Speaker #0Aujourd'hui je te parle d'un principe d'audit et de gouvernance vieux comme le monde, le due care due diligence. Je vais t'expliquer ce que c'est, te donner trois exemples, comment je le relie à l'élévator pitch, tu ne confondras plus non plus third party, audit third party et audit de seconde partie. Tu auras quelques réponses à des questions d'examen ISACA et ISO, tu comprendras comment on peut se servir de tout cela pour démontrer due care dans les audits et tu comprendras jusqu'où il faut aller. dans l'évaluation des third parties, fournisseurs donc. Pour le due care, due diligence. Quatre critères selon moi. Et tu comprendras aussi pourquoi je dis non, finalement, à certaines missions. Et promis, tu ne confondras plus due care et due diligence. Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast où la cybersécurité ne rime pas avec somnolence au volant d'une Tesla. C'est quoi un elevator pitch ? C'est une présentation ultra courte, de 30 à 60 secondes max, de ton projet, ton idée, ton entreprise ou toi-même. L'objectif ? Convaincre ou susciter l'intérêt, le temps d'un trajet en ascenseur. Car tu n'as peut-être que 30 secondes pour convaincre, ou tu n'as accès au cerveau du dirigeant que... pour maximum 30 secondes. D'ailleurs, as-tu pensé au tien ? Exemple. Le mien est simple. J'aide les organisations à monter en maturité en termes de cybersécurité. Due diligence. Je te donne un petit moyen mnémotechnique. Tu entends deux D dedans. Due et diligence. D de due, D de diligence. Je te le transforme avec le D de discovery. Découverte. C'est donc le principe selon lequel... tu essaies de découvrir des choses qui peuvent mal se passer. L'opposé, c'est être paresseux, hasardeux ou fainéant ou à la hussarde, quoi. On verra bien. Due Care ? C'est une fois que tu t'es posé les bonnes questions, tu mets tout en œuvre pour t'assurer que rien ne puisse mal se passer. Ou en tout cas, réduire les risques au maximum. Petit exemple. Due diligence, est-ce que ma société est dans le scope de la NIS22 ? Due care ? Je vais mettre en place un SMSI certifié pour m'assurer de contenir les risques, protéger mes assets critiques, la vie privée et gérer la réponse aux incidents. Trois petits points. Donc tu vois, ce sont deux concepts fortement liés et proches l'un de l'autre. Donc, retiens que due diligence vient toujours en premier, puisqu'on doit identifier les choses qui peuvent mal se passer avant d'agir. Due care. Premier exemple. Elevator pitch. Un des ex-CEO avec qui j'ai eu la chance de travailler m'a fait son elevator pitch. Il voulait délivrer des signatures électroniques pour signer des contrats d'assurance à partir d'un smartphone pour ajouter de la valeur au business sans qu'il aille en prison pour fraude. Alors, du care ou due diligence ? A ton avis ? C'est due diligence. Il s'est posé les bonnes questions et au travers de son elevator pitch, j'ai compris plein de choses. Qu'il avait fait ses devoirs. C'est un peu scolaire comme propos, mais ce que j'entends par là, c'est qu'il avait personnellement regardé comment apporter de la valeur au projet. Et je l'imaginais le soir, en train de faire de la veille, et à penser à tout cela, en plus des mille choses à faire qu'un CEO peut faire. Non sans lire quelques normes imbuvables sur la signature digitale. Et, en même temps, de challenger toute son équipe sur différents plans. Ce qu'il a fait, plus tard, j'ai appris qu'il avait un steering committee qui pilotait ce projet. Pour en faire quelque chose de viable. Sa question ? Fabrice, veux-tu nous accompagner dans la démarche ? Ouais, comment dire non ? Due Care. Due Care était le fait de suivre la régulation eIDAS et de se faire certifier par un organisme de certification qui a été accrédité par un bureau d'accréditation et accepté par le bureau d'accréditation national du pays dans lequel se trouvait l'entreprise. Rien que ça. eIDAS, c'est Electronic... Identification, Authentication and Trust Services. C'est un règlement européen qui veut faciliter les transactions numériques transfrontalières sécurisées et fiables. Il est appelé un cadre pour l'identification électronique et les services de confiance visant à créer un environnement prévisible et fiable pour les interactions électroniques entre citoyens, entreprises et administrations publiques. On sent tout de suite le sérieux. L'histoire, quant à elle, retiendra que c'est la première société en Belgique à être certifiée eIDAS. Et il a poussé ses équipes pour être le premier. Donc je résume. Due diligence, j'essaye de trouver ce qui peut foirer et je me pose la question de comment mettre en place un process secure qui délivre de la valeur, par exemple. Et due care, on va agir de façon à ce qu'on ne puisse rien nous reprocher. Compliance, standard, certification, preuve confirmative, que sais-je. La compliance, ici, n'empêche pas la fraude, on est d'accord. Mais à tout le moins, on ne peut pas parler de négligence si on est certifié, non ? Deuxième exemple. Identifier les risques. Due diligence ou due care ? Due diligence. Due care, c'est traiter les risques. Je prends soin de traiter les risques. Être négligent ici, c'est donc l'opposé de due care. C'est connaître un risque et refuser de faire quoi que ce soit à son sujet. Le capitaine du Titanic tient. Sir, on a des icebergs dans les environs. Ok, full throttle, je veux arriver avant telle heure. La suite, vous la connaissez. Négligence, c'est donc connaître un risque et refuser de faire quelque chose à ce sujet. Fail, ego is the enemy, mais ça je vous l'avais déjà dit. Troisième exemple, des sociétés vont souvent prendre des assurances pour couvrir les membres du board en cas de data breach. Et ces politiques vont généralement contenir une clause qui requiert que le senior management a exercé le due Care. Sinon, la brèche ne sera pas couverte. Oui, je veux bien te signer un contrat d'assurance, si jamais tu as un ransomware, mais démontre-moi que tu as fait le job en étant ISO 27001 par exemple. Et cela pourra aider à réduire la prime d'assurance ou tout simplement trouver une assurance qui veuille te supporter. Et là, on voit doucement arriver à la notion de client et fournisseur. Voilà, je viens de t'expliquer une slide de mon cours CISM sur 583. Elle n'est pas belle la vie ? Third party maintenant. Un de mes auditeurs du podcast, coucou à toi Vincent, m'a demandé jusqu'où il fallait aller pour l'évaluation des third party avec le Due Care, Due Diligence. D'abord, pour planter le décor, on a tous besoin de ce que j'appelle un SRM, Supplier Relationship Management. Et quand tu vois management derrière plusieurs mots aussi, eh bien, ça parle intrinsèquement d'un process. Et bam ! Tu peux aussi maintenant répondre à plein de questions, Isaca et ISO. Tu n'avais jamais remarqué ? Incident management, change management, release management, risk management. Tu vois ? C'est chaque fois un process. Soit. Jusqu'où faut-il aller, donc ? Eh bien, ça dépend. Ah ben, ça dépend, ça dépasse. Mais bien sûr que ça dépasse. C'est splendide comme réflexion. Sauras-tu reconnaître la référence à ce film culte français d'ailleurs ? Donc oui, ça dépend. J'ai relevé quatre critères. Premièrement, ça dépend de l'appétit du risque de l'organisation. Deuxièmement, ça dépend d'une régulation éventuelle sectorielle ou d'une contrainte spécifique liée à une norme ou un standard. NIS2, DORA... SOC 2 type 2, parce que là, c'est en continu les gars, pour ce dernier. Ça dépend de la criticalité de ton third party, c'est-à-dire ton supplier ou ton fournisseur. En fonction des exigences que tu as mises dans tes règles par rapport à la criticalité de celui-ci, exemple, si t'es Dora et qu'il est fournisseur IT critique, tu lui demandes ses rapports de tes intrusions. Ça va dépendre également des ressources que j'ai pour faire les audits ou évaluations. Je ne vais pas mettre la barre trop haut si je n'ai pas de staff pour aller évaluer drastiquement tous les fournisseurs. Quelques exemples. On lui envoie un questionnaire CISO avec les fameuses 400 questions, celles que tout le monde a déjà au moins reçu une fois dans sa vie, et un questionnaire RGPD, ou les deux si c'est fusionné, pour mesurer le risque face à ce fournisseur et lui faire éventuellement adapter certaines clauses dans le contrat et le faire valider par exemple. en comité direction. Alors que s'il était déjà ISO 27001, on s'assure que le certificat et son scope sont bien alignés avec nos exigences et donc demande lui sa SOA avec NDA et s'il ne te la donne pas, appelle-moi. Je te donnerai un truc pour l'obtenir. N'oublie pas d'ajuster avec la capacité de ton CISO à traiter cela aussi. Timing et la taille de son équipe. Et cela, rien que cela, C'est répétable et démontrable pour un audit de certif. Peut-être pas pour une banque qui veut te pousser, toi, le petit pousset, à être compliant à tout prix, mais pas sans coma dans ce cas-là. Ensuite, derrière cela, on peut partir des assets également, et des risques qui y sont liés. J'ai déjà fait cela à Luxembourg avec le fameux Cloud Register de la CSSF. La souveraineté du Luxembourg en termes de données financières est connue, et la commission de surveillance du secteur financier oblige les entités régulées à tenir un Cloud Register par type de cloud, par type d'outsourcing IT ou non, et si cela repose sur une matérialité de tes processus. Criticité donc. C'est une excellente idée. Cela te permet de cartographier tout cela, de démontrer de la gouvernance. Oups, je vous avais déjà dit, due care et due diligence, qui avait un lien avec gouvernance. Et j'ajoute également l'AI Act. Je fais pareil. On tient un jour un AI Register avec toutes les applications AI qu'on revoit à intervalles réguliers. Tu la vois, ma toile d'araignée qui se construit. Pourquoi une toile d'araignée, même si c'est rébutant ? Parce qu'elle ne fait que grandir. et l'araignée. a plusieurs chemins pour la traverser. Tant que tu démontres à l'auditeur que tu maîtrises et que tu surfes sur ta toile, il n'y aura pas de coma. Ne confonds pas third party, audit third party et second party audit. Third party, c'est un fournisseur. Second party audit, c'est quand un client, ta banque par exemple, audite un de ses fournisseurs, toi, avec ton organisation. Et third party audit, c'est un audit indépendant, le plus souvent de certification, ou des auditeurs ou un bureau de certification est complètement indépendant de la relation client-fournisseur. Mais pas indépendant du client final. Non, car il y a quand même quelqu'un qui paye la facture. Il y a bien une relation commerciale. On est d'accord. Donc, pourquoi je dis non à certains clients ? Quand un dirigeant vient me trouver et me demande en tant que consultant que c'est moi qui dois lui trouver, pourquoi il devrait aller vers un isms, je fuis. Mais c'est vous l'expert, M. De Paepe ? Euh, oui, et justement, donc je fuis. Certains symptômes sont présents pour dire que le malade est vraiment malade, et que je ne suis qu'un simple petit consultant. Je consulte, mais je ne soigne pas. Je fais de la médecine chinoise. Si tu écoutes ce que je dis, tu ne seras pas malade, ou moins fortement. Mais si tu as tout fait de travers, et que tu viens me trouver pour te soigner, je ne peux pas te soigner, car tes maux commencent d'abord par toi. commence par te soigner, renseigne-toi, et alors peut-être que je pourrais t'aider. Tout comme dans la médecine d'aujourd'hui d'ailleurs. Le patient doit être au centre de sa revalidation. Donc, je fuis, car ce projet est mort dans l'œuf. Je fuis, car ce n'est pas à moi à trouver son why. Son why, il est quelque part dans son due diligence. Je t'invite à lire le livre de Simon Sinek d'ailleurs, Start with Why, ou bien de prendre un peu de ton temps aussi pour aller voir sa vidéo YouTube où il résume le Golden Circle en quelques minutes. Si c'est moi qui lui trouve son why, où est sa motivation ? Où est le feu et la passion dans son regard ? Pourquoi se lève-t-il tous les matins ? Par quoi est-il animé ? Ah oui, j'oubliais, il veut être compliant. Mais pas sans coma, donc je fuis. Je fuis car je sais qu'il va manquer de leadership. C'est déjà clair et mal engagé pour la clause 5. Qu'il va m'embêter avec le budget pendant tout le long du projet, et pas forcément le mien, mais celui des ressources. Bam, la clause 7. Qu'il n'a très certainement pas compris qu'il va lui falloir aider Sisyphe, qu'il soit heureux, voir le podcast sur Sisyphe. Et donc que la clause 10 va aussi être compliquée. Et quoi ? Vous me dites qu'il y a des audits en plus, et qu'on doit les maintenir ? Ce n'est pas dans votre prestation, monsieur De Paepe ? . Clause 9. Je te jure que c'est véridique. Et ce dirigeant à qui je pense m'a dit, mon concurrent est ISO 27001, je veux l'être comme lui. Bam ! Un benchmark, il a tout faux. Aussi une question ISACA a d'ailleurs. On ne fait pas du copier-coller du voisin. Quand tu vois un benchmark, pourquoi le voisin choisit ses contrôles et tu devrais prendre exactement le même contrôle ? Non. Chaque boîte a son propre ADN. Donc ce sont tes risques, pas les siens. Et si t'as pas compris que ton analyse de risque est ton Heartbeat, ton battement de cœur, de ton SMSI, close 6 et 8, obligatoire donc. Ça démarre très mal. Car je sais déjà que tu ne mettra pas les bonnes ressources au bon moment pour être décisif. Deux banques par exemple font le même job. Mais leur ADN est différent. Leur SOA même. Si elle prend en compte tous les contrôles, admettons, ces contrôles vont être implémentés différemment. Car la stratégie des risques, l'appétit du risque et la façon d'implémenter sont différentes et c'est normal. Alors dès le début, si tu n'as pas fait tes devoirs de dirigeant et que tu ne sais pas dans quoi tu t'embarques avec l'ISO 27001, ne viens pas me trouver car je dirais non. Forme-toi, renseigne-toi, lis les normes, fais tes devoirs et pose des questions autour de toi pour venir préparé. Et peut-être que tu auras à ce moment-là la chance qu'on collabore ensemble pour qu'on pose sur la photo avec ton certificat. Attention, je ne crache pas dans la soupe non plus. J'ai déjà été consultant, employé et je n'avais pas le choix. Mon N plus 1 m'envoyait aussi sur des longues missions de... plus de 1000 jours avec des SMSI de très longue ampleur sans jamais obtenir de certification d'ailleurs. C'est pas cela que je critique ici. Et il en faut. Mais si ton projet est assez long et qu'on s'entend, je te mettrai des ressources pour t'accompagner dans ce cas-là. C'est juste que le temps passe pour moi et que je suis freelance après tout. Et donc, j'ai ce luxe aujourd'hui de choisir les clients avec qui je sens que je peux vraiment leur apporter une transformation. Et ces clients-là, ceux qui ont fait leur due diligence et qui me donnent un wildcard, crois-moi ou pas, ce sont ceux avec qui cela a été le plus facile d'obtenir la certification. Tiens, ça me donne du coup une idée de podcast sur la motivation au travail avec ces grandes théories du management. Je vais laisser décanter de mon côté et voir si je trouve des idées concrètes là-dessus et un parallèle avec la cyber. Petite conclusion donc, dit. En regardant les stats du podcast sur Ausha, J'ai découvert que 5% du podcast du mois passé était écouté dans une Tesla. C'est pas anecdotique, 5%. Ça veut dire que j'ai un petit crew de compliance lovers. Je me demande si c'est pour le confort ou parce que la cybersécurité passe mieux en autopilote sans tracas. En tout cas, vous êtes clairement mes CISO premium. Et j'en connais au moins un qui m'écoute en Tesla. Coucou à toi Julien. Mais je ne sais pas qui sont les autres. Ni pour les autres véhicules d'ailleurs. Alors ça m'a donné une idée. Poste-moi l'écran sur lequel tu m'écoutes en voiture, sous le post LinkedIn qui fait référence au podcast, et il y aura aussi un tirage au sort pour les 3 plus belles photos fin août 2025. En attendant, merci de me partager vos demandes de sujets, ça me booste, cela permet de nourrir le podcast avec mes petites réflexions, et vous êtes déjà nombreux à m'encourager de continuer sur cette voie. Donc je vous dis d'ores et déjà à vendredi prochain. N'oubliez pas de vous abonner et aussi d'aller suivre la chaîne sur YouTube, car nous avons commencé les premiers enregistrements de nos interviews guest, et c'est très prometteur.
