Episode 21 : IA et audits ISO - Opportunité à saisir ou bombe à retardement prête à exploser ? | Compliance Without coma

Description

Es-tu prêt à plonger dans l'univers de l'IA et à découvrir comment elle transforme les audits ISO ? Dans cet épisode de Compliance Without Coma, Je t'éclairesur les enjeux cruciaux de l'intégration de l'intelligence artificielle (IA) dans le cadre des audits ISO. Alors que les entreprises cherchent à adopter des technologies avancées pour améliorer leur conformité, il est essentiel de comprendre les risques juridiques associés à l'utilisation de l'IA, notamment en matière de confidentialité et de protection des données.

J'aborde des exemples concrets de procès aux États-Unis, soulignant l'importance d'une gouvernance pour éviter les violations potentielles des réglementations comme le RGPD. En discutant des normes ISO pertinentes, telles que la 42006 et la 17021-1, et la 17012 je mets en lumière comment ces directives encadrent non seulement les audits à distance, mais aussi l'utilisation de l'IA dans les processus d'audit. La sécurité des entreprises doit être une priorité, et j' insiste sur la nécessité de garantir la confidentialité des données sensibles lors des audits, en évitant l'utilisation d'outils d'IA externes non maîtrisés.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Centres de données, puis très vite dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité de l’information, la conformité, et surtout la gouvernance.

J’ai accompagné des dizaines de structures (PME, multinationales, institutions publiques) dans leurs démarches de mise en conformité. Je suis à la fois consultant, auditeur, formateur, et parfois même traducteur de jargon technique

Mon super-pouvoir ?

👉 Transformer des exigences normatives en solutions concrètes et actionnables.

👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde).

👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût.

🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça.

Une manière de diffuser ce que je vois sur le terrain, de partager les bonnes pratiques (et les mauvaises), d’alerter sur les pièges classiques, et de déchiffrer ce qui se cache vraiment derrière les buzzwords ou l'actualité.

Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-)

Pas de “consultant PowerPoint”.

Mais une vraie envie de transmettre, de questionner, et d’outiller.

Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit.

Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé.

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Alors voici ce que je vais te partager dans cet épisode. D'abord, les problèmes déjà visibles. Procès, RGPD, confidentialité. Et le risque de se retrouver en plein far-west juridique. Ensuite, on verra pourquoi les preuves d'audit sont ultra sensibles et comment l'IA peut les mettre en danger. On parlera aussi des noms ISO et de l'IAF. ISO 42006, 17012, 17021-1 et comment elles encadrent les audits à distance. Et enfin... Je te donnerai mes conseils pratiques pour encadrer l'IA dans un audit ISO sans te retrouver devant un juge. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on parle d'un invité surprise, l'IA. Elle débarque partout, même dans nos audit ISO. Alors la question c'est, est-ce que ça va être un avantage ou une énorme responsabilité légale qui nous explose au visage ? Tu vas vite voir que la réponse dépend de toi. Alors le problème, parce qu'il y en a déjà. Alors tu me diras, oui mais Fab, où est le problème ? GDPR et vie privée, ça te parle ? Aux US, des boîtes comme Otter.AI ou RingCentral se sont déjà pris des procès. Pourquoi ? Pour avoir utilisé l'IA en douce pour enregistrer et analyser des conversations. Imagine ça en audit ISO. La norme ISO 42006 est faite pour les bureaux de certification qui réalisent des audits et des certifications d'AIMS. AIMS pour AI Management System. En gros... Tu prends la 27006, c'est la bible pour auditer la 27001. Et 42006 alors ? Pareil, mais version IA. C'est-à-dire que la 42006 te permet d'auditer la 42001, qui est le système de management de l'IA. Et comme tout rué vers l'or, on risque d'être dans le far-west des prestataires non encadrés. La 42006 vise donc à réguler un marché de l'audit IA encore trop informel. Et comme dans toute société... dans , il y a de tout, je vais te donner quelques conseils si tu te fais auditer avec de l'IA. L'évidence, la preuve en audit, c'est sensible. Bon, revenons à mon audit ISO et ce à quoi on doit faire attention. Qu'est-ce qu'on manipule dans un audit ISO ? Des données personnelles, de la propriété intellectuelle, des documents couverts par NDA, accord de non-divulgation, bref, des infos sensibles. Si tout ça passe dans un outil d'IA externe, Que ça soit un transcripteur automatique ou même un correcteur orthographique connecté, tu perds le contrôle. Et si ça fuite, tu risques d'aller au procès aussi. L'audit à distance et l'IA, donc le remote audit. Alors, je suis biaisé, hein. J'ai fait réciter récemment les fables de La Fontaine à mes filles. Je suis philosophe, ça tu savais déjà. Et au moment où j'ai écrit ce titre de podcast, le remote audit et l'IA... J'ai tout de suite pensé à la fable du corbeau et du renard. Le corbeau, c'est l'auditeur qui se croit malin avec ses nouveaux outils, IA, transcription, remote audit. Le renard, c'est l'IA, ou le prestataire tech, ou toi, en tant qu'audite, qui flatte et collecte les infos et les données en douce. Le corbeau ouvre son bec et laisse tomber son fromage et, ici, ses données sensibles. À trop se laisser séduire par la facilité, tu perds ta confidentialité. Alors que disent l'IAF et l'ISO sur le Remote Audit et l'IA ? ISO a publié des normes pour encadrer les audits à distance. Il y a donc l'ISO 17012 et l'ISO 17021-1. L'ISO 17012, c'est le guide qui dit comment réussir un audit à distance sans bug ni fuite. L'ISO 17021-1, c'est une exigence pour ton bureau de certification Et ça dit entre autres que sur site peut aussi être "virtuel". Pratique pour éviter que ton auditeur vienne juste pour cumuler des miles. Et l'IAF, elle a elle-même aussi publié un document public pour l'utilisation des TIC pour des buts d'évaluation de conformité. Mais c'est qui cette IAF ? Eh bien, comme en programmation orientée objet, c'est ta masterclass ou ta superclass. L'IAF définit les règles, attribue, et méthodes de vie que toutes les classes filles vont hériter ou adapter. Les bureaux d'accréditation et les bureaux de certification, puis en dessous, les bureaux de certification donc, sont des classes filles. L'IAF publie les MD, Mandatory Documents, les documents obligatoires, qui eux posent les méthodes et attributs. Et les organismes de certification, les classes filles donc, héritent de ces règles et doivent les appliquer. Parfois les spécialisant, ajout de méthodes, adaptation à un secteur, etc. Mais personne ne peut ignorer la masterclass. En tout cas, si tu veux être reconnu dans l'écosystème, en tant que bureau de certification, tu dois hériter de l'IAF. Bon, donc, et comment gère-t-on tout ça concrètement avec l'IA ? Je vais te donner un exemple réel. Dans nos mises à jour de programmes d'audit, ISO 42001, on a ajouté plusieurs garde-fous. Oui, les audits à distance sont possibles, mais on suit les normes ISO existantes. Oui, l'IA peut être utilisée, mais uniquement si la confidentialité est garantie. Oui, la visio est permise. Mais les interviews doivent être avec caméra on. Sinon, tu perds toute la communication non-verbale. Les transcriptions IA et enregistrements, uniquement si c'est géré par le client, pas par un service externe qu'on ne maîtrise pas. Et surtout, on met une clause claire dans nos contrats, dans nos plans d'audit et même dans le slide deck d'ouverture. Comme ça, la responsabilité est partagée et le client est informé dès le départ. Et puis tu me diras, oui mais, et la responsabilité dans tout ça ? Si tu penses que c'est juste un détail technique, détrompe-toi. En Europe, ça peut vite devenir une violation RGPD ou NIS 2. Et là, c'est ton CEO qui transpire. Jusqu'à 10 millions ou 2% du CA pour l'entreprise, chiffre d'affaires, ou jusqu'à 500 000 d'amende personnelle pour le dirigeant, si l'autorité estime qu'il n'a pas assuré la gouvernance. Donc non, ce n'est pas juste une histoire d'outils pratiques, c'est une question de gouvernance, de transparence et de protection juridique. Alors l'IA dans les audits ISO ? opportunité ou bombe à retardement pour moi c'est une opportunité si tu poses le cadre si tu informes ton client et si tu gardes la maîtrise pareil pour lui si ton client ou si le client définit comment tu peux l'auditer avec en utilisant de lire et bombe à retardement si tu laisses tes preuves d'audit transiter n'importe où sans précaution voilà c'était compliance with out coma si tu as aimé cet épisode partage le like le abonne toi Et rappelle-toi, la conformité n'est pas là pour endormir, mais pour te protéger et t'apporter de la valeur. Et si tu veux les références des normes et des documents que j'ai cités, demande-les-moi, c'est public. Si tu veux le contenu, tu devras faire comme moi également, payer l'ISO, c'est quelques francs en Suisse quand même. A la semaine prochaine déjà pour un nouvel épisode.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Mon super-pouvoir ?

👉 Transformer des exigences normatives en solutions concrètes et actionnables.

👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde).

👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût.

🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça.

Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-)

Pas de “consultant PowerPoint”.

Mais une vraie envie de transmettre, de questionner, et d’outiller.

Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit.

Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé.

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Alors voici ce que je vais te partager dans cet épisode. D'abord, les problèmes déjà visibles. Procès, RGPD, confidentialité. Et le risque de se retrouver en plein far-west juridique. Ensuite, on verra pourquoi les preuves d'audit sont ultra sensibles et comment l'IA peut les mettre en danger. On parlera aussi des noms ISO et de l'IAF. ISO 42006, 17012, 17021-1 et comment elles encadrent les audits à distance. Et enfin... Je te donnerai mes conseils pratiques pour encadrer l'IA dans un audit ISO sans te retrouver devant un juge. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on parle d'un invité surprise, l'IA. Elle débarque partout, même dans nos audit ISO. Alors la question c'est, est-ce que ça va être un avantage ou une énorme responsabilité légale qui nous explose au visage ? Tu vas vite voir que la réponse dépend de toi. Alors le problème, parce qu'il y en a déjà. Alors tu me diras, oui mais Fab, où est le problème ? GDPR et vie privée, ça te parle ? Aux US, des boîtes comme Otter.AI ou RingCentral se sont déjà pris des procès. Pourquoi ? Pour avoir utilisé l'IA en douce pour enregistrer et analyser des conversations. Imagine ça en audit ISO. La norme ISO 42006 est faite pour les bureaux de certification qui réalisent des audits et des certifications d'AIMS. AIMS pour AI Management System. En gros... Tu prends la 27006, c'est la bible pour auditer la 27001. Et 42006 alors ? Pareil, mais version IA. C'est-à-dire que la 42006 te permet d'auditer la 42001, qui est le système de management de l'IA. Et comme tout rué vers l'or, on risque d'être dans le far-west des prestataires non encadrés. La 42006 vise donc à réguler un marché de l'audit IA encore trop informel. Et comme dans toute société... dans , il y a de tout, je vais te donner quelques conseils si tu te fais auditer avec de l'IA. L'évidence, la preuve en audit, c'est sensible. Bon, revenons à mon audit ISO et ce à quoi on doit faire attention. Qu'est-ce qu'on manipule dans un audit ISO ? Des données personnelles, de la propriété intellectuelle, des documents couverts par NDA, accord de non-divulgation, bref, des infos sensibles. Si tout ça passe dans un outil d'IA externe, Que ça soit un transcripteur automatique ou même un correcteur orthographique connecté, tu perds le contrôle. Et si ça fuite, tu risques d'aller au procès aussi. L'audit à distance et l'IA, donc le remote audit. Alors, je suis biaisé, hein. J'ai fait réciter récemment les fables de La Fontaine à mes filles. Je suis philosophe, ça tu savais déjà. Et au moment où j'ai écrit ce titre de podcast, le remote audit et l'IA... J'ai tout de suite pensé à la fable du corbeau et du renard. Le corbeau, c'est l'auditeur qui se croit malin avec ses nouveaux outils, IA, transcription, remote audit. Le renard, c'est l'IA, ou le prestataire tech, ou toi, en tant qu'audite, qui flatte et collecte les infos et les données en douce. Le corbeau ouvre son bec et laisse tomber son fromage et, ici, ses données sensibles. À trop se laisser séduire par la facilité, tu perds ta confidentialité. Alors que disent l'IAF et l'ISO sur le Remote Audit et l'IA ? ISO a publié des normes pour encadrer les audits à distance. Il y a donc l'ISO 17012 et l'ISO 17021-1. L'ISO 17012, c'est le guide qui dit comment réussir un audit à distance sans bug ni fuite. L'ISO 17021-1, c'est une exigence pour ton bureau de certification Et ça dit entre autres que sur site peut aussi être "virtuel". Pratique pour éviter que ton auditeur vienne juste pour cumuler des miles. Et l'IAF, elle a elle-même aussi publié un document public pour l'utilisation des TIC pour des buts d'évaluation de conformité. Mais c'est qui cette IAF ? Eh bien, comme en programmation orientée objet, c'est ta masterclass ou ta superclass. L'IAF définit les règles, attribue, et méthodes de vie que toutes les classes filles vont hériter ou adapter. Les bureaux d'accréditation et les bureaux de certification, puis en dessous, les bureaux de certification donc, sont des classes filles. L'IAF publie les MD, Mandatory Documents, les documents obligatoires, qui eux posent les méthodes et attributs. Et les organismes de certification, les classes filles donc, héritent de ces règles et doivent les appliquer. Parfois les spécialisant, ajout de méthodes, adaptation à un secteur, etc. Mais personne ne peut ignorer la masterclass. En tout cas, si tu veux être reconnu dans l'écosystème, en tant que bureau de certification, tu dois hériter de l'IAF. Bon, donc, et comment gère-t-on tout ça concrètement avec l'IA ? Je vais te donner un exemple réel. Dans nos mises à jour de programmes d'audit, ISO 42001, on a ajouté plusieurs garde-fous. Oui, les audits à distance sont possibles, mais on suit les normes ISO existantes. Oui, l'IA peut être utilisée, mais uniquement si la confidentialité est garantie. Oui, la visio est permise. Mais les interviews doivent être avec caméra on. Sinon, tu perds toute la communication non-verbale. Les transcriptions IA et enregistrements, uniquement si c'est géré par le client, pas par un service externe qu'on ne maîtrise pas. Et surtout, on met une clause claire dans nos contrats, dans nos plans d'audit et même dans le slide deck d'ouverture. Comme ça, la responsabilité est partagée et le client est informé dès le départ. Et puis tu me diras, oui mais, et la responsabilité dans tout ça ? Si tu penses que c'est juste un détail technique, détrompe-toi. En Europe, ça peut vite devenir une violation RGPD ou NIS 2. Et là, c'est ton CEO qui transpire. Jusqu'à 10 millions ou 2% du CA pour l'entreprise, chiffre d'affaires, ou jusqu'à 500 000 d'amende personnelle pour le dirigeant, si l'autorité estime qu'il n'a pas assuré la gouvernance. Donc non, ce n'est pas juste une histoire d'outils pratiques, c'est une question de gouvernance, de transparence et de protection juridique. Alors l'IA dans les audits ISO ? opportunité ou bombe à retardement pour moi c'est une opportunité si tu poses le cadre si tu informes ton client et si tu gardes la maîtrise pareil pour lui si ton client ou si le client définit comment tu peux l'auditer avec en utilisant de lire et bombe à retardement si tu laisses tes preuves d'audit transiter n'importe où sans précaution voilà c'était compliance with out coma si tu as aimé cet épisode partage le like le abonne toi Et rappelle-toi, la conformité n'est pas là pour endormir, mais pour te protéger et t'apporter de la valeur. Et si tu veux les références des normes et des documents que j'ai cités, demande-les-moi, c'est public. Si tu veux le contenu, tu devras faire comme moi également, payer l'ISO, c'est quelques francs en Suisse quand même. A la semaine prochaine déjà pour un nouvel épisode.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Mon super-pouvoir ?

👉 Transformer des exigences normatives en solutions concrètes et actionnables.

👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde).

👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût.

🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça.

Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-)

Pas de “consultant PowerPoint”.

Mais une vraie envie de transmettre, de questionner, et d’outiller.

Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit.

Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé.

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Alors voici ce que je vais te partager dans cet épisode. D'abord, les problèmes déjà visibles. Procès, RGPD, confidentialité. Et le risque de se retrouver en plein far-west juridique. Ensuite, on verra pourquoi les preuves d'audit sont ultra sensibles et comment l'IA peut les mettre en danger. On parlera aussi des noms ISO et de l'IAF. ISO 42006, 17012, 17021-1 et comment elles encadrent les audits à distance. Et enfin... Je te donnerai mes conseils pratiques pour encadrer l'IA dans un audit ISO sans te retrouver devant un juge. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on parle d'un invité surprise, l'IA. Elle débarque partout, même dans nos audit ISO. Alors la question c'est, est-ce que ça va être un avantage ou une énorme responsabilité légale qui nous explose au visage ? Tu vas vite voir que la réponse dépend de toi. Alors le problème, parce qu'il y en a déjà. Alors tu me diras, oui mais Fab, où est le problème ? GDPR et vie privée, ça te parle ? Aux US, des boîtes comme Otter.AI ou RingCentral se sont déjà pris des procès. Pourquoi ? Pour avoir utilisé l'IA en douce pour enregistrer et analyser des conversations. Imagine ça en audit ISO. La norme ISO 42006 est faite pour les bureaux de certification qui réalisent des audits et des certifications d'AIMS. AIMS pour AI Management System. En gros... Tu prends la 27006, c'est la bible pour auditer la 27001. Et 42006 alors ? Pareil, mais version IA. C'est-à-dire que la 42006 te permet d'auditer la 42001, qui est le système de management de l'IA. Et comme tout rué vers l'or, on risque d'être dans le far-west des prestataires non encadrés. La 42006 vise donc à réguler un marché de l'audit IA encore trop informel. Et comme dans toute société... dans , il y a de tout, je vais te donner quelques conseils si tu te fais auditer avec de l'IA. L'évidence, la preuve en audit, c'est sensible. Bon, revenons à mon audit ISO et ce à quoi on doit faire attention. Qu'est-ce qu'on manipule dans un audit ISO ? Des données personnelles, de la propriété intellectuelle, des documents couverts par NDA, accord de non-divulgation, bref, des infos sensibles. Si tout ça passe dans un outil d'IA externe, Que ça soit un transcripteur automatique ou même un correcteur orthographique connecté, tu perds le contrôle. Et si ça fuite, tu risques d'aller au procès aussi. L'audit à distance et l'IA, donc le remote audit. Alors, je suis biaisé, hein. J'ai fait réciter récemment les fables de La Fontaine à mes filles. Je suis philosophe, ça tu savais déjà. Et au moment où j'ai écrit ce titre de podcast, le remote audit et l'IA... J'ai tout de suite pensé à la fable du corbeau et du renard. Le corbeau, c'est l'auditeur qui se croit malin avec ses nouveaux outils, IA, transcription, remote audit. Le renard, c'est l'IA, ou le prestataire tech, ou toi, en tant qu'audite, qui flatte et collecte les infos et les données en douce. Le corbeau ouvre son bec et laisse tomber son fromage et, ici, ses données sensibles. À trop se laisser séduire par la facilité, tu perds ta confidentialité. Alors que disent l'IAF et l'ISO sur le Remote Audit et l'IA ? ISO a publié des normes pour encadrer les audits à distance. Il y a donc l'ISO 17012 et l'ISO 17021-1. L'ISO 17012, c'est le guide qui dit comment réussir un audit à distance sans bug ni fuite. L'ISO 17021-1, c'est une exigence pour ton bureau de certification Et ça dit entre autres que sur site peut aussi être "virtuel". Pratique pour éviter que ton auditeur vienne juste pour cumuler des miles. Et l'IAF, elle a elle-même aussi publié un document public pour l'utilisation des TIC pour des buts d'évaluation de conformité. Mais c'est qui cette IAF ? Eh bien, comme en programmation orientée objet, c'est ta masterclass ou ta superclass. L'IAF définit les règles, attribue, et méthodes de vie que toutes les classes filles vont hériter ou adapter. Les bureaux d'accréditation et les bureaux de certification, puis en dessous, les bureaux de certification donc, sont des classes filles. L'IAF publie les MD, Mandatory Documents, les documents obligatoires, qui eux posent les méthodes et attributs. Et les organismes de certification, les classes filles donc, héritent de ces règles et doivent les appliquer. Parfois les spécialisant, ajout de méthodes, adaptation à un secteur, etc. Mais personne ne peut ignorer la masterclass. En tout cas, si tu veux être reconnu dans l'écosystème, en tant que bureau de certification, tu dois hériter de l'IAF. Bon, donc, et comment gère-t-on tout ça concrètement avec l'IA ? Je vais te donner un exemple réel. Dans nos mises à jour de programmes d'audit, ISO 42001, on a ajouté plusieurs garde-fous. Oui, les audits à distance sont possibles, mais on suit les normes ISO existantes. Oui, l'IA peut être utilisée, mais uniquement si la confidentialité est garantie. Oui, la visio est permise. Mais les interviews doivent être avec caméra on. Sinon, tu perds toute la communication non-verbale. Les transcriptions IA et enregistrements, uniquement si c'est géré par le client, pas par un service externe qu'on ne maîtrise pas. Et surtout, on met une clause claire dans nos contrats, dans nos plans d'audit et même dans le slide deck d'ouverture. Comme ça, la responsabilité est partagée et le client est informé dès le départ. Et puis tu me diras, oui mais, et la responsabilité dans tout ça ? Si tu penses que c'est juste un détail technique, détrompe-toi. En Europe, ça peut vite devenir une violation RGPD ou NIS 2. Et là, c'est ton CEO qui transpire. Jusqu'à 10 millions ou 2% du CA pour l'entreprise, chiffre d'affaires, ou jusqu'à 500 000 d'amende personnelle pour le dirigeant, si l'autorité estime qu'il n'a pas assuré la gouvernance. Donc non, ce n'est pas juste une histoire d'outils pratiques, c'est une question de gouvernance, de transparence et de protection juridique. Alors l'IA dans les audits ISO ? opportunité ou bombe à retardement pour moi c'est une opportunité si tu poses le cadre si tu informes ton client et si tu gardes la maîtrise pareil pour lui si ton client ou si le client définit comment tu peux l'auditer avec en utilisant de lire et bombe à retardement si tu laisses tes preuves d'audit transiter n'importe où sans précaution voilà c'était compliance with out coma si tu as aimé cet épisode partage le like le abonne toi Et rappelle-toi, la conformité n'est pas là pour endormir, mais pour te protéger et t'apporter de la valeur. Et si tu veux les références des normes et des documents que j'ai cités, demande-les-moi, c'est public. Si tu veux le contenu, tu devras faire comme moi également, payer l'ISO, c'est quelques francs en Suisse quand même. A la semaine prochaine déjà pour un nouvel épisode.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Mon super-pouvoir ?

👉 Transformer des exigences normatives en solutions concrètes et actionnables.

👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde).

👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût.

🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça.

Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-)

Pas de “consultant PowerPoint”.

Mais une vraie envie de transmettre, de questionner, et d’outiller.

Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit.

Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé.

Et si tu es dans les bouchons, écoutes moi ;-)

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Alors voici ce que je vais te partager dans cet épisode. D'abord, les problèmes déjà visibles. Procès, RGPD, confidentialité. Et le risque de se retrouver en plein far-west juridique. Ensuite, on verra pourquoi les preuves d'audit sont ultra sensibles et comment l'IA peut les mettre en danger. On parlera aussi des noms ISO et de l'IAF. ISO 42006, 17012, 17021-1 et comment elles encadrent les audits à distance. Et enfin... Je te donnerai mes conseils pratiques pour encadrer l'IA dans un audit ISO sans te retrouver devant un juge. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on parle d'un invité surprise, l'IA. Elle débarque partout, même dans nos audit ISO. Alors la question c'est, est-ce que ça va être un avantage ou une énorme responsabilité légale qui nous explose au visage ? Tu vas vite voir que la réponse dépend de toi. Alors le problème, parce qu'il y en a déjà. Alors tu me diras, oui mais Fab, où est le problème ? GDPR et vie privée, ça te parle ? Aux US, des boîtes comme Otter.AI ou RingCentral se sont déjà pris des procès. Pourquoi ? Pour avoir utilisé l'IA en douce pour enregistrer et analyser des conversations. Imagine ça en audit ISO. La norme ISO 42006 est faite pour les bureaux de certification qui réalisent des audits et des certifications d'AIMS. AIMS pour AI Management System. En gros... Tu prends la 27006, c'est la bible pour auditer la 27001. Et 42006 alors ? Pareil, mais version IA. C'est-à-dire que la 42006 te permet d'auditer la 42001, qui est le système de management de l'IA. Et comme tout rué vers l'or, on risque d'être dans le far-west des prestataires non encadrés. La 42006 vise donc à réguler un marché de l'audit IA encore trop informel. Et comme dans toute société... dans , il y a de tout, je vais te donner quelques conseils si tu te fais auditer avec de l'IA. L'évidence, la preuve en audit, c'est sensible. Bon, revenons à mon audit ISO et ce à quoi on doit faire attention. Qu'est-ce qu'on manipule dans un audit ISO ? Des données personnelles, de la propriété intellectuelle, des documents couverts par NDA, accord de non-divulgation, bref, des infos sensibles. Si tout ça passe dans un outil d'IA externe, Que ça soit un transcripteur automatique ou même un correcteur orthographique connecté, tu perds le contrôle. Et si ça fuite, tu risques d'aller au procès aussi. L'audit à distance et l'IA, donc le remote audit. Alors, je suis biaisé, hein. J'ai fait réciter récemment les fables de La Fontaine à mes filles. Je suis philosophe, ça tu savais déjà. Et au moment où j'ai écrit ce titre de podcast, le remote audit et l'IA... J'ai tout de suite pensé à la fable du corbeau et du renard. Le corbeau, c'est l'auditeur qui se croit malin avec ses nouveaux outils, IA, transcription, remote audit. Le renard, c'est l'IA, ou le prestataire tech, ou toi, en tant qu'audite, qui flatte et collecte les infos et les données en douce. Le corbeau ouvre son bec et laisse tomber son fromage et, ici, ses données sensibles. À trop se laisser séduire par la facilité, tu perds ta confidentialité. Alors que disent l'IAF et l'ISO sur le Remote Audit et l'IA ? ISO a publié des normes pour encadrer les audits à distance. Il y a donc l'ISO 17012 et l'ISO 17021-1. L'ISO 17012, c'est le guide qui dit comment réussir un audit à distance sans bug ni fuite. L'ISO 17021-1, c'est une exigence pour ton bureau de certification Et ça dit entre autres que sur site peut aussi être "virtuel". Pratique pour éviter que ton auditeur vienne juste pour cumuler des miles. Et l'IAF, elle a elle-même aussi publié un document public pour l'utilisation des TIC pour des buts d'évaluation de conformité. Mais c'est qui cette IAF ? Eh bien, comme en programmation orientée objet, c'est ta masterclass ou ta superclass. L'IAF définit les règles, attribue, et méthodes de vie que toutes les classes filles vont hériter ou adapter. Les bureaux d'accréditation et les bureaux de certification, puis en dessous, les bureaux de certification donc, sont des classes filles. L'IAF publie les MD, Mandatory Documents, les documents obligatoires, qui eux posent les méthodes et attributs. Et les organismes de certification, les classes filles donc, héritent de ces règles et doivent les appliquer. Parfois les spécialisant, ajout de méthodes, adaptation à un secteur, etc. Mais personne ne peut ignorer la masterclass. En tout cas, si tu veux être reconnu dans l'écosystème, en tant que bureau de certification, tu dois hériter de l'IAF. Bon, donc, et comment gère-t-on tout ça concrètement avec l'IA ? Je vais te donner un exemple réel. Dans nos mises à jour de programmes d'audit, ISO 42001, on a ajouté plusieurs garde-fous. Oui, les audits à distance sont possibles, mais on suit les normes ISO existantes. Oui, l'IA peut être utilisée, mais uniquement si la confidentialité est garantie. Oui, la visio est permise. Mais les interviews doivent être avec caméra on. Sinon, tu perds toute la communication non-verbale. Les transcriptions IA et enregistrements, uniquement si c'est géré par le client, pas par un service externe qu'on ne maîtrise pas. Et surtout, on met une clause claire dans nos contrats, dans nos plans d'audit et même dans le slide deck d'ouverture. Comme ça, la responsabilité est partagée et le client est informé dès le départ. Et puis tu me diras, oui mais, et la responsabilité dans tout ça ? Si tu penses que c'est juste un détail technique, détrompe-toi. En Europe, ça peut vite devenir une violation RGPD ou NIS 2. Et là, c'est ton CEO qui transpire. Jusqu'à 10 millions ou 2% du CA pour l'entreprise, chiffre d'affaires, ou jusqu'à 500 000 d'amende personnelle pour le dirigeant, si l'autorité estime qu'il n'a pas assuré la gouvernance. Donc non, ce n'est pas juste une histoire d'outils pratiques, c'est une question de gouvernance, de transparence et de protection juridique. Alors l'IA dans les audits ISO ? opportunité ou bombe à retardement pour moi c'est une opportunité si tu poses le cadre si tu informes ton client et si tu gardes la maîtrise pareil pour lui si ton client ou si le client définit comment tu peux l'auditer avec en utilisant de lire et bombe à retardement si tu laisses tes preuves d'audit transiter n'importe où sans précaution voilà c'était compliance with out coma si tu as aimé cet épisode partage le like le abonne toi Et rappelle-toi, la conformité n'est pas là pour endormir, mais pour te protéger et t'apporter de la valeur. Et si tu veux les références des normes et des documents que j'ai cités, demande-les-moi, c'est public. Si tu veux le contenu, tu devras faire comme moi également, payer l'ISO, c'est quelques francs en Suisse quand même. A la semaine prochaine déjà pour un nouvel épisode.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed