de la sécurité et des licences de la sortie d’Agent, y compris les dépendances tierces qu’il introduit. | Vous |
| Harnais Agent | Le cadre agentique utilisé par Replit Agent, la gestion de la mémoire, les outils principaux, etc. | Replit |
| Intervention humaine | Approbation des actions sensibles proposées par Agent (déploiements, modifications de secrets, appels sortants). | Vous |
| Invite | Invites et instructions données à Replit Agent. | Vous |
| Injection d’invite et entrée non fiable | Replit renforce le harnais et ajoute des atténuations contre les invites malveillantes (ne garantit pas la prévention) ; vous évitez de fournir à Agent du contenu externe non fiable sans assainissement et validez les sorties. | Replit (garde-fous) Vous (hygiène des entrées) |
| Traitement des invites et interaction avec le modèle | Comment les invites et le code généré sont journalisés, conservés et s’ils sont utilisés pour l’entraînement. | Replit (conforme aux Conditions d’utilisation et à l’Accord de traitement des données) |
| Skills / MCP | Les Skills et outils MCP vérifiés par Replit sont maintenus par Replit ; les Skills et outils MCP installés par l’utilisateur relèvent de votre responsabilité à vérifier, configurer et révoquer. | Replit (première partie) Vous (tiers) |
Environnement de développement
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des identités et des accès de l’espace de travail (comptes, MFA, SSO, SCIM) | Sécurisation de l’accès à votre organisation Replit et à votre espace de travail. | Replit (contrôles) Vous (configuration) |
| Journaux d’audit de l’espace de travail | Journalisation des actions effectuées dans votre espace de travail Replit. | Replit (provisionnement) Vous (révision) |
| Gestion des secrets | Utilisez toujours les Connectors et la fonctionnalité Secrets pour assurer un stockage approprié des secrets. | Vous |
| Stockage des secrets | Replit ne stocke ni ne journalise les secrets en texte clair. | Replit |
| Partage et collaboration | Replit vous donne les outils pour appliquer le contrôle d’accès ; vous êtes responsable du choix de qui peut voir, modifier ou remixer chaque application, interagir avec Agent, configurer les Connectors, voir les secrets, etc. | Replit (contrôle d’accès basé sur les rôles) Vous (configuration) |
| Résidence des données | Où les données de développement des applications sont stockées et traitées. | Replit (capacités) Vous (sélection) |
| Conservation, suppression et export des données | La durée de conservation des données et comment elles sont supprimées ou exportées. | Replit (mécanisme) Vous (configuration) |
| Fonctionnalité et exactitude de l’application | Finition et fonctionnalité de l’application. Replit est responsable de fournir des tests de régression ; vous êtes responsable de la définition de la logique métier souhaitée. | Replit (écriture et infrastructure de test du code) Vous (définition de la logique métier) |
| Connectors | Replit fournit des mécanismes sécurisés pour se connecter à d’autres services ; vous autorisez, faites tourner et révoquez vos identifiants dans les services tiers. | Replit (mécanisme) Vous (identifiants et accès tiers) |
| Environnement d’exécution de développement | Système d’exploitation et environnements d’exécution. | Replit |
| Sécurité réseau | Isolation entre les instances de développement. | Replit |
| Surveillance de la plateforme | Surveillance de l’infrastructure Replit. | Replit |
Applications publiées
| Domaine | Description | Responsabilité |
|---|---|---|
| Gestion des utilisateurs | Contrôlez comment les utilisateurs se connectent à l’application publiée. | Vous |
| Politique d’utilisation / contrôle d’accès | Contrôlez quels utilisateurs ont accès à quelles ressources ou parties de l’application en fonction de l’autorisation. | Vous |
| PI / Droits d’auteur | Vous êtes responsable de vérifier que la sortie d’Agent et votre application respectent les droits de propriété intellectuelle et les droits d’auteur. | Vous |
| Informations / Données | Les données consommées, créées ou affichées par l’application. | Vous |
| Avis de confidentialité et consentement des utilisateurs finaux | Divulgations de confidentialité, bannières de cookies et consentements affichés à vos utilisateurs finaux. | Vous |
| Conformité réglementaire de votre application | Respect des lois et réglementations applicables à votre application (par exemple, RGPD, CCPA, PHI, PCI DSS, HIPAA, SOC 2). | Vous |
| Tests de pénétration de votre application | Tests de sécurité de l’application que vous créez. | Vous |
| Divulgation des vulnérabilités de votre application | Réception et triage des rapports de sécurité des chercheurs concernant votre application. | Vous |
| Protection périphérique (anti-DDoS et WAF) | Atténuation des attaques volumétriques et au niveau de l’application à la périphérie de la plateforme. | Replit |
| Infrastructure des applications publiées | Où s’exécutent les applications publiées, la maintenance de l’infrastructure, la correction des vulnérabilités de la plateforme, etc. | Replit |
| Chiffrement en transit et au repos | TLS pour le trafic ; chiffrement des données stockées sur la plateforme. | Replit |
| Chiffrement au niveau de l’application | Tout chiffrement au niveau de l’application ou des champs et tout magasin de données externe auquel ils se connectent. | Vous |
| Cycle de vie de la publication | Replit fournit des outils pour sélectionner la visibilité de l’application publiée (Privée, Protégée par mot de passe, Publique) ; vous êtes responsable du choix de la visibilité correcte. | Replit (mécanisme) Vous (configuration) |
| Gestion des vulnérabilités | Replit détecte et alerte sur les vulnérabilités dans les dépendances des applications déjà publiées ; vous les atténuez et les remédiez. | Replit (détection) Vous (remédiation) |
| Journalisation et surveillance | Replit surveille la disponibilité de la plateforme et les signaux d’abus ; vous êtes responsable de la journalisation et de la surveillance au niveau de l’application (erreurs, événements métier, activité des utilisateurs). | Replit (plateforme) Vous (application) |
| Sauvegardes et récupération | Sauvegarde du code des applications publiées et du contenu des bases de données gérées par Replit. | Replit |
Comment la responsabilité est divisée
La plupart des lignes du tableau suivent l’un des trois modèles :- Mécanisme vs. configuration. Replit fournit les contrôles : RBAC, paramètres de visibilité, MFA, SSO, résidence des données, conservation. Vous décidez lesquels activer et comment les configurer.
- Détection vs. remédiation. Replit surveille la plateforme et fait apparaître ce qu’elle peut voir : dépendances vulnérables, signaux d’abus, anomalies de la plateforme. Vous surveillez et corrigez ce qui se trouve à l’intérieur de votre application, car vous êtes le seul à savoir ce que « corrigé » signifie dans votre contexte.
- Première partie vs. tiers. Les Skills, outils MCP et Connectors vérifiés par Replit sont examinés par Replit. Tout ce que vous connectez, installez ou câblez vous-même est à vous de vérifier, configurer, faire tourner et révoquer.
Travailler avec Replit Agent
Vous possédez le code qu’Agent génère et vous en êtes responsable. En pratique, cela signifie quelques habitudes :- Révisez avant de déployer. Agent produit du code fonctionnel, mais « fonctionnel » et « correct » sont deux choses différentes. Lisez ce qu’il a écrit, surtout en ce qui concerne l’authentification, la gestion des données et tout ce qui franchit une limite de confiance. Demander à Agent d’écrire des tests et d’expliquer son raisonnement est un bon moyen de détecter les régressions lors des itérations.
- Gardez les secrets hors des invites. Utilisez la fonctionnalité Secrets et les Connectors. Ne collez pas de clés API, de jetons ou d’identifiants dans le chat : Agent n’en a pas besoin en texte clair pour les utiliser, et les coller transforme un secret géré en un secret non géré.
- Expliquez votre logique métier et votre modèle de contrôle d’accès. Dites à Replit Agent qui doit avoir accès à quelles fonctionnalités de votre application. Choisissez l’une des options de publication Privée ou Protégée par mot de passe de Replit si votre application n’est pas destinée à être vue par tout le monde dans le monde.
- Approuvez les actions sensibles délibérément. Lorsqu’Agent propose de publier l’application, une modification de secret ou un appel sortant, l’étape d’intervention humaine vous appartient. Traitez-la comme une vraie révision, pas comme un simple clic.