Un agent qui scanne, greffe, et agit automatiquement : comment ça se passe face aux régulateurs ? Réponse : mieux que les humains.
L'agent scanne le réseau et remonte une topologie, pas des données. Les données restent chez le client. Le cockpit affiche des métadonnées (nom du service, IP, ports, statut), pas le contenu. Si le client active un connecteur, les données transitent mais ne sont pas stockées par défaut. Le backup cloud est optionnel et chiffré de bout en bout.
Chaque action de Kenza est loggée, horodatée, et justifiée. Le rapport d'audit PDF est généré automatiquement. En cas de contrôle (ANSSI, CNIL, commissaire aux comptes), le client peut prouver exactement ce que NOVA a fait, quand, et pourquoi. C'est plus transparent qu'un admin humain qui fait des modifications en SSH sans tracer.
NOVA agit comme un administrateur système automatisé. La responsabilité légale reste celle de l'exploitant, comme pour n'importe quel outil d'administration. Le contrat de licence définit clairement les limites : NOVA est un assistant, pas un décideur final. Le mode Autonome requiert une décharge explicite du client.
Ce qui s'applique, ce qui est couvert, ce qui reste à faire.
| Réglementation | Qui est concerné | Impact sur NOVA | Statut |
|---|---|---|---|
| RGPD | Toute entreprise en Europe | NOVA ne collecte pas de données personnelles par défaut. Le scan réseau identifie des machines, pas des personnes. Les connecteurs ne synchonisent que les données explicitement autorisées. Le droit à l'oubli s'applique via le cockpit (1 clic = purge des logs). | Conforme |
| NIS 2 | Infrastructures critiques (énergie, santé, transport, telecom, etc.) | NOVA est un atout pour NIS2 : elle fournit la surveillance continue, la détection d'incidents, et les rapports d'audit exigés par la directive. Les 6 tests de validation des connecteurs répondent aux exigences de gestion des risques. | Conforme |
| Cyber Resilience Act | Tout produit logiciel vendu en Europe (2027) | Le CRA exige que les produits logiciels aient un cycle de sécurité documenté, des mises à jour garanties, et une notification des vulnérabilités. NOVA devra passer la certification. Le mode open source partiel (SDK, cockpit) est exonéré. Le cœur propriétaire (moteur de greffe) est soumis. | En préparation |
| DORA | Secteur financier (banques, assurances) | DORA exige des tests de résilience opérationnelle. Le connecteur "Test de résilience" de NOVA répond directement à cette exigence. La facturation à l'acte permet de tracer le coût de la conformité. | Conforme |
| HDS | Données de santé en France | Si NOVA traite des données de santé (connecteur DICOM/HL7), l'hébergement doit être certifié HDS. Solution : le cockpit cloud peut être hébergé chez un provider HDS, ou le client utilise la box Pro en local (pas d'hébergement tiers). | Optionnel (box Pro) |
| ISO 27001 | Toute organisation certifiée | NOVA fournit les logs, la traçabilité, et les rapports d'audit qui alimentent le SMSI. Le cockpit peut servir de tableau de bord ISO 27001. 0DATA vise la certification ISO 27001 elle-même. | Compatible |
| eIDAS 2.0 | Identification électronique en Europe | Le connecteur ProConnect est compatible eIDAS 2.0. L'authentification du cockpit utilise des standards ouverts (OIDC, SAML). | Conforme |
| ANSSI | Secteur public et OIV en France | Pour vendre à l'État français, NOVA doit obtenir une qualification ANSSI. C'est un processus long (12-24 mois) et coûteux (~100K€). À déclencher quand le produit est mature. En attendant, le marché privé n'est pas bloqué. | Phase 3 (2027-2028) |