La méthode SOCLE : auditer, transformer, capaciter

SOCLE n'est pas qu'un référentiel : c'est une méthode pour s'en servir, ancrée sur le réel. Quatre temps qui forment un cycle : auditer la posture, transformer en comblant les écarts, capaciter l'organisation pour qu'elle tienne seule, et détecter et répondre quand un incident survient, pour en réapprendre. Le tout piloté par un modèle de maturité et une évaluation opposable - et priorisé par les incidents réels, pas par la théorie.

Deux échelles à ne pas confondre

Le niveau R1/R2/R3 est une propriété de l'exigence : la hauteur de la barre, fixée par le référentiel (R1 fondamental, R2 renforcé, R3 souverain). La maturité M0 à M4 est une propriété de votre organisation sur un domaine : à quel point l'exigence est réellement tenue, et elle évolue dans le temps. En clair : R, c'est quoi viser ; M, c'est où vous en êtes.

Un exemple concret : l'exigence « SCA à chaque build » est de niveau R1. Une équipe peut la tenir à M1 (un développeur lance le scan à la main, de temps en temps) ou à M3 (un job bloquant en CI, tracé, sur tous les dépôts). Même exigence R1, deux maturités très différentes : on choisit d'abord ses niveaux R cibles (R1 partout pour commencer), puis on monte en maturité M sur cet ensemble, domaine par domaine.

R \ M M0M1M2M3M4 R3 R2 R1

Maturité M0 → M4 : qualité d'exécution (évolue dans le temps)

R1 à M1 : « SCA à la main », ponctuel R1 à M3 : « SCA bloquant en CI », tracé

Les deux échelles sont orthogonales. Les lignes sont le niveau d'exigence R (l'ambition, fixe) ; les colonnes, la maturité M (l'exécution, qui évolue). Même exigence R1, deux maturités selon la colonne. On consolide d'abord la ligne R1 à bonne maturité, puis on élargit l'ambition à R2 puis R3.

L'échelle de maturité

Chaque domaine est noté de M0 à M4. On ne vise jamais M4 partout : la cible est différenciée par criticité de produit (tiering). La formule est simple : maturité actuelle x cible par tier = backlog priorisé.

M0

AveugleAucune visibilité, aucun contrôle.

M1

RéactifContrôles ad hoc, dépendants des individus, non outillés.

M2

DéfiniPolitiques écrites, contrôles partiellement outillés.

M3

OutilléContrôles automatisés en CI, garde-fous policy-as-code, couverture majoritaire.

M4

Par constructionPaved road : faire sécurisé devient le chemin le plus simple. Conformité prouvable en continu.

Les quatre piliers

La méthode s'exécute en quatre piliers enchaînés qui forment une boucle. On ne saute pas l'audit : on mesure avant d'agir, on rend l'organisation autonome avant de partir, et on apprend de chaque incident pour relancer le cycle.

1 . Auditmesurer

Évaluer la posture sur les 16 domaines, calculer le niveau atteint (R1/R2/R3) sur les DOIT, produire des preuves. Sur un grand portefeuille, on n'audite jamais tout à la main : on combine baseline automatisée et deep-dives ciblés. La priorisation ne sort pas d'un tableur abstrait : elle s'ancre sur les vecteurs d'attaque et les incidents réels du catalogue, pour viser d'abord ce qui casse vraiment.

1. Cadrage & inventairePortefeuille, plateformes d'orchestration, chaînes de build, cibles de déploiement. Tiering : criticité x surface d'attaque.
2. Baseline automatisée à l'échelleScan de posture (SCM, CI/CD, SCA, IaC, conteneurs) sur tous les dépôts et pipelines. Posture chiffrée sur tout le parc en quelques jours.
3. Deep-dives ciblésAudit manuel approfondi sur un échantillon, tous les Tier 1 et la plateforme d'orchestration. Threat modeling léger, revue d'architecture.
4. Synthèse & extrapolationPosture globale, écarts par domaine, risques systémiques.
5. Feuille de route prioriséeBacklog par impact/effort, cibles par tier, restitution exécutive et technique.

LivrablesRapport d'audit (posture par domaine, top risques), cartographie de conformité CRA / NIS2-ReCyF, backlog chiffré, restitution COMEX et équipes, sortie SARIF quand c'est outillable.

2 . Transformationcombler

Combler les écarts en livrant des actifs réutilisables (pas de la régie ouverte, des sprints cadrés). Un template corrigé corrige tous ses consommateurs : c'est l'effet de levier de la paved road.

Durcissement de l'orchestrationORC

RBAC, gouvernance des workflows, runners éphémères et isolés, coffre de secrets, durcissement de la plateforme.

Paved road / golden pipelinesSRCINTPKGREL

Templates sécurisés par défaut, réutilisables : un template corrigé corrige tous ses consommateurs.

Sécurité applicative outilléeAPP

SAST, DAST et SCA intégrés au pipeline ; codage sûr ; modélisation des menaces sur les produits sensibles.

Policy-as-codeORCDPL

Règles en CI (OPA/Conftest) ; politiques d'admission (Kyverno/Gatekeeper).

Provenance & signatureREL

Sigstore/cosign, attestations SLSA, montée de L1 à L3.

SBOM & gestion de vulnérabilitésINTPKGRUNVLN

Génération SBOM systématique, OSV, VEX, chaîne de notification.

Durcissement de la sourceSRC

Protection de branche, signature de commits, garde-fous anti-PPE.

Culture & capacitationCLT

Ownership produit, champions, formation au codage sûr, métriques de posture.

Paved road IAIA

Gabarits d'usage d'agents avec garde-fous, serving auto-hébergé souverain, gouvernance des modèles.

LivrablesCode (templates, modules de politique, workflows de référence), documentation d'exploitation, transfert de compétence systématique.

3 . Capacitationrendre autonome

Transformer une mission ponctuelle en relation durable : former, ancrer la culture (domaine CLT), rendre l'organisation autonome pour tenir le niveau seule.

FormationsPar domaine, du COMEX (ce que changent CRA et NIS2) au technique profond (pipeline, orchestrateur, SBOM et provenance, IA sans fuite).

Programme de championsDes relais sécurité dans chaque équipe produit, pour tenir M3/M4 à l'échelle.

Fractional DevSecOps LeadRetainer mensuel : pilotage de la feuille de route, revue de posture continue, arbitrages.

Coaching ponctuelSur incident, audit ANSSI à préparer, passage d'un cap de maturité.

4 . Détection & réponseopérer & apprendre

Les trois premiers piliers construisent la posture ; celui-ci la tient quand un incident survient. Aucune chaîne n'est invulnérable : il faut détecter vite, répondre proprement, puis réapprendre. C'est là que les exigences d'observabilité, détection et réponse (domaines ORC et RUN) et le catalogue d'incidents prennent tout leur sens.

1. DétecterObservabilité de la chaîne et du runtime ; alerting sur les comportements anormaux (egress, publication, usage de secrets).
2. Qualifier & contenirÉvaluer le périmètre touché, isoler, couper les accès et révoquer les secrets compromis.
3. Éradiquer & rétablirRetirer la charge, reconstruire depuis une base saine, vérifier la provenance avant de redéployer.
4. RéapprendrePost-incident : le cas rejoint le catalogue et déclenche un audit ciblé. La boucle se referme sur le pilier Audit.

BoucleChaque incident réel nourrit la priorisation : on ne durcit pas dans l'abstrait, on ferme d'abord les portes par lesquelles d'autres sont déjà passés.

Une évaluation opposable

Un audit ne vaut que s'il est vérifiable. SOCLE définit un format d'évaluation « as code » : chaque exigence reçoit un statut, et le niveau atteint se calcule sans interprétation.

ConformeNon applicablePartielNon conformeÀ évaluer

Règle du niveau atteint

Le niveau atteint est le plus haut R dont toutes les exigences DOIT de niveau inférieur ou égal sont satisfaites (conforme ou non applicable), borné par le plus haut niveau présent dans le périmètre. Les DEVRAIT n'entrent pas dans le calcul. Niveau 0 = non atteint.

Pour qu'un score soit opposable (et pas du marketing), quatre garde-fous :

Périmètre déclaréUn score sans périmètre borné (profil, produit, ou domaines listés) n'est pas opposable.

Non applicable justifiéTout « non applicable » porte une justification écrite et un approbateur, sinon il compte comme « à évaluer ».

Couverture minimaleUn niveau R n'est opposable que si une part suffisante de ses exigences DOIT a réellement été évaluée conforme.

Ratio de couverture publiéPar domaine et par niveau, le ratio conforme / applicable / total est publié : tout recours massif au « non applicable » devient visible.

Prochaines étapes

Le référentielLes 412 exigences, par domaine et niveau Les incidents réelsPourquoi ces exigences existent

Mettre la méthode en pratique

La méthode se déploie sur le référentiel : on audite chaque domaine, on cible un niveau par exigence, puis on suit la trajectoire. Voici par où poursuivre.

Le référentiel16 domaines, 412 exigences à auditer Le modèle de menaces106 vecteurs reliés aux exigences Les outilsLes moteurs de preuve open source

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →