🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 13 — Due Care & Due Diligence : Jusqu’où doit-on aller ? Et si on arrêtait de confondre effort et responsabilité ? Dans cet épisode, on plonge dans deux notions fondamentales mais souvent mal comprises : Due Diligence (la découverte proactive des risques) et Due Care (l’obligation d’agir pour les maîtriser). 💡 Tu découvriras : La différence claire entre les deux concepts Des exemples concrets (Titanic inclus 🧊🚢) Comment un CEO visionnaire m’a convaincu avec son Elevator Pitch Le lien direct avec les audits ISO, CISM, et même la NIS2 ou DORA, CSSF, AI, Cloud Register Les 4 critères que j’utilise pour évaluer sérieusement un fournisseur Pourquoi je dis NON à certains clients qui n’ont pas fait leurs devoirs 🚀 Spoiler : tu sauras mieux répondre à une question d’examen ISACA… mais aussi à ton board. Et si tu restes jusqu’à la fin, à la clé un petit concours surprise 🎁 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête. Dans cet épisode, on parle du syndrome du responsable sécurité fraîchement certifié, livré à lui-même après sa formation, bloqué entre des outils trop lourds, des exigences floues, et une montagne de tâches qui tournent en rond. Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ? Spoiler : tu vas t’épuiser. 👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie. 👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz. 👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant. Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker. 💡 Reste jusqu’à la fin : un mot secret s’est glissé dans l’épisode. Envoie-le-moi discrètement sur LinkedIn ou ailleurs, et tu participes au tirage au sort (fin juillet 2025) pour remporter : Un TRECCERT Essentials de ton choix ou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001. 🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

Savez-vous que la plupart des incidents de cybersécurité passent inaperçus, laissant les entreprises vulnérables à des attaques dévastatrices ? Dans cet épisode captivant de Compliance Without Coma, Fabrice De Paepe nous plonge dans le fascinant monde du biais d'observabilité, à travers l'histoire d'Abraham Wald, un statisticien dont les découvertes pendant la Seconde Guerre mondiale ont révolutionné notre compréhension des données. Wald a prouvé que les zones touchées des avions qui revenaient de mission n'étaient pas celles à surveiller, mais plutôt celles qui n'affichaient aucune marque de balles, signalant des avions abattus. Ce principe, connu sous le nom de biais du survivant, s'applique aujourd'hui à la cybersécurité, notamment dans l'analyse des incidents de phishing. Fabrice nous rappelle que se concentrer uniquement sur les incidents visibles peut conduire à des prises de décisions erronées. Dans le cadre de la cyber sécurité, il est crucial d'analyser également les incidents qui passent inaperçus. En effet, comprendre les comportements des utilisateurs, en particulier ceux qui cliquent sur des liens de phishing, est essentiel pour renforcer notre conformité et améliorer nos pratiques. L'épisode met également en lumière l'importance d'un audit de sécurité rigoureux et de la mise en œuvre des normes ISO, notamment l'ISO 27001 et le NIS2, pour garantir une protection efficace contre les data breaches. Au fil de la discussion, Fabrice partage des conseils pratiques cybersécurité et des bonnes pratiques cybersécurité qui peuvent aider les entreprises à mieux se préparer face aux menaces émergentes. Il souligne l'importance de la sensibilisation et de la formation des employés, car la sécurité commence par une culture d'entreprise solide. En fin d'épisode, un petit défi est lancé aux auditeurs : êtes-vous prêts à revoir votre approche de la cybersécurité et à adopter une vision plus globale et proactive ? Rejoignez-nous pour cet épisode enrichissant de Compliance Without Coma, où nous explorons les enjeux cruciaux de la GRC (gouvernance, risque et conformité) et comment une meilleure compréhension des biais d'observabilité peut transformer votre stratégie de sécurité. Ne manquez pas cette occasion d'améliorer vos connaissances et de renforcer votre posture de sécurité ! 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, et même Youtube ;-) Une attaque toute simple. Un mail bien tourné. Et un RH bienveillant… qui fait tout foirer 💥 Dans cet épisode 100 % vrai (sauf les prénoms 😅), je te raconte comment un pirate a détourné un salaire complet… juste en exploitant LinkedIn, un peu d’OSINT, et l’absence de procédure de vérification chez un client. 💡 Tu bosses en RH ? En paie ? En finance ? Cet épisode est une masterclass de sensibilisation. On y parle : de social engineering 🧠 de processus RH qui tiennent (ou pas) de firewalls humains et de super-héros Marvel de LinkedIn comme outil d’attaque et surtout : de comment ne PAS te faire avoir. 🎧 À écouter si tu veux sensibiliser sans endormir, et te rappeler qu’en cybersécurité… l’humain est souvent la plus grosse faille. #cybersecurité #OSINT #socialengineering #sensibilisation #RH #conformité #infosec #linkedin #firewallhumain #JML #compliance #podcastfrançais #cybersécuritéRH #cybersécuritépratiq #awareness #compliancewithoutcoma #frenchpodcast Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, et Youtube 🎙️ Compliance Without Coma – Épisode 9 Le mythe de Sisyphe… et ton plan d’actions ISO 27001 Et si #Sisyphe était le vrai héros de la conformité ? Un épisode du French podcast Compliance Without Coma qui mêle #cybersécurité, #qualité et #ISO27001 pour repenser le #PDCA à la lumière des #normesISO. -Tu en as marre de redire pour la dixième fois ce qu’est une mesure corrective ? -Tu as l’impression que ton SMSI, c’est une pierre que tu repousses sans fin ? -Bienvenue dans la vie de Sisyphe. Ou du RSSI. Ou du consultant. Ou du DPO. Dans cet épisode, on plonge dans le mythe grec de Sisyphe, revisité à la sauce ISO 27001. -Une pierre à pousser, éternellement. -Un PDCA qui recommence encore et encore. -Et un consultant (toi ?) qui finit par se dire… “mais pourquoi je fais ça ?” Et si on trouvait du sens là-dedans ? Et si l’amélioration continue était absurde mais nécessaire ? Et si, comme l’écrivait Camus, “il faut imaginer Sisyphe heureux”… même face à un patching sans fin ou une carto d’actifs qu’on refait tous les trimestres ? -Un épisode entre philosophie, vécu terrain et prise de recul salutaire. -À écouter si tu travailles dans la cybersécurité, la conformité, l’audit ou la qualité. -Et si tu veux, pour une fois, sourire en parlant de l’ISO. 🔗 Abonne-toi pour ne pas rater les prochains épisodes (spoiler : y’a un requin qui arrive et le Principe de Peter🦈) ⭐ Note l’épisode si tu l’as aimé (5 étoiles - What else :-D ?) 📬 Écris-moi pour me parler de ton propre rocher Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, 📌 Résumé de l’épisode : Dans cet épisode, on démarre avec une scène familière : un téléphone sonne dans un open space… et personne ne décroche. Pourquoi ? Parce que personne ne sait qui est censé le faire. Une situation absurde, mais révélatrice d’un vrai problème dans les organisations : l’absence de clarté sur les rôles. 💡 C’est là qu’entre en scène la matrice RACI. Un outil simple, visuel, et diablement efficace pour structurer les responsabilités dans un processus. R comme Responsible, A comme Accountable, C comme Consulted, I comme Informed. Tu découvriras : Pourquoi la RACI évite les non-dits, les conflits et les silences gênants en projet, Comment elle s’applique concrètement, notamment en ISO 27001 (audit interne, responsabilités de la direction, etc.), Pourquoi tu ne la trouveras dans aucune clause ISO (ni 27001, ni 9001), Et pourquoi tu devrais l’utiliser quand même, tout le temps. 🔥 Bonus : on parle aussi du cerveau humain, de l’éléphant rose… et de la charge cognitive que la RACI permet de réduire. ✅ Un épisode clair, pratique, et sans blabla inutile, pour éviter que tout le monde se sente responsable… et que personne ne le soit vraiment. 📲 À écouter absolument si tu veux éviter que ta prochaine procédure ISO finisse en cacophonie organisationnelle. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Compliance Without Coma — Épisode 7 Bloquer l’AD ne suffit pas quand ton admin s’en va 👉 Aujourd’hui, je te raconte une autre histoire vraie : ✅ une faille interne, ✅ une fausse bonne assurance, ✅ et une attaque… rendue possible par l’exploitation d’une vulnérabilité connue. Dans cet épisode, je t’introduis la notion de process JML (Joiner, Mover, Leaver) : ➡️ un point-clé souvent sous-estimé… et pourtant essentiel à la sécurité de ton système d’information. Tu verras pourquoi bloquer un compte AD ne suffit pas, ce qu’un simple hash peut permettre, et comment éviter que ce genre de situation ne t’arrive. Au programme : Comment un pentest a transformé un hash dormant en escalade de privilèges Pourquoi le process JML doit être documenté et maîtrisé Comment sécuriser réellement les départs d’admins Leçons pratiques à tirer pour ton entreprise Liens avec l’ISO 27001 et les contrôles concernés Le message clé ? Le danger ne vient pas toujours de l’extérieur. Et un compte AD bloqué… ne protège pas forcément ton SI. Bonne écoute ! 🎧 Et si tu as aimé cet épisode : ⭐ Laisse-lui une note sur ta plateforme préférée 🔄 Partage-le autour de toi 💬 Et surtout… revois ta politique de Leaver 😉 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 👋 Aujourd’hui, on remonte à l’été 2018… Un Data Breach réel, massif et évitable : celui de British Airways. -380 000 clients touchés -24M€ d’amende -Un mot de passe admin en clair -Et un prestataire compromis (Swissport) Résultat ? Des CB volées, un script injecté, un fichier texte avec un mot de passe, et un outil de test… qui tournait depuis 3 ans. Un enchaînement d’erreurs que la directive NIS2 aurait pu largement empêcher. Dans cet épisode, je te raconte : -Ce qu’il s’est passé -Ce que la NIS2 impose désormais -Pourquoi les failles internes sont souvent plus dangereuses que les hackers du Pérou Ce qu’on aurait pu éviter avec NIS2 : Analyse des fournisseurs critiques → Le compte compromis venait d’un sous-traitant. NIS2 impose des clauses contractuelles, audits et MFA obligatoires pour les fournisseurs à risque. Politiques d’accès robustes → Mot de passe admin en clair ? NIS2 exige des mesures strictes d’authentification, de journalisation et de gestion des privilèges. Rôle de la direction renforcé → Avec la RACI, on sait qui fait quoi. Fini le “je ne savais pas”, la direction est accountable. Revue des logs & détection d’anomalies → Le fichier loggait les CB en clair depuis 3 ans. NIS2 impose détection, supervision et SIEM actif. Notification en cas d’incident → BA a tardé à alerter. NIS2 impose notification en 24h, rapport en 72h, et communication sous 1 mois. Sanctions dissuasives → Sous NIS2, l’amende serait montée à 340M€, pas juste 24M€. Autant dire que le due diligence aurait été pris au sérieux… Tests réguliers de sécurité → Une lib JS vulnérable depuis 2012, non patchée. NIS2 impose pentests, scan de vulnérabilités, revue des composants. Morale de l’histoire Tu peux avoir un réseau bien cloisonné, des procédures sur papier, des firewalls partout… Mais si tu laisses traîner un mot de passe en clair, un script vieux de 6 ans, ou que tu ne maîtrises pas tes prestataires… Ça explose. NIS2 et ISO 27001 ne sont pas que des cases à cocher. Ce sont des outils pour éviter les crashs, structurer ta cybersécurité, et aligner direction et IT. Comme je dis souvent : On ne met pas des freins à une voiture pour la ralentir… On en met pour pouvoir aller plus vite en toute sécurité. 🎧 Alors attache ta ceinture, écoute l’épisode, et si tu bosses dans une boîte publique ou privée… 🧯 Mets-toi en conformité avant de sentir le souffle du régulateur sur ta nuque. 📲 Poll Spotify : “La NIS2, tu la vois comme…” • Une opportunité pour structurer • Une contrainte de plus • Un mal nécessaire • Une blague administrative Donne-moi ton avis, c’est anonyme 😏 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Et si Platon avait tout compris… à la cybersécurité ? Dans cet épisode, on plonge dans l’allégorie de la caverne pour parler conformité, illusions, résistance au changementet rôle du consultant. Tu verras comment certains KPI, certaines politiques internes ou certains audits peuvent n’être que des ombres au mur. Et comment sortir de cette caverne demande du courage, de la stratégie… et une vraie vision. 📌 On y parle aussi : – De clients qui s’auto-proclament conformes – De dashboards toujours verts – De la métaphore de la grenouille qui cuit doucement – Et de Matrix (pilule rouge ou bleue ?) Un épisode pour tous ceux qui en ont marre du “on a toujours fait comme ça”. Et qui veulent accompagner le changement… sans sombrer dans le coma. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Abemus Papam… et bye bye privacy ? Dans cet épisode, je t’emmène à Rome. Un city trip en apparence banal… sauf qu’en chemin, ta vie privée se fait siphonner à chaque étape. Réservations en ligne, géolocalisation, réseaux sociaux, Airbnb, Uber, audioguides, apps : même en vacances, tes données ne dorment jamais. 📌 Au programme : Pourquoi ton compte YouTube n’est pas le seul à Rome Ce que Airbnb, Uber ou WeWard collectent vraiment Comment tu deviens traçable avant même de poser le pied en Italie Et pourquoi c’est si dur de respecter le RGPD dans la vie perso… alors qu’on l’exige côté pro ➡️ Un épisode qui mêle humour, quotidien et prise de conscience numérique — sans sombrer dans la parano. 🎧 À écouter si tu veux comprendre pourquoi, même en city-trip tu restes un produit dans la machine. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.