Episode 30 : Machiavel aurait pu être CISO | Compliance Without coma

Description

Et si les enseignements de Niccolò Machiavelli pouvaient transformer votre approche de la cybersécurité ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous plonge dans l'univers complexe de Machiavel, en particulier à travers son célèbre ouvrage Le Prince, et nous montre comment ces concepts intemporels s'appliquent à la réalité moderne de la conformité et de la cybersécurité.

Imaginez une rencontre fictive avec Machiavel à Florence, où il nous dévoile les secrets de la gouvernance efficace. Fabrice aborde des notions clés telles que l'illusion du pouvoir et l'importance de la peur dans la gestion des équipes. Pour un CISO, faire respecter la sécurité sans être perçu comme un tyran est un défi majeur. En effet, il souligne qu'un CISO doit parfois endosser le rôle du « méchant » pour garantir que les mesures de sécurité sont non seulement mises en œuvre, mais aussi respectées par tous.

Mais ce n'est pas tout ! Fabrice nous met également en garde contre le phénomène du shadow IT, en insistant sur la nécessité de garder le contrôle des outils utilisés au sein de l'organisation. La gestion des risques ne se limite pas à la conformité ; elle exige une vigilance constante et une communication transparente. Comment faire passer des messages difficiles ? Comment accepter la vérité, même quand elle est douloureuse ? Ces questions sont au cœur de notre discussion.

Au fil de l'épisode, Fabrice rappelle que la gouvernance efficace repose sur la cohérence et la vision, et non sur une conformité aveugle. La clé du succès réside dans la capacité à inspirer confiance tout en maintenant un cadre de sécurité rigoureux. En intégrant les leçons de Machiavel, les professionnels de la cybersécurité peuvent naviguer dans un paysage complexe où la menace est omniprésente.

Ne manquez pas cet épisode enrichissant de Compliance Without Coma, où la sagesse ancienne rencontre les défis contemporains de la cybersécurité. Écoutez dès maintenant pour découvrir comment appliquer ces principes machiavéliques à votre stratégie de conformité et transformer votre approche de la sécurité en entreprise !

Si tu veux une belle référence du Prince, je t'invite à le lire ici :

En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions.

Le Prince de Machiavel https://amzn.to/3J2r0i7

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Tu veux que je te raconte comment j'ai rencontré Machiavel ? Niccolo Machiavelli, plus connu sous le nom de Machiavel. Et comment il m'a convaincu de lire son livre, Le Prince. Je te parle du gars en photo dans les manuels d'histoire, le conseiller politique du 15e siècle. Eh bien, tu vas pas me croire. Je l'ai rencontré en courant sur les toits en tuiles ocre de Florence, cap au vent, en pleine mission. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je t'emmène à Florence, ou plutôt, au cœur du 15e siècle, à la rencontre de Niccolò Machiavelli. Abonne-toi, commente, et mets-moi 5 étoiles, bien sûr, pour continuer à porter ce podcast en francophonie. Allez, c'est parti. Oui. Ezio Auditore da Firenze. Auditore. Belle coïncidence pour un podcast compliance, non ? J'ai un peu joué à Assassin's Creed, j'avoue. Jusqu'à un niveau 100% sur un opus. Là où j'allais jusqu'à chercher toutes les plumes sur les toits. Le fait de parler de brotherhood et de fraternité à travers les âges et d'apprendre, j'adorais. Dans l'un des opus, Machiavelli est là. Calme, intelligent, froid, stratège. C'est lui qui t'oriente, qui te guide, qui t'apprend... à penser en dehors des dogmes. Et à force de le suivre en mission, j'ai eu envie de lire le livre Le Prince et de visiter Florence. Mais ça, c'est une autre histoire. Et à force de lire Le Prince, je me suis dit un truc. Machiavel aurait pu être CISO. Segment 1, l'illusion du pouvoir et le vrai contrôle. Dans Le Prince, Machiavel balance ça. Il vaut mieux être craint qu'aimé. Si on ne peut pas être les deux. Tu vois le choc thermique ? L'amour, dit-il, repose sur la reconnaissance, mais les hommes la brisent dès que leur intérêt personnel est en jeu. La crainte, elle, repose sur la peur de la punition. Et elle est beaucoup plus fiable. En cybersécurité, ça veut dire quoi ? Que ta crédibilité repose sur ta capacité à dire non, à bloquer, à exiger, à faire appliquer. Tu ne peux pas être ce gardien sympa, discret, transparent, et attendre que tout soit sécurisé. Ça ne fonctionne pas. Si tu ne peux rien imposer, tu n'as aucun pouvoir. Tu n'es pas un CISO, tu es un consultant en bienveillance. Alors oui, je ne suis pas là pour qu'on m'aime. Mais si personne ne m'aime, rien ne bouge. Et dans ce cas, on me mettra des peaux de bananes. Mais spoiler, c'est surtout eux qui vont se tirer une balle dans le pied. Et je peux faire le méchant en disant « Attention, si l'auditeur te met un écart, tu devras quand même le faire, mais avec une pression différente. » travaillons ensemble, même si tu ne m'aimes pas, pour avancer et éviter des écarts. Alors au fil des épisodes, je reçois des messages de sympathie et ça me booste toujours autant. Et là j'ai trouvé mon X, comme dirait une amie canadienne. Merci Dominick. Dominick avec un K, comme dans Iso 20K, ainsi tu te reconnaîtras. Segment 2, le shadow IT, c'est le complot permanent. Machiavel dit aussi, le prince doit apprendre à ne pas être bon lorsque cela est nécessaire. Tu vois venir la carte bleue Amazon, l'outil SaaS activé en douce, le marketing qui dit « c'est juste pour tester » . Et toi, tu passes pour le méchant. Mais si tu ne fais rien, tu deviens complice. Tu laisses ton royaume se faire morceler. Tu laisses chaque chef de projet jouer au petit prince. Et toi, tu te prépares pour l'audit. Tout seul. D'ailleurs, il faut un prince dans chaque état, d'après Machiavel. Tu ne peux pas gouverner à distance si tu n'as pas un prince qui te supporte dans chaque état. Messieurs et mesdames, head of the departments, c'est à vous que je parle. Pas aux petits chefs qui sont à la tête de baronnie. Tu ne dois pas être un frein pour le business, mais tu dois rester maître de la sécurité. Segment 3. Les apparences comptent plus que la vérité. Machiavel disait « Tous voient ce que tu parais, peu comprennent ce que tu es » . Combien d'organisations ont l'air conformes ? Mais en dessous, c'est vide. Slide parfaite, ISO affiché, RGPD encadré. Mais en vrai, des users qui cliquent sur tout, des process jamais appliqués, des fournisseurs sans contrat, ou bien tu m'engages et je reçois pas de data processing agreement, et tu me dis que t'es conforme au GDPR. L'illusion de sécurité est parfois plus dangereuse que l'absence de sécurité. Et Machiavel te prévient, le peuple juge par ce qu'il voit. Toi ? Ton job de CISO, c'est de rendre visible ce qui est invisible. Pas juste d'être bon, mais de faire en sorte qu'on comprenne pourquoi tu es bon. Segment 4. Un prince avisé doit choisir des hommes sages pour le conseiller et leur donner la liberté de lui dire la vérité. En sécurité, ça veut dire, laisse tes analystes parler, ne tue pas le messager, ne maquille pas les rapports. Tu veux qu'on t'aide ? Alors accepte l'alerte quand elle pique. Sinon... Tu seras entouré de gens qui te disent ce que tu veux entendre, et là t'es mort. Et c'est valable pour toi, CISO, mais aussi pour toi, comex ou directoire. Et si tu n'es pas prêt à entendre mes vérités malgré tous les gants que je prends pour te les annoncer, alors on n'est pas fait pour travailler ensemble, car je ne te fais pas progresser, même si nous sommes d'avis différents. C'est cela qui est bien dans les débats, c'est ne pas jouer à qui a raison, mais c'est une joute de confrontation d'idées et de points de vue. Segment 5. L'art du bon gouvernement, c'est le bon timing. Machiavel oppose la fortuna, les événements, à la vertu, la capacité à s'adapter. Il te dit, tu ne maîtrises pas la météo, mais tu peux ajuster les voiles. Donc non, tu ne balances pas une nouvelle politique de sécurité en pleine clôture trimestrielle. Un bon CISO, c'est aussi un stratège du timing. Ça ne te rappelle pas Sun Tsu ? Et dans cette section, j'ai quelques pépites pour toi. Il faut être renard pour flairer les pièges et lion pour imposer la sécurité. Celui qui donne son pouvoir à un tiers signe sa propre chute. Tu me revois ton process fournisseur et l'IAM derrière ? Tu n'as pas à être parfait. Tu dois paraître crédible. Le cercle parfait n'existe pas, mais tu t'améliores en continu. Les hommes réagissent plus vite à la perte financière qu'à la morale. Ceux qui ne prévoient pas l'avenir seront les premiers à couler. ISO 22301 quand tu nous tiens, mais aussi Forecast, P&L, c'est-à-dire Profit & Loss, en tout genre, Budget, Kodak qui rit de la photo numérique et Nokia qui rit d'Apple. Et en guise de conclusion, gouverner ce n'est pas plaire, c'est durer. Machiavel n'était pas cynique, il était lucide. Il a développé des théories sur la façon de prendre et de maintenir le pouvoir. Il était réaliste, il se concentrait sur la manière dont le pouvoir était réellement exercé. plutôt que sur la manière dont ils devaient l'être idéalement. Souvent, en séparant la politique de la morale. Il est connu pour l'idée que les actions d'un dirigeant doivent être jugées en fonction de leur efficacité à atteindre leurs objectifs politiques. Ah, tu vois le lien avec le PDCA ? Et même si ces actions impliquent d'agir de manière immorale, euh non, pas là non, là je suis pas d'accord. La conformité à tout prix, c'est pas pour moi. Cocher des cases à 100% pour faire joli non plus. et remettre un beau rapport de conformité digne d'un Big Four qui a utilisé l'IA pour le gouvernement australien non plus, pas pour moi. Bref, je pense que tout bon CISO devrait le lire pour parfois prendre du recul ou de la hauteur comme Ezio Auditore sur les toits de Florence avant de mieux sauter vers le prochain plan d'action ou la prochaine mission. Ce n'est pas la morale qui fait tenir un état, c'est la cohérence et la vision. Dans un monde où on te demande de protéger sans faire... peur, de tout sécuriser sans rien ralentir, et de cocher toutes les cases sans bousculer personne, un peu de Machiavel dans ta posture, ça peut te sauver. Et toi ? Si tu devais appliquer un seul principe de Machiavel à ton quotidien de CISO, ce serait lequel ? Je suis curieux. Commente, partage ton vécu, tag un collègue qui doit écouter ça, un fan d'Assassin's Creed, ou quelqu'un de ta communauté qui pourrait aimer ce podcast. Birds of a Feather. qui se ressemble s'assemble, comme dirait un de mes coma breakers. Et parfois, le meilleur plan sécurité, c'est un plan machiavélique. Et je ne te parle pas juste de ton Honey Pot. D'ailleurs, semaine prochaine, on est en tournage avec un instructeur SANS, là où la défense rencontre l'analyse, et là où les ransomware n'ont qu'à bien se tenir. Expert en malware, chasseur de menaces et co-organisateur de Brucon en Belgique, je te laisse deviner qui ça peut bien être. Il incarne cette maxime pour mieux te défendre, connaît ton ennemi. Tiens. Ça me rappelle vaguement quelque chose, mais quoi ?

Chapters

Introduction : Rencontre avec Machiavel
0sec
Segment 1 : L'illusion du pouvoir et le vrai contrôle
1min
Segment 2 : Le shadow IT, c'est le complot permanent
3min
Segment 3 : Les apparences comptent plus que la vérité
4min
Segment 4 : Choisir les bons conseillers
5min
Segment 5 : L'art du bon gouvernement et le timing
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Si tu veux une belle référence du Prince, je t'invite à le lire ici :

En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions.

Le Prince de Machiavel https://amzn.to/3J2r0i7

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Tu veux que je te raconte comment j'ai rencontré Machiavel ? Niccolo Machiavelli, plus connu sous le nom de Machiavel. Et comment il m'a convaincu de lire son livre, Le Prince. Je te parle du gars en photo dans les manuels d'histoire, le conseiller politique du 15e siècle. Eh bien, tu vas pas me croire. Je l'ai rencontré en courant sur les toits en tuiles ocre de Florence, cap au vent, en pleine mission. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je t'emmène à Florence, ou plutôt, au cœur du 15e siècle, à la rencontre de Niccolò Machiavelli. Abonne-toi, commente, et mets-moi 5 étoiles, bien sûr, pour continuer à porter ce podcast en francophonie. Allez, c'est parti. Oui. Ezio Auditore da Firenze. Auditore. Belle coïncidence pour un podcast compliance, non ? J'ai un peu joué à Assassin's Creed, j'avoue. Jusqu'à un niveau 100% sur un opus. Là où j'allais jusqu'à chercher toutes les plumes sur les toits. Le fait de parler de brotherhood et de fraternité à travers les âges et d'apprendre, j'adorais. Dans l'un des opus, Machiavelli est là. Calme, intelligent, froid, stratège. C'est lui qui t'oriente, qui te guide, qui t'apprend... à penser en dehors des dogmes. Et à force de le suivre en mission, j'ai eu envie de lire le livre Le Prince et de visiter Florence. Mais ça, c'est une autre histoire. Et à force de lire Le Prince, je me suis dit un truc. Machiavel aurait pu être CISO. Segment 1, l'illusion du pouvoir et le vrai contrôle. Dans Le Prince, Machiavel balance ça. Il vaut mieux être craint qu'aimé. Si on ne peut pas être les deux. Tu vois le choc thermique ? L'amour, dit-il, repose sur la reconnaissance, mais les hommes la brisent dès que leur intérêt personnel est en jeu. La crainte, elle, repose sur la peur de la punition. Et elle est beaucoup plus fiable. En cybersécurité, ça veut dire quoi ? Que ta crédibilité repose sur ta capacité à dire non, à bloquer, à exiger, à faire appliquer. Tu ne peux pas être ce gardien sympa, discret, transparent, et attendre que tout soit sécurisé. Ça ne fonctionne pas. Si tu ne peux rien imposer, tu n'as aucun pouvoir. Tu n'es pas un CISO, tu es un consultant en bienveillance. Alors oui, je ne suis pas là pour qu'on m'aime. Mais si personne ne m'aime, rien ne bouge. Et dans ce cas, on me mettra des peaux de bananes. Mais spoiler, c'est surtout eux qui vont se tirer une balle dans le pied. Et je peux faire le méchant en disant « Attention, si l'auditeur te met un écart, tu devras quand même le faire, mais avec une pression différente. » travaillons ensemble, même si tu ne m'aimes pas, pour avancer et éviter des écarts. Alors au fil des épisodes, je reçois des messages de sympathie et ça me booste toujours autant. Et là j'ai trouvé mon X, comme dirait une amie canadienne. Merci Dominick. Dominick avec un K, comme dans Iso 20K, ainsi tu te reconnaîtras. Segment 2, le shadow IT, c'est le complot permanent. Machiavel dit aussi, le prince doit apprendre à ne pas être bon lorsque cela est nécessaire. Tu vois venir la carte bleue Amazon, l'outil SaaS activé en douce, le marketing qui dit « c'est juste pour tester » . Et toi, tu passes pour le méchant. Mais si tu ne fais rien, tu deviens complice. Tu laisses ton royaume se faire morceler. Tu laisses chaque chef de projet jouer au petit prince. Et toi, tu te prépares pour l'audit. Tout seul. D'ailleurs, il faut un prince dans chaque état, d'après Machiavel. Tu ne peux pas gouverner à distance si tu n'as pas un prince qui te supporte dans chaque état. Messieurs et mesdames, head of the departments, c'est à vous que je parle. Pas aux petits chefs qui sont à la tête de baronnie. Tu ne dois pas être un frein pour le business, mais tu dois rester maître de la sécurité. Segment 3. Les apparences comptent plus que la vérité. Machiavel disait « Tous voient ce que tu parais, peu comprennent ce que tu es » . Combien d'organisations ont l'air conformes ? Mais en dessous, c'est vide. Slide parfaite, ISO affiché, RGPD encadré. Mais en vrai, des users qui cliquent sur tout, des process jamais appliqués, des fournisseurs sans contrat, ou bien tu m'engages et je reçois pas de data processing agreement, et tu me dis que t'es conforme au GDPR. L'illusion de sécurité est parfois plus dangereuse que l'absence de sécurité. Et Machiavel te prévient, le peuple juge par ce qu'il voit. Toi ? Ton job de CISO, c'est de rendre visible ce qui est invisible. Pas juste d'être bon, mais de faire en sorte qu'on comprenne pourquoi tu es bon. Segment 4. Un prince avisé doit choisir des hommes sages pour le conseiller et leur donner la liberté de lui dire la vérité. En sécurité, ça veut dire, laisse tes analystes parler, ne tue pas le messager, ne maquille pas les rapports. Tu veux qu'on t'aide ? Alors accepte l'alerte quand elle pique. Sinon... Tu seras entouré de gens qui te disent ce que tu veux entendre, et là t'es mort. Et c'est valable pour toi, CISO, mais aussi pour toi, comex ou directoire. Et si tu n'es pas prêt à entendre mes vérités malgré tous les gants que je prends pour te les annoncer, alors on n'est pas fait pour travailler ensemble, car je ne te fais pas progresser, même si nous sommes d'avis différents. C'est cela qui est bien dans les débats, c'est ne pas jouer à qui a raison, mais c'est une joute de confrontation d'idées et de points de vue. Segment 5. L'art du bon gouvernement, c'est le bon timing. Machiavel oppose la fortuna, les événements, à la vertu, la capacité à s'adapter. Il te dit, tu ne maîtrises pas la météo, mais tu peux ajuster les voiles. Donc non, tu ne balances pas une nouvelle politique de sécurité en pleine clôture trimestrielle. Un bon CISO, c'est aussi un stratège du timing. Ça ne te rappelle pas Sun Tsu ? Et dans cette section, j'ai quelques pépites pour toi. Il faut être renard pour flairer les pièges et lion pour imposer la sécurité. Celui qui donne son pouvoir à un tiers signe sa propre chute. Tu me revois ton process fournisseur et l'IAM derrière ? Tu n'as pas à être parfait. Tu dois paraître crédible. Le cercle parfait n'existe pas, mais tu t'améliores en continu. Les hommes réagissent plus vite à la perte financière qu'à la morale. Ceux qui ne prévoient pas l'avenir seront les premiers à couler. ISO 22301 quand tu nous tiens, mais aussi Forecast, P&L, c'est-à-dire Profit & Loss, en tout genre, Budget, Kodak qui rit de la photo numérique et Nokia qui rit d'Apple. Et en guise de conclusion, gouverner ce n'est pas plaire, c'est durer. Machiavel n'était pas cynique, il était lucide. Il a développé des théories sur la façon de prendre et de maintenir le pouvoir. Il était réaliste, il se concentrait sur la manière dont le pouvoir était réellement exercé. plutôt que sur la manière dont ils devaient l'être idéalement. Souvent, en séparant la politique de la morale. Il est connu pour l'idée que les actions d'un dirigeant doivent être jugées en fonction de leur efficacité à atteindre leurs objectifs politiques. Ah, tu vois le lien avec le PDCA ? Et même si ces actions impliquent d'agir de manière immorale, euh non, pas là non, là je suis pas d'accord. La conformité à tout prix, c'est pas pour moi. Cocher des cases à 100% pour faire joli non plus. et remettre un beau rapport de conformité digne d'un Big Four qui a utilisé l'IA pour le gouvernement australien non plus, pas pour moi. Bref, je pense que tout bon CISO devrait le lire pour parfois prendre du recul ou de la hauteur comme Ezio Auditore sur les toits de Florence avant de mieux sauter vers le prochain plan d'action ou la prochaine mission. Ce n'est pas la morale qui fait tenir un état, c'est la cohérence et la vision. Dans un monde où on te demande de protéger sans faire... peur, de tout sécuriser sans rien ralentir, et de cocher toutes les cases sans bousculer personne, un peu de Machiavel dans ta posture, ça peut te sauver. Et toi ? Si tu devais appliquer un seul principe de Machiavel à ton quotidien de CISO, ce serait lequel ? Je suis curieux. Commente, partage ton vécu, tag un collègue qui doit écouter ça, un fan d'Assassin's Creed, ou quelqu'un de ta communauté qui pourrait aimer ce podcast. Birds of a Feather. qui se ressemble s'assemble, comme dirait un de mes coma breakers. Et parfois, le meilleur plan sécurité, c'est un plan machiavélique. Et je ne te parle pas juste de ton Honey Pot. D'ailleurs, semaine prochaine, on est en tournage avec un instructeur SANS, là où la défense rencontre l'analyse, et là où les ransomware n'ont qu'à bien se tenir. Expert en malware, chasseur de menaces et co-organisateur de Brucon en Belgique, je te laisse deviner qui ça peut bien être. Il incarne cette maxime pour mieux te défendre, connaît ton ennemi. Tiens. Ça me rappelle vaguement quelque chose, mais quoi ?

Chapters

Introduction : Rencontre avec Machiavel
0sec
Segment 1 : L'illusion du pouvoir et le vrai contrôle
1min
Segment 2 : Le shadow IT, c'est le complot permanent
3min
Segment 3 : Les apparences comptent plus que la vérité
4min
Segment 4 : Choisir les bons conseillers
5min
Segment 5 : L'art du bon gouvernement et le timing
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction : Rencontre avec Machiavel

0sec

Segment 1 : L'illusion du pouvoir et le vrai contrôle

1min

Segment 2 : Le shadow IT, c'est le complot permanent

3min

Segment 3 : Les apparences comptent plus que la vérité

4min

Segment 4 : Choisir les bons conseillers

5min

Segment 5 : L'art du bon gouvernement et le timing

5min

Transcription

Speaker #0
Tu veux que je te raconte comment j'ai rencontré Machiavel ? Niccolo Machiavelli, plus connu sous le nom de Machiavel. Et comment il m'a convaincu de lire son livre, Le Prince. Je te parle du gars en photo dans les manuels d'histoire, le conseiller politique du 15e siècle. Eh bien, tu vas pas me croire. Je l'ai rencontré en courant sur les toits en tuiles ocre de Florence, cap au vent, en pleine mission. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je t'emmène à Florence, ou plutôt, au cœur du 15e siècle, à la rencontre de Niccolò Machiavelli. Abonne-toi, commente, et mets-moi 5 étoiles, bien sûr, pour continuer à porter ce podcast en francophonie. Allez, c'est parti. Oui. Ezio Auditore da Firenze. Auditore. Belle coïncidence pour un podcast compliance, non ? J'ai un peu joué à Assassin's Creed, j'avoue. Jusqu'à un niveau 100% sur un opus. Là où j'allais jusqu'à chercher toutes les plumes sur les toits. Le fait de parler de brotherhood et de fraternité à travers les âges et d'apprendre, j'adorais. Dans l'un des opus, Machiavelli est là. Calme, intelligent, froid, stratège. C'est lui qui t'oriente, qui te guide, qui t'apprend... à penser en dehors des dogmes. Et à force de le suivre en mission, j'ai eu envie de lire le livre Le Prince et de visiter Florence. Mais ça, c'est une autre histoire. Et à force de lire Le Prince, je me suis dit un truc. Machiavel aurait pu être CISO. Segment 1, l'illusion du pouvoir et le vrai contrôle. Dans Le Prince, Machiavel balance ça. Il vaut mieux être craint qu'aimé. Si on ne peut pas être les deux. Tu vois le choc thermique ? L'amour, dit-il, repose sur la reconnaissance, mais les hommes la brisent dès que leur intérêt personnel est en jeu. La crainte, elle, repose sur la peur de la punition. Et elle est beaucoup plus fiable. En cybersécurité, ça veut dire quoi ? Que ta crédibilité repose sur ta capacité à dire non, à bloquer, à exiger, à faire appliquer. Tu ne peux pas être ce gardien sympa, discret, transparent, et attendre que tout soit sécurisé. Ça ne fonctionne pas. Si tu ne peux rien imposer, tu n'as aucun pouvoir. Tu n'es pas un CISO, tu es un consultant en bienveillance. Alors oui, je ne suis pas là pour qu'on m'aime. Mais si personne ne m'aime, rien ne bouge. Et dans ce cas, on me mettra des peaux de bananes. Mais spoiler, c'est surtout eux qui vont se tirer une balle dans le pied. Et je peux faire le méchant en disant « Attention, si l'auditeur te met un écart, tu devras quand même le faire, mais avec une pression différente. » travaillons ensemble, même si tu ne m'aimes pas, pour avancer et éviter des écarts. Alors au fil des épisodes, je reçois des messages de sympathie et ça me booste toujours autant. Et là j'ai trouvé mon X, comme dirait une amie canadienne. Merci Dominick. Dominick avec un K, comme dans Iso 20K, ainsi tu te reconnaîtras. Segment 2, le shadow IT, c'est le complot permanent. Machiavel dit aussi, le prince doit apprendre à ne pas être bon lorsque cela est nécessaire. Tu vois venir la carte bleue Amazon, l'outil SaaS activé en douce, le marketing qui dit « c'est juste pour tester » . Et toi, tu passes pour le méchant. Mais si tu ne fais rien, tu deviens complice. Tu laisses ton royaume se faire morceler. Tu laisses chaque chef de projet jouer au petit prince. Et toi, tu te prépares pour l'audit. Tout seul. D'ailleurs, il faut un prince dans chaque état, d'après Machiavel. Tu ne peux pas gouverner à distance si tu n'as pas un prince qui te supporte dans chaque état. Messieurs et mesdames, head of the departments, c'est à vous que je parle. Pas aux petits chefs qui sont à la tête de baronnie. Tu ne dois pas être un frein pour le business, mais tu dois rester maître de la sécurité. Segment 3. Les apparences comptent plus que la vérité. Machiavel disait « Tous voient ce que tu parais, peu comprennent ce que tu es » . Combien d'organisations ont l'air conformes ? Mais en dessous, c'est vide. Slide parfaite, ISO affiché, RGPD encadré. Mais en vrai, des users qui cliquent sur tout, des process jamais appliqués, des fournisseurs sans contrat, ou bien tu m'engages et je reçois pas de data processing agreement, et tu me dis que t'es conforme au GDPR. L'illusion de sécurité est parfois plus dangereuse que l'absence de sécurité. Et Machiavel te prévient, le peuple juge par ce qu'il voit. Toi ? Ton job de CISO, c'est de rendre visible ce qui est invisible. Pas juste d'être bon, mais de faire en sorte qu'on comprenne pourquoi tu es bon. Segment 4. Un prince avisé doit choisir des hommes sages pour le conseiller et leur donner la liberté de lui dire la vérité. En sécurité, ça veut dire, laisse tes analystes parler, ne tue pas le messager, ne maquille pas les rapports. Tu veux qu'on t'aide ? Alors accepte l'alerte quand elle pique. Sinon... Tu seras entouré de gens qui te disent ce que tu veux entendre, et là t'es mort. Et c'est valable pour toi, CISO, mais aussi pour toi, comex ou directoire. Et si tu n'es pas prêt à entendre mes vérités malgré tous les gants que je prends pour te les annoncer, alors on n'est pas fait pour travailler ensemble, car je ne te fais pas progresser, même si nous sommes d'avis différents. C'est cela qui est bien dans les débats, c'est ne pas jouer à qui a raison, mais c'est une joute de confrontation d'idées et de points de vue. Segment 5. L'art du bon gouvernement, c'est le bon timing. Machiavel oppose la fortuna, les événements, à la vertu, la capacité à s'adapter. Il te dit, tu ne maîtrises pas la météo, mais tu peux ajuster les voiles. Donc non, tu ne balances pas une nouvelle politique de sécurité en pleine clôture trimestrielle. Un bon CISO, c'est aussi un stratège du timing. Ça ne te rappelle pas Sun Tsu ? Et dans cette section, j'ai quelques pépites pour toi. Il faut être renard pour flairer les pièges et lion pour imposer la sécurité. Celui qui donne son pouvoir à un tiers signe sa propre chute. Tu me revois ton process fournisseur et l'IAM derrière ? Tu n'as pas à être parfait. Tu dois paraître crédible. Le cercle parfait n'existe pas, mais tu t'améliores en continu. Les hommes réagissent plus vite à la perte financière qu'à la morale. Ceux qui ne prévoient pas l'avenir seront les premiers à couler. ISO 22301 quand tu nous tiens, mais aussi Forecast, P&L, c'est-à-dire Profit & Loss, en tout genre, Budget, Kodak qui rit de la photo numérique et Nokia qui rit d'Apple. Et en guise de conclusion, gouverner ce n'est pas plaire, c'est durer. Machiavel n'était pas cynique, il était lucide. Il a développé des théories sur la façon de prendre et de maintenir le pouvoir. Il était réaliste, il se concentrait sur la manière dont le pouvoir était réellement exercé. plutôt que sur la manière dont ils devaient l'être idéalement. Souvent, en séparant la politique de la morale. Il est connu pour l'idée que les actions d'un dirigeant doivent être jugées en fonction de leur efficacité à atteindre leurs objectifs politiques. Ah, tu vois le lien avec le PDCA ? Et même si ces actions impliquent d'agir de manière immorale, euh non, pas là non, là je suis pas d'accord. La conformité à tout prix, c'est pas pour moi. Cocher des cases à 100% pour faire joli non plus. et remettre un beau rapport de conformité digne d'un Big Four qui a utilisé l'IA pour le gouvernement australien non plus, pas pour moi. Bref, je pense que tout bon CISO devrait le lire pour parfois prendre du recul ou de la hauteur comme Ezio Auditore sur les toits de Florence avant de mieux sauter vers le prochain plan d'action ou la prochaine mission. Ce n'est pas la morale qui fait tenir un état, c'est la cohérence et la vision. Dans un monde où on te demande de protéger sans faire... peur, de tout sécuriser sans rien ralentir, et de cocher toutes les cases sans bousculer personne, un peu de Machiavel dans ta posture, ça peut te sauver. Et toi ? Si tu devais appliquer un seul principe de Machiavel à ton quotidien de CISO, ce serait lequel ? Je suis curieux. Commente, partage ton vécu, tag un collègue qui doit écouter ça, un fan d'Assassin's Creed, ou quelqu'un de ta communauté qui pourrait aimer ce podcast. Birds of a Feather. qui se ressemble s'assemble, comme dirait un de mes coma breakers. Et parfois, le meilleur plan sécurité, c'est un plan machiavélique. Et je ne te parle pas juste de ton Honey Pot. D'ailleurs, semaine prochaine, on est en tournage avec un instructeur SANS, là où la défense rencontre l'analyse, et là où les ransomware n'ont qu'à bien se tenir. Expert en malware, chasseur de menaces et co-organisateur de Brucon en Belgique, je te laisse deviner qui ça peut bien être. Il incarne cette maxime pour mieux te défendre, connaît ton ennemi. Tiens. Ça me rappelle vaguement quelque chose, mais quoi ?

Chapters

Introduction : Rencontre avec Machiavel

0sec

Segment 1 : L'illusion du pouvoir et le vrai contrôle

1min

Segment 2 : Le shadow IT, c'est le complot permanent

3min

Segment 3 : Les apparences comptent plus que la vérité

4min

Segment 4 : Choisir les bons conseillers

5min

Segment 5 : L'art du bon gouvernement et le timing

5min