Episode 40: en 2025 un DRH confondait encore sécurité de l'informatique et sécurité de l'information - je t'explique comment lui répondre | Compliance Without coma

Description

Êtes-vous sûr que la sécurité de l'information ne concerne pas votre rôle en tant que DRH ? Dans cet épisode captivant de Compliance Without Coma, Fabrice De Paepe remet en question cette idée reçue et révèle pourquoi chaque responsable des ressources humaines doit s'impliquer dans la certification ISO 27001. Trop souvent, la norme ISO 27001 est perçue comme une prérogative exclusive du département informatique, mais Fabrice démontre que la sécurité de l'information est un enjeu qui touche tous les aspects de l'entreprise, y compris les ressources humaines.

À travers des exemples concrets, il évoque des pratiques essentielles telles que la vérification préalable à l'embauche et la gestion des incidents de sécurité, qui sont directement liées à la protection des données et à la confidentialité des employés. En effet, la sécurité de l'information ne se limite pas à des mesures techniques, mais englobe également une culture d'entreprise qui valorise la sécurité à tous les niveaux. Fabrice insiste sur le fait que chaque membre du personnel a un rôle à jouer dans la mise en œuvre d'un Système de Management de la Sécurité de l'Information (SMSI).

Dans cet épisode, vous découvrirez comment les DRH peuvent participer activement à la certification ISO 27001 et pourquoi cela doit être considéré comme un projet d'entreprise collectif plutôt que comme une simple obligation IT. La sécurité de l'information est l'affaire de tous, et il est temps que les DRH prennent leurs responsabilités. En adoptant une approche proactive, ils peuvent non seulement protéger les données sensibles mais aussi renforcer la confiance au sein de l'équipe et améliorer la réputation de l'entreprise.

Fabrice conclut cet épisode par un appel à l'action fort : il encourage tous les DRH à se lever et à jouer un rôle clé dans la transformation de la culture de sécurité de l'information de leur organisation. Ne laissez pas la sécurité de l'information être un sujet de préoccupation uniquement pour le département informatique ! Rejoignez-nous pour découvrir comment vous pouvez contribuer à un environnement de travail plus sûr et plus conforme. Écoutez dès maintenant cet épisode de Compliance Without Coma et engagez-vous à faire de la sécurité de l'information une priorité dans votre entreprise.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
En 2025, j'ai encore eu un DRH qui m'a dit « Ah mais moi je ne suis pas concerné par votre ISO 27001, c'est de la sécurité informatique » . Et là, j'ai su qu'on démarrait déjà très mal. Heureusement, ce n'était pas lui le sponsor. Quel beau pléonasme. Parce que oui, on est en 2026, et non, tu ne peux plus faire l'amalgame entre sécurité informatique et sécurité de l'information. Bienvenue dans Compliance Without Coma, le podcast où on parle cybersécurité, gouvernance et leadership, sans jargon et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on va parler d'un mal très répandu, le DRH qui pense qu'il n'a rien à voir avec l'ISO 27001. Mais ça se guérit, tu vas voir comment. Oublie pas de t'abonner et de liker, ça permet de continuer de porter la voix du podcast et de bien démarrer l'année pour mes KPI. Alors tu as peut-être déjà été confronté à un RH qui bloquait. Souvent d'ailleurs c'est plus masculin que féminin. Donc je ne sais pas pourquoi, mais c'est souvent plus des hommes qui bloquent ou qui ont un mindset différent. Et tu veux savoir quoi lui dire pour faire avancer ton projet ? Tu frappes à la bonne porte. Allez viens, je t'explique la suite et ce que tu dois répondre à ce genre de personnes. Mais promets-moi... que tu vas les enfermer d'abord avec toi 30 minutes dans une salle de réunion pour décristalliser leurs croyances et les recristalliser. Alors ça commence par cette phrase, le DRH qui me dit « C'est ton ISO 27001, pas le mien. » Ensuite, d'abord, ce n'est pas mon ISO 27001, je ne l'ai pas écrite, je ne suis pas son papa, et je ne suis même pas fâché avec toi. On m'a juste demandé de t'aider en fait, parce que ton organisation veut être certifiée, pas la mienne. Et là, je sais qu'on part dans le mythe de la caverne de Platon d'emblée. J'ai un épisode dessus, il est dans le top 5 d'ailleurs, si tu me découvres aujourd'hui, va l'écouter. Alors, je vais te parler de la grande confusion entre sécurité informatique et sécurité de l'information. Alors oui, on est en 2026, et tu me confonds encore ça. Tu vois que je parle au moment des RH, c'est-à-dire que tu confonds sécurité informatique... les firewalls, les serveurs, les antivirus, l'époque où on téléchargeait des virus en 56 Kb de bande passante et qu'on les mettait sur les floppy disks. Donc, tu as au moins 30 ans de retard comme Mindset RH. Et si tu as moins de 30 ans tout court, tu n'as pas connu ce monde-là non plus. Deuxièmement, la sécurité de l'information, qu'est-ce que c'est ? On va parler de confidentialité, d'intégrité, de disponibilité, de... toutes les infos pertinentes pour ton organisation. Mais si tu penses également à l'allégorie de la caverne de Platon, c'est ça. Décristalliser, car t'es au fond de ta grotte et t'as jamais vu la lumière, mais que des reflets. Transformer, le chemin de la connaissance est long et périlleux. Et recristalliser, ça y est, t'es sorti, t'as vu le soleil. Tu as, et tu vas pouvoir aller le dire aux autres qui sont encore dans la grotte. Donc attention quand tu descends, c'est glissant et très escarpé. Bon. Là, je viens de te résumer l'épisode 5 du podcast sous un autre angle encore. Va l'écouter si tu me découvres aujourd'hui. Bon, parlons au RH. Et devine ce qui circule dans ton département, cher DRH. De l'information et de la sensible. Donc le DRH est directement concerné par au moins 8 contrôles ISO. La vérification préalable à l'embauche. En anglais, on dit screening, c'est plus court. Les clauses et conditions du contrat de travail. le processus disciplinaire, la responsabilité après la fin ou la modification du contrat de travail, la confidentialité et l'accord de non-divulgation, le travail à distance, merci Covid, et le mécanisme de signalement des événements de la sécurité de l'information. Et avec tout ce qui se passe avec Dora, NIS 2, si tu n'as pas dormi dans ta grotte pendant 30 ans, tu dois reporter les incidents de sécurité et les événements. Et les autres aussi. Il y a la sensibilisation. Bon, admettons que tu ne la choisisses pas. Il y a le double effet Kiss Kool, car elle est également dans la clause obligatoire de la clause 7. Ensuite, il y en a d'autres. Tu as le process JML, qui officiellement n'est pas dans l'ISO. J'en parle dans un podcast précédent également. Mais ce process regroupe ce que tu dois faire quand tu fais rentrer quelqu'un dans ton organisation, quand il bouge et quand il quitte. Ah oui, j'oubliais, tu travailles aussi probablement avec un secrétariat social. Et là... C'est un fournisseur et du RGPD. Donc deux autres aspects. Et RGPD, c'est devenu une loi, quelque part. Et la loi est au-dessus de l'ISO. Donc, échec et mat également. Et je m'arrête là. Car le reste va fortement dépendre de ton organisation. Donc, quand tu me dis que ça ne te concerne pas, c'est comme dire, je conduis une voiture, mais je ne suis pas concerné par le code de la route. Et puis, il y a les lois aussi. Parce que l'ISO ne remplace pas la loi. Tu peux décider de ne pas... pas appliquer un contrôle ISO, ok, fine. Mais tu ne peux pas décider d'ignorer la loi. GDPR, le droit du travail, la protection des données salariales, l'AI Act. Oui, tu devras former tout ton personnel en 2026. La transparence salariale, tes obligations comme employeur, et je suis loin d'être exhaustif. Donc, quand tu dis que tu n'es pas dans le périmètre, je veux bien, mais la loi, elle, elle t'y met de force. Et puis tu vas aussi participer, cher DRH, à des audits. Bienvenue dans la vraie vie. Parce qu'un SMSI ISO 27001, ce n'est pas juste des serveurs et des antivirus. C'est une culture. Et devine qui porte la culture ? Les RH, entre autres. Pas les firewalls. Bon, le CISO va t'aider un petit peu pour la culture, t'inquiète. Mais tu vas devoir expliquer à un auditeur comment tu évalues la compétence des gens, comment tu les formes, comment tu gères les accès quand ils arrivent, bougent et partent. même si ce n'est pas toi qui le fais en D2D, on est d'accord. Comment tu assures la confidentialité salariale ? Comment tu vas reporter les incidents, RH ou autres ? Comment tu analyses tes risques ? Et comment tu suis ta conformité ? Oui, tu es dans le SMSI, que tu le veuilles ou non. Et puis, on a aussi tous les process métiers. Merci, l'ISO 9001. La nouvelle version de 27001, donc la version 2022, adore un truc. Les process qui viennent du métier. Donc oui. on va venir regarder comment vous faites les choses dans les RH, pour de vrai, pas dans un PowerPoint. Et en guise de conclusion, cher DRH, cher DAF, cher manager, tu n'es pas dans la sécurité informatique, mais tu es au cœur de la sécurité de l'information. Et si tu veux être certifié, il va falloir accepter une idée simple. Le SMSI n'est pas un projet IT, c'est un projet d'entreprise, et tu en fais partie. Voilà, j'espère que je t'ai apporté assez de preuves pour ton platiste. Je compare le DRH à un platiste. La terre est plate, n'est-ce pas ? Et je te dis déjà à la semaine prochaine pour un nouvel épisode de Compliance Without Coma. Pense à liker, partager, commenter et surtout, tu en discutes avec un DRH platiste. À la semaine prochaine.

Chapters

Introduction : La confusion entre sécurité informatique et sécurité de l'information
0sec
Le rôle crucial des DRH dans la sécurité de l'information
47sec
Les contrôles ISO 27001 et leur pertinence pour les RH
2min
L'importance de la loi et des obligations légales pour les DRH
5min
Conclusion : Le SMSI comme projet d'entreprise et non IT
7min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
En 2025, j'ai encore eu un DRH qui m'a dit « Ah mais moi je ne suis pas concerné par votre ISO 27001, c'est de la sécurité informatique » . Et là, j'ai su qu'on démarrait déjà très mal. Heureusement, ce n'était pas lui le sponsor. Quel beau pléonasme. Parce que oui, on est en 2026, et non, tu ne peux plus faire l'amalgame entre sécurité informatique et sécurité de l'information. Bienvenue dans Compliance Without Coma, le podcast où on parle cybersécurité, gouvernance et leadership, sans jargon et surtout sans coma. Je suis Fabrice De Paepe et aujourd'hui, on va parler d'un mal très répandu, le DRH qui pense qu'il n'a rien à voir avec l'ISO 27001. Mais ça se guérit, tu vas voir comment. Oublie pas de t'abonner et de liker, ça permet de continuer de porter la voix du podcast et de bien démarrer l'année pour mes KPI. Alors tu as peut-être déjà été confronté à un RH qui bloquait. Souvent d'ailleurs c'est plus masculin que féminin. Donc je ne sais pas pourquoi, mais c'est souvent plus des hommes qui bloquent ou qui ont un mindset différent. Et tu veux savoir quoi lui dire pour faire avancer ton projet ? Tu frappes à la bonne porte. Allez viens, je t'explique la suite et ce que tu dois répondre à ce genre de personnes. Mais promets-moi... que tu vas les enfermer d'abord avec toi 30 minutes dans une salle de réunion pour décristalliser leurs croyances et les recristalliser. Alors ça commence par cette phrase, le DRH qui me dit « C'est ton ISO 27001, pas le mien. » Ensuite, d'abord, ce n'est pas mon ISO 27001, je ne l'ai pas écrite, je ne suis pas son papa, et je ne suis même pas fâché avec toi. On m'a juste demandé de t'aider en fait, parce que ton organisation veut être certifiée, pas la mienne. Et là, je sais qu'on part dans le mythe de la caverne de Platon d'emblée. J'ai un épisode dessus, il est dans le top 5 d'ailleurs, si tu me découvres aujourd'hui, va l'écouter. Alors, je vais te parler de la grande confusion entre sécurité informatique et sécurité de l'information. Alors oui, on est en 2026, et tu me confonds encore ça. Tu vois que je parle au moment des RH, c'est-à-dire que tu confonds sécurité informatique... les firewalls, les serveurs, les antivirus, l'époque où on téléchargeait des virus en 56 Kb de bande passante et qu'on les mettait sur les floppy disks. Donc, tu as au moins 30 ans de retard comme Mindset RH. Et si tu as moins de 30 ans tout court, tu n'as pas connu ce monde-là non plus. Deuxièmement, la sécurité de l'information, qu'est-ce que c'est ? On va parler de confidentialité, d'intégrité, de disponibilité, de... toutes les infos pertinentes pour ton organisation. Mais si tu penses également à l'allégorie de la caverne de Platon, c'est ça. Décristalliser, car t'es au fond de ta grotte et t'as jamais vu la lumière, mais que des reflets. Transformer, le chemin de la connaissance est long et périlleux. Et recristalliser, ça y est, t'es sorti, t'as vu le soleil. Tu as, et tu vas pouvoir aller le dire aux autres qui sont encore dans la grotte. Donc attention quand tu descends, c'est glissant et très escarpé. Bon. Là, je viens de te résumer l'épisode 5 du podcast sous un autre angle encore. Va l'écouter si tu me découvres aujourd'hui. Bon, parlons au RH. Et devine ce qui circule dans ton département, cher DRH. De l'information et de la sensible. Donc le DRH est directement concerné par au moins 8 contrôles ISO. La vérification préalable à l'embauche. En anglais, on dit screening, c'est plus court. Les clauses et conditions du contrat de travail. le processus disciplinaire, la responsabilité après la fin ou la modification du contrat de travail, la confidentialité et l'accord de non-divulgation, le travail à distance, merci Covid, et le mécanisme de signalement des événements de la sécurité de l'information. Et avec tout ce qui se passe avec Dora, NIS 2, si tu n'as pas dormi dans ta grotte pendant 30 ans, tu dois reporter les incidents de sécurité et les événements. Et les autres aussi. Il y a la sensibilisation. Bon, admettons que tu ne la choisisses pas. Il y a le double effet Kiss Kool, car elle est également dans la clause obligatoire de la clause 7. Ensuite, il y en a d'autres. Tu as le process JML, qui officiellement n'est pas dans l'ISO. J'en parle dans un podcast précédent également. Mais ce process regroupe ce que tu dois faire quand tu fais rentrer quelqu'un dans ton organisation, quand il bouge et quand il quitte. Ah oui, j'oubliais, tu travailles aussi probablement avec un secrétariat social. Et là... C'est un fournisseur et du RGPD. Donc deux autres aspects. Et RGPD, c'est devenu une loi, quelque part. Et la loi est au-dessus de l'ISO. Donc, échec et mat également. Et je m'arrête là. Car le reste va fortement dépendre de ton organisation. Donc, quand tu me dis que ça ne te concerne pas, c'est comme dire, je conduis une voiture, mais je ne suis pas concerné par le code de la route. Et puis, il y a les lois aussi. Parce que l'ISO ne remplace pas la loi. Tu peux décider de ne pas... pas appliquer un contrôle ISO, ok, fine. Mais tu ne peux pas décider d'ignorer la loi. GDPR, le droit du travail, la protection des données salariales, l'AI Act. Oui, tu devras former tout ton personnel en 2026. La transparence salariale, tes obligations comme employeur, et je suis loin d'être exhaustif. Donc, quand tu dis que tu n'es pas dans le périmètre, je veux bien, mais la loi, elle, elle t'y met de force. Et puis tu vas aussi participer, cher DRH, à des audits. Bienvenue dans la vraie vie. Parce qu'un SMSI ISO 27001, ce n'est pas juste des serveurs et des antivirus. C'est une culture. Et devine qui porte la culture ? Les RH, entre autres. Pas les firewalls. Bon, le CISO va t'aider un petit peu pour la culture, t'inquiète. Mais tu vas devoir expliquer à un auditeur comment tu évalues la compétence des gens, comment tu les formes, comment tu gères les accès quand ils arrivent, bougent et partent. même si ce n'est pas toi qui le fais en D2D, on est d'accord. Comment tu assures la confidentialité salariale ? Comment tu vas reporter les incidents, RH ou autres ? Comment tu analyses tes risques ? Et comment tu suis ta conformité ? Oui, tu es dans le SMSI, que tu le veuilles ou non. Et puis, on a aussi tous les process métiers. Merci, l'ISO 9001. La nouvelle version de 27001, donc la version 2022, adore un truc. Les process qui viennent du métier. Donc oui. on va venir regarder comment vous faites les choses dans les RH, pour de vrai, pas dans un PowerPoint. Et en guise de conclusion, cher DRH, cher DAF, cher manager, tu n'es pas dans la sécurité informatique, mais tu es au cœur de la sécurité de l'information. Et si tu veux être certifié, il va falloir accepter une idée simple. Le SMSI n'est pas un projet IT, c'est un projet d'entreprise, et tu en fais partie. Voilà, j'espère que je t'ai apporté assez de preuves pour ton platiste. Je compare le DRH à un platiste. La terre est plate, n'est-ce pas ? Et je te dis déjà à la semaine prochaine pour un nouvel épisode de Compliance Without Coma. Pense à liker, partager, commenter et surtout, tu en discutes avec un DRH platiste. À la semaine prochaine.

Chapters

Introduction : La confusion entre sécurité informatique et sécurité de l'information
0sec
Le rôle crucial des DRH dans la sécurité de l'information
47sec
Les contrôles ISO 27001 et leur pertinence pour les RH
2min
L'importance de la loi et des obligations légales pour les DRH
5min
Conclusion : Le SMSI comme projet d'entreprise et non IT
7min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction : La confusion entre sécurité informatique et sécurité de l'information

0sec

Le rôle crucial des DRH dans la sécurité de l'information

47sec

Les contrôles ISO 27001 et leur pertinence pour les RH

2min

L'importance de la loi et des obligations légales pour les DRH

5min

Conclusion : Le SMSI comme projet d'entreprise et non IT

7min

Chapters

Introduction : La confusion entre sécurité informatique et sécurité de l'information

0sec

Le rôle crucial des DRH dans la sécurité de l'information

47sec

Les contrôles ISO 27001 et leur pertinence pour les RH

2min

L'importance de la loi et des obligations légales pour les DRH

5min

Conclusion : Le SMSI comme projet d'entreprise et non IT

7min