Speaker #0Tu veux que tes équipes respectent la sécu ? C'est l'art très concret de montrer l'exemple. Commence par toi. Ce n'est pas parce que tu signes les politiques qu'elles ne s'appliquent pas à toi. Aujourd'hui, on plonge dans la clause 5 de l'ISO 27001. Leadership en 8 points, sans coma, mais avec du concret. Un de mes anciens profs de gym, le badge VIP qui n'est pas un pass-root, l'IA de prise de note sans analyse de risque, le budget sécu post-certif, Christophe Colomb, Et même un zeste de Nelson Mandela. Mon objectif ? Que tu incarnes ce que tu exiges. Si après ça tu rentres encore des questions d'exam, concernant la clause 5 de l'ISO 27001, là franchement, je ne peux plus rien pour toi. Ou bien si, mais on va devoir se parler. Je vais d'abord te raconter quelques anecdotes pour mettre les choses en contexte. Et à la fin, je te décortiquerai cette fameuse clause 5 en 8 points. Tous obligatoires bien sûr. Ton audit interne. ou de certification qui arrive peut-être bientôt. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance, de normes ISO, sans jargon et sans coma. Je suis Fabrice De Paepe et je suis à ma 19ème semaine consécutive de podcast sans rien lâcher et crois-moi d'autres arrivent encore. Si tu découvres, bienvenue dans l'épisode 19 et oublie pas d'en écouter quelques-uns pour voir si tu accroches. Et dans ce cas-là, commente, partage et like. Un laptop non verrouillé dans le bureau du boss. Un badge passé en douce parce qu'on a oublié le sien. Une visio confidentielle dans un espace de coworking. Un mot de passe partagé juste pour dépanner. Oh ça va hein ? C'est pas pour une fois. Tout ça, c'est du langage silencieux. Et tes équipes l'écoutent plus que n'importe quel PowerPoint. Elles le ressentent même. La sécurité, ça ne se délègue pas. Ça s'incarne. J'adore cette maxime. A leader is a dealer in hope. Et si le leader est l'anagramme de dealer, c'est pour rappeler que tu deals de l'espoir, pas des passe-droits. Si toi tu n'y crois pas, qu'est-ce que tu vas vendre à tes équipes ? Oui, il m'est arrivé de douter, de faire comme si j'y croyais pour embarquer tout le monde. Tu imagines Christophe Colomb faire demi-tour au premier, c'est encore loin ? Ou on arrive quand ? Ça c'est pour si t'es parents, tu comprendras. Non, tiens le cap, même avec tes doutes. Ton job n'est pas de jouer au super admin, c'est de tenir le cap. Un badge CEO qui ouvre toutes les portes, mauvais signal. Des accès admin parce que c'est plus simple, mauvais signal. Le rôle du management ? C'est de montrer que la règle est la même pour tous. Et cette petite histoire où je suis dans l'ascenseur avec le CEO, le CIO d'un de mes anciens clients, si vous m'écoutez d'ailleurs clin d'œil, et l'auditeur de certification. Où ce dernier nous raconte sur le ton de la confidence qu'il avait audité une compagnie aérienne et que le CEO avait dit qu'il n'avait pas accès aux pistes aériennes. Et là, l'auditeur en a profité comme il était avec lui pour tester son badge. Et bingo ! Accès aux pistes, autorisé, petite lupiote verte. Oui, c'est l'élévateur pitch et très court, d'ailleurs on n'avait monté que deux étages ce jour-là. On arrive donc devant la porte du DC avec la toute petite délégation, et là le CIO, arborant fièrement son badge, et en poursuivant la conversation de l'ascenseur, dit « Mais chez nous ce n'est pas le cas, je vais vous en assurer » et il badge. Bingo, lumière verte s'allume aussi. En fait, cela faisait des années qu'il avait accès sans savoir. Badge VIP, donc grand danger. Dans notre cas, aucun risque car il n'avait pas les codes de l'alarme, il y avait des caméras et la segregation of duties était quand même très bien calée. Mais quand même, il y a eu comme un silence. J'avais presque envie de mettre des cartons dans le DC pour distraire l'auditeur. Donc, le mode VIP, ce n'est pas full access, c'est full responsabilité. Et en parlant leadership, cela me rappelle également celui de mon prof de gym à l'Athénée. Au lycée ou au collège ou au cégep, pour mes amis québécois qui nous écoutent. Mon prof de gym nous faisait courir des tours de patés de maisons autour de l'école, pendant que lui buvait ses canons dans sa voiture. Résultat ? Très vite, on a tous pris le raccourci par la cour, on a attendu et on est arrivé dans les temps. Comme si on avait tout donné. On respectait la règle, en apparence. Est-ce que tu veux ça pour ton SMSI ? Des politiques affichées, signées et contournées. C'est exactement ce qui se passe quand ceux qui signent ne montrent pas l'exemple. Donc si le prof ne court pas, la classe coupe. Si le management n'incarne pas, l'organisation triche. En anglais d'ailleurs, on dit « policy establishment » . Tu signes, tu es accountable. Et c'est aussi un faux ami pour nous les francophones, car on pourrait penser que « establish » , c'est celui qui l'écrit. Ben non. Donc, dans les faits, « establishment » , ça va être celui ou celle qui est au sommet de la hiérarchie et qui s'assure qu'elle soit écrite, validée, communiquée, et qu'il y ait une formation, et qu'elle soit revue à intervalles réguliers également. Je parle de la politique. Et que les sanctions soient connues pour celui ou celle qui ne l'applique pas. Dans la vraie vie, on va parler de la raci matrix. Le CISO écrit souvent « prépare, propose » . Toi, le CEO, tu établis, tu signes, tu communiques selon l'importance, tu formes, tu t'assures que c'est respecté, et tu prévois ce qui se passe quand ce n'est pas respecté. Mesures correctives, sanctions, etc. Et là, imagine le sentiment des équipes si toi, tu n'appliques pas la règle que tu exiges d'eux. Tu penses que ta stratégie va aller loin ? Une politique que tu signes mais que tu ne respectes pas, c'est un sabotage silencieux de ton leadership. Tu veux ajouter un agent IA pour prendre des notes dans un meeting stratégique ? Ok, mais après l'analyse de risque, pas avant. Un petit test sans gouvernance, c'est parfois offrir tes réunions à l'entraînement d'un modèle externe. Chaque nouveauté sans passer par la validation interne, c'est une exception ou un trou que tu ajoutes dans ta raquette. Et quelque chose que je vois quasi tout le temps également, c'est cette phrase-ci. On est certifié, on coupe la sécu, classique et catastrophique à la fois. On ne prolonge pas le contrat du consultant qui a mené à bien jusqu'à la certification, ou la boîte, que sais-je, et on se dit que l'ego fera la différence. Et qu'on va tout faire nous-mêmes. Parfois ça marche. Mais quand tu vires, ou ne reconduis pas, ou déplaces avec une arabesque latérale les personnes qui ont porté le projet, ne t'étonne pas que ton moteur PDCA commence à toussoter. Un peu, en tout cas, au redémarrage. Car oui, c'est pas censé s'arrêter. Je ne parle pas pour moi, car je suis un fusible, et ça je le sais très bien, et c'est normal de passer la main, c'est le but même de mes missions. Ici, la certification n'est pas une ligne d'arrivée, c'est un départ. Tu n'autorises pas des dépenses inutiles, mais tu ne déshabilles pas ton SMSI pour autant. Et tu ne viens pas dire aux équipes qu'il n'y a pas de budget, quand tes dépenses futiles sont réalisées au nez à la barbe de tous. Un certificat ISO, ça ne vaut rien si derrière tu retires les freins. Quand je te parle de « dealer in hope » , je pense tout de suite à Nelson Mandela. 27 ans de prison, il sort, et au lieu de prêcher la vengeance, il appelle à l'unité. C'est ça incarner son message. Mandela répétait souvent le poème Invictus de William Ernest Henley. Je te lis quelques vers en français. Dans les ténèbres qui m'enserrent, noires comme un puits où l'on se noie, je rends grâce au Dieu quel qu'il soit, pour mon âme indomptable et fière. Je suis le maître de mon destin, je suis le capitaine de mon âme. Ça me rappelle encore quelques heures sombres de ma vie, mais c'est comme ça que j'ai tenu, grâce à ce poème et grâce à lui. C'est ça le leadership, tenir le cap, même quand c'est dur. Et c'est exactement l'esprit de ce qu'on va formaliser maintenant, la clause 5. Alors dis-moi, est-elle obligatoire ou pas, comme clause ? C'est dans les clauses 4 à 10 de l'ISO. Donc tu dois déjà savoir si c'est obligatoire, non ? Allez, spoil. Et première réponse pour ton examen, c'est obligatoire. Donc plongeons dans la clause 5 de l'ISO 27001. Leadership et commitment en 8 points. Décrypté et concret. Sans bullshit, sans blabla. Le premier point, c'est politique et objectif alignés à la stratégie. C'est pas juste signé. On aligne la politique et les objectifs sécurité avec la direction stratégique. Si la confiance client est là, Ton comportement doit la servir, pas l'inverse, ni l'inverser. Pas de laptop déverrouillé, pas de VIP pass. Le deuxième point, on va intégrer le SMSI dans tous les processus. Donc le SMSI vit dans les ressources humaines, dans les achats, dans les projets, partout. C'est pas le SMSI du CISO uniquement. Batch CEO avec accès partout, c'est pas le cas non plus. Droit admin pour gagner du temps, non. C'est différent de la gouvernance tout ça. Les règles s'intègrent, elles ne se contournent pas. Troisième point, a-t-on des ressources disponibles ? Budget en compétences. Après la certif, on ajuste, on n'ampute pas. Et on coupe le gras, pas les freins. Tu sais les freins, mais ceux qui te permettent d'aller plus vite. Quatrième point, communiquer l'importance. C'est là que le leader est un dealer in hope. Tu portes le cap, même avec tes doutes. Colomb style en fait. Tu expliques pourquoi on fait ça. ce que ça protège et comment on gagne ensemble. Cinquième point. atteindre les résultats. Un SMSI, ce n'est pas une vitrine. Il doit produire ses effets. Donc l'exemple, l'IA en réunion, d'abord l'analyse de risque. Sinon, tu vas à l'encontre du résultat attendu qui est de protéger l'info. Sixième point, diriger et soutenir les personnes. Tes équipes suivent ce que tu fais, pas ce que tu dis. Et une maxime facile d'audit, c'est je fais ce que je dis, je dis ce que je fais. Pense à mon prof de gym. S'il ne court pas, la classe coupe. Le manager, s'il n'incarne pas, l'équipe fait semblant. Septième point, promouvoir l'amélioration continue. Le PDCA, ce n'est pas un one-shot. La certif est un point de passage, pas un game over. On continue d'apprendre, d'ajuster, de corriger, publiquement si besoin, ça renforce sa crédibilité. Dernier point, soutenir les autres, c'est un rôle du management. La Sécu ce n'est pas le CISO tout seul. Dieu sait que je le vois encore. C'est un PDCA. Chaque manager porte la sécu dans son périmètre. Tu appuies ton CISO, tu relaies les messages, tu exiges l'exemplarité au même titre que les résultats business. Donc très cher CEO qui m'écoute, reste assis. Est-ce que tu sais où se cache ton leadership en dehors de la clause 5 ? Bah partout. Elle se trouve dans la clause 4 et le contexte de l'organisation. Tu dois déterminer le contexte de ta boîte, les parties prenantes et le scope de ton SMSI. Dans la clause 6, planification, tu dois faire des appréciations du risque, les traiter et vérifier que les contrôles les ramènent bien à un niveau acceptable par rapport à tes objectifs de sécurité. La clause 7, c'est le support. Tu as besoin de ressources, de compétences, de sensibilisation, de communication et de documentation. Et le leadership est visible dans le budget accordé, le temps libéré pour former et le fait de valoriser la sécurité dans les messages officiels. On ne coupe pas le budget de la sécu après la certif. La clause 8, c'est le fonctionnement. C'est là où tu vas mettre en œuvre et contrôler tes processus opérationnels. Est-ce que tu fais tourner ton PDCA et tes process ? Et est-ce que tu exécutes tes appréciations des risques ? Tu fais des workshops de risques avec tes leaders ou pas ? La clause 9, évaluation de la performance. Bonus caché, tu as ici les KPIs, l'audit interne et le management review. Autant d'opportunités pour montrer à tous que tu assumes tes KPIs. tes écarts et que tu pilotes en revue managériale. La clause 10 ? Ok, on s'est pris des baffes de l'auditeur, comment s'améliore-t-on ? Ce process est efficace, mais comment peux-tu encore le simplifier ? Et là tu fais quoi ? Tu vires des gens qui ont fauté ou tu cherches pourquoi ? La vraie root cause. Peut-être que tu avais coupé le budget et ils ne sont pas formés. Peut-être qu'ils s'en fichent, peut-être que ta boîte est toxique. T'as tenu jusqu'ici ? Bravo ! Sans leadership, les clauses 4 à 10 sont conformes. Avec leadership, ton SMSI est vivant. J'espère avoir pu te démontrer qu'on a besoin de toi, et pas uniquement dans la clause 5. Pourquoi ? Parce que j'entends encore des leaders, mais ceux-là je les appelle plutôt des dealers in dope, me dire qu'ils ont signé les politiques et le reste, c'est le CISO qui gère. Petite conclusion. Le leadership, ce n'est pas de signer des politiques, c'est de les incarner. Ce n'est pas d'avoir un badge VIP. c'est d'accepter la même règle que les autres. Ce n'est pas d'installer une IA parce que c'est pratique. C'est de mesurer le risque avant d'appuyer sur ON. Ce n'est pas de couper le budget après la certif. C'est de tenir le cap sans gaspiller. Clause 5, c'est ton test de crédibilité. Et si tu veux que ton SMSI ne prenne pas le raccourci par la cour, pense à mon prof de gym, montre que toi tu fais le tour, à chaque fois. La conformité, ça ne s'impose pas. Ça s'incarne. sans coma. Un leader, c'est un dealer d'espoir. Tu tiens le cap et tu donnes envie de le tenir avec toi. Tu es le maître de ton destin. Tu es le capitaine de ton SMSI. N'oublie pas de partager aussi à des collègues qui ne font pas d'ISO 27001, car c'est valable pour tous les ISO, mais pas que, dans ta vie privée aussi. Et si cet épisode t'a touché, fais réfléchir, ou ne serait-ce que 2 minutes. Prends 2 secondes maintenant pour liker et commenter, car ça a l'air anodin, mais cela aide vraiment le podcast à être écouté par plus de monde. A la semaine prochaine déjà pour le numéro 20, pour un nouvel épisode de Compliance Without Coma.
