Episode 11 : De la seconde guerre mondiale à la cybersécurité - comprendre le biais d'observabilité | Compliance Without coma

Description

Savez-vous que la plupart des incidents de cybersécurité passent inaperçus, laissant les entreprises vulnérables à des attaques dévastatrices ? Dans cet épisode captivant de Compliance Without Coma, Fabrice De Paepe nous plonge dans le fascinant monde du biais d'observabilité, à travers l'histoire d'Abraham Wald, un statisticien dont les découvertes pendant la Seconde Guerre mondiale ont révolutionné notre compréhension des données. Wald a prouvé que les zones touchées des avions qui revenaient de mission n'étaient pas celles à surveiller, mais plutôt celles qui n'affichaient aucune marque de balles, signalant des avions abattus. Ce principe, connu sous le nom de biais du survivant, s'applique aujourd'hui à la cybersécurité, notamment dans l'analyse des incidents de phishing.

Fabrice nous rappelle que se concentrer uniquement sur les incidents visibles peut conduire à des prises de décisions erronées. Dans le cadre de la cyber sécurité, il est crucial d'analyser également les incidents qui passent inaperçus. En effet, comprendre les comportements des utilisateurs, en particulier ceux qui cliquent sur des liens de phishing, est essentiel pour renforcer notre conformité et améliorer nos pratiques. L'épisode met également en lumière l'importance d'un audit de sécurité rigoureux et de la mise en œuvre des normes ISO, notamment l'ISO 27001 et le NIS2, pour garantir une protection efficace contre les data breaches.

Au fil de la discussion, Fabrice partage des conseils pratiques cybersécurité et des bonnes pratiques cybersécurité qui peuvent aider les entreprises à mieux se préparer face aux menaces émergentes. Il souligne l'importance de la sensibilisation et de la formation des employés, car la sécurité commence par une culture d'entreprise solide. En fin d'épisode, un petit défi est lancé aux auditeurs : êtes-vous prêts à revoir votre approche de la cybersécurité et à adopter une vision plus globale et proactive ?

Rejoignez-nous pour cet épisode enrichissant de Compliance Without Coma, où nous explorons les enjeux cruciaux de la GRC (gouvernance, risque et conformité) et comment une meilleure compréhension des biais d'observabilité peut transformer votre stratégie de sécurité. Ne manquez pas cette occasion d'améliorer vos connaissances et de renforcer votre posture de sécurité !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui je te raconte une histoire sur un vieux biais cognitif, le biais d'observabilité, et surtout, comment ce biais peut te piéger dans ton SMSI. Alors accroches-toi, on remonte le temps, en pleine seconde guerre mondiale, avec un nom que tu ne connais peut-être pas, Abraham Wald. Tu sais, cette image d'un avion vu du dessus avec des points rouges partout, c'est lui. Et c'est pas juste une anecdote de guerre, c'est une leçon vitale pour la cybersécurité d'aujourd'hui. Mais promis, on quitte vite la seconde guerre mondiale pour revenir à la troisième. notre cyberguerre avec nos phishing, nos KPIs et notre cher ami l'ISO 27001. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime jamais avec somnolence. J'ai découvert ce biais il y a 25 ans quand je bossais encore chez Sun Microsystems. On a suivi une formation de Kepner & Tregoe sur l'analytique troubleshooting. Autant te dire que ça nous a secoué. On croyait être bon, mais on s'est fait démonter proprement. Le formateur nous a laissé nous planter pour mieux nous faire apprendre. Depuis, une phrase me reste, « Think beyond the fix » . En français, c'est « Va au-delà de la solution » . Et je m'en sers tout le temps, à la fois en implémentation, en audit. Et je ne me contente pas du symptôme, mais j'essaye toujours de remonter jusqu'à la vraie cause. Dr House, tu vois le genre. Flashback vers la deuxième guerre mondiale. Pendant la guerre, les alliés analysaient les avions qui revenaient de mission. Ils repéraient les zones les plus touchées, avec des points rouges partout, et l'idée logique au départ, c'était de renforcer ces zones. Mais Abraham Wald, mathématicien, a dit non. Il a retourné la table. Il a expliqué, ces zones abîmées, ce sont celles qui ont résisté. Les avions sont rentrés malgré les impacts, les zones sans impact, c'est peut-être là que les autres se sont fait abattre. Boum, le biais du survivant. Si les alliés avaient renforcé les zones rouges, ils auraient blindé des parties qui n'ont pas besoin de l'être et alourdi leurs avions pour rien. Erreur stratégique. Alors quelle est l'application du biais du survivant au phishing ? Tu vois où je veux en venir. Dans ton analyse d'incidents de phishing, tu comptes quoi ? Les mails reçus ? Les signalements ? Les clics ? Les incidents avérés ? Tu vois les points rouges ? Mais quid de ceux qu'on ne voit pas ? Des collaborateurs qui n'ont rien signalé, qui ont cliqué, puis rien dit. C'est ça le vrai danger. Moi, je ne considère pas tous les mails de phishing comme des incidents. Sinon, tu noies ton tableau de bord. Par contre, je m'intéresse à ceux qui ont touché leur cible. À ceux qui ont généré une action. Un clic, une fuite, un doute. Et surtout, je traque les serial clickers. Ceux qui cliquent, toujours, et encore, et encore. Par curiosité, négligence, automatisme. Même s'ils ne sont que deux dans la boîte. Il suffit à créer un chaos. Donc, on va prendre des mesures intelligentes. Le vrai enjeu, c'est pas juste mesurer. C'est interpréter intelligemment ce qu'on mesure. Un collègue qui signale un phishing, bravo, mais c'est pas un incident. Mais c'est une donnée précieuse. Tu peux en faire un KPI. Hop, phishing reporté. Et suivre la tendance. Mais attention. Est-ce qu'on parle de baisse ou du progrès ? Peut-être que les gens ne signalent plus. Pas qu'il y a moins d'attaques. Je préfère parfois parler de KGI, pour Key Goal Indicator. Il anticipe un risque avant qu'il ne se réalise. Par exemple, s'il n'y a plus personne qui signale, c'est peut-être que plus personne ne les voit. Et fais attention au storytelling. Quand tu parles à ta direction, fais gaffe. Tu leur dis, on a bloqué 50 phishings, mais un est passé. Ils peuvent te dire, ok, 2% de perte, ça va, on accepte le risque. Mais ce un-là, il peut te poser un ransomware. te coûter un week-end ou un mois de CA. Le problème, c'est pas la quantité, c'est l'impact. Donc, pose-toi toujours la question, est-ce que je renforce là où ça brille, ou là où ça craque vraiment ? On arrive tout doucement à la conclusion, et donc le biais du survivant, c'est se concentrer sur ce qui a survécu, et oublier ce qui n'a jamais atteint le radar. C'est une erreur logique, c'est du biais d'échantillonnage, et ça fausse toutes les conclusions. Alors, toi, tu fais quoi ? Du wald ? Ou tu continues à blinder là où ça brille ? En tout cas, n'oublie pas, N'oublie pas que la clause 9.1 de l'ISO 27001 parle de surveillance, mesure, analyse et évaluation. Et bam, cadeau, c'est obligatoire, car elle fait partie des clauses 4 à 10 du SMSI. Si tu es arrivé jusqu'ici, bravo, tu vois, tu ne t'es pas endormi, tu as mérité un petit bonus. J'ai glissé un mot secret quelque part dans cet épisode, c'est mon CTF à moi. Je te donne un petit indice. Qui est à l'origine du biais du survivant ? Tu l'as trouvé ? Top ! Poste un commentaire sur mon post LinkedIn avec ce mot secret. ou partout où tu vois la référence au poste sur les réseaux sociaux. Insta, TikTok et oui, on est également sur YouTube maintenant. Ça te donne plus de chances de gagner. La roue aura plus de poids sur ton nom. Tu peux également glisser un message en DM si tu veux la jouer secret. Un participant sera tiré au sort fin juillet 2025 pour gagner un court track cert essential de ton choix. Bon, tu as le choix entre 8. Ou un goodies compliance without coma si tu ne veux pas de certification. Je ferai le tirage au sort en toute transparence. Avec tous les noms, la répartition des voix, vos nombres de votes et un clic honnête. Imagine ce podcast n'a pas l'effet escompté et t'es tout seul. Bam, tu gagnes. Alors, tu joues ? Rappelle-toi. La cybersécurité, ce n'est pas qu'une question de pare-feu, c'est aussi une question d'angle mort. Et de petites surprises cachées dans un podcast. Partage cet épisode à ton analyste préférée, like, mets-moi 5 étoiles partout, ça m'aide et ça permet au podcast de continuer à se propager. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité c'est concret, vivante et sans somnifère, même pendant une canicule.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui je te raconte une histoire sur un vieux biais cognitif, le biais d'observabilité, et surtout, comment ce biais peut te piéger dans ton SMSI. Alors accroches-toi, on remonte le temps, en pleine seconde guerre mondiale, avec un nom que tu ne connais peut-être pas, Abraham Wald. Tu sais, cette image d'un avion vu du dessus avec des points rouges partout, c'est lui. Et c'est pas juste une anecdote de guerre, c'est une leçon vitale pour la cybersécurité d'aujourd'hui. Mais promis, on quitte vite la seconde guerre mondiale pour revenir à la troisième. notre cyberguerre avec nos phishing, nos KPIs et notre cher ami l'ISO 27001. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime jamais avec somnolence. J'ai découvert ce biais il y a 25 ans quand je bossais encore chez Sun Microsystems. On a suivi une formation de Kepner & Tregoe sur l'analytique troubleshooting. Autant te dire que ça nous a secoué. On croyait être bon, mais on s'est fait démonter proprement. Le formateur nous a laissé nous planter pour mieux nous faire apprendre. Depuis, une phrase me reste, « Think beyond the fix » . En français, c'est « Va au-delà de la solution » . Et je m'en sers tout le temps, à la fois en implémentation, en audit. Et je ne me contente pas du symptôme, mais j'essaye toujours de remonter jusqu'à la vraie cause. Dr House, tu vois le genre. Flashback vers la deuxième guerre mondiale. Pendant la guerre, les alliés analysaient les avions qui revenaient de mission. Ils repéraient les zones les plus touchées, avec des points rouges partout, et l'idée logique au départ, c'était de renforcer ces zones. Mais Abraham Wald, mathématicien, a dit non. Il a retourné la table. Il a expliqué, ces zones abîmées, ce sont celles qui ont résisté. Les avions sont rentrés malgré les impacts, les zones sans impact, c'est peut-être là que les autres se sont fait abattre. Boum, le biais du survivant. Si les alliés avaient renforcé les zones rouges, ils auraient blindé des parties qui n'ont pas besoin de l'être et alourdi leurs avions pour rien. Erreur stratégique. Alors quelle est l'application du biais du survivant au phishing ? Tu vois où je veux en venir. Dans ton analyse d'incidents de phishing, tu comptes quoi ? Les mails reçus ? Les signalements ? Les clics ? Les incidents avérés ? Tu vois les points rouges ? Mais quid de ceux qu'on ne voit pas ? Des collaborateurs qui n'ont rien signalé, qui ont cliqué, puis rien dit. C'est ça le vrai danger. Moi, je ne considère pas tous les mails de phishing comme des incidents. Sinon, tu noies ton tableau de bord. Par contre, je m'intéresse à ceux qui ont touché leur cible. À ceux qui ont généré une action. Un clic, une fuite, un doute. Et surtout, je traque les serial clickers. Ceux qui cliquent, toujours, et encore, et encore. Par curiosité, négligence, automatisme. Même s'ils ne sont que deux dans la boîte. Il suffit à créer un chaos. Donc, on va prendre des mesures intelligentes. Le vrai enjeu, c'est pas juste mesurer. C'est interpréter intelligemment ce qu'on mesure. Un collègue qui signale un phishing, bravo, mais c'est pas un incident. Mais c'est une donnée précieuse. Tu peux en faire un KPI. Hop, phishing reporté. Et suivre la tendance. Mais attention. Est-ce qu'on parle de baisse ou du progrès ? Peut-être que les gens ne signalent plus. Pas qu'il y a moins d'attaques. Je préfère parfois parler de KGI, pour Key Goal Indicator. Il anticipe un risque avant qu'il ne se réalise. Par exemple, s'il n'y a plus personne qui signale, c'est peut-être que plus personne ne les voit. Et fais attention au storytelling. Quand tu parles à ta direction, fais gaffe. Tu leur dis, on a bloqué 50 phishings, mais un est passé. Ils peuvent te dire, ok, 2% de perte, ça va, on accepte le risque. Mais ce un-là, il peut te poser un ransomware. te coûter un week-end ou un mois de CA. Le problème, c'est pas la quantité, c'est l'impact. Donc, pose-toi toujours la question, est-ce que je renforce là où ça brille, ou là où ça craque vraiment ? On arrive tout doucement à la conclusion, et donc le biais du survivant, c'est se concentrer sur ce qui a survécu, et oublier ce qui n'a jamais atteint le radar. C'est une erreur logique, c'est du biais d'échantillonnage, et ça fausse toutes les conclusions. Alors, toi, tu fais quoi ? Du wald ? Ou tu continues à blinder là où ça brille ? En tout cas, n'oublie pas, N'oublie pas que la clause 9.1 de l'ISO 27001 parle de surveillance, mesure, analyse et évaluation. Et bam, cadeau, c'est obligatoire, car elle fait partie des clauses 4 à 10 du SMSI. Si tu es arrivé jusqu'ici, bravo, tu vois, tu ne t'es pas endormi, tu as mérité un petit bonus. J'ai glissé un mot secret quelque part dans cet épisode, c'est mon CTF à moi. Je te donne un petit indice. Qui est à l'origine du biais du survivant ? Tu l'as trouvé ? Top ! Poste un commentaire sur mon post LinkedIn avec ce mot secret. ou partout où tu vois la référence au poste sur les réseaux sociaux. Insta, TikTok et oui, on est également sur YouTube maintenant. Ça te donne plus de chances de gagner. La roue aura plus de poids sur ton nom. Tu peux également glisser un message en DM si tu veux la jouer secret. Un participant sera tiré au sort fin juillet 2025 pour gagner un court track cert essential de ton choix. Bon, tu as le choix entre 8. Ou un goodies compliance without coma si tu ne veux pas de certification. Je ferai le tirage au sort en toute transparence. Avec tous les noms, la répartition des voix, vos nombres de votes et un clic honnête. Imagine ce podcast n'a pas l'effet escompté et t'es tout seul. Bam, tu gagnes. Alors, tu joues ? Rappelle-toi. La cybersécurité, ce n'est pas qu'une question de pare-feu, c'est aussi une question d'angle mort. Et de petites surprises cachées dans un podcast. Partage cet épisode à ton analyste préférée, like, mets-moi 5 étoiles partout, ça m'aide et ça permet au podcast de continuer à se propager. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité c'est concret, vivante et sans somnifère, même pendant une canicule.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui je te raconte une histoire sur un vieux biais cognitif, le biais d'observabilité, et surtout, comment ce biais peut te piéger dans ton SMSI. Alors accroches-toi, on remonte le temps, en pleine seconde guerre mondiale, avec un nom que tu ne connais peut-être pas, Abraham Wald. Tu sais, cette image d'un avion vu du dessus avec des points rouges partout, c'est lui. Et c'est pas juste une anecdote de guerre, c'est une leçon vitale pour la cybersécurité d'aujourd'hui. Mais promis, on quitte vite la seconde guerre mondiale pour revenir à la troisième. notre cyberguerre avec nos phishing, nos KPIs et notre cher ami l'ISO 27001. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime jamais avec somnolence. J'ai découvert ce biais il y a 25 ans quand je bossais encore chez Sun Microsystems. On a suivi une formation de Kepner & Tregoe sur l'analytique troubleshooting. Autant te dire que ça nous a secoué. On croyait être bon, mais on s'est fait démonter proprement. Le formateur nous a laissé nous planter pour mieux nous faire apprendre. Depuis, une phrase me reste, « Think beyond the fix » . En français, c'est « Va au-delà de la solution » . Et je m'en sers tout le temps, à la fois en implémentation, en audit. Et je ne me contente pas du symptôme, mais j'essaye toujours de remonter jusqu'à la vraie cause. Dr House, tu vois le genre. Flashback vers la deuxième guerre mondiale. Pendant la guerre, les alliés analysaient les avions qui revenaient de mission. Ils repéraient les zones les plus touchées, avec des points rouges partout, et l'idée logique au départ, c'était de renforcer ces zones. Mais Abraham Wald, mathématicien, a dit non. Il a retourné la table. Il a expliqué, ces zones abîmées, ce sont celles qui ont résisté. Les avions sont rentrés malgré les impacts, les zones sans impact, c'est peut-être là que les autres se sont fait abattre. Boum, le biais du survivant. Si les alliés avaient renforcé les zones rouges, ils auraient blindé des parties qui n'ont pas besoin de l'être et alourdi leurs avions pour rien. Erreur stratégique. Alors quelle est l'application du biais du survivant au phishing ? Tu vois où je veux en venir. Dans ton analyse d'incidents de phishing, tu comptes quoi ? Les mails reçus ? Les signalements ? Les clics ? Les incidents avérés ? Tu vois les points rouges ? Mais quid de ceux qu'on ne voit pas ? Des collaborateurs qui n'ont rien signalé, qui ont cliqué, puis rien dit. C'est ça le vrai danger. Moi, je ne considère pas tous les mails de phishing comme des incidents. Sinon, tu noies ton tableau de bord. Par contre, je m'intéresse à ceux qui ont touché leur cible. À ceux qui ont généré une action. Un clic, une fuite, un doute. Et surtout, je traque les serial clickers. Ceux qui cliquent, toujours, et encore, et encore. Par curiosité, négligence, automatisme. Même s'ils ne sont que deux dans la boîte. Il suffit à créer un chaos. Donc, on va prendre des mesures intelligentes. Le vrai enjeu, c'est pas juste mesurer. C'est interpréter intelligemment ce qu'on mesure. Un collègue qui signale un phishing, bravo, mais c'est pas un incident. Mais c'est une donnée précieuse. Tu peux en faire un KPI. Hop, phishing reporté. Et suivre la tendance. Mais attention. Est-ce qu'on parle de baisse ou du progrès ? Peut-être que les gens ne signalent plus. Pas qu'il y a moins d'attaques. Je préfère parfois parler de KGI, pour Key Goal Indicator. Il anticipe un risque avant qu'il ne se réalise. Par exemple, s'il n'y a plus personne qui signale, c'est peut-être que plus personne ne les voit. Et fais attention au storytelling. Quand tu parles à ta direction, fais gaffe. Tu leur dis, on a bloqué 50 phishings, mais un est passé. Ils peuvent te dire, ok, 2% de perte, ça va, on accepte le risque. Mais ce un-là, il peut te poser un ransomware. te coûter un week-end ou un mois de CA. Le problème, c'est pas la quantité, c'est l'impact. Donc, pose-toi toujours la question, est-ce que je renforce là où ça brille, ou là où ça craque vraiment ? On arrive tout doucement à la conclusion, et donc le biais du survivant, c'est se concentrer sur ce qui a survécu, et oublier ce qui n'a jamais atteint le radar. C'est une erreur logique, c'est du biais d'échantillonnage, et ça fausse toutes les conclusions. Alors, toi, tu fais quoi ? Du wald ? Ou tu continues à blinder là où ça brille ? En tout cas, n'oublie pas, N'oublie pas que la clause 9.1 de l'ISO 27001 parle de surveillance, mesure, analyse et évaluation. Et bam, cadeau, c'est obligatoire, car elle fait partie des clauses 4 à 10 du SMSI. Si tu es arrivé jusqu'ici, bravo, tu vois, tu ne t'es pas endormi, tu as mérité un petit bonus. J'ai glissé un mot secret quelque part dans cet épisode, c'est mon CTF à moi. Je te donne un petit indice. Qui est à l'origine du biais du survivant ? Tu l'as trouvé ? Top ! Poste un commentaire sur mon post LinkedIn avec ce mot secret. ou partout où tu vois la référence au poste sur les réseaux sociaux. Insta, TikTok et oui, on est également sur YouTube maintenant. Ça te donne plus de chances de gagner. La roue aura plus de poids sur ton nom. Tu peux également glisser un message en DM si tu veux la jouer secret. Un participant sera tiré au sort fin juillet 2025 pour gagner un court track cert essential de ton choix. Bon, tu as le choix entre 8. Ou un goodies compliance without coma si tu ne veux pas de certification. Je ferai le tirage au sort en toute transparence. Avec tous les noms, la répartition des voix, vos nombres de votes et un clic honnête. Imagine ce podcast n'a pas l'effet escompté et t'es tout seul. Bam, tu gagnes. Alors, tu joues ? Rappelle-toi. La cybersécurité, ce n'est pas qu'une question de pare-feu, c'est aussi une question d'angle mort. Et de petites surprises cachées dans un podcast. Partage cet épisode à ton analyste préférée, like, mets-moi 5 étoiles partout, ça m'aide et ça permet au podcast de continuer à se propager. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité c'est concret, vivante et sans somnifère, même pendant une canicule.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui je te raconte une histoire sur un vieux biais cognitif, le biais d'observabilité, et surtout, comment ce biais peut te piéger dans ton SMSI. Alors accroches-toi, on remonte le temps, en pleine seconde guerre mondiale, avec un nom que tu ne connais peut-être pas, Abraham Wald. Tu sais, cette image d'un avion vu du dessus avec des points rouges partout, c'est lui. Et c'est pas juste une anecdote de guerre, c'est une leçon vitale pour la cybersécurité d'aujourd'hui. Mais promis, on quitte vite la seconde guerre mondiale pour revenir à la troisième. notre cyberguerre avec nos phishing, nos KPIs et notre cher ami l'ISO 27001. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne rime jamais avec somnolence. J'ai découvert ce biais il y a 25 ans quand je bossais encore chez Sun Microsystems. On a suivi une formation de Kepner & Tregoe sur l'analytique troubleshooting. Autant te dire que ça nous a secoué. On croyait être bon, mais on s'est fait démonter proprement. Le formateur nous a laissé nous planter pour mieux nous faire apprendre. Depuis, une phrase me reste, « Think beyond the fix » . En français, c'est « Va au-delà de la solution » . Et je m'en sers tout le temps, à la fois en implémentation, en audit. Et je ne me contente pas du symptôme, mais j'essaye toujours de remonter jusqu'à la vraie cause. Dr House, tu vois le genre. Flashback vers la deuxième guerre mondiale. Pendant la guerre, les alliés analysaient les avions qui revenaient de mission. Ils repéraient les zones les plus touchées, avec des points rouges partout, et l'idée logique au départ, c'était de renforcer ces zones. Mais Abraham Wald, mathématicien, a dit non. Il a retourné la table. Il a expliqué, ces zones abîmées, ce sont celles qui ont résisté. Les avions sont rentrés malgré les impacts, les zones sans impact, c'est peut-être là que les autres se sont fait abattre. Boum, le biais du survivant. Si les alliés avaient renforcé les zones rouges, ils auraient blindé des parties qui n'ont pas besoin de l'être et alourdi leurs avions pour rien. Erreur stratégique. Alors quelle est l'application du biais du survivant au phishing ? Tu vois où je veux en venir. Dans ton analyse d'incidents de phishing, tu comptes quoi ? Les mails reçus ? Les signalements ? Les clics ? Les incidents avérés ? Tu vois les points rouges ? Mais quid de ceux qu'on ne voit pas ? Des collaborateurs qui n'ont rien signalé, qui ont cliqué, puis rien dit. C'est ça le vrai danger. Moi, je ne considère pas tous les mails de phishing comme des incidents. Sinon, tu noies ton tableau de bord. Par contre, je m'intéresse à ceux qui ont touché leur cible. À ceux qui ont généré une action. Un clic, une fuite, un doute. Et surtout, je traque les serial clickers. Ceux qui cliquent, toujours, et encore, et encore. Par curiosité, négligence, automatisme. Même s'ils ne sont que deux dans la boîte. Il suffit à créer un chaos. Donc, on va prendre des mesures intelligentes. Le vrai enjeu, c'est pas juste mesurer. C'est interpréter intelligemment ce qu'on mesure. Un collègue qui signale un phishing, bravo, mais c'est pas un incident. Mais c'est une donnée précieuse. Tu peux en faire un KPI. Hop, phishing reporté. Et suivre la tendance. Mais attention. Est-ce qu'on parle de baisse ou du progrès ? Peut-être que les gens ne signalent plus. Pas qu'il y a moins d'attaques. Je préfère parfois parler de KGI, pour Key Goal Indicator. Il anticipe un risque avant qu'il ne se réalise. Par exemple, s'il n'y a plus personne qui signale, c'est peut-être que plus personne ne les voit. Et fais attention au storytelling. Quand tu parles à ta direction, fais gaffe. Tu leur dis, on a bloqué 50 phishings, mais un est passé. Ils peuvent te dire, ok, 2% de perte, ça va, on accepte le risque. Mais ce un-là, il peut te poser un ransomware. te coûter un week-end ou un mois de CA. Le problème, c'est pas la quantité, c'est l'impact. Donc, pose-toi toujours la question, est-ce que je renforce là où ça brille, ou là où ça craque vraiment ? On arrive tout doucement à la conclusion, et donc le biais du survivant, c'est se concentrer sur ce qui a survécu, et oublier ce qui n'a jamais atteint le radar. C'est une erreur logique, c'est du biais d'échantillonnage, et ça fausse toutes les conclusions. Alors, toi, tu fais quoi ? Du wald ? Ou tu continues à blinder là où ça brille ? En tout cas, n'oublie pas, N'oublie pas que la clause 9.1 de l'ISO 27001 parle de surveillance, mesure, analyse et évaluation. Et bam, cadeau, c'est obligatoire, car elle fait partie des clauses 4 à 10 du SMSI. Si tu es arrivé jusqu'ici, bravo, tu vois, tu ne t'es pas endormi, tu as mérité un petit bonus. J'ai glissé un mot secret quelque part dans cet épisode, c'est mon CTF à moi. Je te donne un petit indice. Qui est à l'origine du biais du survivant ? Tu l'as trouvé ? Top ! Poste un commentaire sur mon post LinkedIn avec ce mot secret. ou partout où tu vois la référence au poste sur les réseaux sociaux. Insta, TikTok et oui, on est également sur YouTube maintenant. Ça te donne plus de chances de gagner. La roue aura plus de poids sur ton nom. Tu peux également glisser un message en DM si tu veux la jouer secret. Un participant sera tiré au sort fin juillet 2025 pour gagner un court track cert essential de ton choix. Bon, tu as le choix entre 8. Ou un goodies compliance without coma si tu ne veux pas de certification. Je ferai le tirage au sort en toute transparence. Avec tous les noms, la répartition des voix, vos nombres de votes et un clic honnête. Imagine ce podcast n'a pas l'effet escompté et t'es tout seul. Bam, tu gagnes. Alors, tu joues ? Rappelle-toi. La cybersécurité, ce n'est pas qu'une question de pare-feu, c'est aussi une question d'angle mort. Et de petites surprises cachées dans un podcast. Partage cet épisode à ton analyste préférée, like, mets-moi 5 étoiles partout, ça m'aide et ça permet au podcast de continuer à se propager. Merci d'avoir écouté Compliance Without Coma, le podcast où la cybersécurité c'est concret, vivante et sans somnifère, même pendant une canicule.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed