🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, 📌 Résumé de l’épisode : Dans cet épisode, on démarre avec une scène familière : un téléphone sonne dans un open space… et personne ne décroche. Pourquoi ? Parce que personne ne sait qui est censé le faire. Une situation absurde, mais révélatrice d’un vrai problème dans les organisations : l’absence de clarté sur les rôles. 💡 C’est là qu’entre en scène la matrice RACI. Un outil simple, visuel, et diablement efficace pour structurer les responsabilités dans un processus. R comme Responsible, A comme Accountable, C comme Consulted, I comme Informed. Tu découvriras : Pourquoi la RACI évite les non-dits, les conflits et les silences gênants en projet, Comment elle s’applique concrètement, notamment en ISO 27001 (audit interne, responsabilités de la direction, etc.), Pourquoi tu ne la trouveras dans aucune clause ISO (ni 27001, ni 9001), Et pourquoi tu devrais l’utiliser quand même, tout le temps. 🔥 Bonus : on parle aussi du cerveau humain, de l’éléphant rose… et de la charge cognitive que la RACI permet de réduire. ✅ Un épisode clair, pratique, et sans blabla inutile, pour éviter que tout le monde se sente responsable… et que personne ne le soit vraiment. 📲 À écouter absolument si tu veux éviter que ta prochaine procédure ISO finisse en cacophonie organisationnelle. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Compliance Without Coma — Épisode 7 Bloquer l’AD ne suffit pas quand ton admin s’en va 👉 Aujourd’hui, je te raconte une autre histoire vraie : ✅ une faille interne, ✅ une fausse bonne assurance, ✅ et une attaque… rendue possible par l’exploitation d’une vulnérabilité connue. Dans cet épisode, je t’introduis la notion de process JML (Joiner, Mover, Leaver) : ➡️ un point-clé souvent sous-estimé… et pourtant essentiel à la sécurité de ton système d’information. Tu verras pourquoi bloquer un compte AD ne suffit pas, ce qu’un simple hash peut permettre, et comment éviter que ce genre de situation ne t’arrive. Au programme : Comment un pentest a transformé un hash dormant en escalade de privilèges Pourquoi le process JML doit être documenté et maîtrisé Comment sécuriser réellement les départs d’admins Leçons pratiques à tirer pour ton entreprise Liens avec l’ISO 27001 et les contrôles concernés Le message clé ? Le danger ne vient pas toujours de l’extérieur. Et un compte AD bloqué… ne protège pas forcément ton SI. Bonne écoute ! 🎧 Et si tu as aimé cet épisode : ⭐ Laisse-lui une note sur ta plateforme préférée 🔄 Partage-le autour de toi 💬 Et surtout… revois ta politique de Leaver 😉 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 👋 Aujourd’hui, on remonte à l’été 2018… Un Data Breach réel, massif et évitable : celui de British Airways. -380 000 clients touchés -24M€ d’amende -Un mot de passe admin en clair -Et un prestataire compromis (Swissport) Résultat ? Des CB volées, un script injecté, un fichier texte avec un mot de passe, et un outil de test… qui tournait depuis 3 ans. Un enchaînement d’erreurs que la directive NIS2 aurait pu largement empêcher. Dans cet épisode, je te raconte : -Ce qu’il s’est passé -Ce que la NIS2 impose désormais -Pourquoi les failles internes sont souvent plus dangereuses que les hackers du Pérou Ce qu’on aurait pu éviter avec NIS2 : Analyse des fournisseurs critiques → Le compte compromis venait d’un sous-traitant. NIS2 impose des clauses contractuelles, audits et MFA obligatoires pour les fournisseurs à risque. Politiques d’accès robustes → Mot de passe admin en clair ? NIS2 exige des mesures strictes d’authentification, de journalisation et de gestion des privilèges. Rôle de la direction renforcé → Avec la RACI, on sait qui fait quoi. Fini le “je ne savais pas”, la direction est accountable. Revue des logs & détection d’anomalies → Le fichier loggait les CB en clair depuis 3 ans. NIS2 impose détection, supervision et SIEM actif. Notification en cas d’incident → BA a tardé à alerter. NIS2 impose notification en 24h, rapport en 72h, et communication sous 1 mois. Sanctions dissuasives → Sous NIS2, l’amende serait montée à 340M€, pas juste 24M€. Autant dire que le due diligence aurait été pris au sérieux… Tests réguliers de sécurité → Une lib JS vulnérable depuis 2012, non patchée. NIS2 impose pentests, scan de vulnérabilités, revue des composants. Morale de l’histoire Tu peux avoir un réseau bien cloisonné, des procédures sur papier, des firewalls partout… Mais si tu laisses traîner un mot de passe en clair, un script vieux de 6 ans, ou que tu ne maîtrises pas tes prestataires… Ça explose. NIS2 et ISO 27001 ne sont pas que des cases à cocher. Ce sont des outils pour éviter les crashs, structurer ta cybersécurité, et aligner direction et IT. Comme je dis souvent : On ne met pas des freins à une voiture pour la ralentir… On en met pour pouvoir aller plus vite en toute sécurité. 🎧 Alors attache ta ceinture, écoute l’épisode, et si tu bosses dans une boîte publique ou privée… 🧯 Mets-toi en conformité avant de sentir le souffle du régulateur sur ta nuque. 📲 Poll Spotify : “La NIS2, tu la vois comme…” • Une opportunité pour structurer • Une contrainte de plus • Un mal nécessaire • Une blague administrative Donne-moi ton avis, c’est anonyme 😏 Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Et si Platon avait tout compris… à la cybersécurité ? Dans cet épisode, on plonge dans l’allégorie de la caverne pour parler conformité, illusions, résistance au changementet rôle du consultant. Tu verras comment certains KPI, certaines politiques internes ou certains audits peuvent n’être que des ombres au mur. Et comment sortir de cette caverne demande du courage, de la stratégie… et une vraie vision. 📌 On y parle aussi : – De clients qui s’auto-proclament conformes – De dashboards toujours verts – De la métaphore de la grenouille qui cuit doucement – Et de Matrix (pilule rouge ou bleue ?) Un épisode pour tous ceux qui en ont marre du “on a toujours fait comme ça”. Et qui veulent accompagner le changement… sans sombrer dans le coma. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Abemus Papam… et bye bye privacy ? Dans cet épisode, je t’emmène à Rome. Un city trip en apparence banal… sauf qu’en chemin, ta vie privée se fait siphonner à chaque étape. Réservations en ligne, géolocalisation, réseaux sociaux, Airbnb, Uber, audioguides, apps : même en vacances, tes données ne dorment jamais. 📌 Au programme : Pourquoi ton compte YouTube n’est pas le seul à Rome Ce que Airbnb, Uber ou WeWard collectent vraiment Comment tu deviens traçable avant même de poser le pied en Italie Et pourquoi c’est si dur de respecter le RGPD dans la vie perso… alors qu’on l’exige côté pro ➡️ Un épisode qui mêle humour, quotidien et prise de conscience numérique — sans sombrer dans la parano. 🎧 À écouter si tu veux comprendre pourquoi, même en city-trip tu restes un produit dans la machine. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 3 – De la géopolitique aux cyberattaques : pourquoi ton SMSI ne peut plus se permettre d’ignorer le contexte actuel Tu crois que la géopolitique, ce n’est pas ton problème en cybersécurité ? Attends de voir ce qu’un chaos monkey géopolitique peut faire tomber dans ton SMSI. Dans cet épisode, on plonge dans un sujet souvent laissé de côté, mais crucial pour toute organisation qui gère un système de management de la sécurité de l’information (SMSI). On parle de guerre en Ukraine, de financement du programme CVE, de Tonton Donald, de chaos monkeys, et surtout : de ce que toi, tu dois adapter dans ton SMSI aujourd’hui. 🚨 Spoiler : Je te donne 9 points concrets à vérifier ou à mettre à jour dans ton SMSI. 📌 Et tu verras que “ne rien faire” peut te coûter plus cher que tu ne le penses. 🎯 Dans cet épisode, tu vas apprendre : Pourquoi le contexte géopolitique affecte directement ta cybersécurité Ce que les USA ont failli couper (et pourquoi ça nous concerne tous) En quoi le programme CVE est une dépendance critique mondiale Ce que fait l’Europe pour rééquilibrer le jeu (merci NIS2, ENISA, CERTs locaux) Et quels documents, process et clauses de ton ISMS tu dois revoir dès maintenant 🧠 Tu repartiras avec : Un regard élargi sur les menaces extérieures Une compréhension stratégique du lien entre politique et cyber Et une checklist concrète pour renforcer ton système de sécurité 📍 À écouter si tu es : CISO, consultant, auditeur ou en reconversion En train de bâtir, revoir ou faire certifier ton ISMS Ou simplement curieux de comprendre le lien entre cyber, chaos et contexte global 🎧 Disponible sur Spotify, Apple Podcasts, Amazon, Deezer, et bien sûr Ausha. Et si tu veux aller plus loin, pense à t’abonner à la newsletter Compliance Without Coma — le podcast où la conformité ne te met pas dans le coma 😉 #CyberSécurité #ISO27001 #PodcastCyber #NIS2 #CVE #Governance #SMSI #ComplianceWithoutComa Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 2 – SAFe ou LeSS : est-ce que l’agilité protège vraiment la sécurité ? Dans ce deuxième épisode de Compliance Without Coma, on plonge dans les frameworks agiles à grande échelle : SAFe vs. LeSS. Mais surtout : que deviennent la cybersécurité, la gouvernance, et la conformité dans tout ça ? je t’embarque sur un chantier de construction où chaque framework devient une stratégie d’aménagement… ou un risque de court-circuit. 🔍 On explore : Ce que promet l’agilité… et ce qu’elle oublie parfois. Pourquoi LeSS peut séduire, mais exposer. Comment SAFe structure la sécurité dès la base. Ce que tout CISO ou auditeur doit comprendre avant de “faire de l’agile”. Et pourquoi la gouvernance est plus précieuse que n’importe quel outil. 📌 Tu crois qu’un framework peut te sauver ? Pas sans stratégie. Pas sans pilotage. Pas sans lucidité. 🎯 À écouter si tu veux : Repenser la sécurité dans ton organisation agile Anticiper les pièges de la transformation numérique Ou tout simplement… éviter de livrer vite et mal. 🎤 Compliance Without Coma, le podcast où la conformité ne te met pas dans le coma. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. C’est le tout premier épisode de Compliance Without Coma, et on commence fort : non, la conformité ISO ne protège pas toujours. Pire : mal comprise, mal vendue ou mal pilotée, elle peut tuer ton CISO à petit feu. 🚨 Je te parle : de l’effet vitrine d’un certificat ISO 27001, des confusions entre marketing, réalité terrain et sécurité effective, du piège du “tout est documenté donc tout va bien”, et de comment un logo bien placé peut camoufler un système mal protégé. 🧠 À écouter si tu veux : comprendre les coulisses des audits trop lisses, savoir pourquoi le logo ISO ne vaut rien sans vraie gouvernance, et surtout… si tu veux arrêter de subir le “compliance washing”. 🎯 Le sujet pique ? Oui. Et c’est pour ça qu’on en parle. Parce qu’ici, la conformité ne t’endort pas. 🎤 Compliance Without Coma Le podcast où la sécurité de l’information se parle enfin… à voix haute. Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Je m’appelle Fabrice De Paepe. Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction. Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Centres de données, puis très vite dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité de l’information, la conformité, et surtout la gouvernance. J’ai accompagné des dizaines de structures (PME, multinationales, institutions publiques) dans leurs démarches de mise en conformité. Je suis à la fois consultant, auditeur, formateur, et parfois même traducteur de jargon technique Mon super-pouvoir ? 👉 Transformer des exigences normatives en solutions concrètes et actionnables. 👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde). 👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût. 🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça. Une manière de diffuser ce que je vois sur le terrain, de partager les bonnes pratiques (et les mauvaises), d’alerter sur les pièges classiques, et de déchiffrer ce qui se cache vraiment derrière les buzzwords ou l'actualité. Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-) Pas de “consultant PowerPoint”. Mais une vraie envie de transmettre, de questionner, et d’outiller. Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit. Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé. Et si tu es dans les bouchons, écoutes moi ;-) Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.