Speaker #0Aujourd'hui, on va parler d'un sujet qui freine pas mal de projets ISO 27001 avant même qu'ils aient commencé. Le mythe du SMSI parfait. Au cours des dernières années, j'ai constaté que des dizaines de responsables sécurité, des SIU consultants, se sentaient seuls, bloqués, noyés, sous des exigences ISO 27001 qui paraissent hors de portée. Et là, je te parle d'un retour de terrain, du syndrome de l'aposteur, c'est peut-être toi, ou de toute personne fraîchement certifiée ISO 27001, ou par exemple le CISO. nommé en urgence sans véritable budget, mais avec la lourde mission de monter le SMSI pendant son temps libre. Et le pire, c'est que parfois, c'est même pas la faute de ton boss. C'est le système. On veut former les gens vite, pas leur apprendre à conduire, non. Juste à monter dans leur voiture, à sourire et à faire vroum vroum devant le comédier. Seulement, après quelques semaines, tu cales, car personne ne t'a vraiment appris à démarrer. Alors oui, t'as ton certificat ISO. Et le lundi après, c'est là que ça se gâte. Tu regardes ton écran et tu te dis, bon, je commence par quoi ? Dans quelle direction aller ? Comment savoir si c'est la bonne direction d'ailleurs ? Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Tu veux faire les choses bien et tu te perds. Tu veux tout cartographier, tous les actifs, tous les risques, tous les contrôles. Tu veux un outil d'analyse de risque, open source ou pas, mais t'oublies que même un outil gratuit peut te coûter très cher. Si tu passes 15 jours, homme, à remplir des grilles inutiles, tu viens surtout de cramer environ 15 000 euros. Et encore. T'as même pas commencé à implémenter. Alors toi, tu es plutôt team cercle parfait ou team à l'œil sarde ? Dis-moi, est-ce que tu te reconnais dans ces profils ? Le team cercle parfait, tu veux tout modéliser. Le Big Bang du SMSI, mais à force de viser le rond parfait, tu tournes en rond, tu commences carré, tu finis ovale, et tu perds tout le monde en route. Ou alors est-ce que tu es plutôt le team je verrais bien ? Tu fais un peu les clauses 4 à 10, puis tu t'en donnes une analyse de risque. Tu reviens sur le contexte, puis tu lis un contrôle, et tu penses à la déclaration d'applicabilité, la SOA, et tu répètes ça en boucle, mais ça n'avance pas vraiment. À la USART, quoi. Nous, on fait complètement différent les choses. Ce qu'on fait, ce que je te propose, surtout, c'est la méthode immersion. Dans mon approche immersion ISO 27001, je fais tout l'inverse. Quand je t'accompagne, je commence par un truc simple. Le reverse planning. Ne cherche pas dans ton cours, hein. Mais... Pourquoi dois-tu être certifié ? C'est le fameux « why » de Simon Sinek. Ensuite, on regarde ton contexte, tes parties intéressées, tes lois. Un diagnostic lucide, brutal parfois, mais lucide. On regarde où tu en es, on définit ton scope MVP, tu sais, le minimum viable product, pour te faire certifier rapidement. Comme en marketing, ou pour les startups, c'est ton core business dans ton scope, et non pas tout pour faire joli, et puis on verra bien. Parce que tu pourras l'étendre plus tard, ton scope. Et si tu rates une extension, tu gardes quand même ta certif actuelle. C'est smart, c'est stratégique, et surtout, c'est défendable devant un auditeur. Ensuite, on construit ton analyse de risque. Pas celle pour faire joli, celle qui tient debout. Avec des vraies menaces, des vrais enjeux, des vraies lois, et des indicateurs que tu peux expliquer à ta direction et à ton auditeur. Et surtout, facilement maintenable. Alors ton SMSI, c'est pas un karting. C'est un tanker. Un SMSI ça démarre lentement. Il faut de l'inertie, une direction et un bon capitaine. Coucou toi ! Mais si tu veux tout faire d'un coup, tu risques l'épuisement, la confusion et un SMSI jamais terminé. Alors que si tu stack les étapes intelligemment, contexte, scope, le risque ou les risques, les contrôles, la SOA, le déploiement puis finalement la surveillance, tu construis un système stable. audit-proof, compréhensible. Et spoiler alert, l'auditeur ne veut pas un cercle parfait. Il veut un système cohérent, actif, piloté, même si tu as encore des marges de progression. Et maintenant, alors dis-moi, est-ce que tu es encore en train d'écrire une procédure que personne ne lira ? Ou tu as déjà commencé à protéger ton information stratégique ? Peut-être que ce qu'il te manque, ce n'est pas un modèle, mais une impulsion, une méthode, un regard extérieur ou... une classe immersion ISO 27001. Mais ça, j'en reparle très bientôt. Merci d'avoir écouté Compliance Without Coma, le podcast où l'ISO 27001 ne se résume pas à 114 contrôles soporifiques. Tu peux t'abonner, liker, partager ou simplement me faire un petit coucou sur LinkedIn. Et si t'es resté jusqu'ici, j'ai une surprise pour toi. Tu sais, le matin, j'ai une petite habitude. Je chuchote à mon café d'être fort et de ne pas se sentir seul. Promis, il tient bon. Un peu comme un SMSI bien construit. Il n'avance pas tout seul, mais avec de la percolation. Oui, c'est le mot secret de l'épisode. Percolation. Viens me souffler discrètement en commentaire sous mon post LinkedIn ou en DM, ou partout où tu peux d'ailleurs. Je ferai un tirage au sort fin juillet 2025 parmi les différents participants. A la clé, un trait de certes essential de ton choix, ou bien 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe immersion ISO 27001, celle qui débloquera ton IA SMS et t'évitera de tourner en rond encore pendant 6 mois.
