Affectations
Attribuez des modules de formation spécifiques à des utilisateurs individuels, des équipes ou à toute votre organisation. Suivez la complétion, définissez des échéances et imposez la formation obligatoire.
Création d'une affectation
Pour créer une nouvelle affectation, naviguez vers Affectations dans la barre latérale d'administration et cliquez sur « Nouvelle affectation ». Suivez ces étapes :
1. Zone de contenu
Choisissez Pratique (challenges de revue de code), Apprentissage (scénarios d'attaque interactifs) ou Personnalisé (un cours personnalisé que vous avez construit). Si vous choisissez Personnalisé mais que votre organisation n'a pas encore construit de cours personnalisé, le formulaire affiche un avertissement en ligne et le sélecteur reste vide jusqu'à ce qu'au moins un cours existe.
2. Cible
Sélectionnez ce qu'il faut attribuer. La hiérarchie de cible dépend de la zone de contenu :
- Pratique : Catégorie → Module → Sujet (par exemple « OWASP Web Top 10 > A03 Injection > SQL Injection »). Choisir uniquement la catégorie crée une affectation au niveau de la catégorie qui couvre automatiquement chaque sujet en dessous.
- Apprentissage : Cours → Scénario. Choisir uniquement le cours couvre chaque scénario en dessous.
- Personnalisé : Choisissez l'un des cours personnalisés de votre organisation. Les éléments du cours dictent quels sujets de pratique et scénarios d'apprentissage sont suivis pour la complétion. Voir Cours personnalisés.
3. Destinataire
Choisissez qui reçoit l'affectation : un Utilisateur individuel, une Équipe ou l'Organisation entière. Sous le sélecteur, le formulaire affiche un aperçu en direct (« Attribuera N challenges à {Destinataire} ») pour que vous puissiez vérifier le périmètre avant de soumettre.
4. Échéance
Définissez une date d'échéance. Les utilisateurs verront les affectations en retard surlignées dans leur tableau de bord.
5. Obligatoire
Marquez l'affectation comme obligatoire ou facultative. L'indicateur est activé par défaut — les affectations obligatoires apparaissent en évidence dans la file d'attente de formation de l'utilisateur et contribuent aux rapports de conformité ; les affectations facultatives sont suivies mais ne bloquent pas les métriques de conformité.
6. Note
Ajoutez une description ou un contexte optionnel pour l'affectation (par exemple « Compléter avant l'audit de sécurité Q2 »). La note s'affiche en italique sous le titre sur la page de détail de l'affectation et sur la vue « Mes affectations » du destinataire.
Formulaire de création d'affectation
Voici à quoi ressemble le formulaire de création d'affectation :
Cibles d'affectation
Vous pouvez attribuer la formation à différents niveaux de granularité :
| Zone de contenu | Niveau de cible | Exemple |
|---|---|---|
| Pratique | Catégorie | Tous les challenges OWASP Web Top 10 |
| Pratique | Module | Tous les challenges A03 Injection |
| Pratique | Sujet | Challenges SQL Injection uniquement |
| Apprentissage | Cours | Tous les scénarios Web Security |
| Apprentissage | Scénario | Scénario IDOR uniquement |
| Personnalisé | Cours personnalisé | Le cours « Q2 Onboarding » que vous avez construit sous Cours personnalisés |
Suivi de la progression
Cliquez sur n'importe quelle affectation pour voir sa page de détail, qui affiche :
- Taux de complétion global — pourcentage des utilisateurs attribués qui ont terminé
- Barres de progression par utilisateur — progression individuelle pour chaque destinataire
- Statut en retard — surligné lorsque l'échéance est dépassée
- Scores individuels — scores de challenge par utilisateur
Détail de l'affectation
Voici à quoi ressemble une page de détail d'affectation :
Modification et désactivation
Vous pouvez modifier l'échéance, la note, l'indicateur obligatoire et l'état actif d'une affectation à tout moment. Les changements s'appliquent immédiatement à tous les destinataires.
L'action Supprimer définit isActive=false — elle n'efface pas la ligne. L'affectation cesse d'apparaître dans les vues « Mes affectations » des destinataires et cesse de contribuer aux métriques de conformité, mais sa progression par utilisateur est préservée pour que les rapports historiques continuent de résoudre. Réactiver une affectation désactivée n'est pas exposé dans l'interface admin aujourd'hui ; c'est faisable via l'API publique en envoyant {"isActive": true} contre PATCH /api/public/v1/assignments/{id}.
La page liste des affectations expose aussi un bouton Exporter CSV qui télécharge chaque affectation avec sa cible, son destinataire, son échéance, son indicateur obligatoire et sa progression agrégée — utile pour les dossiers d'audit.
Choisir le bon périmètre pour une affectation
Le même contenu de formation peut être attribué à un seul sujet, à un module de sujets liés ou à une catégorie entière. Choisir le bon niveau de granularité est la différence entre une affectation que votre équipe termine en une semaine et une qui traîne pendant un trimestre tandis que tout le monde s'engage à moitié. En règle générale, attribuez par sujet lorsque vous réagissez à un incident spécifique ou à une découverte de pentest, attribuez par module lors de l'onboarding d'un nouvel embauché et attribuez par catégorie complète seulement lorsque vous avez une piste mesurée de semaines et une raison claire de conformité.
Affectations par sujet versus piste complète
Une affectation à sujet unique est le bon outil lorsqu'un pentest récent a fait surface une injection SQL dans votre base de code, lorsqu'un CVE dans une bibliothèque dont vous dépendez utilise une classe de vulnérabilité que votre équipe n'a pas vue, ou lorsqu'un ingénieur a besoin d'un rappel ciblé. Le périmètre est petit, la connexion au risque réel est directe et les ingénieurs terminent en une ou deux sessions. Les taux de complétion sur les affectations au niveau du sujet sont généralement beaucoup plus élevés que sur celles au niveau de la catégorie parce que l'objectif est concret.
Une affectation de piste complète — disons, toute la catégorie OWASP Web Top 10 — fonctionne pour les cohortes d'onboarding et les cycles annuels de formation obligatoire, mais elle a besoin d'une échéance réaliste. Prévoyez six à dix semaines pour une piste au niveau de la catégorie à un rythme durable de deux à trois heures par semaine de temps de formation. Des échéances plus courtes poussent les ingénieurs à cliquer à travers le contenu sans l'absorber, ce qui annule le but et produit un tableau de bord propre avec une rétention faible derrière.
Encadrement temporel et preuves de conformité
Définissez une échéance sur chaque affectation, même les facultatives. Une échéance recadre l'affectation comme un engagement plutôt qu'un élément de backlog, et l'indicateur en retard sur le tableau de bord utilisateur devient un rappel utile pour les responsables hiérarchiques lors des entretiens individuels. Pour la formation obligatoire, fixez l'échéance trente jours avant la limite de preuve de conformité pour avoir un tampon pour relancer les retardataires.
Pour les organisations soumises à PCI DSS 6.2.2 — qui exige que les développeurs reçoivent une formation au codage sécurisé pertinente pour leur rôle au moins annuellement — les affectations servent d'artefact de preuve principal. La liste des destinataires affiche le périmètre, les horodatages de complétion affichent quand la formation a eu lieu et les scores individuels affichent si les apprenants ont engagé avec le contenu. Les mêmes artefacts satisfont les exigences de l'Annexe A.14 ISO 27001 pour la formation au développement sécurisé. Gardez les affectations désactivées dans le système plutôt que de les supprimer, car la fenêtre d'audit pour les deux standards remonte aux années précédentes.