Conformité au Règlement (UE) 2024/2847 — Cyber Resilience Act. Applicable au produit Suite Mileo (déploiement on-premise). Le SaaS n'est pas dans le périmètre CRA (service, pas produit).
Classification produit
Par défaut
Ni important ni critique
Évaluation de conformité
Auto-évaluation
Module A (Annexe VIII)
Exigences essentielles
16/16
Annexe I Partie I + II
Septembre 2026
Signalement ENISA
Obligation de signalement des vulnérabilités activement exploitées (Art. 14)
PrêtJuin 2027
Organismes d'évaluation
Notification des organismes d'évaluation de conformité (pas applicable — auto-évaluation)
N/ADécembre 2027
Conformité complète
Toutes les exigences essentielles, documentation technique, déclaration UE
PrêtAnnexe I, Partie I — Exigences essentielles de cybersécurité
Conception sécurisée
Architecture Zero Trust, défense en profondeur, moindre privilège
Absence de vulnérabilités connues
govulncheck + Trivy + npm audit à chaque build CI/CD
Configuration sécurisée par défaut
Alpine minimal, UFW deny-all, secrets aléatoires, MFA admin
Protection accès non autorisés
JWT RS256, RBAC 4 niveaux, ABAC dynamique, PostgreSQL RLS
Confidentialité des données
TLS 1.2/1.3, AES-256 au repos (LUKS2), Argon2id mots de passe
Intégrité des données
Audit log SHA-256 hash chaining, checksums Docker
Disponibilité
Sauvegardes GPG quotidiennes, WAL, RPO 24h, RTO 4h, SLA 99.5%
Minimisation des données
RGPD Art. 25, collecte au strict nécessaire, anonymisation à 30j
Mise à jour sécurisée
Images Docker via registre privé GitLab, versions verrouillées
Journalisation
Audit log, security_events, logs HTTP zerolog JSON
Annexe I, Partie II — Exigences de gestion des vulnérabilités
SBOM (Software Bill of Materials)
CycloneDX JSON 1.5 — Go + Node.js + Docker
Identification des vulnérabilités
govulncheck, Trivy, npm audit, veille CERT-FR
Correction sans délai
SLA formalisé : critique <24h, haute <72h, moyenne <30j
Signalement ENISA
Procédure 24h/72h/14j définie, prête pour septembre 2026
Divulgation coordonnée
Responsible Disclosure Policy publiée, security@mileoapp.fr
Support sécurité 5 ans
Engagement de support sécurité pendant la durée du contrat (min. 5 ans)
Déclaration de conformité UE
Annexe VI — Auto-évaluation Module A
Documentation technique
Annexe VII — Architecture, risques, SBOM
Procédure signalement ENISA
Art. 14 — 24h/72h/14j
SBOM CycloneDX 1.5
Go + Node.js + Docker — sur demande
Les documents CRA sont disponibles pour les autorités compétentes et clients on-premise sur demande : security@mileoapp.fr
Règlement (UE) 2024/2847
Cyber Resilience Act — exigences de cybersécurité pour les produits comportant des éléments numériques
Règlement d'exécution (UE) 2025/2392
Description technique des catégories de produits importants et critiques
ReCyF v2.5 (ANSSI)
Transposition NIS 2 France — voir analyse 76/76