Description

« La meilleure victoire est celle que l’on remporte sans avoir à combattre. » Cette citation de Sun Tzu résonne particulièrement dans le domaine de la cybersécurité. Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous plonge dans l'univers de l'art de la guerre appliqué à la cybersécurité. En s'appuyant sur la version moderne du célèbre traité stratégique par Alexandre Liénard, il nous rappelle que la préparation et la connaissance de soi sont des atouts majeurs pour toute organisation.

Fabrice nous guide à travers les enseignements intemporels de Sun Tzu, soulignant que dans le monde de la cybersécurité, la véritable victoire réside souvent dans la prévention des incidents plutôt que dans une réaction désespérée face à une crise. En effet, il est essentiel de bien connaître son environnement, d'identifier et de prioriser les risques, et de s'adapter aux différentes situations. Chaque point évoqué par Fabrice nous pousse à réfléchir sur notre propre stratégie de sécurité de l'information.

Cet épisode de Compliance Without Coma est une véritable invitation à repenser nos méthodes de travail en matière de cybersécurité. Grâce aux leçons de Sun Tzu, nous pouvons transformer notre manière d'aborder les défis et faire de la prévention notre meilleure arme. Rejoignez-nous pour découvrir comment appliquer ces stratégies anciennes à la réalité moderne des risques numériques et améliorer ainsi votre conformité tout en évitant le coma du stress lié aux incidents de sécurité.

Écoutez dès maintenant et apprenez à naviguer dans le monde complexe de la cybersécurité avec une nouvelle perspective!

voici 2 liens de livres cités dans cet épisode -

En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions.

-L'Art (secret) de la Guerre: Les systèmes d'information victorieux https://amzn.to/4qsnC0x

-Robert Cialdini Pré-suasion https://amzn.to/4htM2CM

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

• Speaker #0

  Tu connais forcément l'art de la guerre de Sun Tzu, ce vieux traité chinois écrit il y a plus de 2500 ans. On ne sait pas par qui d'ailleurs, et selon la légende, il y en a plusieurs. Mais je parie que tu ne l'as jamais lu avec les yeux d'un CISO, et encore moins à travers la version d'Alexandre Liénard, qui en a fait un livre de stratégie moderne, sans sabre et sans armée. Bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui je t'emmène en Chine. L'idée du podcast m'est venue en regardant un livre photo sur la Chine. Bon, y'avait pas beaucoup de texte pour une fois. Et là, je suis tombé sur la photo avec la fameuse armée en terre cuite. Et paf, mon cerveau qui m'alerte et me dit directement Ding ding ding ding ding, Sun Tzu, t'as lu le livre sur Sun Tzu ? Non, menteur. J'en ai lu deux. Un pour mon mémoire sur l'analyse de risque, et un plus récent d'Alexandre Léinard. Et c'est de celui-là que je vais te parler. Après six mois, mon cerveau est à présent câblé pour percuter et écouter tous les sujets autour de moi qui peuvent faire un podcast. Je t'ai déjà parlé de cela avec une voiture rouge, dans un épisode d'ailleurs, et comment notre cerveau triche avec nous, ou l'inverse. Allez viens, c'est parti pour Sun Tsu. Alexandre Liénard dit un truc essentiel. La vraie victoire, c'est celle qu'on obtient avant même de combattre. Et c'est exactement ce que fait un bon CISO. Anticiper, préparer, observer, pour ne jamais avoir à sortir l'artillerie lourde. Et moi, ça me rappelle aussi le livre de Robert Cialdini, avec la présuasion. Quand tu as vendu, sans vendre, quand tu as présuadé les gens. Ne cherche pas, le verbe n'existe pas. Sur une ligne de temps, il vient avant même que tu aies fait une quelconque action de persuasion. Dans l'art de la guerre, Sun Tzu explique « Le suprême art de la guerre, c'est de vaincre sans livrer bataille. Et si tu y penses, c'est ce qu'on fait tous les jours avec nos firewalls, nos politiques d'accès, nos audits, nos campagnes de sensibilisation. Chaque phishing évité, chaque incident contenu avant qu'il n'éclate, c'est une victoire invisible, une guerre gagnée sans combat. » Alexandre insiste aussi sur un point que beaucoup oublient. Le chef avisé ne s'épuise pas à combattre tous les risques. Il choisit ses batailles. Ça ne te rappelle pas quelque chose ? La priorisation ISO 27001, le risk-based thinking, le fameux acceptable risk. Sun Tzu aurait adoré le concept de risque résiduel. Il écrit « Celui qui connaît l'ennemi et se connaît lui-même ne sera jamais en péril. » Et là encore, tout est dit. Connaître son ennemi, c'est faire du Threat Intelligence. Connaître ses propres forces et faiblesses, son SWOT, Attention, lisez-en ne dit pas que tu dois avoir un saut, hein, ok ? C'est faire son analyse de risque. Et perso, ça me fait penser aussi à Socrate, avec son « connais-toi toi-même » . Et le danger, c'est quand on ne fait ni l'un ni l'autre, quand on confond sécurité et confort, quand on croit qu'un plan sans test, c'est une stratégie. « If you fail to plan, you are planning to fail » , un certain Benjamin Franklin. Mais Sun Tzu parle aussi de terrain. Il distingue 9 types de terrain de bataille, et Alexandre en tire une leçon magnifique. Le terrain, c'est ton contexte. Une start-up n'a pas le même terrain qu'une banque. Une PME du BTP n'a pas le même terrain qu'une institution publique. Et pourtant, beaucoup appliquent les mêmes recettes, les mêmes matrices, les mêmes checklists. Résultat ? Des forteresses sans soldats, ou des soldats sans mur. Alors, comment gagner la guerre sans la livrer ? Sun Tzu répond par 3 mots. Préparation, perception... Adaptation. La préparation, c'est ta gouvernance. La perception, c'est ta veille, ton reporting, ta capacité à lire ton environnement. Et l'adaptation, c'est ta maturité. Ce moment où tu comprends que cocher des cases ISO, c'est bien, mais comprendre pourquoi tu les coches, c'est mieux. Alexandre Liénard écrit « Celui qui agit sans stratégie s'agite, celui qui réfléchit sans agir s'éteint. » Et dans la cybersécurité, on voit les deux tous les jours. Ceux qui courent derrière les incidents et ceux qui planifient sans jamais passer à l'action. Alors, que ferait Sun Tzu aujourd'hui ? Il ne dirait pas « renforce ton soc » ou « achète une nouvelle solution XDR » . Il dirait « connais ton périmètre, tes alliés et tes angles morts. Travaille la discipline, pas la peur. Et surtout, n'oublie jamais que la victoire, c'est d'éviter la guerre. » Et c'est peut-être ça le plus grand secret de la sécurité, quand tout va bien, c'est souvent parce que quelqu'un, quelque part, a bien appliqué Sun Tzu. Et un truc qui m'a plu aussi dans Sun Tzu, c'est qu'on peut riposter, mais nous en tant que CISO, on ne peut pas riposter. Avant, on gagnait des batailles avec des épées. Aujourd'hui, on les gagne avec des logs, des alertes et de la patience, beaucoup de patience. Et comme disait Sun Tzu, le plus fort, c'est celui qu'on ne voit jamais se battre. j'attends avec impatience ma rencontre avec Alexandre pour un prochain podcast invité. Et pas qu'autour de Sun Tzu d'ailleurs.

• Speaker #1

  Oui Fabrice, moi aussi. On a plein de choses à se dire en fait. Hâte d'échanger avec toi, très bientôt.

• Speaker #0

  Eh mais, tu étais là ? Tu m'espionnes avec tes ruses de stratège ou quoi ? Bon, blague à part. Et toi, coma breaker, qu'est-ce que tu mets déjà en pratique dans ta vie pro à partir de Sun Tzu ? Tu me le dis en commentaire ? Et puis, surtout, à vendredi prochain pour un nouvel épisode de Compliance Without Coma.