Speaker #0Tu veux que je te raconte comment j'ai rencontré Machiavel ? Niccolo Machiavelli, plus connu sous le nom de Machiavel. Et comment il m'a convaincu de lire son livre, Le Prince. Je te parle du gars en photo dans les manuels d'histoire, le conseiller politique du 15e siècle. Eh bien, tu vas pas me croire. Je l'ai rencontré en courant sur les toits en tuiles ocre de Florence, cap au vent, en pleine mission. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je t'emmène à Florence, ou plutôt, au cœur du 15e siècle, à la rencontre de Niccolò Machiavelli. Abonne-toi, commente, et mets-moi 5 étoiles, bien sûr, pour continuer à porter ce podcast en francophonie. Allez, c'est parti. Oui. Ezio Auditore da Firenze. Auditore. Belle coïncidence pour un podcast compliance, non ? J'ai un peu joué à Assassin's Creed, j'avoue. Jusqu'à un niveau 100% sur un opus. Là où j'allais jusqu'à chercher toutes les plumes sur les toits. Le fait de parler de brotherhood et de fraternité à travers les âges et d'apprendre, j'adorais. Dans l'un des opus, Machiavelli est là. Calme, intelligent, froid, stratège. C'est lui qui t'oriente, qui te guide, qui t'apprend... à penser en dehors des dogmes. Et à force de le suivre en mission, j'ai eu envie de lire le livre Le Prince et de visiter Florence. Mais ça, c'est une autre histoire. Et à force de lire Le Prince, je me suis dit un truc. Machiavel aurait pu être CISO. Segment 1, l'illusion du pouvoir et le vrai contrôle. Dans Le Prince, Machiavel balance ça. Il vaut mieux être craint qu'aimé. Si on ne peut pas être les deux. Tu vois le choc thermique ? L'amour, dit-il, repose sur la reconnaissance, mais les hommes la brisent dès que leur intérêt personnel est en jeu. La crainte, elle, repose sur la peur de la punition. Et elle est beaucoup plus fiable. En cybersécurité, ça veut dire quoi ? Que ta crédibilité repose sur ta capacité à dire non, à bloquer, à exiger, à faire appliquer. Tu ne peux pas être ce gardien sympa, discret, transparent, et attendre que tout soit sécurisé. Ça ne fonctionne pas. Si tu ne peux rien imposer, tu n'as aucun pouvoir. Tu n'es pas un CISO, tu es un consultant en bienveillance. Alors oui, je ne suis pas là pour qu'on m'aime. Mais si personne ne m'aime, rien ne bouge. Et dans ce cas, on me mettra des peaux de bananes. Mais spoiler, c'est surtout eux qui vont se tirer une balle dans le pied. Et je peux faire le méchant en disant « Attention, si l'auditeur te met un écart, tu devras quand même le faire, mais avec une pression différente. » travaillons ensemble, même si tu ne m'aimes pas, pour avancer et éviter des écarts. Alors au fil des épisodes, je reçois des messages de sympathie et ça me booste toujours autant. Et là j'ai trouvé mon X, comme dirait une amie canadienne. Merci Dominick. Dominick avec un K, comme dans Iso 20K, ainsi tu te reconnaîtras. Segment 2, le shadow IT, c'est le complot permanent. Machiavel dit aussi, le prince doit apprendre à ne pas être bon lorsque cela est nécessaire. Tu vois venir la carte bleue Amazon, l'outil SaaS activé en douce, le marketing qui dit « c'est juste pour tester » . Et toi, tu passes pour le méchant. Mais si tu ne fais rien, tu deviens complice. Tu laisses ton royaume se faire morceler. Tu laisses chaque chef de projet jouer au petit prince. Et toi, tu te prépares pour l'audit. Tout seul. D'ailleurs, il faut un prince dans chaque état, d'après Machiavel. Tu ne peux pas gouverner à distance si tu n'as pas un prince qui te supporte dans chaque état. Messieurs et mesdames, head of the departments, c'est à vous que je parle. Pas aux petits chefs qui sont à la tête de baronnie. Tu ne dois pas être un frein pour le business, mais tu dois rester maître de la sécurité. Segment 3. Les apparences comptent plus que la vérité. Machiavel disait « Tous voient ce que tu parais, peu comprennent ce que tu es » . Combien d'organisations ont l'air conformes ? Mais en dessous, c'est vide. Slide parfaite, ISO affiché, RGPD encadré. Mais en vrai, des users qui cliquent sur tout, des process jamais appliqués, des fournisseurs sans contrat, ou bien tu m'engages et je reçois pas de data processing agreement, et tu me dis que t'es conforme au GDPR. L'illusion de sécurité est parfois plus dangereuse que l'absence de sécurité. Et Machiavel te prévient, le peuple juge par ce qu'il voit. Toi ? Ton job de CISO, c'est de rendre visible ce qui est invisible. Pas juste d'être bon, mais de faire en sorte qu'on comprenne pourquoi tu es bon. Segment 4. Un prince avisé doit choisir des hommes sages pour le conseiller et leur donner la liberté de lui dire la vérité. En sécurité, ça veut dire, laisse tes analystes parler, ne tue pas le messager, ne maquille pas les rapports. Tu veux qu'on t'aide ? Alors accepte l'alerte quand elle pique. Sinon... Tu seras entouré de gens qui te disent ce que tu veux entendre, et là t'es mort. Et c'est valable pour toi, CISO, mais aussi pour toi, comex ou directoire. Et si tu n'es pas prêt à entendre mes vérités malgré tous les gants que je prends pour te les annoncer, alors on n'est pas fait pour travailler ensemble, car je ne te fais pas progresser, même si nous sommes d'avis différents. C'est cela qui est bien dans les débats, c'est ne pas jouer à qui a raison, mais c'est une joute de confrontation d'idées et de points de vue. Segment 5. L'art du bon gouvernement, c'est le bon timing. Machiavel oppose la fortuna, les événements, à la vertu, la capacité à s'adapter. Il te dit, tu ne maîtrises pas la météo, mais tu peux ajuster les voiles. Donc non, tu ne balances pas une nouvelle politique de sécurité en pleine clôture trimestrielle. Un bon CISO, c'est aussi un stratège du timing. Ça ne te rappelle pas Sun Tsu ? Et dans cette section, j'ai quelques pépites pour toi. Il faut être renard pour flairer les pièges et lion pour imposer la sécurité. Celui qui donne son pouvoir à un tiers signe sa propre chute. Tu me revois ton process fournisseur et l'IAM derrière ? Tu n'as pas à être parfait. Tu dois paraître crédible. Le cercle parfait n'existe pas, mais tu t'améliores en continu. Les hommes réagissent plus vite à la perte financière qu'à la morale. Ceux qui ne prévoient pas l'avenir seront les premiers à couler. ISO 22301 quand tu nous tiens, mais aussi Forecast, P&L, c'est-à-dire Profit & Loss, en tout genre, Budget, Kodak qui rit de la photo numérique et Nokia qui rit d'Apple. Et en guise de conclusion, gouverner ce n'est pas plaire, c'est durer. Machiavel n'était pas cynique, il était lucide. Il a développé des théories sur la façon de prendre et de maintenir le pouvoir. Il était réaliste, il se concentrait sur la manière dont le pouvoir était réellement exercé. plutôt que sur la manière dont ils devaient l'être idéalement. Souvent, en séparant la politique de la morale. Il est connu pour l'idée que les actions d'un dirigeant doivent être jugées en fonction de leur efficacité à atteindre leurs objectifs politiques. Ah, tu vois le lien avec le PDCA ? Et même si ces actions impliquent d'agir de manière immorale, euh non, pas là non, là je suis pas d'accord. La conformité à tout prix, c'est pas pour moi. Cocher des cases à 100% pour faire joli non plus. et remettre un beau rapport de conformité digne d'un Big Four qui a utilisé l'IA pour le gouvernement australien non plus, pas pour moi. Bref, je pense que tout bon CISO devrait le lire pour parfois prendre du recul ou de la hauteur comme Ezio Auditore sur les toits de Florence avant de mieux sauter vers le prochain plan d'action ou la prochaine mission. Ce n'est pas la morale qui fait tenir un état, c'est la cohérence et la vision. Dans un monde où on te demande de protéger sans faire... peur, de tout sécuriser sans rien ralentir, et de cocher toutes les cases sans bousculer personne, un peu de Machiavel dans ta posture, ça peut te sauver. Et toi ? Si tu devais appliquer un seul principe de Machiavel à ton quotidien de CISO, ce serait lequel ? Je suis curieux. Commente, partage ton vécu, tag un collègue qui doit écouter ça, un fan d'Assassin's Creed, ou quelqu'un de ta communauté qui pourrait aimer ce podcast. Birds of a Feather. qui se ressemble s'assemble, comme dirait un de mes coma breakers. Et parfois, le meilleur plan sécurité, c'est un plan machiavélique. Et je ne te parle pas juste de ton Honey Pot. D'ailleurs, semaine prochaine, on est en tournage avec un instructeur SANS, là où la défense rencontre l'analyse, et là où les ransomware n'ont qu'à bien se tenir. Expert en malware, chasseur de menaces et co-organisateur de Brucon en Belgique, je te laisse deviner qui ça peut bien être. Il incarne cette maxime pour mieux te défendre, connaît ton ennemi. Tiens. Ça me rappelle vaguement quelque chose, mais quoi ?
