Speaker #0T'as remarqué, dans un projet, il y a toujours ceux qui veulent y arriver et ceux qui t'expliquent pourquoi ça ne marchera pas. Et parfois, les plus motivés sont aussi les plus stressés. C'est normal, c'est humain. Et il y a un leader, Philippe Gabillet, qui a résumé ça en deux dimensions. Une matrice but, chemin, optimiste et pessimiste. Et ça éclaire bien plus que la psycho. Ça éclaire les projets ISO et peut-être toi aussi. Bonjour à toi, bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité et de gouvernance, de normes ISO, sans jargon, sans anesthésie, et parfois donc ça pique un peu, mais surtout sans coma. Alors je t'ai peut-être laissé un peu sur ta faim avec Sisyphe dans l'épisode 9, mais avec un espoir j'espère, car on doit voir Sisyphe heureux selon Camus. Et ce podcast-ci peut compléter ma vision de Sisyphe, qui je te l'accorde peut paraître négative de prime abord. Selon Philippe Gabillet, dans l'éloge de l'optimisme, on peut classer les optimistes et les pessimistes en deux colonnes. Tout comme on peut classer le chemin et le but sur deux lignes. Une matrice quoi. Et ce qu'il propose est intéressant. Ici, je vais te refiler mon analyse de ce qu'il dit, mais par rapport à l'ISO 27001, et tu me diras en commentaire si ça te parle. Mais pour débuter, commençons par un peu de théorie. La vision du but, elle peut être favorable... défavorable et la vision du chemin pour y arriver c'est à dire l'obtention de la certification par exemple elle peut être facile ou difficile et cela en fait nous donne au minimum quatre profils psychologiques que voici l'optimiste sa vision du but elle est positive il croit que l'objectif vaut la peine cela peut être même une conviction de l'apport du smsi conformité réduction des risques réduction des coûts mais pas en lancement du projet, on est d'accord. Vision périphérique, augmentation de la satisfaction client, et j'en passe. Sa vision du chemin ? Difficile. Il sait que ça ne sera pas facile en tout cas. Donc on peut douter de la méthode, c'est-à-dire le déploiement de mon ISO, ou en tout cas être prudent sur les choix des outils. Complexité de ceux-ci, manque de ressources, besoin de formation de ces ressources, etc. Et donc l'optimiste... Il cherche déjà des solutions alternatives. Il simplifie. Il va simplifier les étapes. Et peut parfois ralentir par excès de rigueur. Tiens, si t'es entrepreneur, chef de projet, j'espère que tu te reconnais. Tu es ISO 27001 lead implementer aguerri. On ne va pas au combat, la fleur au fusil. Et c'est tout moi. J'ai fait ma propre psychanalyse. Je suis donc un optimiste de but. On va y arriver. Et pessimiste de chemin. Ça ne sera pas facile, les gars. Tout comme lancer et maintenir un podcast hebdomadaire et gagner en nombre d'abonnés sans s'impatienter, mais en mettant les bonnes actions et en faisant confiance au process, cela devient une discipline. Et parce que ce n'est pas facile, mon but doit être fort pour garder ma motivation. Tu le sens le lien avec Due Care , Due Diligence dans l'épisode 13 ? Mais en fait, c'est quoi être optimiste ? L'optimiste, c'est celui qui voit un avenir possible et désirable. tout en étant lucide sur les obstacles à franchir. Il ne minimise pas les difficultés, mais il reste convaincu que ça vaut le coup d'essayer. Si t'es parent, malgré tout ce qui se passe, je vais dire, autour de nous aujourd'hui, t'es optimiste. Et être optimiste, ça, ce n'est pas en étant certifié ISO 27001 Lead Implementer que tu l'es ou que tu le deviens. Et c'est ce profil de caractère qu'il faut pour mener à bien un projet ISO 27001. En outre d'une bonne maîtrise de la norme, On est d'accord. D'où l'examen. Alors, ambition et réalisme sont adaptés à ton projet SMSI. Pourquoi ? Un SMSI, système de management de la sécurité de l'info, est un parcours semé d'embûches. Tu la vois, ton image mentale avec ton plan A, et tout ce qui t'est déjà arrivé pour atteindre ton objectif, une fois que tu l'as réalisé, on voit tout ça. On y est. Mais pour l'ISO, le parcours est également semé d'embûches. Résistance au changement. Le mythe de la caverne, documentation lourde, arbitrage politique et de politique, reporting parfois absurde, mythe de Sisyphe, PDCA, donc Plan Do Check Act, amélioration continue, mais en gardant une vision claire. Vision claire de quoi ? Du but. La certification, la maturité, la maîtrise des risques, la gestion des incidents, la résilience. Tu te blindes. contre la démotivation. Là encore, Sisyphe est heureux, je t'ai dit. Et ton pessimisme du chemin t'évite, quant à lui, les illusions naïves. Tu sais que la politique, les silos et les passifs humains sont des freins. Et tu t'y prépares. On rassure, on simplifie, on guide l'équipe. T'es toujours là ? Parce qu'on a aussi le pessimiste. Et lui, sa vision du but, elle est négative. Il doute du sens ou de la valeur du but. Sa vision du chemin, elle est difficile également. Et il pense que le parcours sera pénible. Pourquoi s'engager alors ? Ben justement, il ne s'engage pas, il freine des quatre pieds. Le pessimiste est celui qui ne croit ni au sens de la destination, ni à sa capacité à y parvenir. Il voit le monde comme hostile ou absurde, et renonce à agir. Pas très bonne motivation intrinsèque tout ça. Sauras-tu reconnaître un ou plusieurs pessimistes dans ton projet ISO 27001 ? Allez, file-moi les noms et tu gagnes une formation. Non, je déconne. Après, on a le naïf. Alors lui, sa vision du but, elle est positive. Il pense que le but est atteignable et bon. Il croit fermement à l'importance d'un SMSI robuste, tant mieux. Et sa vision du chemin, elle est facile. Il minimise les efforts ou les embûches, est confiant dans la démarche. Audit facile, politique de sécurité des systèmes d'information, c'est facile. Analyse des écarts, il suffit de faire ça. Plan d'action, ça va aller, comme sur des roulettes. On va faire le suivi et ça ira. Le naïf est celui qui surestime la facilité du chemin, croyant que tout ira bien sans anticiper les difficultés. Et il est souvent dans l'espoir passif, sans stratégie réelle. J'en ai connu quelques-uns aussi, dans le déploiement d'un nation 27001, et c'est pour cela que c'est important d'identifier rapidement à qui j'ai affaire. Et cette personne-là, il faut l'aider, car il motive l'équipe. Il voit toujours le positif partout. Il installe une dynamique positive et fait avancer les actions efficacement, les plus petites soient-elles. En leadership, on va valoriser ce genre de profil et l'aider en délégant. C'est une force dans l'équipe, mais il peut aussi redescendre très vite en cas de complications. Donc, on doit le garder motivé. Ensuite, on a le cynique ou le résigné. Sa vision du but est négative, il n'y croit plus, on ne trouve pas le but valable. sa vision du chemin Elle est facile ou sans importance, il pense que de toute façon, cela ne sert à rien. Et le cynique est celui qui rejette les objectifs qu'on lui propose, ou il n'en voit pas l'intérêt. Même si le chemin semble faisable, il a souvent une forme de lucidité désabusée, voire de fatalisme élégant. Dégage-le de ton équipe, car c'est une personne toxique. Yaka, c'est facile à dire, je sais. Ou alors fais-lui une arabesque latérale pour ce projet, comme dans le principe de Peter, épisode 14. J'ai récemment été confronté à cette personne, qui n'y croyait pas depuis le début, qui a été parachutée sur le projet, sans réelle conviction donc, mais par obligation. C'était conforme. C'est pire que le pessimiste, car le cynique, lui, il te sabote de l'intérieur. Ça fait x fois qu'on essaye, mais ça ne marche pas. Oui, je lui dis, mais tu as essayé x fois de la même façon, très probablement, à coup de template et de politique non centrée sur tes besoins. Avec une armée de consultants qui ne comprend rien à ton business, et qui, lorsqu'elle s'en va, se retire comme la mer avant un tsunami. Et, navré de te décevoir, cher auditeur, j'ai aussi été cette personne, cynique. Mais je me suis dégagé, avant qu'on me dégage. Et j'ai cherché d'autres buts et d'autres chemins pour y arriver, et je kiffe encore. On en a également un que je pourrais dire, qui est le... kamikaze enthousiaste. Sa vision du but elle est négative. On va se planter. C'est sûr. Et sa vision du chemin elle est facile ou agréable. Mais on va se marrer en route. Tu l'as ? Allez, donne-lui 10 millions, il plante ta startup mais il se sera bien marré. Et last but not least, on a le pessimiste de but et le pessimiste de chemin. Le but, scepticisme total. L'ISMS est vu comme une contrainte inutile. Chemin, ne croit pas à l'efficacité des méthodes, des audits ou du plan d'action. Comportement, ralentit ou bloque le projet, crée un risque de sabotage silencieux. Les profils pessimistes de but et de chemin dans un projet ISMS sont dangereux. Ils véhiculent des phrases comme « ça ne servira à rien de toute façon » , « on a déjà essayé, ça n'a jamais marché » , « c'est juste pour la paperasse ton ISO » . Un peu comme le cynique en fait. Si en plus ils sont influents, ils sapent les efforts de toute l'équipe et seraient contents que le projet échoue. Pourquoi ? Pour leur donner raison. Ce sont des termites culturels. S'ils sont influents, ils sapent les efforts. S'ils sont passifs, ils deviennent des poids morts. Et s'ils sont indirectement dans ton périmètre, en parler à la direction est un acte de leadership de ta part. C'est pas de la délation. C'est la responsabilité de préserver l'élan du projet. Mais si je peux les dégager, je les dégage. Et sinon, je les identifie comme problèmes. Et je fais avancer tout le monde pour montrer que c'est eux le problème. en fin de projet. Ça se voit toujours à la fin. Sinon, essayez de discuter des enjeux réels. Le fameux Start with Why de Simon Sinek. Pourquoi on fait le SMSI ? Est-ce qu'on a le choix ? À quoi cela prépare-t-il ? Ou à la certif ? Pourquoi est-ce qu'on fait une certif ? N'est-ce pas un mal nécessaire pour le RGPD, pour DORA, pour NIS2 ? Eux, de toute façon, par la porte ou par la fenêtre, on devrait être compliant avec eux. Donc, pourquoi ne pas utiliser Merci. l'ISO 27001 comme outil ou comme levier. Et là, je ne te parle pas de certif. À moins que ce soit évidemment dans une loi, et là, tu auras l'obligation de mettre de l'ISO. Donc, essaie de comprendre les résistances de cette personne, rééquilibrer l'équipe si possible. Et si tu vois qu'il continue à freiner des quatres fer, tu es là pour faire avancer les choses. Tu lis entre les lignes. C'est un bon programme en perspective, n'est-ce pas ? Et moi, dans tout ça, je suis... clairement un optimiste de but et un pessimiste de chemin. Quoi que j'entreprene, dans la sphère privée également, je sais que je vais réussir, on va y arriver, parce que je ne lâche rien, ça fait partie de mon caractère, et souvent que la magie opère à la toute dernière seconde. C'est un peu comme les matchs, lorsque tu as un extra time, et que l'arbitre, peu importe comment tu l'appelles, n'a pas encore sifflé à la fin de la partie. On ne lâche rien. Pour les examens, pareil. Et je crois qu'on peut faire mieux, toujours. Mais je sais que c'est dur. Je ne suis pas là pour vendre des rêves non plus, je suis là pour simplement qu'on évite le coma. Et toi ? T'es où toi dans ce tableau ? Et dans ton équipe ? Qui tire ? Qui traîne ? Parce que dans un projet ISO, le vrai job, c'est pas écrire des politiques, c'est de garder le cap et de virer les boulets, parfois. Ou au moins, les neutraliser. D'ailleurs je m'aide souvent de la direction au début de projet. en leur demandant qui va me freiner dans le projet et pourquoi. Ils connaissent leur gens et ça me permet d'anticiper les petits jeux politiques. Mais souvent, je constate directement qui fait le pivert sur l' arche de Noé. Et c'est aussi pour ça qu'en ISO 17024, tu sais, la norme pour la certification de personne, qu'on te demande en général 5 ans d'expérience. Tu peux très bien réussir l'examen et ramer dans le monde de l'entreprise. Voilà, j'espère que cet épisode t'aidera à naviguer dans tes projets ISO et perso. D'ailleurs, voici un petit concours jusqu'à fin août 2025. A la clé, une formation essentielle TRECCERT, en self-study, avec examen. Tirage au sort, début septembre. Dis-moi la combinaison qui t'a le plus marqué en commentaire. Ou trouve-moi, tu m'en trouves d'autres tout à fait humoristiques. Tu as plusieurs possibilités, je te le rappelle. Les quatre mots de Philippe Gabillet sont optimiste, pessimiste, but et chemin. Et surtout... N'oublie pas de liker, commenter sur Spotify ou Apple. D'ailleurs, je pars de suite mettre un poll sur l'appli Spotify. Ainsi, on continue de pousser l'algorithme ensemble.
