Conçu pour les équipes AppSec · Mappé sur votre audit

Une formation au codage sécurisé
que vos ingénieurs ne sauteront pas,
avec les preuves d'audit incluses.

Les équipes d'ingénierie examinent du code réaliste en production dans leur propre stack, repèrent la faille, livrent le correctif — et les preuves de conformité se constituent toutes seules. PCI DSS 4.0, ISO 27001 et OWASP mappés à chaque mission.

186
Classes de vulnérabilités
930
Revues de code
67
Scénarios d'attaque
15
Stacks d'ingénierie
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA
Voir comment ça fonctionne
Comment ça fonctionne

Deux phases par challenge.

Phase 1 : repérer le bloc vulnérable dans du code de production. Phase 2 : choisir le correctif approprié parmi quatre candidats plausibles — pas « une réponse évidente ».

Phase 1 — Repérer
Phase 1 — repérer le bloc vulnérable dans du code de production

930 revues de code couvrant 186 classes de vulnérabilités — chacune est un extrait réaliste en production dans le langage que votre équipe utilise. Cinq blocs candidats, une seule vraie faille.

Phase 2 — Corriger
Phase 2 — choisir le correctif approprié parmi quatre candidats

Leurres intelligents — chaque mauvais correctif correspond à une erreur AppSec rencontrée dans le monde réel (échappement seul, validation par regex, ORM sans binding) avec l'explication de son échec. Les développeurs apprennent la différence entre un correctif et une simple mitigation.

Parcours d'attaque guidés

De la reconnaissance à l'exploitation puis au correctif — étape par étape.

67 scénarios. 973 étapes interactives. Chacun plonge l'ingénieur dans un navigateur, un terminal et un proxy d'interception simulés — il mène la reconnaissance, déclenche l'exploit, puis comble la faille dans le code. Une classe d'attaque, une session courte et focalisée.

Scénario d'énumération de comptes LoveNest — 10 étapes, 14 minutes
67
scénarios
973
étapes interactives
~14m
durée moyenne du parcours
Rédigé dans votre stack

Pas du pseudocode générique. Vos idiomes.

Chaque ingénieur choisit sa stack à la première visite. Tous les challenges se chargent ensuite dans le langage et le framework qu'il utilise réellement — f-strings Python, fmt.Sprintf de Go, interpolation de chaînes en C#, PreparedStatement en Java — pas un pseudocode épuré qui ne correspond à rien en production.

Backend
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
Frontend
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
Mobile
  • Swift
  • Kotlin
15 cibles de langages et de frameworks couvrant backend, frontend et mobile — chaque challenge rendu en code idiomatique pour la stack choisie.
Plateforme entreprise

Conçue pour la manière dont les équipes sécurité d'entreprise travaillent déjà.

SAML 2.0 avec provisionnement JIT, synchronisation du cycle de vie SCIM 2.0, SCORM 1.2/2004 pour n'importe quel LMS, et un plan d'administration multi-tenant avec délégation par rôle. Rien n'est ajouté en surcouche — tout est actif dès le premier jour.

SAML 2.0 / OIDC
SSO avec provisionnement JIT
Okta, Azure AD, Google Workspace, OneLogin ou tout IdP SAML 2.0 / OIDC. Création d'utilisateur JIT à la première connexion — aucune étape d'onboarding manuelle.
SCIM 2.0
Synchronisation du cycle de vie utilisateur
Provisionnement et déprovisionnement automatiques des utilisateurs depuis votre IdP — pas de comptes fantômes quand les gens partent.
SCORM 1.2 / 2004
Fonctionne dans votre LMS
Se lance depuis Moodle, Cornerstone, SAP SuccessFactors, Docebo ou tout LMS compatible SCORM. La complétion et les marque-pages sont synchronisés par le runtime standard.
PLATEFORME → SOCIÉTÉ → ORGANISATION → ÉQUIPE
Hiérarchie multi-tenant
Isolez les données et le périmètre administratif entre sociétés, unités opérationnelles et équipes — avec une délégation par rôle à chaque niveau.
PISTE IMMUABLE
Journal d'audit
Chaque connexion, mission, complétion et action d'administration est enregistrée avec l'acteur, son rôle, son IP et les métadonnées — interrogeable et exportable pour les audits QSA, SOC 2 et ISO.
MISSIONS ET ANALYTICS
Échéances, équipes, lacunes de compétences
Attribuez par sujet, framework ou scénario d'attaque — à un utilisateur, une équipe ou toute l'organisation. Suivez la complétion, les scores et les écarts par équipe depuis un tableau de bord administrateur unique.
Mappage de conformité

Chaque mission, mappée au framework sur lequel vous reportez.

PCI DSS 4.0.1
§6.2.2 formation au codage sécurisé
Preuves par exigence : la formation des développeurs §6.2.2 mappée aux catégories OWASP et aux clusters CWE — prête pour la revue QSA sans archéologie de feuille de calcul.
ISO 27001:2022
Annexe A.8.28 codage sécurisé
Preuves du contrôle A.8.28 sur le codage sécurisé et de la formation de sensibilisation A.6.3, liées à la complétion par équipe et à la couverture CWE par sujet.
EU CRA Annexe I
Exigences secure-by-design
Exigences essentielles de cybersécurité pour les produits comportant des éléments numériques — couverture par équipe suivie en regard de l'Annexe I (1) et (2).
OWASP TOP 10
Web · API · Mobile
Chaque challenge est étiqueté selon les catégories OWASP Top 10 pour Web (2021), API (2023) et Mobile (2024) — avec la CWE sous-jacente pour chacune.

Chaque challenge est pré-étiqueté selon le framework qu'il satisfait — pour que le moment de l'audit ne soit plus une opération pompiers, mais une simple requête.

Voyez comment ça s'aligne
sur votre cadence d'audit.

30 minutes avec notre équipe. Nous parcourons le tableau de bord administrateur, les mappages PCI / ISO / OWASP, et la manière dont le SSO et le SCIM s'activent pour votre IdP.

Explorer la plateforme