Episode 42 : Leonel Gandji nous parle de PDIS le tampon ANSSI qui rassure… même quand ce n’est pas obligatoire | Compliance Without coma

Description

Vous pensez que la conformité est une simple obligation bureaucratique ? Détrompez-vous ! Dans cet épisode de "Compliance Without Coma", Fabrice De Paepe explore comment la conformité peut devenir un véritable levier de croissance pour votre entreprise. Rejoignez-nous pour une discussion avec un expert en sécurité des systèmes d'information sur le cadre PDIS, piloté par l'ANSSI, qui évalue les prestataires capables de détecter des menaces dans des environnements critiques.

Au cœur de cet épisode, nous examinons l'importance cruciale de l'analyse de risque, notamment à travers la méthode EBIOS, qui permet d'identifier et de gérer les risques potentiels. Les labels de conformité, loin d'être de simples certificats, se transforment en marques de confiance sur le marché, renforçant ainsi la crédibilité des entreprises qui les détiennent. Mais comment ces normes peuvent-elles être intégrées de manière efficace dans votre stratégie d'entreprise ?

Nos intervenants partagent des expériences personnelles et professionnelles enrichissantes, notamment sur le rôle essentiel des Security Operating Centers (SOC). Ils mettent en lumière comment la maturité des entreprises dans la mise en œuvre de ces normes peut faire la différence entre une gestion proactive des risques et une réaction tardive face aux menaces. Vous découvrirez également les implications de la loi NIS 2 et comment elle pourrait renforcer les exigences de sécurité pour les entreprises, rendant la conformité encore plus pertinente dans le paysage numérique actuel.

À travers des anecdotes et des réflexions, cet épisode vous montrera que la conformité n'est pas une contrainte, mais une opportunité d'innover et de croître. Que vous soyez un dirigeant d'entreprise, un professionnel de la sécurité ou simplement curieux d'en savoir plus sur le sujet, cet épisode de "Compliance Without Coma" vous fournira des insights précieux et des perspectives nouvelles. Ne manquez pas cette occasion de transformer votre vision de la conformité !

Écoutez dès maintenant et rejoignez la conversation sur comment faire de la conformité un atout stratégique dans votre organisation !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Dites, vous saviez qu'on n'avait pas fini l'épisode vendredi passé avec Léonel ? Allez, c'est pas grave. Nous voici donc un peu plus loin, après notre talk sur PCI DSS, là où je vous avais laissé avec cette idée de preuve et de confiance, quand tu vends de la sécurité. Aujourd'hui, on reprend là où on s'est arrêté, et on va basculer sur un sujet très franco-français, le PDIS, un cadre piloté par l'ANSI, qui sert à qualifier les prestataires capables de faire de la détection dans des environnements critiques. On va parler de ce que cela implique, de l'analyse de risque, d'EBIOS, et surtout pourquoi ces labels deviennent, au-delà de la conformité, une marque de confiance sur le marché. Allez, on reprend. J'ai également démarré dans un SOC, un Security Operating Center. Est-ce que tu peux nous expliquer un petit peu en quoi consiste la mission day-to-day d'un SOC en fait ?
Speaker #1
Alors ce que j'ai fait plutôt dans le SOC, c'est l'accompagnement sur l'analyse de risque, puisque le SOC était PDIS. Et du coup, je devais revoir l'analyse de risque par rapport à ça. Donc c'est franco-français, donc c'est piloté par l'ANSI France pour pouvoir garantir que de façon opérationnelle, tout ce qui est Security Operating Center était capable d'être implémenté dans des OIV. Donc quand je dis OIV, je parle d'organisme d'intérêt vital, donc des systèmes critiques, si je peux dire ça comme ça.
Speaker #0
Et donc PDIS dépend de l'ANSSI, et donc c'est une sorte de label qui est accrédité par l'ANSI. Donc tu dois passer par un bureau de certification du coup français, en tout cas qui a un numéro de SIRET français, avec des auditeurs qualifiés aussi, ou accrédités, peu importe les termes. mais qui sont aussi compétents sur le PDIS pour venir délivrer la certification PDIS. Et ça, c'était dans le cadre de ta mission.
Speaker #1
Dans le cadre de ma mission, moi, j'étais du côté du client, non pas du côté de l'audit. Donc l'idée, c'était d'accompagner le client, parce que l'idée, c'est de faire une analyse de risque, ou d'avoir une analyse de risque à jour, pour identifier les risques relatifs aux SIC, etc. Et c'était ça mon rôle. Tu sais que je fais de l'appréciation de risque. Je fais des appréciations de risque. Tu fais des EBIOS aussi ? Oui, c'est ça.
Speaker #0
C'est le PDIS qui demande à faire des EBIOS ou c'est le client qui peut choisir ?
Speaker #1
Ce qui est génial dans le PDIS, c'est qu'ils ont proposé que pour faire ton analyse de risque, tu pouvais utiliser d'EBIOS. T'as intérêt à l'utiliser d'ailleurs parce qu'ils ont mis des cas. Par exemple, dans tel cas, tu peux faire les 5 ateliers. Dans tel cas, tu peux faire 3 ateliers. Donc, c'est plus facile pour toi de passer par l'EBIOS que de passer par les OVS. Comme c'est français. On dit la même chose.
Speaker #0
On ne fait pas de pub, mais on va être obligé de citer plein de bons produits. Je vais dire MEHARI aussi. Ah merde, c'est français.
Speaker #1
Je suis français,
Speaker #0
oui. De ce que je connais d'EBIOS, moi j'ai utilisé EBIOS il y a très très longtemps. Depuis, je n'y ai plus jamais utilisé. Ce que je connais d'EBIOS, c'est que il faut quand même une bonne maturité au niveau de l'entreprise au début pour maîtriser. Donc on a besoin d'experts comme toi. Mais surtout pour faire tourner parce que Hum... les clients ou ceux qui travaillent en interne ne comprennent pas forcément toutes les subtilités. Et moi, après, je peux me tromper. N'hésite pas à me dire si je suis mauvais ou si je sors du cadre. Mais moi, j'ai l'impression qu'Ebios, je ne vais pas l'utiliser pour une entreprise de 7 personnes. Est-ce que tu confirmes ou est-ce qu'Ebios, il faut déjà avoir une maturité d'entreprise pour être capable de le gérer ? Et je parle aussi en utilisation d'Ebios en D2D. Si ça doit me coûter un équivalent en temps plein, que je dois payer pour remplir mon analyse de risque EBIOS, alors qu'on peut faire un risque register, je parle uniquement sous ISO 27001, tout ce que j'ai vu en audit ISO, ça passe. Est-ce que là, du coup, avec le PDIS, le fait d'indirectement obliger EBIOS donne déjà un autre niveau de maturité ?
Speaker #1
Pas forcément. Pas forcément, je pense qu'on est sur des produits de l'ANSSI, on est sur des produits français, donc il n'y a pas de raison de se retirer. De ce cadre-là, et c'est aussi un moyen de dire qu'on a une chaîne de valeur. Donc, PASSI, PDIS, ISO, je dis ISO, et EBIOS-RM, tout ça, tu vois, on est considéré sur une chaîne de valeur française. Donc, je pense que, oui, je pense que c'est déjà ça. Oui,
Speaker #0
du coup, ça fait aussi un intérêt pour ceux qui ont un SOC et qui voudraient être PDIS. Ah oui, je comprends tout à fait. il y a un intérêt parce que du coup Du coup, tout le monde parle le même langage, le même vocabulaire. On sait que s'ils sont pDIS... et qu'ils analysent l'EBIOS derrière, ils ont au moins un tel niveau de maturité. Pourquoi PDIS existe ? Parce qu'il y a PDIS, mais il n'y a pas que PDIS, il y a PRIS, il y a SecNum Cloud en France, autour de l'ANSSI. Pourquoi est-ce qu'ils ont créé PDIS ?
Speaker #1
Alors PDIS c'est pour répondre à une demande factuelle. Donc la demande, c'est les organismes dont je t'ai parlé tout à l'heure, qui sont les OIV ou les OSE. Quel système de détection tu vas installer ? Est-ce que chacun va installer son SIEM, chacun va installer son Splunk ? Non. Et du coup, pour pouvoir être sûr que les vulnérabilités ou les tentatives d'intrusion, etc., sont détectées dans un environnement rigide et que c'est des systèmes critiques, il vaut mieux définir un cadre, je pense, à mon avis, qui permet de dire, OK, on va définir des prestataires de qualité. Donc, à travers le PDIS, on va dire, OK, on a... une liste des gens qu'on va dire plus ou moins matures, quand tu vois l'effet PDIS, capables, qui ont la capacité nécessaire pour aller faire de la détection dans un environnement critique, pour éviter que chacun essaie de dire je vais faire un SOC managé et qu'on ne contrôle pas derrière. C'est la détection, donc c'est très opérationnel, mais c'est la détection que, par exemple, tu parlais de gestion des incidents au niveau des PRIS, donc ce n'est pas pareil. ou du passé qui va être l'audit, qui va qualifier des auditeurs pour aller faire des audits comme je le fais là, mais sur des environnements critiques. Tu vois, ce n'est pas le même périmètre. Donc, le PDIS est vraiment focalisé sur la détection.
Speaker #0
Les sociétés qui sont PDIS vont être des sociétés qui vont répondre à des marchés pour des sociétés qui, elles, sont des OIV, du style une grosse entreprise française du CAC 40. sans les citer, parce que du coup, elles doivent aussi démontrer que dans leurs suppliers et dans la chaîne de valeur, ils ont pris des suppliers avec un certain niveau.
Speaker #1
Alors, la petite expérience que j'ai eue dans cet environnement-là me permet de dire qu'en fait, c'est devenu comme une marque de confiance. Donc, même si mon client n'est pas PDIS, il veut quand même un SOC PDIS. Même si mon client n'est pas soumis à une notité de PASSI, il veut des auditeurs PASSI. Il veut des auditeurs LPM. Pourquoi PASSI se dit « Ah tiens, eux au moins, je suis sûr qu'ils ont prouvé, ils ont pu prouver qu'ils ont la maîtrise, qu'ils ont le contrôle, qu'ils ont l'expertise nécessaire, les outils nécessaires, et qu'on peut faire confiance. » Donc au-delà du fait que, oui, les environnements critiques, donc ceux qui ont des environnements critiques, c'est-à-dire qui sont sujets, PDIS ou PASSI, ceux qui ne le sont même pas. comment ça nous réclamait. Je me rappelle avant de quitter un de mes employeurs, c'était la demande qu'on avait. Si vous n'êtes pas LPM, on préfère... On n'est pas soumis, mais on préfère LPM. On préfère des gens qui sont PASSI.
Speaker #0
LPM, c'est la loi de programmation militaire.
Speaker #1
On préfère des gens qui soient qualifiés LPM ou PASSI ou PDIS parce que c'est gage de confiance.
Speaker #0
Et c'est du marketing. J'ai un client comme ça, ça me fait songeur à ça. J'ai un client comme ça à Luxembourg. qui eux, ils opèrent un SOC et ils sont bloqués parce que le marketing aimerait bien que leur SOC soit labellisé au niveau... Non, non, parce que...
Speaker #1
Ils sont à Luxembourg.
Speaker #0
Donc le CISO, j'ai eu une discussion avec lui, il est en train de chercher, il me dit Fab, qu'est-ce que je peux mettre en place ? Je lui dis, tu peux regarder du côté des critères communs, j'ai eu de la chance, ou tu peux regarder du niveau au niveau lab et accréditation, mais d'un lab. et alors on transforme ton SOC en lab et à ce moment là ça devient aussi une certification ISO j'ai oublié laquelle mais plutôt au niveau alors là il y aura tout ce qui est calimétrie moi je peux pas t'accompagner on est pas expert là dedans mais parce que ils sont à Luxembourg mais ils rayonnent en Europe mais je leur ai dit mais si tu n'as pas une filiale française en France Ça ne sert à rien. Oui,
Speaker #1
parce que c'est le marché français qui demande des PDIS. C'est le marché français.
Speaker #0
À Luxembourg, ça n'existe pas. Ça n'existe pas, mais c'est tellement petit.
Speaker #1
Après, ils peuvent toujours créer une filiale française et dire qu'ils ne sont pas si en France aux PDIS.
Speaker #0
Sauf que le SOC est à Luxembourg pour la territorialité des données aussi. Luxembourg, c'est quand même beaucoup de banques. Oui, je ne vais pas en dire plus sur le SOC. Tout à l'heure, on a fait le parcours d'un auditeur PCI. Est-ce que tu connais le parcours d'un auditeur PASSI ?
Speaker #1
Oui. L'auditeur PASSI, il faut que tu passes un examen déjà. C'est très intéressant parce que c'est aussi pareil, c'est ton entreprise qui te présente. À la différence du PCI, est-ce que c'est une différence ? C'est la même chose, je vais dire. C'est ton entreprise qui te présente, donc tu peux te lever pour dire bonjour, je vais devenir auditeur passé parce que je suis freelance. Ça ne marche pas comme ça.
Speaker #0
Non.
Speaker #1
Donc, ton entreprise. présent, donc en bas. Alors, mais ce qu'il ne faut pas oublier, c'est que l'entreprise, elle aussi, elle dépend de toi. Donc, c'est une relation de dépendance.
Speaker #0
Si tu pars, elle te perd. Si tu pars,
Speaker #1
elle n'est plus PASSI. Du coup, l'entreprise te présente, il faut que tu fournisses ton casier judiciaire, etc. Donc, il y a une vérification quand même. On programme l'examen. Alors, ce que j'ai remarqué dans le passé qui m'a un tout petit peu déçu, mes amis français, excusez-moi, tu sais, il n'y a pas... on te donne la norme, il n'y a pas d'accompagnement. Tu as la norme. Je ne sais pas s'il y en a qui donnent le cours, je n'ai pas vu, mais tu as la norme et puis tu débrouilles avec. Sauf que la norme, le référentiel PASSI, il t'envoie sur plein d'autres annexes.
Speaker #0
Il y a cinq domaines, si je me rappelle.
Speaker #1
C'est ça, mais après, il te renvoie sur plein d'autres choses. Tu n'as pas un manuel qui te dit « Ah tiens, laisse ça, viens composer. » Il te renvoie sur plein d'autres choses. Donc oui, il y a ce manquement. donc on te regarde maintenant les amis, tu vois, tu composes t'as pas de bruit, enfin si t'as un bruit ou pas je me rappelle Mais ça là, c'est imposant. C'est parallèle, c'est imposant. Tu viens, c'est carré, tu composes.
Speaker #0
De ce que je me rappelle, parce que j'ai aussi travaillé avec le PASSI il y a des années, niveau infrastructure, niveau code, analysis, il y a une partie, pas ISO 27001 comme on l'entend, mais plutôt gouvernance, mais les deux autres, je ne sais plus. Il y avait un examen papier, puis il y avait un examen devant jury.
Speaker #1
C'est ça.
Speaker #0
Ce qui fait que quand on voit aujourd'hui ce qu'on fait au niveau de l'ISACA, au niveau de l'ISC Square, au niveau de... Des autres bureaux de certification, de certification de personnes, où il suffit juste de passer un examen, et tu es là, je suis lead Auditor. Non, non.
Speaker #1
Par ici,
Speaker #0
c'est plus loin.
Speaker #1
Oui, c'est plus loin.
Speaker #0
Alors, ici, ce n'est pas le chanteur.
Speaker #1
Non, c'est vrai.
Speaker #0
C'est le professionnel d'audit de la sécurité des systèmes d'information.
Speaker #1
Oui, mais oui, c'est résilient. Je suis d'accord. Et ensuite, comme je te dis, je pense qu'ils vont croire ça après, mais il manque un peu d'incredulements, parce que... Moi, je me rappelle, on te donne le document, on te dit bonne chance. Je te dis la vérité, c'est ce que j'ai eu. On te donne le support de cours, on te dit bonne chance. Ce qu'on te donne, tu peux télécharger le référentiel, c'est gratuit, c'est celui de l'ANSSI. Tu télécharges et puis...
Speaker #0
C'est un CBK, c'est un Common Body of Knowledge. Et après, le reste, c'est technique en fonction de dans quel domaine tu veux te diriger.
Speaker #1
Du coup, c'est beaucoup plus... Ce que je vais dire aujourd'hui, pour quelqu'un qui nous écoute, qui suit la vidéo, qui se dit, c'est intéressant ça, je veux appartenir à ce monde-là. Déjà, il vaut mieux aller dans une entreprise où ils sont déjà PASSI. Parce que comme ça, tu as le process. Mais quand tu as arrivé dans une entreprise, par exemple comme ça s'en crée tous les jours en France, tu as arrivé dans une ESN qui te dit, tiens, ça serait bien qu'on soit PASSI. Tu vois ?
Speaker #0
Ils ne connaissent pas le...
Speaker #1
Non.
Speaker #0
l'impact que ça va avoir. Non,
Speaker #1
et personne ne pourra t'accompagner dessus. Ça va être de la débrouillardise. Parce que le pire, c'est que même si tu arrives à faire le chemin jusqu'au bout, les générations spontanées, c'est toujours compliqué. C'est-à-dire que tu seras le premier certifié, bravo. Et ensuite, tu n'as pas d'accompagnement, personne n'a fait ça avant toi dans la boîte, ils ne savent pas comment ça se passe. Tu n'as jamais fait ça nulle part ailleurs. Ok, c'est une opportunité, mais derrière, tu vois, on parle quand même d'environnement critique. Et toi, tu vas te pointer en disant, bon, j'ai bien lu mon cours, je dois pouvoir m'en sortir.
Speaker #0
Un manque d'expérience. Tu peux avoir l'expérience individuelle, mais tu n'as pas l'expérience au sein de l'entreprise qui te permet de créer cette communauté, cette culture d'entreprise, et comment promouvoir ça.
Speaker #1
Et je pense que c'est aussi un défaut. Je pense que c'est l'une des choses qui peut potentiellement revenir au sujet dont on parlait au début, où on te dit, les gens vont dire, ah tiens, ils sont PASSI, mais en réalité, les gars, ils n'ont pas l'expérience. Le gars peut-être à la limite, il est doué, il a lu le support, il a lu 50 fois, il a passé et basta. Mais derrière, il n'a jamais accompagné, il n'a peut-être jamais fait d'audit PASSI, il n'a jamais vu personne le faire, il n'a jamais vu à quoi ressemblait un rapport. C'est ce qu'il a lu.
Speaker #0
Oui, parce que ça c'est théorique. Alors que je trouve quand même qu'ils vont plus loin, puisque là il y a un oral. Pour que lui il soit passé, il a un oral, mais après voilà, ça s'arrête là.
Speaker #1
Mais jusque-là, c'est la question de ce que tu as lu ou de ce que tu as fait. Parce qu'on ne demande pas à l'entreprise d'avoir une disposition particulière pour que ce gars, il devient le seul garant du fonctionnement de la boîte, si tu veux. C'est le joker.
Speaker #0
C'est le rameur.
Speaker #1
C'est le joker. Parce que, si tu veux, il n'y a que comme ça que ça fonctionne. Une entreprise qui a déjà la culture de la chose, elle va te dire, tiens, comment savoir comment ça fonctionne ici ? Parce que j'ai un côté formateur, donc j'ai un peu de la pédagogie derrière qui me dit, quand je veux faire quelque chose, bon. Mon côté gouvernance reprend le dessus. Je me dis qu'il faut qu'on s'asseye, qu'on organise l'activité. Comment on va fonctionner si on ne veut pas avoir un joker ? Parce que le drame, c'est que le matin... Quand lui, il finit d'être PASSI chez toi et que tu lui demandes 20K, tu lui dis, oh, t'abuses, OK, 5K à chaque 2 ans. Mais alors que derrière, peut-être dès qu'il passe PASSI, il y a plein d'autres boîtes qui lui proposent. Tu le paies. Et du coup, comme tu n'as pas organisé l'environnement, ton joker, tu le paies.
Speaker #0
Tu le paies ou tu le perds.
Speaker #1
Oui, tu le paies ou tu le perds. Donc, qu'est-ce que tu fais ensuite ? Qu'est-ce que tu fais ? Puisqu'il n'y a pas de contrat pour le garder, pour dire...
Speaker #0
Si vous voulez bien gagner votre vie en France, passez, cette certif. Message subliminal.
Speaker #1
Oui, si tu veux. Oui,
Speaker #0
mais alors, vous allez être prisonnier, façon de parler, parce que vous allez... Ça, c'est un choix, c'est pas un jugement que je fais. Vous serez pas freelance, puisque c'est attaché à une structure. Donc, les auto-entrepreneurs ne pourraient pas devenir PASSI, on va dire ça comme ça.
Speaker #1
Oui, ça peut pas. Ça peut pas devenir QSA non plus. Ça peut être PCIP, mais QSA non plus.
Speaker #0
Voilà. Ou, en France, vous n'avez pas encore la NIS2. Nous, on l'a déjà en Belgique. Au Luxembourg, ça va arriver, ils ne l'ont pas encore. Bon, on est 26 en Europe. 26 ou 27 ? Je ne sais jamais avec nos amis qui sont sortis, les Anglais. On est 26. Donc la NIS2, elle va être partout. Comment est-ce que tu vois maintenant le lien entre la NIS 2 et tout ce que la France a déjà fait, en fait, qui démontre une certaine maturité ? Donc, ils ont du PDRIS, ils ont du PDIS, pardon, du SecNum Cloud, ils ont du PASSI. Ils ont la LPM, ils ont déjà des choses au niveau OIV. Le NIS 2, ça va être facile alors pour eux ? Ça devrait.
Speaker #1
Pour certains.
Speaker #0
Pour certains. Et pour les autres, pas ?
Speaker #1
Pour les autres, pas du tout. Parce que comme tu sais mieux que moi, que le NIS 2, on a élargi le périmètre. C'est toute la boîte. Il faut te poser la question, ceux qui n'étaient pas dedans avant, ceux qui ont fait passer avant, ils n'ont pas de problème. Ceux qui étaient PD, ils n'ont pas de problème. Mais tout ce monde qu'ils ont rajouté, puisqu'ils ont élargi le périmètre, tout ce monde qu'ils ont rajouté maintenant, qui eux ne se considèrent pas comme des OIV avant, organisme important, organisme essentiel aujourd'hui, où tout le monde se pose la question, est-ce que tu es, est-ce que tu n'es pas ? On tient, on fait, on remplit le formulaire. Personne ne peut te dire clairement si tu es certifié ou pas, si tu es concerné ou pas. Et eux, ils n'avaient rien. Ils étaient, tu vois, comme toute entreprise, ils fonctionnaient un peu. Comme ils pouvaient, sur la base du niveau de maturité qu'ils ont défini sous leurs objectifs, ça répond à leurs besoins, leur business fonctionne. Mais derrière, aujourd'hui, oui, NIS 2 va renforcer ces gens-là à être plus rigoureux sur la sécurité, ce qui n'était pas le cas avant.
Speaker #0
Et là, ils auront l'obligation, dans les 24 heures, de déclarer un incident.
Speaker #1
Ce qui n'était pas le cas. Aujourd'hui, les seules obligations, je pense qu'aujourd'hui, c'est le GDPR, c'est 72 heures. Donc, moi, je me rappelle que j'ai fait une analyse de risque pour un client qui était NIS2. En tout cas, quand j'étais en NIS2 , donc potentiellement en NIS2. Et il n'avait rien. Il n'avait même pas de RSSI. Le rôle, ça changeait chaque 2-3 mois. On ne savait pas qui...
Speaker #0
Gouvernance.
Speaker #1
Voilà. Donc, on ne savait pas qui faisait quoi, qui décidait de quoi. Et on a fait une analyse de risque. On a identifié les risques. Ça a été compliqué parce que le périmètre est grand. Les gens ne savaient pas ce qu'ils faisaient. On n'avait pas une cartographie des actifs. Et pourtant, attention, ils font du chiffre. On ne peut pas vendre à ceux-là pour dire « Ah, si vous mettez en place la sécurité, vous allez faire plus de sous. » Ce n'est pas la question. Pour des entreprises comme ça, ils peuvent voir la sécurité carrément comme une contrainte, puisque, je veux dire, les gars fonctionnaient. Alors, de leur manière, ils fonctionnaient. Il faudrait aussi à nos consultants, aux financeurs professionnels, d'expliquer la valeur ajoutée que cela peut être pour la personne à qui tu vas demander un matin d'investir dans des chiffres. C'est obligatoire, mais déjà, trouver le moyen de l'expliquer, la valeur ajoutée réelle, pour qu'ils ne prennent pas ça juste comme une contrainte réglementaire. Moi, je fonctionnais bien avant. Il n'y avait pas besoin d'un CISO, déclaration 24 heures, ça me rajoute des outils.
Speaker #0
C'est vrai qu'à première vue, pas uniquement pour la NIS2 , tous ces règlements et autres régulations, directives, je ne vais pas toutes les citer, mais qu'on a en Europe, à première vue, c'est un coup de massue pour les sociétés. Par contre, je pense que sur le long terme, c'est du bon sens. Parfois, de trop, ça peut les pénaliser, surtout les petites boîtes, mais ça a du bon sens parce que ça va leur monter leur niveau en termes de maturité. Alors là où j'ai souvent des soucis avec des clients, c'est ceux qui me disent, et encore aujourd'hui, ils disent, oui, mais vous freinez. Vous êtes un frein pour le business. Ben non. Heureusement qu'il y a des freins en voiture. Ce n'est pas de moi. Moi, si je n'avais pas Euh... de frein à ma voiture, je ne roule pas à 120 sur l'autoroute. J'attends que le frein... C'est une belle implantation. Je parle encore en franc et encore en ancien franc, si vous voulez, pour les Français. Non, c'est ça. On est une assurance. Donc, on est une sorte d'assurance. Ah, mais parce que je sais que j'ai un frein, je peux aller beaucoup plus vite. Par contre, je ne freine pas tout le temps. Je ne suis pas là pour freiner le business. Et ça, c'est un peu ce qu'on fait. Et là, au travers de ces régulations et des directives, il y a pour moi des opportunités de croissance au niveau des sociétés parce que du coup, on démontre une certaine maturité. Et là, on peut aller plus vite. Donc, c'est un peu l'écosystème qu'on a discuté tout à l'heure avec les banques, avec la confiance PCI DSS. C'est un peu ce qu'on fait avec le SOC au niveau PDIS. Ah, mais j'ai un SOC PDIS, je n'ai pas besoin d'être certifié ou accrédité. Par contre, je prends des gens compétents. Et donc, à partir du moment où tout le niveau européen va monter, où il sera plus ou moins uniforme, globalement, on a une intelligence collective. Mais tant que les entreprises, à titre individuel, ne l'ont pas compris, qu'elles servent la cause, elles le prennent pour un frein. Elles prennent encore un compliance en plus.
Speaker #1
Ce que je sais aujourd'hui, c'est qu'il y a beaucoup de SNE qui font de la sensibilisation dessus. D'ailleurs, c'est très bien. Mais voilà, comme je te disais encore une fois, je vais te dire que beaucoup vont le prendre comme une contrainte. Parce que, alors, ça va permettre de séquencer les données, mais niveau ROI, sauf si ransomware ... Et là,
Speaker #0
l'argent sort après.
Speaker #1
Oui,
Speaker #0
il paye. C'est ça.
Speaker #1
Mais sinon, parce qu'il faut voir quand même... Donc, on a l'agissat à beaucoup de domaines, des domaines où déjà, ils ont des contrats. Par exemple, la production alimentaire. OK, tu leur parles de peut-être 14 000, 45 000, etc. Ils parlent d'ISO un peu, peut-être, mais pour eux, aller dire qu'il faut mettre en place la sécurité, ils ne le voient pas. En fait, ils ne perçoivent pas tout de suite la valeur. C'est à nous de leur dire, attention, ça fonctionne bien, mais un matin, ça peut ne pas fonctionner. Et lui donner des scénarios, c'est pour ça que j'aime le fait qu'il faut commencer par une analyse de risque, parce que l'analyse de risque, avec les scénarios, te permet de dire aux gens, ah tiens, c'est vrai, on n'a pas vu ça comme ça. Tu vois, quand on fait les scénarios...
Speaker #0
Mais ça te fait un débat, tu crées le débat. Exactement. Non, juste là,
Speaker #1
pour eux, c'est pas un sujet, mais vraiment, la sécurité n'est pas un sujet du tout. Ils n'y pensent pas. C'est un service support. C'est vraiment comme l'IT, il y a encore quelques années. C'est une fonction support. L'ordinateur fonctionne, il faut un antivirus, on l'a, on l'a pas. Bon, si quelqu'un peut le dépanner, pourquoi pas ?
Speaker #0
Alors qu'on peut les accompagner à aller plus vite. Donc on est en GRC, je vois plutôt ça ainsi, on est un levier de croissance.
Speaker #1
C'est ça.
Speaker #0
Parce qu'en écoutant le business, en étant les architectes de leur système d'information, d'une certaine façon... On est un levier de croissance, on va leur dire, vous allez pouvoir aller plus vite, avec une certaine sécurité, et en plus vous serez conformes, et parce que vous êtes conformes, vous allez décrocher des nouveaux contrats. Je l'ai eu chez un client que j'ai accompagné à l'ISO 27001, le sales manager m'a dit, ah ouf, ça y est, c'est fini, on est ISO. Je dis oui, et ? Mais je discutais avec le CISO, le CISO il avait très bien compris. Je dis oui, et ? Il dit, mais ça y est, c'est bon. Alors quand est-ce qu'ils reviennent ? Dans trois ans ? Je dis oui, mais attends. Il y a Dora aussi. Mais il me dit, mais non, on n'est pas Dora, nous. Je dis, rassure-moi, tu ne viens pas de signer un gros client qui est une banque ? Il me dit, si, pourquoi ? Je dis, attends un peu, tu vas avoir le contrat cadre.
Speaker #1
Il va te poser la question.
Speaker #0
Et alors là, ils ont commencé à poser la question. Et alors là, mon client, eux, ils sont NIS 2. Donc le même sales me dit, mais on est NIS 2, donc on n'est pas Dora. C'est ça. Dis-moi si je me trompe. Je dis, oui, tu te trompes, parce que tu es dans un supply chain de tes clients. Alors, si tu ne veux pas les banques, ok, mais alors là, c'est ton choix. Et là, tu n'auras pas besoin d'être Dora. Et alors, j'ai commencé à lui prédire tout ce qui allait arriver. Je lui ai dit, tu vas devoir mettre des tests d'intrusion, que l'ISO 27001 ne te le met pas. Alors, nous, la première année, on l'a fait soft. C'est seulement la troisième année où on met le test d'intrusion. Pourquoi ? Parce qu'il y a Dora. Et alors, je leur ai expliqué en comité de direction, vous allez devoir dégager le budget pour ça, pour ça, pour ça. Mais vous êtes ISO certifié 27001. c'est bien c'est ça NIS 2, pareil, et trucs pareils, et toutes les directives et autres règlements qui arrivent, AI Act, Cyber Resilience Act, etc., ça n'arrête pas. Donc moi, je me sers de l'ISO 27001, comme une base, pour en y refaire ma sauce. C'est mon liant. Et après, je mets les ingrédients que je veux dans la sauce, et tu seras compliant. Et donc, je me sers de ça comme outil. Les ayatollahs de l'ISO vont me tuer parce que l'ISO n'est pas un outil, c'est un standard. ça c'est pour l'ISO 17024 si vous passez un examen ce que je veux dire par là c'est que moi je m'en sers comme framework pour accompagner une certaine maturité en cyber et après je viens mettre les ingrédients que je veux et là il y a une maîtrise on nous dit encore ça vient de l'informatique à papa d'il y a 25 ans Vous, à l'IT, vous êtes un frein.
Speaker #1
C'est tout le jour. Moi, je pense que ça vient aussi un peu de la formatoin qu'on nous a reçue. Quand tu fais un parcours d'ingénierie, on ne t'apprend pas forcément que ton métier, c'est de faciliter le business. On t'apprend à maîtriser la norme, à l'appliquer, on t'apprend la technique, comment implémenter si tu fais une ingénierie, système réseau, comment configurer X, Y, Z. Mais on ne te dit pas, tiens, le métier, tout ce que tu mets en place doit faciliter le business. Et du coup, tu sors avec un niveau technique très élevé, te dire, tiens, je peux implémenter ça, ça, ça, ça. Sauf que derrière, tu n'as pas de visibilité sur le business. Et j'aime le fait que tu parles de gouvernance parce que ça, c'est un métier que j'adore, mais qui est super mal compris.
Speaker #0
C'est ça que je vis toujours maintenant.
Speaker #1
Oui, c'est vrai, je pense qu'on devrait faire notre podcast sur la GRC, parce qu'il faudrait qu'on ait le temps d'expliquer le métier, de montrer réellement quel impact ça peut avoir. C'est pas la GRC, c'est pas une matrice RACI, je sais pas comment les gens le définissent, mais ça serait bien qu'on en parle de loin là.
Speaker #0
On peut en reparler, c'est un peu...
Speaker #1
Du métier GRC.
Speaker #0
Je vais faire évoluer le podcast pour l'année prochaine. Déjà, ici, il y a une évolution. On est en studio. Les autres podcasts, je les ai faits à distance, etc. Aussi par prise de temps, par manque de temps, des deux côtés. Et j'utilise Riverside pour ça. Mais pour 2026, il y a déjà des trucs qui arrivent à l'international et sur Paris. Donc, à un moment donné, je vais descendre sur Paris et on fera 3-4 podcasts sur une journée. On pourra faire le tome 2. Ok. Donc... Si je récapitule ce qu'on vient de couvrir, on est parti d'un sujet très concret, le PDIS, piloté par l'ANSSI. Pourquoi la France a créé ce cadre ? Tout simplement pour éviter que chacun fasse son soc à sa sauce sur les systèmes critiques et pour garantir aussi un niveau de détection crédible. On a aussi parlé d'un point clé, le PDIS, qui pousse à structurer l'analyse de risque. Et clairement, EBIOS devient presque le langage commun. Et puis derrière, on a ouvert sur l'impact business. Ces labels PDIS, PASSI. LPM deviennent une marque de confiance, parfois demandée, même quand ce n'est pas obligatoire. Et avec NIS 2, tout ça risque de devenir encore plus mainstream. Pour l'audio, on s'arrête ici, mais on a un bonus vidéo qui arrive sur YouTube avec Léonel, où on continue la discussion et on va encore plus loin. Donc si tu veux la suite, visuel et les coulisses, direction YouTube. Et comme d'habitude, abonne-toi, partage. Et si cet épisode t'as plu, laisse tes 5 étoiles. laisse un petit commentaire ou partage-le à quelqu'un qui bosse dans le soc, un analyste ou un jeune passionné. Ça change vraiment la visibilité du podcast et ça m'aide énormément. Et je te dis déjà à la semaine prochaine pour un nouvel épisode de Compliance Without Comma.

Chapters

Introduction et rappel de l'épisode précédent
0sec
Présentation du cadre PDIS et de l'ANSSI
16sec
Rôle et fonctionnement d'un Security Operating Center (SOC)
42sec
Analyse de risque et méthode EBIOS
1min
Importance de la certification PDIS pour les entreprises
5min
Confiance et perception des labels de sécurité
7min
Impact NIS 2 sur la sécurité des entreprises
16min
Conclusion et récapitulatif des points clés
26min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez dès maintenant et rejoignez la conversation sur comment faire de la conformité un atout stratégique dans votre organisation !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Dites, vous saviez qu'on n'avait pas fini l'épisode vendredi passé avec Léonel ? Allez, c'est pas grave. Nous voici donc un peu plus loin, après notre talk sur PCI DSS, là où je vous avais laissé avec cette idée de preuve et de confiance, quand tu vends de la sécurité. Aujourd'hui, on reprend là où on s'est arrêté, et on va basculer sur un sujet très franco-français, le PDIS, un cadre piloté par l'ANSI, qui sert à qualifier les prestataires capables de faire de la détection dans des environnements critiques. On va parler de ce que cela implique, de l'analyse de risque, d'EBIOS, et surtout pourquoi ces labels deviennent, au-delà de la conformité, une marque de confiance sur le marché. Allez, on reprend. J'ai également démarré dans un SOC, un Security Operating Center. Est-ce que tu peux nous expliquer un petit peu en quoi consiste la mission day-to-day d'un SOC en fait ?
Speaker #1
Alors ce que j'ai fait plutôt dans le SOC, c'est l'accompagnement sur l'analyse de risque, puisque le SOC était PDIS. Et du coup, je devais revoir l'analyse de risque par rapport à ça. Donc c'est franco-français, donc c'est piloté par l'ANSI France pour pouvoir garantir que de façon opérationnelle, tout ce qui est Security Operating Center était capable d'être implémenté dans des OIV. Donc quand je dis OIV, je parle d'organisme d'intérêt vital, donc des systèmes critiques, si je peux dire ça comme ça.
Speaker #0
Et donc PDIS dépend de l'ANSSI, et donc c'est une sorte de label qui est accrédité par l'ANSI. Donc tu dois passer par un bureau de certification du coup français, en tout cas qui a un numéro de SIRET français, avec des auditeurs qualifiés aussi, ou accrédités, peu importe les termes. mais qui sont aussi compétents sur le PDIS pour venir délivrer la certification PDIS. Et ça, c'était dans le cadre de ta mission.
Speaker #1
Dans le cadre de ma mission, moi, j'étais du côté du client, non pas du côté de l'audit. Donc l'idée, c'était d'accompagner le client, parce que l'idée, c'est de faire une analyse de risque, ou d'avoir une analyse de risque à jour, pour identifier les risques relatifs aux SIC, etc. Et c'était ça mon rôle. Tu sais que je fais de l'appréciation de risque. Je fais des appréciations de risque. Tu fais des EBIOS aussi ? Oui, c'est ça.
Speaker #0
C'est le PDIS qui demande à faire des EBIOS ou c'est le client qui peut choisir ?
Speaker #1
Ce qui est génial dans le PDIS, c'est qu'ils ont proposé que pour faire ton analyse de risque, tu pouvais utiliser d'EBIOS. T'as intérêt à l'utiliser d'ailleurs parce qu'ils ont mis des cas. Par exemple, dans tel cas, tu peux faire les 5 ateliers. Dans tel cas, tu peux faire 3 ateliers. Donc, c'est plus facile pour toi de passer par l'EBIOS que de passer par les OVS. Comme c'est français. On dit la même chose.
Speaker #0
On ne fait pas de pub, mais on va être obligé de citer plein de bons produits. Je vais dire MEHARI aussi. Ah merde, c'est français.
Speaker #1
Je suis français,
Speaker #0
oui. De ce que je connais d'EBIOS, moi j'ai utilisé EBIOS il y a très très longtemps. Depuis, je n'y ai plus jamais utilisé. Ce que je connais d'EBIOS, c'est que il faut quand même une bonne maturité au niveau de l'entreprise au début pour maîtriser. Donc on a besoin d'experts comme toi. Mais surtout pour faire tourner parce que Hum... les clients ou ceux qui travaillent en interne ne comprennent pas forcément toutes les subtilités. Et moi, après, je peux me tromper. N'hésite pas à me dire si je suis mauvais ou si je sors du cadre. Mais moi, j'ai l'impression qu'Ebios, je ne vais pas l'utiliser pour une entreprise de 7 personnes. Est-ce que tu confirmes ou est-ce qu'Ebios, il faut déjà avoir une maturité d'entreprise pour être capable de le gérer ? Et je parle aussi en utilisation d'Ebios en D2D. Si ça doit me coûter un équivalent en temps plein, que je dois payer pour remplir mon analyse de risque EBIOS, alors qu'on peut faire un risque register, je parle uniquement sous ISO 27001, tout ce que j'ai vu en audit ISO, ça passe. Est-ce que là, du coup, avec le PDIS, le fait d'indirectement obliger EBIOS donne déjà un autre niveau de maturité ?
Speaker #1
Pas forcément. Pas forcément, je pense qu'on est sur des produits de l'ANSSI, on est sur des produits français, donc il n'y a pas de raison de se retirer. De ce cadre-là, et c'est aussi un moyen de dire qu'on a une chaîne de valeur. Donc, PASSI, PDIS, ISO, je dis ISO, et EBIOS-RM, tout ça, tu vois, on est considéré sur une chaîne de valeur française. Donc, je pense que, oui, je pense que c'est déjà ça. Oui,
Speaker #0
du coup, ça fait aussi un intérêt pour ceux qui ont un SOC et qui voudraient être PDIS. Ah oui, je comprends tout à fait. il y a un intérêt parce que du coup Du coup, tout le monde parle le même langage, le même vocabulaire. On sait que s'ils sont pDIS... et qu'ils analysent l'EBIOS derrière, ils ont au moins un tel niveau de maturité. Pourquoi PDIS existe ? Parce qu'il y a PDIS, mais il n'y a pas que PDIS, il y a PRIS, il y a SecNum Cloud en France, autour de l'ANSSI. Pourquoi est-ce qu'ils ont créé PDIS ?
Speaker #1
Alors PDIS c'est pour répondre à une demande factuelle. Donc la demande, c'est les organismes dont je t'ai parlé tout à l'heure, qui sont les OIV ou les OSE. Quel système de détection tu vas installer ? Est-ce que chacun va installer son SIEM, chacun va installer son Splunk ? Non. Et du coup, pour pouvoir être sûr que les vulnérabilités ou les tentatives d'intrusion, etc., sont détectées dans un environnement rigide et que c'est des systèmes critiques, il vaut mieux définir un cadre, je pense, à mon avis, qui permet de dire, OK, on va définir des prestataires de qualité. Donc, à travers le PDIS, on va dire, OK, on a... une liste des gens qu'on va dire plus ou moins matures, quand tu vois l'effet PDIS, capables, qui ont la capacité nécessaire pour aller faire de la détection dans un environnement critique, pour éviter que chacun essaie de dire je vais faire un SOC managé et qu'on ne contrôle pas derrière. C'est la détection, donc c'est très opérationnel, mais c'est la détection que, par exemple, tu parlais de gestion des incidents au niveau des PRIS, donc ce n'est pas pareil. ou du passé qui va être l'audit, qui va qualifier des auditeurs pour aller faire des audits comme je le fais là, mais sur des environnements critiques. Tu vois, ce n'est pas le même périmètre. Donc, le PDIS est vraiment focalisé sur la détection.
Speaker #0
Les sociétés qui sont PDIS vont être des sociétés qui vont répondre à des marchés pour des sociétés qui, elles, sont des OIV, du style une grosse entreprise française du CAC 40. sans les citer, parce que du coup, elles doivent aussi démontrer que dans leurs suppliers et dans la chaîne de valeur, ils ont pris des suppliers avec un certain niveau.
Speaker #1
Alors, la petite expérience que j'ai eue dans cet environnement-là me permet de dire qu'en fait, c'est devenu comme une marque de confiance. Donc, même si mon client n'est pas PDIS, il veut quand même un SOC PDIS. Même si mon client n'est pas soumis à une notité de PASSI, il veut des auditeurs PASSI. Il veut des auditeurs LPM. Pourquoi PASSI se dit « Ah tiens, eux au moins, je suis sûr qu'ils ont prouvé, ils ont pu prouver qu'ils ont la maîtrise, qu'ils ont le contrôle, qu'ils ont l'expertise nécessaire, les outils nécessaires, et qu'on peut faire confiance. » Donc au-delà du fait que, oui, les environnements critiques, donc ceux qui ont des environnements critiques, c'est-à-dire qui sont sujets, PDIS ou PASSI, ceux qui ne le sont même pas. comment ça nous réclamait. Je me rappelle avant de quitter un de mes employeurs, c'était la demande qu'on avait. Si vous n'êtes pas LPM, on préfère... On n'est pas soumis, mais on préfère LPM. On préfère des gens qui sont PASSI.
Speaker #0
LPM, c'est la loi de programmation militaire.
Speaker #1
On préfère des gens qui soient qualifiés LPM ou PASSI ou PDIS parce que c'est gage de confiance.
Speaker #0
Et c'est du marketing. J'ai un client comme ça, ça me fait songeur à ça. J'ai un client comme ça à Luxembourg. qui eux, ils opèrent un SOC et ils sont bloqués parce que le marketing aimerait bien que leur SOC soit labellisé au niveau... Non, non, parce que...
Speaker #1
Ils sont à Luxembourg.
Speaker #0
Donc le CISO, j'ai eu une discussion avec lui, il est en train de chercher, il me dit Fab, qu'est-ce que je peux mettre en place ? Je lui dis, tu peux regarder du côté des critères communs, j'ai eu de la chance, ou tu peux regarder du niveau au niveau lab et accréditation, mais d'un lab. et alors on transforme ton SOC en lab et à ce moment là ça devient aussi une certification ISO j'ai oublié laquelle mais plutôt au niveau alors là il y aura tout ce qui est calimétrie moi je peux pas t'accompagner on est pas expert là dedans mais parce que ils sont à Luxembourg mais ils rayonnent en Europe mais je leur ai dit mais si tu n'as pas une filiale française en France Ça ne sert à rien. Oui,
Speaker #1
parce que c'est le marché français qui demande des PDIS. C'est le marché français.
Speaker #0
À Luxembourg, ça n'existe pas. Ça n'existe pas, mais c'est tellement petit.
Speaker #1
Après, ils peuvent toujours créer une filiale française et dire qu'ils ne sont pas si en France aux PDIS.
Speaker #0
Sauf que le SOC est à Luxembourg pour la territorialité des données aussi. Luxembourg, c'est quand même beaucoup de banques. Oui, je ne vais pas en dire plus sur le SOC. Tout à l'heure, on a fait le parcours d'un auditeur PCI. Est-ce que tu connais le parcours d'un auditeur PASSI ?
Speaker #1
Oui. L'auditeur PASSI, il faut que tu passes un examen déjà. C'est très intéressant parce que c'est aussi pareil, c'est ton entreprise qui te présente. À la différence du PCI, est-ce que c'est une différence ? C'est la même chose, je vais dire. C'est ton entreprise qui te présente, donc tu peux te lever pour dire bonjour, je vais devenir auditeur passé parce que je suis freelance. Ça ne marche pas comme ça.
Speaker #0
Non.
Speaker #1
Donc, ton entreprise. présent, donc en bas. Alors, mais ce qu'il ne faut pas oublier, c'est que l'entreprise, elle aussi, elle dépend de toi. Donc, c'est une relation de dépendance.
Speaker #0
Si tu pars, elle te perd. Si tu pars,
Speaker #1
elle n'est plus PASSI. Du coup, l'entreprise te présente, il faut que tu fournisses ton casier judiciaire, etc. Donc, il y a une vérification quand même. On programme l'examen. Alors, ce que j'ai remarqué dans le passé qui m'a un tout petit peu déçu, mes amis français, excusez-moi, tu sais, il n'y a pas... on te donne la norme, il n'y a pas d'accompagnement. Tu as la norme. Je ne sais pas s'il y en a qui donnent le cours, je n'ai pas vu, mais tu as la norme et puis tu débrouilles avec. Sauf que la norme, le référentiel PASSI, il t'envoie sur plein d'autres annexes.
Speaker #0
Il y a cinq domaines, si je me rappelle.
Speaker #1
C'est ça, mais après, il te renvoie sur plein d'autres choses. Tu n'as pas un manuel qui te dit « Ah tiens, laisse ça, viens composer. » Il te renvoie sur plein d'autres choses. Donc oui, il y a ce manquement. donc on te regarde maintenant les amis, tu vois, tu composes t'as pas de bruit, enfin si t'as un bruit ou pas je me rappelle Mais ça là, c'est imposant. C'est parallèle, c'est imposant. Tu viens, c'est carré, tu composes.
Speaker #0
De ce que je me rappelle, parce que j'ai aussi travaillé avec le PASSI il y a des années, niveau infrastructure, niveau code, analysis, il y a une partie, pas ISO 27001 comme on l'entend, mais plutôt gouvernance, mais les deux autres, je ne sais plus. Il y avait un examen papier, puis il y avait un examen devant jury.
Speaker #1
C'est ça.
Speaker #0
Ce qui fait que quand on voit aujourd'hui ce qu'on fait au niveau de l'ISACA, au niveau de l'ISC Square, au niveau de... Des autres bureaux de certification, de certification de personnes, où il suffit juste de passer un examen, et tu es là, je suis lead Auditor. Non, non.
Speaker #1
Par ici,
Speaker #0
c'est plus loin.
Speaker #1
Oui, c'est plus loin.
Speaker #0
Alors, ici, ce n'est pas le chanteur.
Speaker #1
Non, c'est vrai.
Speaker #0
C'est le professionnel d'audit de la sécurité des systèmes d'information.
Speaker #1
Oui, mais oui, c'est résilient. Je suis d'accord. Et ensuite, comme je te dis, je pense qu'ils vont croire ça après, mais il manque un peu d'incredulements, parce que... Moi, je me rappelle, on te donne le document, on te dit bonne chance. Je te dis la vérité, c'est ce que j'ai eu. On te donne le support de cours, on te dit bonne chance. Ce qu'on te donne, tu peux télécharger le référentiel, c'est gratuit, c'est celui de l'ANSSI. Tu télécharges et puis...
Speaker #0
C'est un CBK, c'est un Common Body of Knowledge. Et après, le reste, c'est technique en fonction de dans quel domaine tu veux te diriger.
Speaker #1
Du coup, c'est beaucoup plus... Ce que je vais dire aujourd'hui, pour quelqu'un qui nous écoute, qui suit la vidéo, qui se dit, c'est intéressant ça, je veux appartenir à ce monde-là. Déjà, il vaut mieux aller dans une entreprise où ils sont déjà PASSI. Parce que comme ça, tu as le process. Mais quand tu as arrivé dans une entreprise, par exemple comme ça s'en crée tous les jours en France, tu as arrivé dans une ESN qui te dit, tiens, ça serait bien qu'on soit PASSI. Tu vois ?
Speaker #0
Ils ne connaissent pas le...
Speaker #1
Non.
Speaker #0
l'impact que ça va avoir. Non,
Speaker #1
et personne ne pourra t'accompagner dessus. Ça va être de la débrouillardise. Parce que le pire, c'est que même si tu arrives à faire le chemin jusqu'au bout, les générations spontanées, c'est toujours compliqué. C'est-à-dire que tu seras le premier certifié, bravo. Et ensuite, tu n'as pas d'accompagnement, personne n'a fait ça avant toi dans la boîte, ils ne savent pas comment ça se passe. Tu n'as jamais fait ça nulle part ailleurs. Ok, c'est une opportunité, mais derrière, tu vois, on parle quand même d'environnement critique. Et toi, tu vas te pointer en disant, bon, j'ai bien lu mon cours, je dois pouvoir m'en sortir.
Speaker #0
Un manque d'expérience. Tu peux avoir l'expérience individuelle, mais tu n'as pas l'expérience au sein de l'entreprise qui te permet de créer cette communauté, cette culture d'entreprise, et comment promouvoir ça.
Speaker #1
Et je pense que c'est aussi un défaut. Je pense que c'est l'une des choses qui peut potentiellement revenir au sujet dont on parlait au début, où on te dit, les gens vont dire, ah tiens, ils sont PASSI, mais en réalité, les gars, ils n'ont pas l'expérience. Le gars peut-être à la limite, il est doué, il a lu le support, il a lu 50 fois, il a passé et basta. Mais derrière, il n'a jamais accompagné, il n'a peut-être jamais fait d'audit PASSI, il n'a jamais vu personne le faire, il n'a jamais vu à quoi ressemblait un rapport. C'est ce qu'il a lu.
Speaker #0
Oui, parce que ça c'est théorique. Alors que je trouve quand même qu'ils vont plus loin, puisque là il y a un oral. Pour que lui il soit passé, il a un oral, mais après voilà, ça s'arrête là.
Speaker #1
Mais jusque-là, c'est la question de ce que tu as lu ou de ce que tu as fait. Parce qu'on ne demande pas à l'entreprise d'avoir une disposition particulière pour que ce gars, il devient le seul garant du fonctionnement de la boîte, si tu veux. C'est le joker.
Speaker #0
C'est le rameur.
Speaker #1
C'est le joker. Parce que, si tu veux, il n'y a que comme ça que ça fonctionne. Une entreprise qui a déjà la culture de la chose, elle va te dire, tiens, comment savoir comment ça fonctionne ici ? Parce que j'ai un côté formateur, donc j'ai un peu de la pédagogie derrière qui me dit, quand je veux faire quelque chose, bon. Mon côté gouvernance reprend le dessus. Je me dis qu'il faut qu'on s'asseye, qu'on organise l'activité. Comment on va fonctionner si on ne veut pas avoir un joker ? Parce que le drame, c'est que le matin... Quand lui, il finit d'être PASSI chez toi et que tu lui demandes 20K, tu lui dis, oh, t'abuses, OK, 5K à chaque 2 ans. Mais alors que derrière, peut-être dès qu'il passe PASSI, il y a plein d'autres boîtes qui lui proposent. Tu le paies. Et du coup, comme tu n'as pas organisé l'environnement, ton joker, tu le paies.
Speaker #0
Tu le paies ou tu le perds.
Speaker #1
Oui, tu le paies ou tu le perds. Donc, qu'est-ce que tu fais ensuite ? Qu'est-ce que tu fais ? Puisqu'il n'y a pas de contrat pour le garder, pour dire...
Speaker #0
Si vous voulez bien gagner votre vie en France, passez, cette certif. Message subliminal.
Speaker #1
Oui, si tu veux. Oui,
Speaker #0
mais alors, vous allez être prisonnier, façon de parler, parce que vous allez... Ça, c'est un choix, c'est pas un jugement que je fais. Vous serez pas freelance, puisque c'est attaché à une structure. Donc, les auto-entrepreneurs ne pourraient pas devenir PASSI, on va dire ça comme ça.
Speaker #1
Oui, ça peut pas. Ça peut pas devenir QSA non plus. Ça peut être PCIP, mais QSA non plus.
Speaker #0
Voilà. Ou, en France, vous n'avez pas encore la NIS2. Nous, on l'a déjà en Belgique. Au Luxembourg, ça va arriver, ils ne l'ont pas encore. Bon, on est 26 en Europe. 26 ou 27 ? Je ne sais jamais avec nos amis qui sont sortis, les Anglais. On est 26. Donc la NIS2, elle va être partout. Comment est-ce que tu vois maintenant le lien entre la NIS 2 et tout ce que la France a déjà fait, en fait, qui démontre une certaine maturité ? Donc, ils ont du PDRIS, ils ont du PDIS, pardon, du SecNum Cloud, ils ont du PASSI. Ils ont la LPM, ils ont déjà des choses au niveau OIV. Le NIS 2, ça va être facile alors pour eux ? Ça devrait.
Speaker #1
Pour certains.
Speaker #0
Pour certains. Et pour les autres, pas ?
Speaker #1
Pour les autres, pas du tout. Parce que comme tu sais mieux que moi, que le NIS 2, on a élargi le périmètre. C'est toute la boîte. Il faut te poser la question, ceux qui n'étaient pas dedans avant, ceux qui ont fait passer avant, ils n'ont pas de problème. Ceux qui étaient PD, ils n'ont pas de problème. Mais tout ce monde qu'ils ont rajouté, puisqu'ils ont élargi le périmètre, tout ce monde qu'ils ont rajouté maintenant, qui eux ne se considèrent pas comme des OIV avant, organisme important, organisme essentiel aujourd'hui, où tout le monde se pose la question, est-ce que tu es, est-ce que tu n'es pas ? On tient, on fait, on remplit le formulaire. Personne ne peut te dire clairement si tu es certifié ou pas, si tu es concerné ou pas. Et eux, ils n'avaient rien. Ils étaient, tu vois, comme toute entreprise, ils fonctionnaient un peu. Comme ils pouvaient, sur la base du niveau de maturité qu'ils ont défini sous leurs objectifs, ça répond à leurs besoins, leur business fonctionne. Mais derrière, aujourd'hui, oui, NIS 2 va renforcer ces gens-là à être plus rigoureux sur la sécurité, ce qui n'était pas le cas avant.
Speaker #0
Et là, ils auront l'obligation, dans les 24 heures, de déclarer un incident.
Speaker #1
Ce qui n'était pas le cas. Aujourd'hui, les seules obligations, je pense qu'aujourd'hui, c'est le GDPR, c'est 72 heures. Donc, moi, je me rappelle que j'ai fait une analyse de risque pour un client qui était NIS2. En tout cas, quand j'étais en NIS2 , donc potentiellement en NIS2. Et il n'avait rien. Il n'avait même pas de RSSI. Le rôle, ça changeait chaque 2-3 mois. On ne savait pas qui...
Speaker #0
Gouvernance.
Speaker #1
Voilà. Donc, on ne savait pas qui faisait quoi, qui décidait de quoi. Et on a fait une analyse de risque. On a identifié les risques. Ça a été compliqué parce que le périmètre est grand. Les gens ne savaient pas ce qu'ils faisaient. On n'avait pas une cartographie des actifs. Et pourtant, attention, ils font du chiffre. On ne peut pas vendre à ceux-là pour dire « Ah, si vous mettez en place la sécurité, vous allez faire plus de sous. » Ce n'est pas la question. Pour des entreprises comme ça, ils peuvent voir la sécurité carrément comme une contrainte, puisque, je veux dire, les gars fonctionnaient. Alors, de leur manière, ils fonctionnaient. Il faudrait aussi à nos consultants, aux financeurs professionnels, d'expliquer la valeur ajoutée que cela peut être pour la personne à qui tu vas demander un matin d'investir dans des chiffres. C'est obligatoire, mais déjà, trouver le moyen de l'expliquer, la valeur ajoutée réelle, pour qu'ils ne prennent pas ça juste comme une contrainte réglementaire. Moi, je fonctionnais bien avant. Il n'y avait pas besoin d'un CISO, déclaration 24 heures, ça me rajoute des outils.
Speaker #0
C'est vrai qu'à première vue, pas uniquement pour la NIS2 , tous ces règlements et autres régulations, directives, je ne vais pas toutes les citer, mais qu'on a en Europe, à première vue, c'est un coup de massue pour les sociétés. Par contre, je pense que sur le long terme, c'est du bon sens. Parfois, de trop, ça peut les pénaliser, surtout les petites boîtes, mais ça a du bon sens parce que ça va leur monter leur niveau en termes de maturité. Alors là où j'ai souvent des soucis avec des clients, c'est ceux qui me disent, et encore aujourd'hui, ils disent, oui, mais vous freinez. Vous êtes un frein pour le business. Ben non. Heureusement qu'il y a des freins en voiture. Ce n'est pas de moi. Moi, si je n'avais pas Euh... de frein à ma voiture, je ne roule pas à 120 sur l'autoroute. J'attends que le frein... C'est une belle implantation. Je parle encore en franc et encore en ancien franc, si vous voulez, pour les Français. Non, c'est ça. On est une assurance. Donc, on est une sorte d'assurance. Ah, mais parce que je sais que j'ai un frein, je peux aller beaucoup plus vite. Par contre, je ne freine pas tout le temps. Je ne suis pas là pour freiner le business. Et ça, c'est un peu ce qu'on fait. Et là, au travers de ces régulations et des directives, il y a pour moi des opportunités de croissance au niveau des sociétés parce que du coup, on démontre une certaine maturité. Et là, on peut aller plus vite. Donc, c'est un peu l'écosystème qu'on a discuté tout à l'heure avec les banques, avec la confiance PCI DSS. C'est un peu ce qu'on fait avec le SOC au niveau PDIS. Ah, mais j'ai un SOC PDIS, je n'ai pas besoin d'être certifié ou accrédité. Par contre, je prends des gens compétents. Et donc, à partir du moment où tout le niveau européen va monter, où il sera plus ou moins uniforme, globalement, on a une intelligence collective. Mais tant que les entreprises, à titre individuel, ne l'ont pas compris, qu'elles servent la cause, elles le prennent pour un frein. Elles prennent encore un compliance en plus.
Speaker #1
Ce que je sais aujourd'hui, c'est qu'il y a beaucoup de SNE qui font de la sensibilisation dessus. D'ailleurs, c'est très bien. Mais voilà, comme je te disais encore une fois, je vais te dire que beaucoup vont le prendre comme une contrainte. Parce que, alors, ça va permettre de séquencer les données, mais niveau ROI, sauf si ransomware ... Et là,
Speaker #0
l'argent sort après.
Speaker #1
Oui,
Speaker #0
il paye. C'est ça.
Speaker #1
Mais sinon, parce qu'il faut voir quand même... Donc, on a l'agissat à beaucoup de domaines, des domaines où déjà, ils ont des contrats. Par exemple, la production alimentaire. OK, tu leur parles de peut-être 14 000, 45 000, etc. Ils parlent d'ISO un peu, peut-être, mais pour eux, aller dire qu'il faut mettre en place la sécurité, ils ne le voient pas. En fait, ils ne perçoivent pas tout de suite la valeur. C'est à nous de leur dire, attention, ça fonctionne bien, mais un matin, ça peut ne pas fonctionner. Et lui donner des scénarios, c'est pour ça que j'aime le fait qu'il faut commencer par une analyse de risque, parce que l'analyse de risque, avec les scénarios, te permet de dire aux gens, ah tiens, c'est vrai, on n'a pas vu ça comme ça. Tu vois, quand on fait les scénarios...
Speaker #0
Mais ça te fait un débat, tu crées le débat. Exactement. Non, juste là,
Speaker #1
pour eux, c'est pas un sujet, mais vraiment, la sécurité n'est pas un sujet du tout. Ils n'y pensent pas. C'est un service support. C'est vraiment comme l'IT, il y a encore quelques années. C'est une fonction support. L'ordinateur fonctionne, il faut un antivirus, on l'a, on l'a pas. Bon, si quelqu'un peut le dépanner, pourquoi pas ?
Speaker #0
Alors qu'on peut les accompagner à aller plus vite. Donc on est en GRC, je vois plutôt ça ainsi, on est un levier de croissance.
Speaker #1
C'est ça.
Speaker #0
Parce qu'en écoutant le business, en étant les architectes de leur système d'information, d'une certaine façon... On est un levier de croissance, on va leur dire, vous allez pouvoir aller plus vite, avec une certaine sécurité, et en plus vous serez conformes, et parce que vous êtes conformes, vous allez décrocher des nouveaux contrats. Je l'ai eu chez un client que j'ai accompagné à l'ISO 27001, le sales manager m'a dit, ah ouf, ça y est, c'est fini, on est ISO. Je dis oui, et ? Mais je discutais avec le CISO, le CISO il avait très bien compris. Je dis oui, et ? Il dit, mais ça y est, c'est bon. Alors quand est-ce qu'ils reviennent ? Dans trois ans ? Je dis oui, mais attends. Il y a Dora aussi. Mais il me dit, mais non, on n'est pas Dora, nous. Je dis, rassure-moi, tu ne viens pas de signer un gros client qui est une banque ? Il me dit, si, pourquoi ? Je dis, attends un peu, tu vas avoir le contrat cadre.
Speaker #1
Il va te poser la question.
Speaker #0
Et alors là, ils ont commencé à poser la question. Et alors là, mon client, eux, ils sont NIS 2. Donc le même sales me dit, mais on est NIS 2, donc on n'est pas Dora. C'est ça. Dis-moi si je me trompe. Je dis, oui, tu te trompes, parce que tu es dans un supply chain de tes clients. Alors, si tu ne veux pas les banques, ok, mais alors là, c'est ton choix. Et là, tu n'auras pas besoin d'être Dora. Et alors, j'ai commencé à lui prédire tout ce qui allait arriver. Je lui ai dit, tu vas devoir mettre des tests d'intrusion, que l'ISO 27001 ne te le met pas. Alors, nous, la première année, on l'a fait soft. C'est seulement la troisième année où on met le test d'intrusion. Pourquoi ? Parce qu'il y a Dora. Et alors, je leur ai expliqué en comité de direction, vous allez devoir dégager le budget pour ça, pour ça, pour ça. Mais vous êtes ISO certifié 27001. c'est bien c'est ça NIS 2, pareil, et trucs pareils, et toutes les directives et autres règlements qui arrivent, AI Act, Cyber Resilience Act, etc., ça n'arrête pas. Donc moi, je me sers de l'ISO 27001, comme une base, pour en y refaire ma sauce. C'est mon liant. Et après, je mets les ingrédients que je veux dans la sauce, et tu seras compliant. Et donc, je me sers de ça comme outil. Les ayatollahs de l'ISO vont me tuer parce que l'ISO n'est pas un outil, c'est un standard. ça c'est pour l'ISO 17024 si vous passez un examen ce que je veux dire par là c'est que moi je m'en sers comme framework pour accompagner une certaine maturité en cyber et après je viens mettre les ingrédients que je veux et là il y a une maîtrise on nous dit encore ça vient de l'informatique à papa d'il y a 25 ans Vous, à l'IT, vous êtes un frein.
Speaker #1
C'est tout le jour. Moi, je pense que ça vient aussi un peu de la formatoin qu'on nous a reçue. Quand tu fais un parcours d'ingénierie, on ne t'apprend pas forcément que ton métier, c'est de faciliter le business. On t'apprend à maîtriser la norme, à l'appliquer, on t'apprend la technique, comment implémenter si tu fais une ingénierie, système réseau, comment configurer X, Y, Z. Mais on ne te dit pas, tiens, le métier, tout ce que tu mets en place doit faciliter le business. Et du coup, tu sors avec un niveau technique très élevé, te dire, tiens, je peux implémenter ça, ça, ça, ça. Sauf que derrière, tu n'as pas de visibilité sur le business. Et j'aime le fait que tu parles de gouvernance parce que ça, c'est un métier que j'adore, mais qui est super mal compris.
Speaker #0
C'est ça que je vis toujours maintenant.
Speaker #1
Oui, c'est vrai, je pense qu'on devrait faire notre podcast sur la GRC, parce qu'il faudrait qu'on ait le temps d'expliquer le métier, de montrer réellement quel impact ça peut avoir. C'est pas la GRC, c'est pas une matrice RACI, je sais pas comment les gens le définissent, mais ça serait bien qu'on en parle de loin là.
Speaker #0
On peut en reparler, c'est un peu...
Speaker #1
Du métier GRC.
Speaker #0
Je vais faire évoluer le podcast pour l'année prochaine. Déjà, ici, il y a une évolution. On est en studio. Les autres podcasts, je les ai faits à distance, etc. Aussi par prise de temps, par manque de temps, des deux côtés. Et j'utilise Riverside pour ça. Mais pour 2026, il y a déjà des trucs qui arrivent à l'international et sur Paris. Donc, à un moment donné, je vais descendre sur Paris et on fera 3-4 podcasts sur une journée. On pourra faire le tome 2. Ok. Donc... Si je récapitule ce qu'on vient de couvrir, on est parti d'un sujet très concret, le PDIS, piloté par l'ANSSI. Pourquoi la France a créé ce cadre ? Tout simplement pour éviter que chacun fasse son soc à sa sauce sur les systèmes critiques et pour garantir aussi un niveau de détection crédible. On a aussi parlé d'un point clé, le PDIS, qui pousse à structurer l'analyse de risque. Et clairement, EBIOS devient presque le langage commun. Et puis derrière, on a ouvert sur l'impact business. Ces labels PDIS, PASSI. LPM deviennent une marque de confiance, parfois demandée, même quand ce n'est pas obligatoire. Et avec NIS 2, tout ça risque de devenir encore plus mainstream. Pour l'audio, on s'arrête ici, mais on a un bonus vidéo qui arrive sur YouTube avec Léonel, où on continue la discussion et on va encore plus loin. Donc si tu veux la suite, visuel et les coulisses, direction YouTube. Et comme d'habitude, abonne-toi, partage. Et si cet épisode t'as plu, laisse tes 5 étoiles. laisse un petit commentaire ou partage-le à quelqu'un qui bosse dans le soc, un analyste ou un jeune passionné. Ça change vraiment la visibilité du podcast et ça m'aide énormément. Et je te dis déjà à la semaine prochaine pour un nouvel épisode de Compliance Without Comma.

Chapters

Introduction et rappel de l'épisode précédent
0sec
Présentation du cadre PDIS et de l'ANSSI
16sec
Rôle et fonctionnement d'un Security Operating Center (SOC)
42sec
Analyse de risque et méthode EBIOS
1min
Importance de la certification PDIS pour les entreprises
5min
Confiance et perception des labels de sécurité
7min
Impact NIS 2 sur la sécurité des entreprises
16min
Conclusion et récapitulatif des points clés
26min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction et rappel de l'épisode précédent

0sec

Présentation du cadre PDIS et de l'ANSSI

16sec

Rôle et fonctionnement d'un Security Operating Center (SOC)

42sec

Analyse de risque et méthode EBIOS

1min

Importance de la certification PDIS pour les entreprises

5min

Confiance et perception des labels de sécurité

7min

Impact NIS 2 sur la sécurité des entreprises

16min

Conclusion et récapitulatif des points clés

26min

Chapters

Introduction et rappel de l'épisode précédent

0sec

Présentation du cadre PDIS et de l'ANSSI

16sec

Rôle et fonctionnement d'un Security Operating Center (SOC)

42sec

Analyse de risque et méthode EBIOS

1min

Importance de la certification PDIS pour les entreprises

5min

Confiance et perception des labels de sécurité

7min

Impact NIS 2 sur la sécurité des entreprises

16min

Conclusion et récapitulatif des points clés

26min