Episode 24 : Pourquoi nos peurs déforment-elles notre perception des risques en cybersécurité ? | Compliance Without coma

Description

Saviez-vous que le moustique est en réalité l'animal le plus meurtrier de notre planète, bien avant le requin ? Cette révélation surprenante est le point de départ de notre discussion dans cet épisode de Compliance Without Coma. Fabrice De Paepe nous entraîne dans un voyage à travers le monde de la cybersécurité et de la gouvernance, en nous montrant comment nos peurs peuvent altérer notre perception des risques.

Nous avons tous tendance à exagérer certains dangers tout en sous-estimant d'autres, et cela a des conséquences majeures sur nos décisions. Grâce à des analogies percutantes et des exemples historiques, comme les événements tragiques du 11 septembre ou la pandémie de Covid-19, Fabrice met en lumière les biais de perception qui influencent notre évaluation des menaces.

Mais pourquoi réagissons-nous ainsi ? Les neurosciences nous offrent des réponses. Fabrice explique comment l'amygdale, notre centre de réaction instinctive, peut prendre le dessus sur le cortex préfrontal, qui est responsable de notre analyse rationnelle. Cette lutte interne entre instinct et raison est cruciale pour comprendre comment nous percevons les risques dans un monde en constante évolution.

Dans cet épisode de Compliance Without Coma, il est essentiel de souligner l'importance d'une analyse de risque équilibrée. En prenant en compte à la fois les menaces et les opportunités, nous pouvons non seulement mieux naviguer dans l'incertitude, mais aussi favoriser l'innovation. En effet, bloquer des projets par peur peut nous priver d'opportunités précieuses.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Centres de données, puis très vite dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité de l’information, la conformité, et surtout la gouvernance.

J’ai accompagné des dizaines de structures (PME, multinationales, institutions publiques) dans leurs démarches de mise en conformité. Je suis à la fois consultant, auditeur, formateur, et parfois même traducteur de jargon technique

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu as peur des requins ? Non ? Bon alors pense à autre chose. Une souris, un rat, une grosse araignée velue, un scorpion, un serpent, un hippopotame. Tu les as ? Bravo ! Et bien figure-toi que l'animal qui tue le plus chaque année, c'est le moustique. Plus d'un million de décès par an, rien qu'en 2024. Paludisme, dingue, fièvre jaune, zika... Le moustique, c'est le vrai serial killer de la planète. Pourquoi je te parle de ça ? Parce que c'est la meilleure entrée en matière pour comprendre nos peurs. Et quand la peur débarque, notre rationalité prend la porte. On peut alors surévaluer un risque ou complètement le sous-estimer. Bonjour à toi ! Et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. Mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice Depape et aujourd'hui, on va parler de ton cerveau, de tes peurs et de la manière dont elles biaisent ton analyse de risque. Alors dis-moi, tu as peur de quoi ? Des requins ? D'un blackout généralisé ? Ça ne s'est pas produit au Portugal cette année. Ou plutôt de l'audit ISO qui t'attend la semaine prochaine ? Parce que oui ! Les scénarios catastrophes, on en invente tous. Certains ne se produiront jamais, d'autres arrivent sans prévenir. Souviens-toi, en 2025, le blackout ibérique, un enchaînement de surtentions, des déconnexions en cascade et un réseau électrique qui ne suit plus, parce qu'on a déployé trop vite du photovoltaïque. Moralité, le risque n'était pas seulement technique, c'était aussi un risque de gouvernance et un manque d'anticipation. Et là, on est déjà dans la continuité d'activité, donc oui, Cyber et continuité, c'est le même combat. Mais revenons à nos animaux. T'as peur des requins, par exemple. Statistiquement, 10 morts par an dans le monde. Mais Spielberg nous a laissé un héritage émotionnel, les dents de la mer. Résultat, l'amidale s'emballe. Et pourtant, l'éléphant tue 10 fois plus. Et l'hippopotame, 50 fois plus. Mais on en parle moins. Donc, ton cerveau ne flippe pas. Moralité, ta perception du risque est biaisée. Pas par les chiffres. par ton vécu, par ce que tu vois et par ce que tu entends dans les médias. Alors, parlons neurosciences. L'amidale, c'est ton détecteur d'incendie, une petite amende dans ton cerveau qui déclenche l'alerte dès qu'un danger surgit. C'est rapide, c'est instinctif, mais parfois ça s'emballe. Le cortex préfrontal, lui, c'est le pompier rationnel. Il analyse, il compare, et il peut dire à ton amidale « Eh oh, calme-toi, c'était juste le frigo, pas un cambrioleur » . En entreprise, c'est pareil. Un incident, une faille, une alerte et certains paniquent. Parce que l'amidale a pris le contrôle. Mais avec de l'entraînement, des drills, des répétitions, tu actives ton préfrontal. Tu gardes ton sang froid et tu prends de meilleures décisions. Tu vois, l'analyse de risque, ce n'est pas si rationnel qu'on voudrait le croire. Deux personnes différentes, deux vécus différents. Et hop, deux évaluations de risque opposées. C'est ce qu'on appelle le biais de perception. Et il ne s'arrête pas là. Souviens-toi du 11 septembre. Personne n'avait imaginé un avion dans une tour. Encore moins deux avions dans deux tours jumelles, en moins de 20 minutes. Depuis ce jour, notre perception du risque aérien a changé. Même si, statistiquement, l'avion reste le moyen de transport le plus sûr. Tu vois, le cerveau retient les catastrophes, les Black Swan, mais il oublie vite l'histoire avec un grand H. Le Covid par exemple. On pensait qu'une pandémie mondiale c'était fini. Et pourtant, grippe espagnole... peste noire, H1N1, l'histoire nous avait prévenu. Alors faisons un détour par la gestion des risques. Savais-tu qu'il y existait trois types de risques ? Les risques négatifs, perte, menace, attaque. Les risques neutres, sans impact, je veux dire, sans impact significatif pour ton business. Et les risques positifs, les opportunités. Et c'est là que ça coince, parce que notre cerveau déteste le mot risque, alors qu'en anglais, on dit take a chance. Prends une opportunité. En français, le risque est perçu de manière négative. Une migration cloud, par exemple. Tu prends un risque technique, mais tu peux gagner en performance et en agilité. Le problème ? On dramatise les risques négatifs et on sous-estime les positifs. D'ailleurs, Kahneman et Tversky l'avaient démontré. Perdre 100 euros, ça fait deux fois plus mal que le plaisir d'en gagner 100. Résultat ? On freine l'innovation, on bloque des projets, juste par peur que ça casse. Et la norme ISO 27005, là-dedans, elle se concentre sur les menaces. C'est utile, on est d'accord. Mais c'est biaisé par construction. Dans l'ISO 31000, sa grande sœur corporate, le risque est une incertitude sur les objectifs. C'est pas forcément négatif, si tu écoutes bien. Et Epios Risk Manager, en France, va encore plus loin. Elle permet d'analyser les scénarios stratégiques, y compris des opportunités. Donc soyons clairs, une bonne analyse de risque, c'est pas une boule de cristal. Tu vas te tromper. Mais c'est pas grave. Tu as le PDCA pour corriger. L'important, c'est d'éviter les éléphants dans le couloir. Les risques énormes qu'on ne peut pas rater, et d'arrêter de courir après les « signes noirs » improbables. Alors voilà ma conclusion. Si tu ne veux pas voir ton amygdale dessinée à ta place, entraîne ton cortex préfrontal. Si tu es ciseau, apprends à parler opportunité, pas seulement menace et risque. Et si tu es entrepreneur, suis ta peur. C'est peut-être là que la magie commence. Merci d'avoir écouté cet épisode de Compliance Without Coma. Abonne-toi, partage-le avec quelqu'un qui a plus peur d'un requin que d'un moustique. Et on se retrouve déjà vendredi prochain.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu as peur des requins ? Non ? Bon alors pense à autre chose. Une souris, un rat, une grosse araignée velue, un scorpion, un serpent, un hippopotame. Tu les as ? Bravo ! Et bien figure-toi que l'animal qui tue le plus chaque année, c'est le moustique. Plus d'un million de décès par an, rien qu'en 2024. Paludisme, dingue, fièvre jaune, zika... Le moustique, c'est le vrai serial killer de la planète. Pourquoi je te parle de ça ? Parce que c'est la meilleure entrée en matière pour comprendre nos peurs. Et quand la peur débarque, notre rationalité prend la porte. On peut alors surévaluer un risque ou complètement le sous-estimer. Bonjour à toi ! Et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. Mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice Depape et aujourd'hui, on va parler de ton cerveau, de tes peurs et de la manière dont elles biaisent ton analyse de risque. Alors dis-moi, tu as peur de quoi ? Des requins ? D'un blackout généralisé ? Ça ne s'est pas produit au Portugal cette année. Ou plutôt de l'audit ISO qui t'attend la semaine prochaine ? Parce que oui ! Les scénarios catastrophes, on en invente tous. Certains ne se produiront jamais, d'autres arrivent sans prévenir. Souviens-toi, en 2025, le blackout ibérique, un enchaînement de surtentions, des déconnexions en cascade et un réseau électrique qui ne suit plus, parce qu'on a déployé trop vite du photovoltaïque. Moralité, le risque n'était pas seulement technique, c'était aussi un risque de gouvernance et un manque d'anticipation. Et là, on est déjà dans la continuité d'activité, donc oui, Cyber et continuité, c'est le même combat. Mais revenons à nos animaux. T'as peur des requins, par exemple. Statistiquement, 10 morts par an dans le monde. Mais Spielberg nous a laissé un héritage émotionnel, les dents de la mer. Résultat, l'amidale s'emballe. Et pourtant, l'éléphant tue 10 fois plus. Et l'hippopotame, 50 fois plus. Mais on en parle moins. Donc, ton cerveau ne flippe pas. Moralité, ta perception du risque est biaisée. Pas par les chiffres. par ton vécu, par ce que tu vois et par ce que tu entends dans les médias. Alors, parlons neurosciences. L'amidale, c'est ton détecteur d'incendie, une petite amende dans ton cerveau qui déclenche l'alerte dès qu'un danger surgit. C'est rapide, c'est instinctif, mais parfois ça s'emballe. Le cortex préfrontal, lui, c'est le pompier rationnel. Il analyse, il compare, et il peut dire à ton amidale « Eh oh, calme-toi, c'était juste le frigo, pas un cambrioleur » . En entreprise, c'est pareil. Un incident, une faille, une alerte et certains paniquent. Parce que l'amidale a pris le contrôle. Mais avec de l'entraînement, des drills, des répétitions, tu actives ton préfrontal. Tu gardes ton sang froid et tu prends de meilleures décisions. Tu vois, l'analyse de risque, ce n'est pas si rationnel qu'on voudrait le croire. Deux personnes différentes, deux vécus différents. Et hop, deux évaluations de risque opposées. C'est ce qu'on appelle le biais de perception. Et il ne s'arrête pas là. Souviens-toi du 11 septembre. Personne n'avait imaginé un avion dans une tour. Encore moins deux avions dans deux tours jumelles, en moins de 20 minutes. Depuis ce jour, notre perception du risque aérien a changé. Même si, statistiquement, l'avion reste le moyen de transport le plus sûr. Tu vois, le cerveau retient les catastrophes, les Black Swan, mais il oublie vite l'histoire avec un grand H. Le Covid par exemple. On pensait qu'une pandémie mondiale c'était fini. Et pourtant, grippe espagnole... peste noire, H1N1, l'histoire nous avait prévenu. Alors faisons un détour par la gestion des risques. Savais-tu qu'il y existait trois types de risques ? Les risques négatifs, perte, menace, attaque. Les risques neutres, sans impact, je veux dire, sans impact significatif pour ton business. Et les risques positifs, les opportunités. Et c'est là que ça coince, parce que notre cerveau déteste le mot risque, alors qu'en anglais, on dit take a chance. Prends une opportunité. En français, le risque est perçu de manière négative. Une migration cloud, par exemple. Tu prends un risque technique, mais tu peux gagner en performance et en agilité. Le problème ? On dramatise les risques négatifs et on sous-estime les positifs. D'ailleurs, Kahneman et Tversky l'avaient démontré. Perdre 100 euros, ça fait deux fois plus mal que le plaisir d'en gagner 100. Résultat ? On freine l'innovation, on bloque des projets, juste par peur que ça casse. Et la norme ISO 27005, là-dedans, elle se concentre sur les menaces. C'est utile, on est d'accord. Mais c'est biaisé par construction. Dans l'ISO 31000, sa grande sœur corporate, le risque est une incertitude sur les objectifs. C'est pas forcément négatif, si tu écoutes bien. Et Epios Risk Manager, en France, va encore plus loin. Elle permet d'analyser les scénarios stratégiques, y compris des opportunités. Donc soyons clairs, une bonne analyse de risque, c'est pas une boule de cristal. Tu vas te tromper. Mais c'est pas grave. Tu as le PDCA pour corriger. L'important, c'est d'éviter les éléphants dans le couloir. Les risques énormes qu'on ne peut pas rater, et d'arrêter de courir après les « signes noirs » improbables. Alors voilà ma conclusion. Si tu ne veux pas voir ton amygdale dessinée à ta place, entraîne ton cortex préfrontal. Si tu es ciseau, apprends à parler opportunité, pas seulement menace et risque. Et si tu es entrepreneur, suis ta peur. C'est peut-être là que la magie commence. Merci d'avoir écouté cet épisode de Compliance Without Coma. Abonne-toi, partage-le avec quelqu'un qui a plus peur d'un requin que d'un moustique. Et on se retrouve déjà vendredi prochain.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu as peur des requins ? Non ? Bon alors pense à autre chose. Une souris, un rat, une grosse araignée velue, un scorpion, un serpent, un hippopotame. Tu les as ? Bravo ! Et bien figure-toi que l'animal qui tue le plus chaque année, c'est le moustique. Plus d'un million de décès par an, rien qu'en 2024. Paludisme, dingue, fièvre jaune, zika... Le moustique, c'est le vrai serial killer de la planète. Pourquoi je te parle de ça ? Parce que c'est la meilleure entrée en matière pour comprendre nos peurs. Et quand la peur débarque, notre rationalité prend la porte. On peut alors surévaluer un risque ou complètement le sous-estimer. Bonjour à toi ! Et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. Mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice Depape et aujourd'hui, on va parler de ton cerveau, de tes peurs et de la manière dont elles biaisent ton analyse de risque. Alors dis-moi, tu as peur de quoi ? Des requins ? D'un blackout généralisé ? Ça ne s'est pas produit au Portugal cette année. Ou plutôt de l'audit ISO qui t'attend la semaine prochaine ? Parce que oui ! Les scénarios catastrophes, on en invente tous. Certains ne se produiront jamais, d'autres arrivent sans prévenir. Souviens-toi, en 2025, le blackout ibérique, un enchaînement de surtentions, des déconnexions en cascade et un réseau électrique qui ne suit plus, parce qu'on a déployé trop vite du photovoltaïque. Moralité, le risque n'était pas seulement technique, c'était aussi un risque de gouvernance et un manque d'anticipation. Et là, on est déjà dans la continuité d'activité, donc oui, Cyber et continuité, c'est le même combat. Mais revenons à nos animaux. T'as peur des requins, par exemple. Statistiquement, 10 morts par an dans le monde. Mais Spielberg nous a laissé un héritage émotionnel, les dents de la mer. Résultat, l'amidale s'emballe. Et pourtant, l'éléphant tue 10 fois plus. Et l'hippopotame, 50 fois plus. Mais on en parle moins. Donc, ton cerveau ne flippe pas. Moralité, ta perception du risque est biaisée. Pas par les chiffres. par ton vécu, par ce que tu vois et par ce que tu entends dans les médias. Alors, parlons neurosciences. L'amidale, c'est ton détecteur d'incendie, une petite amende dans ton cerveau qui déclenche l'alerte dès qu'un danger surgit. C'est rapide, c'est instinctif, mais parfois ça s'emballe. Le cortex préfrontal, lui, c'est le pompier rationnel. Il analyse, il compare, et il peut dire à ton amidale « Eh oh, calme-toi, c'était juste le frigo, pas un cambrioleur » . En entreprise, c'est pareil. Un incident, une faille, une alerte et certains paniquent. Parce que l'amidale a pris le contrôle. Mais avec de l'entraînement, des drills, des répétitions, tu actives ton préfrontal. Tu gardes ton sang froid et tu prends de meilleures décisions. Tu vois, l'analyse de risque, ce n'est pas si rationnel qu'on voudrait le croire. Deux personnes différentes, deux vécus différents. Et hop, deux évaluations de risque opposées. C'est ce qu'on appelle le biais de perception. Et il ne s'arrête pas là. Souviens-toi du 11 septembre. Personne n'avait imaginé un avion dans une tour. Encore moins deux avions dans deux tours jumelles, en moins de 20 minutes. Depuis ce jour, notre perception du risque aérien a changé. Même si, statistiquement, l'avion reste le moyen de transport le plus sûr. Tu vois, le cerveau retient les catastrophes, les Black Swan, mais il oublie vite l'histoire avec un grand H. Le Covid par exemple. On pensait qu'une pandémie mondiale c'était fini. Et pourtant, grippe espagnole... peste noire, H1N1, l'histoire nous avait prévenu. Alors faisons un détour par la gestion des risques. Savais-tu qu'il y existait trois types de risques ? Les risques négatifs, perte, menace, attaque. Les risques neutres, sans impact, je veux dire, sans impact significatif pour ton business. Et les risques positifs, les opportunités. Et c'est là que ça coince, parce que notre cerveau déteste le mot risque, alors qu'en anglais, on dit take a chance. Prends une opportunité. En français, le risque est perçu de manière négative. Une migration cloud, par exemple. Tu prends un risque technique, mais tu peux gagner en performance et en agilité. Le problème ? On dramatise les risques négatifs et on sous-estime les positifs. D'ailleurs, Kahneman et Tversky l'avaient démontré. Perdre 100 euros, ça fait deux fois plus mal que le plaisir d'en gagner 100. Résultat ? On freine l'innovation, on bloque des projets, juste par peur que ça casse. Et la norme ISO 27005, là-dedans, elle se concentre sur les menaces. C'est utile, on est d'accord. Mais c'est biaisé par construction. Dans l'ISO 31000, sa grande sœur corporate, le risque est une incertitude sur les objectifs. C'est pas forcément négatif, si tu écoutes bien. Et Epios Risk Manager, en France, va encore plus loin. Elle permet d'analyser les scénarios stratégiques, y compris des opportunités. Donc soyons clairs, une bonne analyse de risque, c'est pas une boule de cristal. Tu vas te tromper. Mais c'est pas grave. Tu as le PDCA pour corriger. L'important, c'est d'éviter les éléphants dans le couloir. Les risques énormes qu'on ne peut pas rater, et d'arrêter de courir après les « signes noirs » improbables. Alors voilà ma conclusion. Si tu ne veux pas voir ton amygdale dessinée à ta place, entraîne ton cortex préfrontal. Si tu es ciseau, apprends à parler opportunité, pas seulement menace et risque. Et si tu es entrepreneur, suis ta peur. C'est peut-être là que la magie commence. Merci d'avoir écouté cet épisode de Compliance Without Coma. Abonne-toi, partage-le avec quelqu'un qui a plus peur d'un requin que d'un moustique. Et on se retrouve déjà vendredi prochain.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube.

Je m’appelle Fabrice De Paepe.

Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu as peur des requins ? Non ? Bon alors pense à autre chose. Une souris, un rat, une grosse araignée velue, un scorpion, un serpent, un hippopotame. Tu les as ? Bravo ! Et bien figure-toi que l'animal qui tue le plus chaque année, c'est le moustique. Plus d'un million de décès par an, rien qu'en 2024. Paludisme, dingue, fièvre jaune, zika... Le moustique, c'est le vrai serial killer de la planète. Pourquoi je te parle de ça ? Parce que c'est la meilleure entrée en matière pour comprendre nos peurs. Et quand la peur débarque, notre rationalité prend la porte. On peut alors surévaluer un risque ou complètement le sous-estimer. Bonjour à toi ! Et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO. Mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice Depape et aujourd'hui, on va parler de ton cerveau, de tes peurs et de la manière dont elles biaisent ton analyse de risque. Alors dis-moi, tu as peur de quoi ? Des requins ? D'un blackout généralisé ? Ça ne s'est pas produit au Portugal cette année. Ou plutôt de l'audit ISO qui t'attend la semaine prochaine ? Parce que oui ! Les scénarios catastrophes, on en invente tous. Certains ne se produiront jamais, d'autres arrivent sans prévenir. Souviens-toi, en 2025, le blackout ibérique, un enchaînement de surtentions, des déconnexions en cascade et un réseau électrique qui ne suit plus, parce qu'on a déployé trop vite du photovoltaïque. Moralité, le risque n'était pas seulement technique, c'était aussi un risque de gouvernance et un manque d'anticipation. Et là, on est déjà dans la continuité d'activité, donc oui, Cyber et continuité, c'est le même combat. Mais revenons à nos animaux. T'as peur des requins, par exemple. Statistiquement, 10 morts par an dans le monde. Mais Spielberg nous a laissé un héritage émotionnel, les dents de la mer. Résultat, l'amidale s'emballe. Et pourtant, l'éléphant tue 10 fois plus. Et l'hippopotame, 50 fois plus. Mais on en parle moins. Donc, ton cerveau ne flippe pas. Moralité, ta perception du risque est biaisée. Pas par les chiffres. par ton vécu, par ce que tu vois et par ce que tu entends dans les médias. Alors, parlons neurosciences. L'amidale, c'est ton détecteur d'incendie, une petite amende dans ton cerveau qui déclenche l'alerte dès qu'un danger surgit. C'est rapide, c'est instinctif, mais parfois ça s'emballe. Le cortex préfrontal, lui, c'est le pompier rationnel. Il analyse, il compare, et il peut dire à ton amidale « Eh oh, calme-toi, c'était juste le frigo, pas un cambrioleur » . En entreprise, c'est pareil. Un incident, une faille, une alerte et certains paniquent. Parce que l'amidale a pris le contrôle. Mais avec de l'entraînement, des drills, des répétitions, tu actives ton préfrontal. Tu gardes ton sang froid et tu prends de meilleures décisions. Tu vois, l'analyse de risque, ce n'est pas si rationnel qu'on voudrait le croire. Deux personnes différentes, deux vécus différents. Et hop, deux évaluations de risque opposées. C'est ce qu'on appelle le biais de perception. Et il ne s'arrête pas là. Souviens-toi du 11 septembre. Personne n'avait imaginé un avion dans une tour. Encore moins deux avions dans deux tours jumelles, en moins de 20 minutes. Depuis ce jour, notre perception du risque aérien a changé. Même si, statistiquement, l'avion reste le moyen de transport le plus sûr. Tu vois, le cerveau retient les catastrophes, les Black Swan, mais il oublie vite l'histoire avec un grand H. Le Covid par exemple. On pensait qu'une pandémie mondiale c'était fini. Et pourtant, grippe espagnole... peste noire, H1N1, l'histoire nous avait prévenu. Alors faisons un détour par la gestion des risques. Savais-tu qu'il y existait trois types de risques ? Les risques négatifs, perte, menace, attaque. Les risques neutres, sans impact, je veux dire, sans impact significatif pour ton business. Et les risques positifs, les opportunités. Et c'est là que ça coince, parce que notre cerveau déteste le mot risque, alors qu'en anglais, on dit take a chance. Prends une opportunité. En français, le risque est perçu de manière négative. Une migration cloud, par exemple. Tu prends un risque technique, mais tu peux gagner en performance et en agilité. Le problème ? On dramatise les risques négatifs et on sous-estime les positifs. D'ailleurs, Kahneman et Tversky l'avaient démontré. Perdre 100 euros, ça fait deux fois plus mal que le plaisir d'en gagner 100. Résultat ? On freine l'innovation, on bloque des projets, juste par peur que ça casse. Et la norme ISO 27005, là-dedans, elle se concentre sur les menaces. C'est utile, on est d'accord. Mais c'est biaisé par construction. Dans l'ISO 31000, sa grande sœur corporate, le risque est une incertitude sur les objectifs. C'est pas forcément négatif, si tu écoutes bien. Et Epios Risk Manager, en France, va encore plus loin. Elle permet d'analyser les scénarios stratégiques, y compris des opportunités. Donc soyons clairs, une bonne analyse de risque, c'est pas une boule de cristal. Tu vas te tromper. Mais c'est pas grave. Tu as le PDCA pour corriger. L'important, c'est d'éviter les éléphants dans le couloir. Les risques énormes qu'on ne peut pas rater, et d'arrêter de courir après les « signes noirs » improbables. Alors voilà ma conclusion. Si tu ne veux pas voir ton amygdale dessinée à ta place, entraîne ton cortex préfrontal. Si tu es ciseau, apprends à parler opportunité, pas seulement menace et risque. Et si tu es entrepreneur, suis ta peur. C'est peut-être là que la magie commence. Merci d'avoir écouté cet épisode de Compliance Without Coma. Abonne-toi, partage-le avec quelqu'un qui a plus peur d'un requin que d'un moustique. Et on se retrouve déjà vendredi prochain.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed