SOCLE : Sécurité Ouverte du Cycle de Livraison et d'Exploitation

Je ne veux pas créer un référentiel de plus. Je veux assembler ceux qui existent. SOCLE - Sécurité Ouverte du Cycle de Livraison et d'Exploitation - est un profil fédérateur qui réunit SLSA, NIST SSDF, OWASP, CIS et ANSSI sur 16 domaines couvrant tout le cycle DevSecOps : de la gouvernance et du code jusqu'à la production et au cloud, fournisseurs inclus. Pour qui veut des exigences opposables, pas une boîte noire.

Référentiels existants SLSANIST SSDF OWASP · ASVSS2C2F CIS · ANSSICRA · NIS2 · réglementaire

SOCLE

socle unique · ancré · auditable

412exigences

16domaines

85essentielles

Trois niveaux

R1Fondamental

R2Renforcé

R3Souverain

Chaque exigence pointe vers sa source d'origine. On relie et on comble les vides, on ne réécrit pas.

Version 1.0.0-rc.4

Le modèle est stabilisé : 412 exigences classées par niveau et par devoir. SOCLE reste une version candidate : le socle est posé, les contenus détaillés s'enrichissent par itérations (voir la roadmap). Le nom SOCLE est retenu pour cette version ; un rebranding reste possible (décision différée). L'idée, elle, ne changera pas : un profil ouvert, conçu pour être auditable, du code à la production.

Le constat : des référentiels riches mais fragmentés

Le paysage est abondant mais éclaté. SLSA couvre la provenance du build, NIST SSDF le cycle de développement, OWASP les risques applicatifs et CI/CD, S2C2F la consommation d'open source, CIS et ANSSI le durcissement, CRA et NIS2 le côté réglementaire. Chacun éclaire un maillon ; aucun ne donne la vue unique de bout en bout.

En face, les plateformes propriétaires promettent la conformité dans une boîte noire : catalogues non publics, correspondances générées par IA et non rejouables. C'est l'inverse de ce qu'exige une démarche DevSecOps sérieuse : transparence, preuve, traçabilité, vérifiabilité.

Assembler, pas réinventer

SOCLE n'ajoute pas un standard concurrent. Il prend les référentiels qui font autorité et les assemble en un socle cohérent, lisible de bout en bout :

SLSAProvenance et intégrité du build.

NIST SSDFCycle de développement sécurisé.

OWASPRisques applicatifs et pipeline (ASVS, Top 10 CI/CD).

S2C2FConsommation maîtrisée de l'open source.

CIS · ANSSIDurcissement et contexte souverain.

CRA · NIS2Obligations réglementaires citées et datées.

Le résultat : un profil fédérateur, hiérarchisé en trois niveaux de robustesse, auditable, qui comble les creux entre ces cadres plutôt que de les dupliquer.

Niveau	Nom	À qui il s'adresse
R1	Fondamental	Toute équipe qui veut une base saine et atteignable.
R2	Renforcé	Applications en production, exigences clients ou réglementaires.
R3	Souverain	Contextes sensibles, diffusion restreinte, alignement ANSSI.

Où en est le référentiel

À l'état 1.0.0-rc.4, les 412 exigences sont reprises, dédoublonnées, reliées à leur source et classées : par niveau (R1 : 105, R2 : 262, R3 : 45) et par devoir (DOIT : 316, DEVRAIT : 96). 85 exigences essentielles forment le tronc commun de tête. Au total, 75 standards et réglementations sont ancrés, cités et datés. Le texte, la correspondance et la preuve sont stables ; restent à figer quelques correspondances externes.

Profils sectoriels

Au-delà des trois niveaux, des profils transverses sélectionnent les exigences propres à un secteur ou à un contexte réglementaire. Ils se combinent aux niveaux, sans les remplacer.

Souverain35 exigences ancrées ANSSI et SecNumCloud (≈ niveau R3, contextes sensibles). Actif.

SantéAlignement HDS (hébergeur de données de santé). Actif.

PaiementAlignement PCI-DSS. Actif.

Les principes que je m'impose

Norme comme code : source de vérité unique, versionnée et validée par schéma, site généré.

Tout est ancré : chaque correspondance porte une source vérifiée et datée.

Preuve, pas marketing : la preuve attendue s'éprouve sur de vrais environnements.

OSS d'abord : les outils consomment la norme, jamais l'inverse.

Souverain et aligné UE : ancré ANSSI et SecNumCloud, aligné CRA et NIS2.

Vivant : relié à un corpus de menaces daté ; une exigence non prouvable est retirée.

La règle d'or

Un contrôle = une preuve = une remédiation = une correspondance justifiée. Si l'un des quatre manque, l'exigence n'est pas mûre.

Ce que SOCLE n'est pas

Pas une certification ni une garantie de conformité : un profil opposable, factuel, que vous mesurez vous-même.

Pas une boîte noire : catalogue ouvert, correspondances vérifiables, rien d'écrit par une IA sans revue humaine.

Pas une promesse facile : les obligations réglementaires sont citées, datées et sourcées, jamais vendues « en un clic ».

Le référentiel est ouvert : la norme sous CC BY 4.0, les données structurées sous Apache-2.0. Le métier, c'est l'expertise : audit, transformation, accompagnement, formation.

Anatomie d'une exigence

Chaque exigence s'affiche en carte : un identifiant, des badges (niveau, DOIT/DEVRAIT, Essentiel, souverain), un texte normatif, la correspondance qui la fonde et la preuve attendue. L'identifiant suit le format SOCLE-DOMAINE-FAMILLE-N.

SOCLE-CLD-IAM-1R2DoitEssentielleSouverain

Authentification forte (MFA) sur tous les accès privilégiés au plan de contrôle cloud.

CorrespondanceCIS Benchmarks · ANSSI · SecNumCloud

Preuve attenduePolitique IAM exportée ; capture de la configuration MFA appliquée.

OutillageVérifiable par un scan de posture cloud.

Les 16 domaines

Les domaines couvrent toute la chaîne, du poste de développement à la posture cloud d'exécution. Chaque domaine s'ouvre sur ses familles, puis le détail exigence par exigence.

Gouvernance & conformité

19 exigences · 4 familles

Culture & processus

24 exigences · 5 familles

Plateforme & orchestration

42 exigences · 7 familles

Poste de travail

29 exigences · 4 familles

Source & dépôt

19 exigences · 4 familles

Sécurité applicative

19 exigences · 3 familles

Intégration & build

27 exigences · 5 familles

Packaging & artefacts

17 exigences · 4 familles

Release & provenance

20 exigences · 4 familles

Déploiement & admission

15 exigences · 4 familles

Runtime & exploitation

17 exigences · 4 familles

Fournisseurs & tiers

24 exigences · 6 familles

IA dans le SDLC

19 exigences · 5 familles

Vulnérabilités & VEX

19 exigences · 4 familles

Gestion des secrets

20 exigences · 3 familles

Posture cloud

82 exigences · 8 familles

Un référentiel vivant

SOCLE n'est pas figé : chaque exigence est reliée à un corpus de menaces et d'incidents réels qui la justifient et l'éprouvent. On part de l'attaque, on remonte au contrôle.

106 vecteurs d'attaque

16 étapes, du producteur au cloud, ancrées (ATT&CK, OWASP, SLSA)

169 incidents réels

catalogue filtrable, sourcé, daté ; fiches enrichies

Comment ce site publie la norme

Ce site est fort sur le « comment » (outils, labs, pédagogie) ; SOCLE apporte le « quoi » normatif. Les deux se rejoignent par un overlay discret, guide par guide : un bloc « Exigences SOCLE couvertes » déclare les identifiants réels mis en œuvre (par exemple SOCLE-INT-GEN-6) et leur niveau. Le premier guide annoté est le framework SLSA.

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →