1. Déclaration UE de Conformité
Le fabricant déclare sous sa seule responsabilité que le produit identifié ci-dessous est conforme au Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 27 novembre 2024 relatif aux exigences horizontales en matière de cybersécurité applicables aux produits comportant des éléments numériques et modifiant le Règlement (UE) 2019/1020 (Cyber Resilience Act).
Identification du produit :
Nom du produit : CryptPeer®
Type de produit : Produit logiciel comportant des éléments numériques
Version du produit : Telle que spécifiée dans la documentation du produit
Identifiant du produit : CryptPeer® — Logiciel de communication pair-à-pair chiffrée de bout en bout
2. Identification du Fabricant
Nom légal : FullSecure / CryptPeer
Nom commercial : FullSecure
Adresse d'enregistrement :
Av. Copríncep de Gaulle, núm. 13
Edifici Valira — Planta Baixa
AD700 Escaldes — Engordany
PRINCIPAT D'ANDORRA
Pays d'établissement : Principauté d'Andorre
Site officiel : https://cryptpeer.com
Contact : Disponible via le formulaire de contact du site officiel
3. Description du Produit
Périmètre fonctionnel : CryptPeer® est un produit logiciel conçu pour fournir des services de communication pair-à-pair chiffrée de bout en bout, incluant des capacités de messagerie et d'appels voix/vidéo. Le produit fonctionne sur une architecture pair-à-pair auto-hébergée et fédérée, permettant une communication sécurisée entre utilisateurs sans dépendance de serveurs centralisés pour le routage des messages.
Fonctionnalité principale : La fonctionnalité principale de CryptPeer est la communication sécurisée (messagerie chiffrée et appels chiffrés de bout en bout), reposant sur une architecture auto-hébergée et fédérée. Le produit n'est pas conçu comme un composant de sécurité réseau (pare-feu, IDS/IPS), ni comme une infrastructure de gestion d'identités, ni comme un dispositif matériel de sécurité.
Public cible : Organisations, entreprises et environnements maîtrisés nécessitant des capacités de communication sécurisée avec un contrôle total sur l'hébergement et le routage des données.
Limites explicites : Le produit ne fournit pas de fonctions de sécurité réseau, de services de gestion d'identités, ou de capacités de module de sécurité matériel. Le produit est destiné à être utilisé dans des environnements maîtrisés où les utilisateurs disposent des capacités techniques appropriées pour déployer et maintenir les composants d'infrastructure auto-hébergés.
4. Base Juridique de la Conformité
Cette déclaration est émise conformément au Règlement (UE) 2024/2847 (Cyber Resilience Act), entré en vigueur le 16 janvier 2025.
Articles applicables :
- Article 10 — Exigences essentielles en matière de cybersécurité
- Article 11 — Sécurité dès la conception et par défaut
- Article 12 — Exigences relatives à la gestion des vulnérabilités
- Article 13 — Obligations de notification
- Article 14 — Exigences en matière de documentation
- Article 15 — Informations et instructions aux utilisateurs
- Article 16 — Liste des composants logiciels (SBOM)
Catégorie de produit au titre du CRA : Produit comportant des éléments numériques — catégorie standard
Justification de la classification en catégorie standard : Le produit n'est pas explicitement listé à l'Annexe III (produits importants de classe I et II) ou à l'Annexe IV (produits critiques) du Règlement (UE) 2024/2847. La classification est fondée sur la fonctionnalité principale du produit, qui est la communication sécurisée plutôt que des fonctions de sécurité réseau, de gestion d'identités ou de sécurité matérielle.
5. Procédure d'Évaluation de la Conformité
Module d'évaluation de la conformité appliqué : Module A — Contrôle interne de la production et déclaration UE de conformité (auto-évaluation)
Justification du Module A : En tant que produit comportant des éléments numériques classé dans la catégorie standard, CryptPeer® est soumis au Module A conformément à l'article 23(1) du Règlement (UE) 2024/2847. Aucun organisme notifié n'est impliqué dans la procédure d'évaluation de la conformité pour les produits de la catégorie standard au titre du Module A.
Absence d'organisme notifié : L'évaluation de la conformité a été réalisée par le fabricant sans l'intervention d'un organisme notifié, conformément aux dispositions du Module A pour les produits de catégorie standard.
6. Conformité aux Exigences Essentielles
Le fabricant déclare que le produit est conforme aux exigences essentielles en matière de cybersécurité énoncées à l'article 10 du Règlement (UE) 2024/2847 :
6.1 Sécurité dès la conception et par défaut (Article 11) : Le produit a été conçu et développé avec des considérations de cybersécurité intégrées dès la phase de conception initiale. Les fonctionnalités de sécurité sont activées par défaut, et l'architecture du produit minimise les surfaces d'attaque grâce à la communication pair-à-pair, au chiffrement de bout en bout, et aux options de déploiement auto-hébergé.
6.2 Protection contre les accès non autorisés (Article 10(1)(a)) : Le produit met en œuvre des mécanismes cryptographiques pour protéger contre les accès non autorisés aux données en transit et, le cas échéant, aux données au repos. Des mécanismes de contrôle d'accès sont fournis pour restreindre l'accès aux canaux de communication et aux données utilisateur aux seuls utilisateurs autorisés.
6.3 Intégrité, confidentialité et disponibilité (Article 10(1)(b), (c), (d)) : Le produit emploie le chiffrement de bout en bout pour assurer la confidentialité des données. Des mécanismes de protection de l'intégrité sont mis en œuvre pour détecter les modifications non autorisées du contenu des communications. L'architecture pair-à-pair soutient la disponibilité en réduisant la dépendance à l'infrastructure centralisée, sous réserve de la disponibilité de la connectivité réseau et des composants d'infrastructure gérés par l'utilisateur.
6.4 Gestion des vulnérabilités (Article 12) : Le fabricant maintient des processus pour l'identification, l'évaluation, la priorisation et la correction des vulnérabilités de sécurité. Les vulnérabilités sont traitées par des mises à jour de sécurité, qui sont mises à disposition des utilisateurs via le mécanisme de mise à jour du produit.
6.5 Mises à jour et cycle de vie du produit (Article 10(1)(e)) : Le fabricant fournit des mises à jour de sécurité pour le produit tout au long de son cycle de vie. Les mécanismes de mise à jour sont conçus pour maintenir la sécurité et la fonctionnalité tout en minimisant les perturbations pour les utilisateurs. Le fabricant s'engage à fournir des mises à jour de sécurité pour une période conforme à l'utilisation prévue du produit et aux attentes du marché.
7. Gestion des Vulnérabilités et des Incidents
Processus interne de gestion des vulnérabilités : Le fabricant maintient des procédures documentées pour l'identification, l'évaluation, la priorisation (incluant l'utilisation de CVSS et de critères d'impact métier), la correction et la divulgation des vulnérabilités. Le processus inclut la coordination avec les chercheurs en sécurité par le biais d'une politique de divulgation coordonnée des vulnérabilités.
Capacité de notification : Le fabricant a la capacité de notifier les vulnérabilités activement exploitées et les incidents graves au CSIRT coordonnateur (CERT-FR en France, ou le CSIRT national compétent dans les autres États membres) via l'ENISA, conformément à l'article 13 du Règlement (UE) 2024/2847.
Registre des vulnérabilités : Le fabricant maintient des enregistrements des vulnérabilités découvertes, évaluées et corrigées, incluant les dates de découverte, d'évaluation, de correction et de divulgation, comme requis pour la traçabilité et le suivi de la conformité.
8. Documentation Technique
Dossier technique : Le fabricant maintient un dossier technique contenant la documentation démontrant la conformité aux exigences essentielles en matière de cybersécurité du Règlement (UE) 2024/2847. Le dossier technique inclut, notamment :
- Description du produit et spécifications fonctionnelles
- Documentation d'architecture et principes de conception de sécurité
- Évaluation des risques et mesures d'atténuation
- Procédures de gestion des vulnérabilités
- Documentation de tests et de validation
- Liste des composants logiciels (SBOM)
- Documentation utilisateur et instructions de sécurité
Disponibilité aux autorités de surveillance du marché : La documentation technique est disponible aux autorités compétentes de surveillance du marché sur demande, conformément à l'article 14 du Règlement (UE) 2024/2847. Les demandes doivent être adressées au fabricant via les canaux de contact officiels.
9. Engagement du Fabricant
Conformité continue : Le fabricant s'engage à maintenir la conformité du produit au Règlement (UE) 2024/2847 tout au long du cycle de vie du produit. Cela inclut la conformité continue aux exigences essentielles en matière de cybersécurité, la fourniture de mises à jour de sécurité, et le respect des obligations de gestion et de notification des vulnérabilités.
Coopération avec les autorités de surveillance du marché : Le fabricant s'engage à coopérer avec les autorités compétentes de surveillance du marché, incluant l'ANFR (Agence Nationale des Fréquences) en France et les autorités équivalentes dans les autres États membres, dans le contexte des activités de surveillance du marché, des enquêtes et des procédures de vérification de la conformité.
Modifications du produit : En cas de modifications significatives du produit pouvant affecter sa conformité aux exigences essentielles, le fabricant réévaluera la conformité et, si nécessaire, mettra à jour cette déclaration en conséquence.
10. Déclaration et Signature
Lieu d'émission : Escaldes-Engordany, Principauté d'Andorre
Date d'émission : 15 janvier 2025
Nom et fonction du signataire : Jacques Gascuel, CEO Freemindtronic
Signature : Jacques Gascuel
Note : Cette déclaration est mise à disposition des utilisateurs et des autorités de surveillance du marché conformément à l'article 14(2) du Règlement (UE) 2024/2847. La déclaration est publiée sur le site officiel du fabricant à l'adresse https://cryptpeer.com.