Episode 12 : Le cercle parfait n'existe pas - comment avancer enfin avec ton SMSI ? | Compliance Without coma

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête.

Dans cet épisode, on parle du syndrome du responsable sécurité fraîchement certifié, livré à lui-même après sa formation, bloqué entre des outils trop lourds, des exigences floues, et une montagne de tâches qui tournent en rond.

Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ?

Spoiler : tu vas t’épuiser.

👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie.

👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz.

👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant.

Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker.

💡 Reste jusqu’à la fin : un mot secret s’est glissé dans l’épisode. Envoie-le-moi discrètement sur LinkedIn ou ailleurs, et tu participes au tirage au sort (fin juillet 2025) pour remporter :

Un TRECCERT Essentials de ton choix
ou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001.

🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, on va parler d'un sujet qui freine pas mal de projets ISO 27001 avant même qu'ils aient commencé. Le mythe du SMSI parfait. Au cours des dernières années, j'ai constaté que des dizaines de responsables sécurité, des SIU consultants, se sentaient seuls, bloqués, noyés, sous des exigences ISO 27001 qui paraissent hors de portée. Et là, je te parle d'un retour de terrain, du syndrome de l'aposteur, c'est peut-être toi, ou de toute personne fraîchement certifiée ISO 27001, ou par exemple le CISO. nommé en urgence sans véritable budget, mais avec la lourde mission de monter le SMSI pendant son temps libre. Et le pire, c'est que parfois, c'est même pas la faute de ton boss. C'est le système. On veut former les gens vite, pas leur apprendre à conduire, non. Juste à monter dans leur voiture, à sourire et à faire vroum vroum devant le comédier. Seulement, après quelques semaines, tu cales, car personne ne t'a vraiment appris à démarrer. Alors oui, t'as ton certificat ISO. Et le lundi après, c'est là que ça se gâte. Tu regardes ton écran et tu te dis, bon, je commence par quoi ? Dans quelle direction aller ? Comment savoir si c'est la bonne direction d'ailleurs ? Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Tu veux faire les choses bien et tu te perds. Tu veux tout cartographier, tous les actifs, tous les risques, tous les contrôles. Tu veux un outil d'analyse de risque, open source ou pas, mais t'oublies que même un outil gratuit peut te coûter très cher. Si tu passes 15 jours, homme, à remplir des grilles inutiles, tu viens surtout de cramer environ 15 000 euros. Et encore. T'as même pas commencé à implémenter. Alors toi, tu es plutôt team cercle parfait ou team à l'œil sarde ? Dis-moi, est-ce que tu te reconnais dans ces profils ? Le team cercle parfait, tu veux tout modéliser. Le Big Bang du SMSI, mais à force de viser le rond parfait, tu tournes en rond, tu commences carré, tu finis ovale, et tu perds tout le monde en route. Ou alors est-ce que tu es plutôt le team je verrais bien ? Tu fais un peu les clauses 4 à 10, puis tu t'en donnes une analyse de risque. Tu reviens sur le contexte, puis tu lis un contrôle, et tu penses à la déclaration d'applicabilité, la SOA, et tu répètes ça en boucle, mais ça n'avance pas vraiment. À la USART, quoi. Nous, on fait complètement différent les choses. Ce qu'on fait, ce que je te propose, surtout, c'est la méthode immersion. Dans mon approche immersion ISO 27001, je fais tout l'inverse. Quand je t'accompagne, je commence par un truc simple. Le reverse planning. Ne cherche pas dans ton cours, hein. Mais... Pourquoi dois-tu être certifié ? C'est le fameux « why » de Simon Sinek. Ensuite, on regarde ton contexte, tes parties intéressées, tes lois. Un diagnostic lucide, brutal parfois, mais lucide. On regarde où tu en es, on définit ton scope MVP, tu sais, le minimum viable product, pour te faire certifier rapidement. Comme en marketing, ou pour les startups, c'est ton core business dans ton scope, et non pas tout pour faire joli, et puis on verra bien. Parce que tu pourras l'étendre plus tard, ton scope. Et si tu rates une extension, tu gardes quand même ta certif actuelle. C'est smart, c'est stratégique, et surtout, c'est défendable devant un auditeur. Ensuite, on construit ton analyse de risque. Pas celle pour faire joli, celle qui tient debout. Avec des vraies menaces, des vrais enjeux, des vraies lois, et des indicateurs que tu peux expliquer à ta direction et à ton auditeur. Et surtout, facilement maintenable. Alors ton SMSI, c'est pas un karting. C'est un tanker. Un SMSI ça démarre lentement. Il faut de l'inertie, une direction et un bon capitaine. Coucou toi ! Mais si tu veux tout faire d'un coup, tu risques l'épuisement, la confusion et un SMSI jamais terminé. Alors que si tu stack les étapes intelligemment, contexte, scope, le risque ou les risques, les contrôles, la SOA, le déploiement puis finalement la surveillance, tu construis un système stable. audit-proof, compréhensible. Et spoiler alert, l'auditeur ne veut pas un cercle parfait. Il veut un système cohérent, actif, piloté, même si tu as encore des marges de progression. Et maintenant, alors dis-moi, est-ce que tu es encore en train d'écrire une procédure que personne ne lira ? Ou tu as déjà commencé à protéger ton information stratégique ? Peut-être que ce qu'il te manque, ce n'est pas un modèle, mais une impulsion, une méthode, un regard extérieur ou... une classe immersion ISO 27001. Mais ça, j'en reparle très bientôt. Merci d'avoir écouté Compliance Without Coma, le podcast où l'ISO 27001 ne se résume pas à 114 contrôles soporifiques. Tu peux t'abonner, liker, partager ou simplement me faire un petit coucou sur LinkedIn. Et si t'es resté jusqu'ici, j'ai une surprise pour toi. Tu sais, le matin, j'ai une petite habitude. Je chuchote à mon café d'être fort et de ne pas se sentir seul. Promis, il tient bon. Un peu comme un SMSI bien construit. Il n'avance pas tout seul, mais avec de la percolation. Oui, c'est le mot secret de l'épisode. Percolation. Viens me souffler discrètement en commentaire sous mon post LinkedIn ou en DM, ou partout où tu peux d'ailleurs. Je ferai un tirage au sort fin juillet 2025 parmi les différents participants. A la clé, un trait de certes essential de ton choix, ou bien 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe immersion ISO 27001, celle qui débloquera ton IA SMS et t'évitera de tourner en rond encore pendant 6 mois.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête.

Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ?

Spoiler : tu vas t’épuiser.

👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie.

👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz.

👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant.

Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker.

Un TRECCERT Essentials de ton choix
ou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001.

🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, on va parler d'un sujet qui freine pas mal de projets ISO 27001 avant même qu'ils aient commencé. Le mythe du SMSI parfait. Au cours des dernières années, j'ai constaté que des dizaines de responsables sécurité, des SIU consultants, se sentaient seuls, bloqués, noyés, sous des exigences ISO 27001 qui paraissent hors de portée. Et là, je te parle d'un retour de terrain, du syndrome de l'aposteur, c'est peut-être toi, ou de toute personne fraîchement certifiée ISO 27001, ou par exemple le CISO. nommé en urgence sans véritable budget, mais avec la lourde mission de monter le SMSI pendant son temps libre. Et le pire, c'est que parfois, c'est même pas la faute de ton boss. C'est le système. On veut former les gens vite, pas leur apprendre à conduire, non. Juste à monter dans leur voiture, à sourire et à faire vroum vroum devant le comédier. Seulement, après quelques semaines, tu cales, car personne ne t'a vraiment appris à démarrer. Alors oui, t'as ton certificat ISO. Et le lundi après, c'est là que ça se gâte. Tu regardes ton écran et tu te dis, bon, je commence par quoi ? Dans quelle direction aller ? Comment savoir si c'est la bonne direction d'ailleurs ? Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Tu veux faire les choses bien et tu te perds. Tu veux tout cartographier, tous les actifs, tous les risques, tous les contrôles. Tu veux un outil d'analyse de risque, open source ou pas, mais t'oublies que même un outil gratuit peut te coûter très cher. Si tu passes 15 jours, homme, à remplir des grilles inutiles, tu viens surtout de cramer environ 15 000 euros. Et encore. T'as même pas commencé à implémenter. Alors toi, tu es plutôt team cercle parfait ou team à l'œil sarde ? Dis-moi, est-ce que tu te reconnais dans ces profils ? Le team cercle parfait, tu veux tout modéliser. Le Big Bang du SMSI, mais à force de viser le rond parfait, tu tournes en rond, tu commences carré, tu finis ovale, et tu perds tout le monde en route. Ou alors est-ce que tu es plutôt le team je verrais bien ? Tu fais un peu les clauses 4 à 10, puis tu t'en donnes une analyse de risque. Tu reviens sur le contexte, puis tu lis un contrôle, et tu penses à la déclaration d'applicabilité, la SOA, et tu répètes ça en boucle, mais ça n'avance pas vraiment. À la USART, quoi. Nous, on fait complètement différent les choses. Ce qu'on fait, ce que je te propose, surtout, c'est la méthode immersion. Dans mon approche immersion ISO 27001, je fais tout l'inverse. Quand je t'accompagne, je commence par un truc simple. Le reverse planning. Ne cherche pas dans ton cours, hein. Mais... Pourquoi dois-tu être certifié ? C'est le fameux « why » de Simon Sinek. Ensuite, on regarde ton contexte, tes parties intéressées, tes lois. Un diagnostic lucide, brutal parfois, mais lucide. On regarde où tu en es, on définit ton scope MVP, tu sais, le minimum viable product, pour te faire certifier rapidement. Comme en marketing, ou pour les startups, c'est ton core business dans ton scope, et non pas tout pour faire joli, et puis on verra bien. Parce que tu pourras l'étendre plus tard, ton scope. Et si tu rates une extension, tu gardes quand même ta certif actuelle. C'est smart, c'est stratégique, et surtout, c'est défendable devant un auditeur. Ensuite, on construit ton analyse de risque. Pas celle pour faire joli, celle qui tient debout. Avec des vraies menaces, des vrais enjeux, des vraies lois, et des indicateurs que tu peux expliquer à ta direction et à ton auditeur. Et surtout, facilement maintenable. Alors ton SMSI, c'est pas un karting. C'est un tanker. Un SMSI ça démarre lentement. Il faut de l'inertie, une direction et un bon capitaine. Coucou toi ! Mais si tu veux tout faire d'un coup, tu risques l'épuisement, la confusion et un SMSI jamais terminé. Alors que si tu stack les étapes intelligemment, contexte, scope, le risque ou les risques, les contrôles, la SOA, le déploiement puis finalement la surveillance, tu construis un système stable. audit-proof, compréhensible. Et spoiler alert, l'auditeur ne veut pas un cercle parfait. Il veut un système cohérent, actif, piloté, même si tu as encore des marges de progression. Et maintenant, alors dis-moi, est-ce que tu es encore en train d'écrire une procédure que personne ne lira ? Ou tu as déjà commencé à protéger ton information stratégique ? Peut-être que ce qu'il te manque, ce n'est pas un modèle, mais une impulsion, une méthode, un regard extérieur ou... une classe immersion ISO 27001. Mais ça, j'en reparle très bientôt. Merci d'avoir écouté Compliance Without Coma, le podcast où l'ISO 27001 ne se résume pas à 114 contrôles soporifiques. Tu peux t'abonner, liker, partager ou simplement me faire un petit coucou sur LinkedIn. Et si t'es resté jusqu'ici, j'ai une surprise pour toi. Tu sais, le matin, j'ai une petite habitude. Je chuchote à mon café d'être fort et de ne pas se sentir seul. Promis, il tient bon. Un peu comme un SMSI bien construit. Il n'avance pas tout seul, mais avec de la percolation. Oui, c'est le mot secret de l'épisode. Percolation. Viens me souffler discrètement en commentaire sous mon post LinkedIn ou en DM, ou partout où tu peux d'ailleurs. Je ferai un tirage au sort fin juillet 2025 parmi les différents participants. A la clé, un trait de certes essential de ton choix, ou bien 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe immersion ISO 27001, celle qui débloquera ton IA SMS et t'évitera de tourner en rond encore pendant 6 mois.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête.

Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ?

Spoiler : tu vas t’épuiser.

👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie.

👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz.

👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant.

Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker.

Un TRECCERT Essentials de ton choix
ou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001.

🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, on va parler d'un sujet qui freine pas mal de projets ISO 27001 avant même qu'ils aient commencé. Le mythe du SMSI parfait. Au cours des dernières années, j'ai constaté que des dizaines de responsables sécurité, des SIU consultants, se sentaient seuls, bloqués, noyés, sous des exigences ISO 27001 qui paraissent hors de portée. Et là, je te parle d'un retour de terrain, du syndrome de l'aposteur, c'est peut-être toi, ou de toute personne fraîchement certifiée ISO 27001, ou par exemple le CISO. nommé en urgence sans véritable budget, mais avec la lourde mission de monter le SMSI pendant son temps libre. Et le pire, c'est que parfois, c'est même pas la faute de ton boss. C'est le système. On veut former les gens vite, pas leur apprendre à conduire, non. Juste à monter dans leur voiture, à sourire et à faire vroum vroum devant le comédier. Seulement, après quelques semaines, tu cales, car personne ne t'a vraiment appris à démarrer. Alors oui, t'as ton certificat ISO. Et le lundi après, c'est là que ça se gâte. Tu regardes ton écran et tu te dis, bon, je commence par quoi ? Dans quelle direction aller ? Comment savoir si c'est la bonne direction d'ailleurs ? Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Tu veux faire les choses bien et tu te perds. Tu veux tout cartographier, tous les actifs, tous les risques, tous les contrôles. Tu veux un outil d'analyse de risque, open source ou pas, mais t'oublies que même un outil gratuit peut te coûter très cher. Si tu passes 15 jours, homme, à remplir des grilles inutiles, tu viens surtout de cramer environ 15 000 euros. Et encore. T'as même pas commencé à implémenter. Alors toi, tu es plutôt team cercle parfait ou team à l'œil sarde ? Dis-moi, est-ce que tu te reconnais dans ces profils ? Le team cercle parfait, tu veux tout modéliser. Le Big Bang du SMSI, mais à force de viser le rond parfait, tu tournes en rond, tu commences carré, tu finis ovale, et tu perds tout le monde en route. Ou alors est-ce que tu es plutôt le team je verrais bien ? Tu fais un peu les clauses 4 à 10, puis tu t'en donnes une analyse de risque. Tu reviens sur le contexte, puis tu lis un contrôle, et tu penses à la déclaration d'applicabilité, la SOA, et tu répètes ça en boucle, mais ça n'avance pas vraiment. À la USART, quoi. Nous, on fait complètement différent les choses. Ce qu'on fait, ce que je te propose, surtout, c'est la méthode immersion. Dans mon approche immersion ISO 27001, je fais tout l'inverse. Quand je t'accompagne, je commence par un truc simple. Le reverse planning. Ne cherche pas dans ton cours, hein. Mais... Pourquoi dois-tu être certifié ? C'est le fameux « why » de Simon Sinek. Ensuite, on regarde ton contexte, tes parties intéressées, tes lois. Un diagnostic lucide, brutal parfois, mais lucide. On regarde où tu en es, on définit ton scope MVP, tu sais, le minimum viable product, pour te faire certifier rapidement. Comme en marketing, ou pour les startups, c'est ton core business dans ton scope, et non pas tout pour faire joli, et puis on verra bien. Parce que tu pourras l'étendre plus tard, ton scope. Et si tu rates une extension, tu gardes quand même ta certif actuelle. C'est smart, c'est stratégique, et surtout, c'est défendable devant un auditeur. Ensuite, on construit ton analyse de risque. Pas celle pour faire joli, celle qui tient debout. Avec des vraies menaces, des vrais enjeux, des vraies lois, et des indicateurs que tu peux expliquer à ta direction et à ton auditeur. Et surtout, facilement maintenable. Alors ton SMSI, c'est pas un karting. C'est un tanker. Un SMSI ça démarre lentement. Il faut de l'inertie, une direction et un bon capitaine. Coucou toi ! Mais si tu veux tout faire d'un coup, tu risques l'épuisement, la confusion et un SMSI jamais terminé. Alors que si tu stack les étapes intelligemment, contexte, scope, le risque ou les risques, les contrôles, la SOA, le déploiement puis finalement la surveillance, tu construis un système stable. audit-proof, compréhensible. Et spoiler alert, l'auditeur ne veut pas un cercle parfait. Il veut un système cohérent, actif, piloté, même si tu as encore des marges de progression. Et maintenant, alors dis-moi, est-ce que tu es encore en train d'écrire une procédure que personne ne lira ? Ou tu as déjà commencé à protéger ton information stratégique ? Peut-être que ce qu'il te manque, ce n'est pas un modèle, mais une impulsion, une méthode, un regard extérieur ou... une classe immersion ISO 27001. Mais ça, j'en reparle très bientôt. Merci d'avoir écouté Compliance Without Coma, le podcast où l'ISO 27001 ne se résume pas à 114 contrôles soporifiques. Tu peux t'abonner, liker, partager ou simplement me faire un petit coucou sur LinkedIn. Et si t'es resté jusqu'ici, j'ai une surprise pour toi. Tu sais, le matin, j'ai une petite habitude. Je chuchote à mon café d'être fort et de ne pas se sentir seul. Promis, il tient bon. Un peu comme un SMSI bien construit. Il n'avance pas tout seul, mais avec de la percolation. Oui, c'est le mot secret de l'épisode. Percolation. Viens me souffler discrètement en commentaire sous mon post LinkedIn ou en DM, ou partout où tu peux d'ailleurs. Je ferai un tirage au sort fin juillet 2025 parmi les différents participants. A la clé, un trait de certes essential de ton choix, ou bien 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe immersion ISO 27001, celle qui débloquera ton IA SMS et t'évitera de tourner en rond encore pendant 6 mois.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête.

Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ?

Spoiler : tu vas t’épuiser.

👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie.

👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz.

👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant.

Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker.

Un TRECCERT Essentials de ton choix
ou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001.

🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Aujourd'hui, on va parler d'un sujet qui freine pas mal de projets ISO 27001 avant même qu'ils aient commencé. Le mythe du SMSI parfait. Au cours des dernières années, j'ai constaté que des dizaines de responsables sécurité, des SIU consultants, se sentaient seuls, bloqués, noyés, sous des exigences ISO 27001 qui paraissent hors de portée. Et là, je te parle d'un retour de terrain, du syndrome de l'aposteur, c'est peut-être toi, ou de toute personne fraîchement certifiée ISO 27001, ou par exemple le CISO. nommé en urgence sans véritable budget, mais avec la lourde mission de monter le SMSI pendant son temps libre. Et le pire, c'est que parfois, c'est même pas la faute de ton boss. C'est le système. On veut former les gens vite, pas leur apprendre à conduire, non. Juste à monter dans leur voiture, à sourire et à faire vroum vroum devant le comédier. Seulement, après quelques semaines, tu cales, car personne ne t'a vraiment appris à démarrer. Alors oui, t'as ton certificat ISO. Et le lundi après, c'est là que ça se gâte. Tu regardes ton écran et tu te dis, bon, je commence par quoi ? Dans quelle direction aller ? Comment savoir si c'est la bonne direction d'ailleurs ? Bonjour à toi, et bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Tu veux faire les choses bien et tu te perds. Tu veux tout cartographier, tous les actifs, tous les risques, tous les contrôles. Tu veux un outil d'analyse de risque, open source ou pas, mais t'oublies que même un outil gratuit peut te coûter très cher. Si tu passes 15 jours, homme, à remplir des grilles inutiles, tu viens surtout de cramer environ 15 000 euros. Et encore. T'as même pas commencé à implémenter. Alors toi, tu es plutôt team cercle parfait ou team à l'œil sarde ? Dis-moi, est-ce que tu te reconnais dans ces profils ? Le team cercle parfait, tu veux tout modéliser. Le Big Bang du SMSI, mais à force de viser le rond parfait, tu tournes en rond, tu commences carré, tu finis ovale, et tu perds tout le monde en route. Ou alors est-ce que tu es plutôt le team je verrais bien ? Tu fais un peu les clauses 4 à 10, puis tu t'en donnes une analyse de risque. Tu reviens sur le contexte, puis tu lis un contrôle, et tu penses à la déclaration d'applicabilité, la SOA, et tu répètes ça en boucle, mais ça n'avance pas vraiment. À la USART, quoi. Nous, on fait complètement différent les choses. Ce qu'on fait, ce que je te propose, surtout, c'est la méthode immersion. Dans mon approche immersion ISO 27001, je fais tout l'inverse. Quand je t'accompagne, je commence par un truc simple. Le reverse planning. Ne cherche pas dans ton cours, hein. Mais... Pourquoi dois-tu être certifié ? C'est le fameux « why » de Simon Sinek. Ensuite, on regarde ton contexte, tes parties intéressées, tes lois. Un diagnostic lucide, brutal parfois, mais lucide. On regarde où tu en es, on définit ton scope MVP, tu sais, le minimum viable product, pour te faire certifier rapidement. Comme en marketing, ou pour les startups, c'est ton core business dans ton scope, et non pas tout pour faire joli, et puis on verra bien. Parce que tu pourras l'étendre plus tard, ton scope. Et si tu rates une extension, tu gardes quand même ta certif actuelle. C'est smart, c'est stratégique, et surtout, c'est défendable devant un auditeur. Ensuite, on construit ton analyse de risque. Pas celle pour faire joli, celle qui tient debout. Avec des vraies menaces, des vrais enjeux, des vraies lois, et des indicateurs que tu peux expliquer à ta direction et à ton auditeur. Et surtout, facilement maintenable. Alors ton SMSI, c'est pas un karting. C'est un tanker. Un SMSI ça démarre lentement. Il faut de l'inertie, une direction et un bon capitaine. Coucou toi ! Mais si tu veux tout faire d'un coup, tu risques l'épuisement, la confusion et un SMSI jamais terminé. Alors que si tu stack les étapes intelligemment, contexte, scope, le risque ou les risques, les contrôles, la SOA, le déploiement puis finalement la surveillance, tu construis un système stable. audit-proof, compréhensible. Et spoiler alert, l'auditeur ne veut pas un cercle parfait. Il veut un système cohérent, actif, piloté, même si tu as encore des marges de progression. Et maintenant, alors dis-moi, est-ce que tu es encore en train d'écrire une procédure que personne ne lira ? Ou tu as déjà commencé à protéger ton information stratégique ? Peut-être que ce qu'il te manque, ce n'est pas un modèle, mais une impulsion, une méthode, un regard extérieur ou... une classe immersion ISO 27001. Mais ça, j'en reparle très bientôt. Merci d'avoir écouté Compliance Without Coma, le podcast où l'ISO 27001 ne se résume pas à 114 contrôles soporifiques. Tu peux t'abonner, liker, partager ou simplement me faire un petit coucou sur LinkedIn. Et si t'es resté jusqu'ici, j'ai une surprise pour toi. Tu sais, le matin, j'ai une petite habitude. Je chuchote à mon café d'être fort et de ne pas se sentir seul. Promis, il tient bon. Un peu comme un SMSI bien construit. Il n'avance pas tout seul, mais avec de la percolation. Oui, c'est le mot secret de l'épisode. Percolation. Viens me souffler discrètement en commentaire sous mon post LinkedIn ou en DM, ou partout où tu peux d'ailleurs. Je ferai un tirage au sort fin juillet 2025 parmi les différents participants. A la clé, un trait de certes essential de ton choix, ou bien 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe immersion ISO 27001, celle qui débloquera ton IA SMS et t'évitera de tourner en rond encore pendant 6 mois.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed