Formation & sensibilisation (SOCLE CLT)

La famille Formation & sensibilisation traite ce que SOCLE considère comme le premier contrôle de sécurité : la compétence des personnes qui écrivent et exploitent le code. Avant tout scanner, avant toute gate, il y a un développeur qui choisit, ou non, de valider une entrée, de gérer un secret correctement, de mettre à jour une dépendance. Si ce réflexe n'est pas là, aucun outil en aval ne le remplace ; il ne fait que constater les dégâts.

Cette famille ne parle donc pas de « faire une sensibilisation par an pour cocher la case ». Elle décrit une montée en compétence continue, adaptée aux rôles, éprouvée par la pratique et mesurée. C'est une progression en quatre niveaux, de l'existence d'un parcours jusqu'à l'évaluation réelle des acquis.

Concrètement, ces exigences parent : le développeur qui réintroduit une faille faute de connaître le risque, la formation périmée face à des menaces qui évoluent, les réflexes qui s'effondrent sous stress sans pratique, et l'illusion de compétence d'une formation jamais évaluée. Quatre exigences, des fondamentales (R1) aux souveraines (R3).

L'enjeu

Un développeur non formé reproduit les mêmes failles ; la formation est le premier contrôle.

Les pièges à éviter

Les erreurs les plus fréquentes sur ce périmètre :

formation ponctuelle et non tracée

pas adaptée aux rôles

réflexes non éprouvés

Exigences

Comment lire R1R2R3du fondamental au souverain obligatoire recommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher

SOCLE-CLT-FOR-1 R1

parcours de formation sécurité adapté aux rôles (dev, ops, PO).#

Une formation uniforme ennuie les uns et survole ce dont les autres ont besoin. Un parcours adapté aux rôles (dev, ops, PO) cible les risques et gestes propres à chacun : le développeur apprend le codage sûr, l'ops le durcissement, le PO l'arbitrage du risque.

Preuve attendue: Parcours par rôle ; suivi des complétions.

Correspondances & menaces parées 3 standards

Correspondance

SSDF PO.2 OWASP SAMM SAFECode

SOCLE-CLT-FOR-2 R2

formation au codage sûr renouvelée périodiquement et tracée.#

Le codage sûr s'oublie sans entretien, et une formation non tracée ne prouve rien en audit. Renouveler périodiquement la formation au codage sûr et la tracer maintient les réflexes à jour et démontre la diligence : on sait qui a été formé, à quoi et quand.

Preuve attendue: Sessions de codage sûr datées et tracées.

Correspondances & menaces parées 3 standards

Correspondance

SAFECode OWASP SAMM SSDF PO.2

SOCLE-CLT-FOR-3 R2

exercices pratiques (drills, CTF internes) pour ancrer les réflexes.#

Une connaissance théorique ne survit pas au stress d'un incident réel. Des exercices pratiques (drills, CTF internes) ancrent les réflexes par le geste : confronter les équipes à des scénarios concrets transforme un savoir passif en réaction acquise, prête le jour où ça compte.

Preuve attendue: Comptes rendus d'exercices.

Correspondances & menaces parées 2 standards

Correspondance

OWASP SAMM OWASP DSOMM

SOCLE-CLT-FOR-4 R3

programme de montée en compétence mesuré (évaluation des acquis).#

Former sans évaluer les acquis, c'est supposer que la compétence est là sans le vérifier. Un programme mesuré (évaluation des acquis) confirme que la formation produit un effet réel, identifie les lacunes persistantes et permet d'ajuster le contenu plutôt que de répéter ce qui ne prend pas.

Preuve attendue: Évaluation des acquis avant et après formation.

Correspondances & menaces parées 2 standards

Correspondance

OWASP SAMM BSIMM (Governance)

Prochaines étapes

Suivant : Processus & rituelsFamille suivante du domaine