Docs/Guide d'administration/Conformité

Conformité

Deux vues parallèles de couverture sur les mêmes données de formation. La vue OWASP évalue vos effectifs par rapport aux quatre familles OWASP Top 10. La vue réglementaire évalue la même formation par rapport aux standards externes (PCI DSS, ISO/IEC 27001, SOC 2) en mappant chaque contrôle à ses CWE sous-jacents.

Où cela se trouve

Barre latérale → Conformité sous la section Vue d'ensemble, à /organization/compliance. La page a deux onglets en haut : OWASP et Réglementaire. Les deux onglets partagent le même moteur de calcul sous-jacent ; ils diffèrent uniquement par l'ensemble de cadres affiché.

Comment la couverture est calculée

Un utilisateur éligible est tout membre actif de l'organisation dont le rôle n'est pas org_admin. Un utilisateur compte comme formé sur un sujet s'il a au moins une tentative de pratique avec un score ≥ score de passage (70) dans la dernière fenêtre (365 jours). Un élément à risque — un module OWASP ou un contrôle réglementaire — bascule au statut covered une fois que le pourcentage d'utilisateurs éligibles formés sur celui-ci dépasse le seuil de couverture de votre organisation, défaut 80 % et configurable entre 50 et 100 dans Paramètres de l'organisation.

Les éléments à risque qui n'ont pas encore de contenu livré (mappés à un CWE pour lequel nous n'avons pas encore de sujet de formation) reportent le statut no-content pour qu'ils soient visibles comme une lacune connue plutôt que de noter contre vos effectifs.

Onglet OWASP

Un panneau par famille — Web, API, Mobile, Client-Side. Chaque panneau affiche le pourcentage de couverture global du cadre et le score moyen en haut, puis une ventilation par module en dessous avec le statut (covered / partial / no-activity / no-content), le nombre d'utilisateurs formés et le score moyen. Cliquez sur un module pour explorer ses sujets constitutifs et les CWE que chaque sujet traite.

Onglet Réglementaire

Trois cadres sont livrés aujourd'hui : PCI DSS v4.0 exigence 6 (systèmes et logiciels sécurisés), contrôles de développement sécurisé de l'Annexe A ISO/IEC 27001:2022, et critères des services de confiance SOC 2 (TSC 2017). Chaque cadre se développe en ses contrôles sous-jacents ; chaque contrôle liste l'ensemble de CWE utilisé pour mapper les sujets de formation à celui-ci, et s'agrège en un pourcentage de couverture par cadre que vous pouvez copier directement dans un dossier de preuves.

PDF de preuves

Cliquez sur Télécharger le PDF de preuves sur l'un ou l'autre des onglets pour générer un PDF par cadre. L'onglet Réglementaire vous permet aussi de choisir un cadre spécifique et de produire un PDF qui n'inclut que les contrôles de ce cadre — utile lorsque la demande de l'auditeur est étroite (« preuves PCI 6.2.4 s'il vous plaît ») et que vous ne voulez pas remettre le rapport de couverture plus large.

Accès programmatique

Mêmes chiffres, lisibles par machine : voir API → Conformité. Les automatisations courantes incluent la synchronisation de la couverture par cadre vers un tableau de bord GRC, l'alerte lorsque la couverture d'un contrôle quelconque tombe en dessous du seuil et l'alimentation de la ventilation par module dans un outil de planification de sprint pour créer automatiquement des affectations de formation de remédiation.