Plateforme · Conformité CRA

Munic certifie le device. Vous ne possédez que ce que vous ajoutez.

Le règlement européen sur la cyber-résilience (CRA) devient obligatoire le 11 décembre 2027. Munic fabrique le matériel et le système d'exploitation, et porte le device tout au long de la conformité — évaluation, dossier technique, marquage CE, gestion des vulnérabilités et l'engagement de mises à jour de sécurité. Quoi que vous exécutiez par-dessus, la box arrive certifiée ; vous ne documentez que la couche que vous ajoutez.

CRA-ready SBOM PSIRT OTA signé Secure Boot Détection de falsification

Déjà en production

Nous ne démarrons pas le CRA en 2027 — une grande partie est livrée aujourd'hui.

Les devices Munic sont certifiés CE RED — les exigences de cybersécurité de la directive sur les équipements radio (RED) font partie intégrante du marquage CE, et non d'un label distinct. Obligatoires depuis le 1 août 2025, Munic y répond au titre des normes harmonisées EN 18031-1:2024 (protection du réseau) et EN 18031-2:2024 (protection des données personnelles et de la vie privée), et les livre en produit depuis. Elles recouvrent largement les exigences essentielles du CRA, de sorte que l'écart vers la conformité CRA complète est incrémental, pas une reconstruction.

Certifié CE RED

Les devices actuels portent le marquage CE au titre de la directive sur les équipements radio (RED), démontré selon les normes EN 18031-1:2024 (protection du réseau) et EN 18031-2:2024 (protection des données personnelles et de la vie privée) — obligatoires depuis août 2025. La Déclaration de conformité RED est disponible sur demande.

La cyber RED recouvre le CRA

Les contrôles cyber RED se mappent directement sur les exigences de sécurité produit du CRA — une grande partie du CRA est donc déjà construite, testée et sur le terrain.

En avance sur la date limite

L'écart vers la pleine conformité CRA est incrémental, pas une refonte — et Munic le porte, bien avant le 11 décembre 2027.

La date limite 2027

Quand vous pouvez vous auto-certifier — et quand un labo est exigé.

Le CRA classifie le device, pas le système d'exploitation. La plupart des devices s'auto-certifient, et Munic le réalise. Un audit et un labo ne sont exigés que lorsque le device porte une fonction de sécurité réglementée.

Tracking pur

Pas de labo — auto-certification

Un produit par défaut. Localisation et cellulaire uniquement — aucune fonction de sécurité réglementée.

  • Cellulaire / GNSS — Pas de labo
  • Pas de caméra — Sans impact
  • Logiciel standard — Entièrement à nous

Télématique + vision

Pas de labo — auto-certification

Les caméras et le WiFi/BLE n'ajoutent pas de fonction de sécurité CRA. La confidentialité est gérée par l'anonymisation embarquée ; la radio est déjà couverte par notre certification CE RED (EN 18031-1/-2).

  • Vision — Pas de labo — anonymisée sur le device
  • WiFi / BLE — Pas de labo — radio CE RED
  • Vos conteneurs — Votre couche — pas de labo device

Robotique / autonome

Labo — évalué par programme

Les fonctions critiques pour la sûreté ou les fonctions à élément sécurisé peuvent exiger un organisme notifié, et le device s'inscrit dans une pile plus large. Munic porte l'évaluation et le labo.

  • Fonctions critiques pour la sûreté — Peut nécessiter un labo
  • Élément sécurisé — Labo requis
  • Pile plus large — Machinerie + AI Act

11 septembre 2026

Début des obligations de signalement — vulnérabilités activement exploitées et incidents graves. Munic opère le pipeline de signalement de la plateforme.

11 décembre 2027

Pleine application des obligations — évaluation de conformité, marquage CE, dossier technique, période de support. La date limite que tout le monde désigne par « CRA 2027 ».

Les normes harmonisées qui débloquent l'auto-évaluation pour les devices à fonction réglementée ne sont pas encore publiées. Jusqu'à leur publication, cette classe emprunte une voie organisme notifié — et Munic la porte de toute façon, basculant en auto-évaluation dès que la norme paraît. Les devices de tracking et de télématique standard s'auto-certifient dès aujourd'hui, quoi qu'il en soit.

Seconde monte ou première monte

Même device — le régime applicable peut changer avec l’hôte.

Munic livre ses produits aussi bien en seconde monte autonome qu’en première monte intégrée. Ce qui régit le device dépend de l’endroit où il atterrit : seul, ou à l’intérieur d’un hôte réglementé.

OBD-II

Seconde monte / rétrofit

Le CRA s’applique

Vendu comme produit autonome, le device est un produit comportant des éléments numériques à part entière. Le CRA s’applique — et Munic le certifie.

Première monte — véhicule routier

Régime automobile

Intégrée à un véhicule réceptionné par type, l’unité relève de la réception par type du véhicule et de sa gestion de la cybersécurité automobile (UNECE R155/R156) — le CRA s’efface. Munic fournit les preuves de cybersécurité que le constructeur intègre dans son système de gestion.

Première monte — hors route / machines

CRA + règlement Machines

Ici, pas d’exclusion liée à la réception par type d’un véhicule : le CRA continue de régir la cybersécurité, aux côtés du règlement Machines pour la sécurité. Munic prend en charge la couche cyber.

La frontière exacte — surtout pour une unité livrée à un constructeur comme intrant de réception par type plutôt que vendue seule — se détermine produit par produit. Nous la cadrons programme par programme.

Qui fait quoi

Munic certifie le device. Trois éléments décident du reste.

Le matériel, le système d'exploitation et la conformité du device sont toujours à nous. Ce que vous prenez en charge dépend de trois choix — et dans la plupart des configurations, la réponse est rien.

Logiciel dans la box

  • Standard Munic Rien — entièrement à nous.
  • Munic + votre configuration Rien — la configuration n'est pas une modification.
  • Munic + vos conteneurs Le code de vos conteneurs — votre couche applicative.

Cloud

  • Cloud Munic Rien — couvert dans la posture du device.
  • Munic + votre cloud Vos services cloud.
  • Votre cloud (nous ne sommes pas connectés) Votre traitement de données distant.
OBD-II

Marque

  • Marque Munic Rien.
  • Votre marque Votre nom comme fabricant désigné — sur notre travail de conformité.
  • Rebranding client final La relation de rebranding — structurée pour que notre conformité continue de garantir le produit.

La seule partie qui vous revient jamais est la couche que vous construisez — vos conteneurs, votre cloud, le nom de votre marque sur notre travail de conformité. Tout ce qui se trouve en dessous est certifié et documenté par Munic.

Comment nous aidons

Un projet de conformité pluriannuel, réduit à une fusion de documentation.

  • Un device certifié — nous menons l'évaluation de conformité et apposons le marquage CE sur le matériel que nous fabriquons.

  • Un OS pré-durci qui répond d'emblée aux exigences de sécurité produit.

  • Un SBOM par release que vous intégrez directement dans votre dossier technique.

  • Un verrouillage continu des CVE et des licences — les problèmes détectés à la fusion, pas à l'audit.

  • Un canal de mise à jour signé qui sous-tend l'obligation pluriannuelle de mises à jour de sécurité.

  • Un PSIRT géré et un pipeline de signalement des incidents pour la couche plateforme.

  • Un pack de documentation technique pour le device, prêt pour votre dossier.

Intégré, pas ajouté

La conformité est une propriété runtime.

Certificat tamponné survolant une timeline de commits — ambre sur le tampon

Les obligations CRA sont appliquées à la couche OS — pas via un processus ou un audit a posteriori.

  • Noyau durci + rootfs immuable

    Image OS en lecture seule. Aucun paquet installé à l'exécution.

  • Secure Boot + coffre-fort de clés ancré matériel

    Vérification d'image signée à chaque boot. Clés stockées dans un TEE (Trusted Execution Environment) sur le matériel supporté.

  • Conteneur sandbox par micro service

    Moindre privilège par construction. Isolé par conteneur par micro service.

  • Vérification cryptographique des mises à jour

    Livraison OTA (Over-the-Air) signée. Anti-rollback appliqué.

  • Détection de falsification + intégrité firmware

    Vérification d'intégrité au boot ; les échecs bloquent le démarrage.

Comment le SDK l'applique →

Verrous de sécurité CI

Un seul modèle partagé. 52 micro services.

Tous les micro services héritent du scan des avis CVE, du verrouillage des licences, de l'analyse du code non sûr, de la génération de SBOM et de l'analyse statique de sécurité (SAST, Static Application Security Testing) depuis un seul modèle CI partagé et versionné. Une correction de sécurité est déployée chez tous les consommateurs en un seul bump de version — aucune maintenance de pipeline par micro service.

Verrous de conformité CI — périmètre et conditions d'échec
Contrôle Périmètre Condition d'échec
Nomenclature logicielle (SBOM) Lisible par machine, chaque dépendance, par release Informatif — pas un verrou bloquant
Scan de vulnérabilités connues Base d'avis, chaque dépendance Un avis critique bloque le build
Verrou de politique de licences Chaque dépendance open source Une licence non autorisée bloque la fusion
Analyse du code non sûr Surface de sûreté mémoire Une violation de politique bloque le build
Analyse statique (SAST) Anti-patterns de sécurité dans le source Un résultat de haute sévérité bloque le build

Les verrous de vulnérabilités et de licences bloquent en cas de violation. La publication du SBOM est actuellement informative — le contrôle est en place ; le niveau d'application est en cours d'évaluation.

Hygiène OSS

Dépendances open source — scannées, testées et contrôlées par licence.

Chaque micro service du catalogue est livré avec une posture d'hygiène open source (OSS) explicite — pas uniquement un pin de version.

  • Nous scannons les OSS pour les CVE

    Le scan des avis CVE s'exécute en CI sur chaque micro service et bloque sur les avis critiques — aucune fusion jusqu'à la résolution ou l'acquittement explicite de l'avis.

  • Nous testons les dépendances OSS

    Le comportement des dépendances transitives est exercé via les mêmes suites de tests CI de plateforme qui conditionnent chaque release. La surface OSS n'est pas supposée sûre par simple pin de version.

  • Nous prévenons les licences contaminantes

    La liste d'autorisation est permissive uniquement — MIT, Apache-2.0, BSD-2/3-Clause, ISC, MPL-2.0, et équivalents. Exemple : LGPLv3 est bloqué car il exige la divulgation du source du binaire lié, incompatible avec la livraison d'une image firmware propriétaire sur le device du client.

L'hygiène OSS est l'une des raisons pour lesquelles les équipes conformité choisissent MOS4. Le contexte posture de conformité est à pourquoi-mos4 → posture de conformité. Le catalogue complet de micro services — chaque entrée avec son statut conformité — est à /fr/components. Les synthèses conformité et la justification de la liste d'autorisation sont disponibles à /fr/resources/whitepapers.

Mapping CRA

Les obligations — et ce que MOS4 fournit.

MOS4 couvre les obligations de sécurité produit que le CRA place à la couche OS. Le mapping ci-dessous est au niveau capacité ; les références exactes des articles figurent dans la synthèse conformité que nous partageons sous NDA.

Obligations CRA couvertes à la couche OS par MOS4
Obligation CRA Ce que MOS4 fournit
Sécurisé par défaut Conteneur sandbox par micro service. Moindre privilège par construction.
Minimisation des données Anonymisation live dans le plan image. Rétention configurable.
Protection de l'intégrité Secure Boot + détection de falsification + OTA vérifié cryptographiquement.
Gestion des vulnérabilités PSIRT à security@munic.io, divulgation coordonnée, cibles de patch internes, CVE tracées par release.
Documentation technique Par release : SBOM, évaluation des risques, description architecture, changelog, preuves de tests de sécurité.
Obligations de signalement Workflow de signalement des incidents. Compatible EU CSIRT. Modèle de notification client disponible.

Cibles de patch

Cibles internes — SLA contractuels par programme.

Cibles de réponse aux patches par sévérité
Sévérité Cible Base SLA
Critique Cible interne — 7 jours SLA contractuel par programme
Haute Cible interne — 30 jours SLA contractuel par programme
Moyenne Cible interne — 90 jours SLA contractuel par programme
Basse Prochaine release SLA contractuel par programme

Le CRA exige une remédiation « sans retard injustifié » et une période de support de mises à jour de sécurité d'au moins cinq ans — il ne fixe aucune date limite chiffrée de patch. Les cibles ci-dessus sont les cibles internes propres à Munic, plus strictes que la formulation du règlement ; les SLA contractuels sont convenus par programme et ne constituent pas des engagements implicites de cette page.

PSIRT (Product Security Incident Response Team)

Divulgation responsable — et l'horloge de signalement du CRA.

Signalez-nous une vulnérabilité

security@munic.io

Divulgation coordonnée. Nous accusons réception d'un signalement entrant sous 5 jours ouvrables — puis nous lançons l'horloge réglementaire indiquée à droite.

Ce que le CRA exige — et que Munic opère

  • · Alerte précoce aux autorités sous 24 heures après une vulnérabilité activement exploitée.
  • · Notification complète sous 72 heures.
  • · Rapport final sous 14 jours après la mise à disposition d'un correctif.
  • · Utilisateurs affectés informés sans retard injustifié.

Répartition des responsabilités

Ce que nous portons. Ce que vous documentez.

Couche OS — Munic porte

  • · Patching des CVE noyau et corrections de sécurité de la couche OS.
  • · Intégrité du pipeline OTA — livraison de paquets signés.
  • · Génération et publication du SBOM par release.
  • · Secure Boot + coffre-fort de clés ancré matériel (TEE) sur le matériel supporté.
  • · Runtime de micro services sandbox avec isolation appliquée par conteneur.
  • · Verrous CVE et de licences appliqués en CI sur 52 micro services.
  • · Pare-feu egress — disponible sur le matériel supporté.

Couche applicative — Le client documente

  • · Modèle de menace de la logique métier.
  • · Politique de gestion et de rétention des données client.
  • · Couverture de tests et preuves côté applicatif.
  • · Registre des risques spécifique au domaine.
  • · Surface de divulgation au niveau applicatif.

Les capacités J+2 — observabilité, sûreté, OTA, contrôle à distance, cycle de vie — sont présentées ensemble à /fr/platform/operations. Les politiques de sécurité pilotées par config plutôt que par code sont couvertes à /fr/platform/no-code.

Cycle de vie des données

Effacez les données personnelles sur commande — et prouvez-le.

Un seul événement de réinitialisation des données, typé, se propage à travers l'OS : chaque micro service détenant des données conducteur, véhicule ou diagnostic efface son propre état, et l'action est enregistrée. Un seul mécanisme pour trois tâches que votre programme doit déjà gérer.

Changement de véhicule / remise de clés conducteur

Lors d'un changement de propriétaire, effacez les trajets, positions et historiques diagnostics du conducteur précédent avant le premier allumage du suivant — sans intervention terrain, sans purge manuelle.

RMA & remise à neuf

Avant qu'un device quitte le terrain pour retour ou remise à neuf, effacez les données client sur commande afin qu'aucune donnée personnelle ne voyage avec le matériel.

Droit à l'effacement RGPD

Traitez une demande de suppression d'une personne concernée depuis le cloud — le device efface l'état correspondant et retourne un enregistrement d'audit que vous pouvez transmettre au demandeur.

La réinitialisation est déclenchée par configuration ou commande distante et se propage via les hooks de cycle de vie de la plateforme — diagnostics, données véhicule et le store persistant effacent chacun leur état, et le store applique en plus une rotation sur une politique de rétention configurable. Chaque réinitialisation est journalisée comme tout autre changement d'état, ce qui rend l'effacement prouvable après coup.

Alignement standards

Là où les contrôles MOS4 s'appliquent.

Directive équipements radio (RED)

Les devices sont certifiés CE RED — les exigences de cybersécurité de la directive font partie intégrante du marquage CE. Démontré selon EN 18031-1:2024 (protection du réseau) et EN 18031-2:2024 (protection des données personnelles et de la vie privée), obligatoires depuis le 1 août 2025. Déclaration de conformité disponible sur demande.

UNECE R155 / R156

Aligné avec les contrôles R155/R156 — évaluation formelle par programme.

FMCSA ELD

ELD certifié FMCSA via le micro service hours-of-service . Application HOS disponible en juin 2026 — ekkofleet.com.

RGPD

Anonymisation live dans le plan image (floutage de visages et de plaques à la politique de boot). Contrôles de rétention configurables.

CRA (EU 2024/2847)

Munic porte le device tout au long de la conformité et du marquage CE ; vous ne documentez que la couche que vous ajoutez.

Robotique & autonomie

Pour les machines mobiles et autonomes, le CRA est la base cyber au sein d'une pile plus large — la directive sur les équipements radio, le règlement Machinerie et l'AI Act européen. Munic porte la couche cyber et s'aligne avec le reste.

FAQ

Questions fréquentes

  • Les devices Munic sont-ils déjà certifiés en cybersécurité aujourd'hui ?

    Oui. Les devices Munic sont certifiés CE RED — les exigences de cybersécurité de la directive sur les équipements radio (RED) font partie intégrante du marquage CE, et non d'un label distinct. La conformité est démontrée selon les normes harmonisées EN 18031-1:2024 (protection du réseau) et EN 18031-2:2024 (protection des données personnelles et de la vie privée), obligatoires depuis le 1 août 2025. Ces exigences recouvrent largement les exigences essentielles du CRA, de sorte qu'une grande partie du travail CRA est déjà construite et sur le terrain. La Déclaration de conformité RED est disponible sur demande.

  • Ai-je besoin d'un audit par organisme notifié d'ici 2027, ou puis-je m'auto-certifier ?

    Cela dépend du device, pas du logiciel. Les devices de tracking et de télématique standard s'auto-certifient — et Munic le réalise — disponible dès aujourd'hui. Les devices dotés d'une fonction de sécurité réglementée (réseau, identité, classe VPN) ne s'auto-certifient qu'une fois qu'une norme harmonisée est publiée ; d'ici là ils empruntent une voie organisme notifié. Les devices critiques pour la sécurité nécessitent toujours un labo. Munic porte la voie dans tous les cas.

  • Si je mets ma propre marque, mes conteneurs ou mon cloud sur le device, qu'est-ce qui devient de ma responsabilité ?

    Munic certifie toujours le device — matériel, OS, conformité, marquage CE et l'engagement de mises à jour de sécurité. Vous ne prenez en charge que ce que vous ajoutez : la conformité du code de vos propres conteneurs, votre propre cloud si vous l'exploitez, et votre nom comme fabricant désigné si vous marquez ou rebrandez le produit, par-dessus notre travail de conformité.

  • Quels verrous CI s'exécutent sur chaque pipeline de micro service ?

    Scan de vulnérabilités connues (bloquant sur critique), verrou de politique de licences (bloque la fusion sur licences non autorisées), analyse du code non sûr, analyse statique (SAST) et génération de SBOM lisible par machine (informatif). Les 52 micro services héritent de ces verrous depuis un seul modèle CI partagé.

  • Que contient le SBOM par release ?

    Un SBOM lisible par machine couvrant chaque dépendance open source du micro service. La publication du SBOM est informative ; les verrous de vulnérabilités et de licences sont les contrôles bloquants.

  • Quelles sont les cibles de réponse aux patches ?

    Cibles internes : Critique 7 jours, Haute 30 jours, Moyenne 90 jours, Basse prochaine release. Ce sont des cibles internes — les SLA contractuels sont convenus par programme.

  • Comment signaler une vulnérabilité ?

    Divulgation responsable via security@munic.io. Accusé de réception sous 5 jours ouvrables.

  • La signature OTA est-elle disponible ?

    Oui. OTA avec paquets signés — chaîne de clés enracinée chez Munic. Le schéma de partition A/B conserve l'image précédente connue-bonne disponible pour un rollback automatique.

  • Quel est le statut de l'alignement UNECE R155/R156 ?

    Les contrôles MOS4 sont auto-alignés avec R155/R156. L'évaluation formelle est conduite par programme — pas une certification générale.

  • Que porte Munic vs ce que le client documente ?

    Munic porte le patching des CVE noyau, l'intégrité OTA, la publication SBOM, Secure Boot, le runtime sandbox et les verrous de sécurité appliqués en CI. Le client documente les menaces de logique métier, la politique de gestion des données, la couverture de tests applicatifs et le registre des risques spécifique au domaine.

AI Act

Posture AI Act européen.

MOS4 AI Language fournit des preuves structurées pour l'AI Act européen — enregistrements du manifeste d'audit pour les obligations de gouvernance des données §10, verrous du modèle de menace quantifiés pour la transparence §13, et découplage du cycle de vie matériel agnostique au silicium.

Manifeste d'audit comme preuve §10/§13

Chaque réponse de la plateforme AI Language publie un enregistrement de provenance complet : IDs de chunks, chemins de documents, version du modèle, scores de similarité et motif de refus. Rétention glissante de six mois. Cet enregistrement est structuré comme preuve pour les obligations de l'AI Act européen §10 (gouvernance des données) et §13 (transparence).

Voir le manifeste d'audit →

Modèle de menace T1–T5 avec verrous quantifiés

La plateforme AI Language est livrée avec cinq catégories de menaces, chacune avec un verrou de critère d'acceptation : seuils de confiance RAG (Retrieval-Augmented Generation) (T1), taux de déflexion d'injection de prompt ≥ 95 % sur red-team 20 prompts (T2), plancher de bruit WER STT (Speech-to-Text, Word Error Rate) ≤ 15 % à 70–75 dB (T3), complétude des enregistrements d'audit (T4) et prévention d'escalade des outils MCP (Model Context Protocol) (T5). Tous les verrous sont testables et vérifiables par machine.

Voir les verrous AI Language →

Cycle de vie matériel et transparence

La plateforme AI Language est agnostique au silicium au-dessus du plancher de 1 Go de RAM. Les cycles de vie logiciel et matériel sont découplés : un changement de génération de silicium ne nécessite pas de modification du modèle ni du code applicatif. Le SBOM couvre la pile IA complète incluant la provenance du modèle. Voir la page matériel pour les détails des paliers silicium.

Voir les paliers matériel →

Apportez votre questionnaire de sécurité.

L'ingénierie le remplira depuis les preuves de conformité existantes — aucun engagement d'audit sur mesure nécessaire pour la couche OS.

Vous construisez sur MOS4 ?

Une réponse de l'équipe d'ingénierie, ~24 h. Pas de pitch, pas de NDA.

Parler à l'équipe