Episode 26 : Pourquoi la capacité du risque est-elle essentielle pour la survie de votre entreprise | Compliance Without coma

Description

Êtes-vous vraiment conscient de la capacité de risque de votre entreprise ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous plonge dans l'univers souvent nébuleux des normes ISO et de la gestion des risques. La capacité de risque, un terme qui peut sembler complexe, est en réalité une notion essentielle pour la survie de votre entreprise. Elle définit la perte maximale que vous pouvez supporter avant que votre organisation ne soit en péril. Mais comment la distinguer de l'appétit et de la tolérance au risque ? C'est ce que Fabrice s'apprête à clarifier pour vous.

À travers des exemples concrets comme l'investissement en crypto-monnaies et les licenciements abusifs, il illustre l'importance cruciale de comprendre votre capacité de risque. Ces anecdotes ne sont pas seulement des histoires ; elles sont des leçons qui pourraient bien transformer votre approche de la gestion des risques. Imaginez la scène : un Chief Information Security Officer (CISO) et un Chief Risk Officer (CRO) tentent de communiquer, mais sans un langage commun, leurs efforts sont voués à l'échec. Fabrice nous rappelle à quel point il est vital d'établir une communication claire et efficace au sein de votre équipe pour naviguer dans les eaux tumultueuses de la gestion des risques.

Au fil de cet épisode, vous découvrirez comment la capacité de risque peut influencer vos décisions stratégiques et vous aider à éviter de dépasser les limites critiques de votre organisation. Fabrice nous encourage à remettre en question notre compréhension des risques et à nous concentrer sur la capacité réelle de notre entreprise à faire face aux imprévus. En adoptant une approche proactive, vous pourrez non seulement protéger votre entreprise, mais aussi la préparer à prospérer dans un environnement incertain.

Ne laissez pas l'incertitude vous paralyser ! Écoutez cet épisode de Compliance Without Coma pour acquérir des outils pratiques et des réflexions sur la capacité de risque. Vous repartirez avec des idées claires et des stratégies concrètes pour renforcer la résilience de votre entreprise face aux défis futurs. N'attendez plus, plongez dans cet épisode et transformez votre vision de la gestion des risques !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu savais, toi, ce que c'était une capacité de risque ? Non ? Eh bien c'est normal. Moi non plus. Je n'en avais jamais entendu parler, ni dans l'ISO 31000, ni dans l'ISO 27005. Ces deux-là parlent d'appétit du risque, de tolérance et d'acceptation, mais jamais de capacité. Et pourtant cette notion change tout. Parce qu'aujourd'hui, on va parler de ce qu'est vraiment la capacité de risque, de deux exemples concrets pour bien la comprendre, la crypto-monnaie et... le licenciement, abusif ou non, de 100 personnes, et d'une anecdote vécue entre un CISO et un CRO qui ne parlaient pas le même langage. Et tu verras pourquoi la certification CRISC de l'ISACA a eu raison d'intégrer ce concept, là où les ISO se sont un peu endormis. D'ailleurs, c'est en alignant nos slides avec la nouvelle version de la certification que j'ai eu l'idée de ce podcast. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je vais t'aider à comprendre ce qu'il y a au-delà du risque acceptable, et comment parler le langage des décideurs. Alors boucle ta ceinture, c'est parti ! En alignant mes slides sur la dernière mise à jour du cours CRISC de l'ISACA, je suis tombé sur cette phrase. La capacité du risque, c'est la perte totale qu'une entreprise peut tolérer avant que son existence soit menacée. Et là je me suis dit, mais oui c'est évident, parce qu'en fait, dans toute les normes ISO, on te parle de gérer le risque, déterminer l'appétit, accepter ou non un scénario, mais personne ne te dit où se trouve la ligne rouge, le point où ton organisation ne se relève plus. C'est ça, la capacité du risque. Prenons un exemple simple. Tu as 1000 euros d'économie, c'est ta risk capacity, ta limite absolue. Tu investis 700 euros dans les cryptos, c'est ton appétit du risque. Tu te laisses une marge de manœuvre de, disons, 200 euros de tolérance. Si le marché s'envole et que tu veux en profiter, tu l'utilises. Les 100 euros restants, c'est ta survie. Si tu touches à ça, tu as dépassé ta capacité ou tu l'as égalée. Et crois-moi, beaucoup d'entreprises vivent dans cette zone-là sans le savoir. Elles pensent qu'elles acceptent leurs risques alors qu'elles s'enfoncent lentement au-delà du supportable. Et le deuxième exemple m'est venu en regardant bêtement une émission d'investigation sur une chaîne française. Une entreprise décide de licencier 100 personnes. Elle sait qu'elle peut tenir financièrement jusqu'à 7% de plainte pour licenciement abusif aux prud'homme avant d'être en difficulté. C'est pas du tout éthique ce que je te dis, mais c'est pour démontrer que l'entreprise... a pris un risque et que son risque est estimé à 7%. Elle a une capacité de 7% derrière ça. Et son appétit est de 5%. Et sa tolérance est donc de 2%. C'est-à-dire qu'elle a mis un premier buffer à 5%, mais elle ne peut en aucun cas dépasser les 2% restants, ce qui ferait 7%. C'est la limite. Au-delà de ça, elle n'a pas le budget, elle dépasse le seuil et elle peut s'écrouler ou relocaliser. Et là, on comprend que la capacité, c'est pas juste un indicateur. C'est la frontière entre la gestion et la survie. Et c'est justement là qu'on transcende mon anecdote avec un CISO. Un gars brillant, technique, rigoureux, il remontait plein de risques à son chief risk officer. Des scénarios crédibles, documentés, conformes à l'ISO, conformes à leur politique interne. Mais le CRO, lui, il restait dans son coin, il ne réagissait pas. Rien ne bougeait, silence radio. Et lui, le CISO, il ne comprenait pas. Parce que du point de vue cyber, les risques étaient bien réels. Mais du point de vue business, ils n'étaient pas prioritaires. En clair, chacun pensait que l'autre savait. Mais ils ne parlaient pas la même langue. Alors je lui ai dit, il te manque une brique dans ton analyse. La capacité de risque. Tu dois savoir, pour chaque gros scénario, quelle est la vraie limite de ton organisation. Pas juste si ça fait un peu mal. mal, ou voire très mal sur ton tableau ISO d'impact, mais va chercher le point de rupture, le vrai. Et ça a tout changé. Parce que dès qu'il a intégré cette logique, le CRO a commencé à l'écouter différemment. Il ne voyait plus un cyber-alarmiste, mais un partenaire stratégique qui pensait en termes de résilience globale, et il était passé du mode « je signale les risques » à Je protège les actifs critiques dans les limites de notre capacité réelle. Et là, tu gagnes ta place à la table des grands. Et franchement, c'est là qu'on voit la limite des ISO. Elles parlent de tolérance, d'appétit, de traitement, mais jamais de capacité. Comme si on pouvait empiler les risques à l'infini tant qu'on les avait acceptés. Le CRISC, lui, est beaucoup plus lucide. Il te force à poser la question que personne n'aime poser. Jusqu'où on tient ? Mais vraiment. Parce que tant qu'on n'a pas défini cette ligne, on pilote dans le brouillard avec un faux sentiment de contrôle. Alors la prochaine fois qu'on te parle d'appétit du risque, pose la question qui tue. Et notre capacité, elle est où ? Je te promets, ça crée toujours un silence dans la salle. Allez, à méditer pendant ton café. Et si t'aimes ce genre d'épisode, celui où on relit les normes, la vraie vie et les conversations qu'on n'a jamais, abonne-toi à Compliance Without Coma. Ici, on parle de risque, entre autres, mais sans anesthésie. A vendredi prochain mes petits coma breakers.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu savais, toi, ce que c'était une capacité de risque ? Non ? Eh bien c'est normal. Moi non plus. Je n'en avais jamais entendu parler, ni dans l'ISO 31000, ni dans l'ISO 27005. Ces deux-là parlent d'appétit du risque, de tolérance et d'acceptation, mais jamais de capacité. Et pourtant cette notion change tout. Parce qu'aujourd'hui, on va parler de ce qu'est vraiment la capacité de risque, de deux exemples concrets pour bien la comprendre, la crypto-monnaie et... le licenciement, abusif ou non, de 100 personnes, et d'une anecdote vécue entre un CISO et un CRO qui ne parlaient pas le même langage. Et tu verras pourquoi la certification CRISC de l'ISACA a eu raison d'intégrer ce concept, là où les ISO se sont un peu endormis. D'ailleurs, c'est en alignant nos slides avec la nouvelle version de la certification que j'ai eu l'idée de ce podcast. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je vais t'aider à comprendre ce qu'il y a au-delà du risque acceptable, et comment parler le langage des décideurs. Alors boucle ta ceinture, c'est parti ! En alignant mes slides sur la dernière mise à jour du cours CRISC de l'ISACA, je suis tombé sur cette phrase. La capacité du risque, c'est la perte totale qu'une entreprise peut tolérer avant que son existence soit menacée. Et là je me suis dit, mais oui c'est évident, parce qu'en fait, dans toute les normes ISO, on te parle de gérer le risque, déterminer l'appétit, accepter ou non un scénario, mais personne ne te dit où se trouve la ligne rouge, le point où ton organisation ne se relève plus. C'est ça, la capacité du risque. Prenons un exemple simple. Tu as 1000 euros d'économie, c'est ta risk capacity, ta limite absolue. Tu investis 700 euros dans les cryptos, c'est ton appétit du risque. Tu te laisses une marge de manœuvre de, disons, 200 euros de tolérance. Si le marché s'envole et que tu veux en profiter, tu l'utilises. Les 100 euros restants, c'est ta survie. Si tu touches à ça, tu as dépassé ta capacité ou tu l'as égalée. Et crois-moi, beaucoup d'entreprises vivent dans cette zone-là sans le savoir. Elles pensent qu'elles acceptent leurs risques alors qu'elles s'enfoncent lentement au-delà du supportable. Et le deuxième exemple m'est venu en regardant bêtement une émission d'investigation sur une chaîne française. Une entreprise décide de licencier 100 personnes. Elle sait qu'elle peut tenir financièrement jusqu'à 7% de plainte pour licenciement abusif aux prud'homme avant d'être en difficulté. C'est pas du tout éthique ce que je te dis, mais c'est pour démontrer que l'entreprise... a pris un risque et que son risque est estimé à 7%. Elle a une capacité de 7% derrière ça. Et son appétit est de 5%. Et sa tolérance est donc de 2%. C'est-à-dire qu'elle a mis un premier buffer à 5%, mais elle ne peut en aucun cas dépasser les 2% restants, ce qui ferait 7%. C'est la limite. Au-delà de ça, elle n'a pas le budget, elle dépasse le seuil et elle peut s'écrouler ou relocaliser. Et là, on comprend que la capacité, c'est pas juste un indicateur. C'est la frontière entre la gestion et la survie. Et c'est justement là qu'on transcende mon anecdote avec un CISO. Un gars brillant, technique, rigoureux, il remontait plein de risques à son chief risk officer. Des scénarios crédibles, documentés, conformes à l'ISO, conformes à leur politique interne. Mais le CRO, lui, il restait dans son coin, il ne réagissait pas. Rien ne bougeait, silence radio. Et lui, le CISO, il ne comprenait pas. Parce que du point de vue cyber, les risques étaient bien réels. Mais du point de vue business, ils n'étaient pas prioritaires. En clair, chacun pensait que l'autre savait. Mais ils ne parlaient pas la même langue. Alors je lui ai dit, il te manque une brique dans ton analyse. La capacité de risque. Tu dois savoir, pour chaque gros scénario, quelle est la vraie limite de ton organisation. Pas juste si ça fait un peu mal. mal, ou voire très mal sur ton tableau ISO d'impact, mais va chercher le point de rupture, le vrai. Et ça a tout changé. Parce que dès qu'il a intégré cette logique, le CRO a commencé à l'écouter différemment. Il ne voyait plus un cyber-alarmiste, mais un partenaire stratégique qui pensait en termes de résilience globale, et il était passé du mode « je signale les risques » à Je protège les actifs critiques dans les limites de notre capacité réelle. Et là, tu gagnes ta place à la table des grands. Et franchement, c'est là qu'on voit la limite des ISO. Elles parlent de tolérance, d'appétit, de traitement, mais jamais de capacité. Comme si on pouvait empiler les risques à l'infini tant qu'on les avait acceptés. Le CRISC, lui, est beaucoup plus lucide. Il te force à poser la question que personne n'aime poser. Jusqu'où on tient ? Mais vraiment. Parce que tant qu'on n'a pas défini cette ligne, on pilote dans le brouillard avec un faux sentiment de contrôle. Alors la prochaine fois qu'on te parle d'appétit du risque, pose la question qui tue. Et notre capacité, elle est où ? Je te promets, ça crée toujours un silence dans la salle. Allez, à méditer pendant ton café. Et si t'aimes ce genre d'épisode, celui où on relit les normes, la vraie vie et les conversations qu'on n'a jamais, abonne-toi à Compliance Without Coma. Ici, on parle de risque, entre autres, mais sans anesthésie. A vendredi prochain mes petits coma breakers.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu savais, toi, ce que c'était une capacité de risque ? Non ? Eh bien c'est normal. Moi non plus. Je n'en avais jamais entendu parler, ni dans l'ISO 31000, ni dans l'ISO 27005. Ces deux-là parlent d'appétit du risque, de tolérance et d'acceptation, mais jamais de capacité. Et pourtant cette notion change tout. Parce qu'aujourd'hui, on va parler de ce qu'est vraiment la capacité de risque, de deux exemples concrets pour bien la comprendre, la crypto-monnaie et... le licenciement, abusif ou non, de 100 personnes, et d'une anecdote vécue entre un CISO et un CRO qui ne parlaient pas le même langage. Et tu verras pourquoi la certification CRISC de l'ISACA a eu raison d'intégrer ce concept, là où les ISO se sont un peu endormis. D'ailleurs, c'est en alignant nos slides avec la nouvelle version de la certification que j'ai eu l'idée de ce podcast. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je vais t'aider à comprendre ce qu'il y a au-delà du risque acceptable, et comment parler le langage des décideurs. Alors boucle ta ceinture, c'est parti ! En alignant mes slides sur la dernière mise à jour du cours CRISC de l'ISACA, je suis tombé sur cette phrase. La capacité du risque, c'est la perte totale qu'une entreprise peut tolérer avant que son existence soit menacée. Et là je me suis dit, mais oui c'est évident, parce qu'en fait, dans toute les normes ISO, on te parle de gérer le risque, déterminer l'appétit, accepter ou non un scénario, mais personne ne te dit où se trouve la ligne rouge, le point où ton organisation ne se relève plus. C'est ça, la capacité du risque. Prenons un exemple simple. Tu as 1000 euros d'économie, c'est ta risk capacity, ta limite absolue. Tu investis 700 euros dans les cryptos, c'est ton appétit du risque. Tu te laisses une marge de manœuvre de, disons, 200 euros de tolérance. Si le marché s'envole et que tu veux en profiter, tu l'utilises. Les 100 euros restants, c'est ta survie. Si tu touches à ça, tu as dépassé ta capacité ou tu l'as égalée. Et crois-moi, beaucoup d'entreprises vivent dans cette zone-là sans le savoir. Elles pensent qu'elles acceptent leurs risques alors qu'elles s'enfoncent lentement au-delà du supportable. Et le deuxième exemple m'est venu en regardant bêtement une émission d'investigation sur une chaîne française. Une entreprise décide de licencier 100 personnes. Elle sait qu'elle peut tenir financièrement jusqu'à 7% de plainte pour licenciement abusif aux prud'homme avant d'être en difficulté. C'est pas du tout éthique ce que je te dis, mais c'est pour démontrer que l'entreprise... a pris un risque et que son risque est estimé à 7%. Elle a une capacité de 7% derrière ça. Et son appétit est de 5%. Et sa tolérance est donc de 2%. C'est-à-dire qu'elle a mis un premier buffer à 5%, mais elle ne peut en aucun cas dépasser les 2% restants, ce qui ferait 7%. C'est la limite. Au-delà de ça, elle n'a pas le budget, elle dépasse le seuil et elle peut s'écrouler ou relocaliser. Et là, on comprend que la capacité, c'est pas juste un indicateur. C'est la frontière entre la gestion et la survie. Et c'est justement là qu'on transcende mon anecdote avec un CISO. Un gars brillant, technique, rigoureux, il remontait plein de risques à son chief risk officer. Des scénarios crédibles, documentés, conformes à l'ISO, conformes à leur politique interne. Mais le CRO, lui, il restait dans son coin, il ne réagissait pas. Rien ne bougeait, silence radio. Et lui, le CISO, il ne comprenait pas. Parce que du point de vue cyber, les risques étaient bien réels. Mais du point de vue business, ils n'étaient pas prioritaires. En clair, chacun pensait que l'autre savait. Mais ils ne parlaient pas la même langue. Alors je lui ai dit, il te manque une brique dans ton analyse. La capacité de risque. Tu dois savoir, pour chaque gros scénario, quelle est la vraie limite de ton organisation. Pas juste si ça fait un peu mal. mal, ou voire très mal sur ton tableau ISO d'impact, mais va chercher le point de rupture, le vrai. Et ça a tout changé. Parce que dès qu'il a intégré cette logique, le CRO a commencé à l'écouter différemment. Il ne voyait plus un cyber-alarmiste, mais un partenaire stratégique qui pensait en termes de résilience globale, et il était passé du mode « je signale les risques » à Je protège les actifs critiques dans les limites de notre capacité réelle. Et là, tu gagnes ta place à la table des grands. Et franchement, c'est là qu'on voit la limite des ISO. Elles parlent de tolérance, d'appétit, de traitement, mais jamais de capacité. Comme si on pouvait empiler les risques à l'infini tant qu'on les avait acceptés. Le CRISC, lui, est beaucoup plus lucide. Il te force à poser la question que personne n'aime poser. Jusqu'où on tient ? Mais vraiment. Parce que tant qu'on n'a pas défini cette ligne, on pilote dans le brouillard avec un faux sentiment de contrôle. Alors la prochaine fois qu'on te parle d'appétit du risque, pose la question qui tue. Et notre capacité, elle est où ? Je te promets, ça crée toujours un silence dans la salle. Allez, à méditer pendant ton café. Et si t'aimes ce genre d'épisode, celui où on relit les normes, la vraie vie et les conversations qu'on n'a jamais, abonne-toi à Compliance Without Coma. Ici, on parle de risque, entre autres, mais sans anesthésie. A vendredi prochain mes petits coma breakers.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, YouTube, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Est-ce que tu savais, toi, ce que c'était une capacité de risque ? Non ? Eh bien c'est normal. Moi non plus. Je n'en avais jamais entendu parler, ni dans l'ISO 31000, ni dans l'ISO 27005. Ces deux-là parlent d'appétit du risque, de tolérance et d'acceptation, mais jamais de capacité. Et pourtant cette notion change tout. Parce qu'aujourd'hui, on va parler de ce qu'est vraiment la capacité de risque, de deux exemples concrets pour bien la comprendre, la crypto-monnaie et... le licenciement, abusif ou non, de 100 personnes, et d'une anecdote vécue entre un CISO et un CRO qui ne parlaient pas le même langage. Et tu verras pourquoi la certification CRISC de l'ISACA a eu raison d'intégrer ce concept, là où les ISO se sont un peu endormis. D'ailleurs, c'est en alignant nos slides avec la nouvelle version de la certification que j'ai eu l'idée de ce podcast. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je vais t'aider à comprendre ce qu'il y a au-delà du risque acceptable, et comment parler le langage des décideurs. Alors boucle ta ceinture, c'est parti ! En alignant mes slides sur la dernière mise à jour du cours CRISC de l'ISACA, je suis tombé sur cette phrase. La capacité du risque, c'est la perte totale qu'une entreprise peut tolérer avant que son existence soit menacée. Et là je me suis dit, mais oui c'est évident, parce qu'en fait, dans toute les normes ISO, on te parle de gérer le risque, déterminer l'appétit, accepter ou non un scénario, mais personne ne te dit où se trouve la ligne rouge, le point où ton organisation ne se relève plus. C'est ça, la capacité du risque. Prenons un exemple simple. Tu as 1000 euros d'économie, c'est ta risk capacity, ta limite absolue. Tu investis 700 euros dans les cryptos, c'est ton appétit du risque. Tu te laisses une marge de manœuvre de, disons, 200 euros de tolérance. Si le marché s'envole et que tu veux en profiter, tu l'utilises. Les 100 euros restants, c'est ta survie. Si tu touches à ça, tu as dépassé ta capacité ou tu l'as égalée. Et crois-moi, beaucoup d'entreprises vivent dans cette zone-là sans le savoir. Elles pensent qu'elles acceptent leurs risques alors qu'elles s'enfoncent lentement au-delà du supportable. Et le deuxième exemple m'est venu en regardant bêtement une émission d'investigation sur une chaîne française. Une entreprise décide de licencier 100 personnes. Elle sait qu'elle peut tenir financièrement jusqu'à 7% de plainte pour licenciement abusif aux prud'homme avant d'être en difficulté. C'est pas du tout éthique ce que je te dis, mais c'est pour démontrer que l'entreprise... a pris un risque et que son risque est estimé à 7%. Elle a une capacité de 7% derrière ça. Et son appétit est de 5%. Et sa tolérance est donc de 2%. C'est-à-dire qu'elle a mis un premier buffer à 5%, mais elle ne peut en aucun cas dépasser les 2% restants, ce qui ferait 7%. C'est la limite. Au-delà de ça, elle n'a pas le budget, elle dépasse le seuil et elle peut s'écrouler ou relocaliser. Et là, on comprend que la capacité, c'est pas juste un indicateur. C'est la frontière entre la gestion et la survie. Et c'est justement là qu'on transcende mon anecdote avec un CISO. Un gars brillant, technique, rigoureux, il remontait plein de risques à son chief risk officer. Des scénarios crédibles, documentés, conformes à l'ISO, conformes à leur politique interne. Mais le CRO, lui, il restait dans son coin, il ne réagissait pas. Rien ne bougeait, silence radio. Et lui, le CISO, il ne comprenait pas. Parce que du point de vue cyber, les risques étaient bien réels. Mais du point de vue business, ils n'étaient pas prioritaires. En clair, chacun pensait que l'autre savait. Mais ils ne parlaient pas la même langue. Alors je lui ai dit, il te manque une brique dans ton analyse. La capacité de risque. Tu dois savoir, pour chaque gros scénario, quelle est la vraie limite de ton organisation. Pas juste si ça fait un peu mal. mal, ou voire très mal sur ton tableau ISO d'impact, mais va chercher le point de rupture, le vrai. Et ça a tout changé. Parce que dès qu'il a intégré cette logique, le CRO a commencé à l'écouter différemment. Il ne voyait plus un cyber-alarmiste, mais un partenaire stratégique qui pensait en termes de résilience globale, et il était passé du mode « je signale les risques » à Je protège les actifs critiques dans les limites de notre capacité réelle. Et là, tu gagnes ta place à la table des grands. Et franchement, c'est là qu'on voit la limite des ISO. Elles parlent de tolérance, d'appétit, de traitement, mais jamais de capacité. Comme si on pouvait empiler les risques à l'infini tant qu'on les avait acceptés. Le CRISC, lui, est beaucoup plus lucide. Il te force à poser la question que personne n'aime poser. Jusqu'où on tient ? Mais vraiment. Parce que tant qu'on n'a pas défini cette ligne, on pilote dans le brouillard avec un faux sentiment de contrôle. Alors la prochaine fois qu'on te parle d'appétit du risque, pose la question qui tue. Et notre capacité, elle est où ? Je te promets, ça crée toujours un silence dans la salle. Allez, à méditer pendant ton café. Et si t'aimes ce genre d'épisode, celui où on relit les normes, la vraie vie et les conversations qu'on n'a jamais, abonne-toi à Compliance Without Coma. Ici, on parle de risque, entre autres, mais sans anesthésie. A vendredi prochain mes petits coma breakers.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed