Episode 46 : Connais tu la différence entre contrôler une mesure et mesurer un contrôle ? | Compliance Without coma

Description

Êtes-vous sûr de bien comprendre le vocabulaire de la norme ISO 27001 ? Dans cet épisode de Compliance Without Comma, Fabrice De Paepe nous plonge au cœur de la complexité du langage utilisé dans le cadre de cette norme essentielle pour la sécurité de l'information. En se concentrant sur la clause 9. 1, qui traite de la surveillance, de la mesure, de l'analyse et de l'évaluation, il révèle comment un simple mot comme « mesure » peut prêter à confusion et mener à des malentendus. Imaginez un moment où des termes techniques, pourtant cruciaux, se transforment en barrières de communication. Cela vous semble familier ?

Fabrice partage des exemples concrets et des références culturelles qui illustrent l'importance d'une compréhension claire des termes, surtout dans un pays multilingue comme la Belgique. Il souligne que la maîtrise du vocabulaire n'est pas seulement une question de jargon, mais un enjeu fondamental pour garantir que les contrôles de sécurité soient efficaces et adaptés aux besoins de chacun. Dans cet épisode, vous découvrirez comment un langage clair et accessible peut transformer des discussions techniques en échanges fructueux.

En se penchant sur la distinction essentielle entre les contrôles et les mesures, Fabrice nous rappelle que la maturité en matière de sécurité ne se limite pas à l'utilisation de termes normatifs. Au contraire, elle réside dans notre capacité à communiquer efficacement et à nous assurer que les mesures mises en place fonctionnent réellement pour atténuer les risques. Si vous avez déjà eu des difficultés à naviguer dans le jargon de la conformité, cet épisode est fait pour vous.

Ne laissez pas le vocabulaire complexe vous empêcher de comprendre les enjeux cruciaux de la norme ISO 27001. Rejoignez-nous dans cet épisode de Compliance Without Comma et apprenez à démystifier le langage de la conformité. Que vous soyez un professionnel de la sécurité de l'information, un consultant ou simplement curieux d'en savoir plus, vous repartirez avec des outils pratiques pour améliorer votre communication et votre compréhension des enjeux de sécurité.

Écoutez maintenant et transformez votre approche de la conformité !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Avant de commencer, je dois poser le décor. Je suis belge. Et quand on est belge, on a deux particularités. Premièrement, on vit dans un pays où le langage est un sport de combat. Francophone, néerlandophone, germanophone, anglophone, parfois, tous dans la même réunion. Et deuxièmement, on a grandi avec les schtroumpfs. Tu sais, les petits bonhommes bleus. Et l'une des particularités des schtroumpfs est de remplacer tous les verbes par schtroumpfer. Donc aujourd'hui, je t'emmène là-bas. Oui. au village des schtroumpfs, pour parler d'un sujet très sérieux, la clause 9.1 de l'ISO 27001. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans schtroumpfer. Ou presque. Je suis Fabrice De Paepe et aujourd'hui je t'explique ce que tu dois éviter dans le vocabulaire ISO 27001. Avec contrôle et mesure, si tu veux pas perdre ton interlocuteur non-expert. Oublie pas de liker, partager, commenter si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. Donc, un peu de théorie, la clause 9.1, c'est surveillance, mesure, analyse et évaluation. Dit comme ça, c'est propre, c'est académique, c'est normatif, mais dans la vraie vie... C'est l'une des clauses les plus mal comprises. Pas parce qu'elle est complexe, mais parce que les mots sont piégeux. Alors d'emblée, le mot qui fout le bazar, c'est « mesure » . Oui, en français, on dit « mesure » . Et dès que tu prononces ce mot, les cerveaux partent dans tous les sens. Pour certains, une mesure est un indicateur. Pour d'autres, une mesure est un KPI. Pour d'autres encore, une mesure, c'est un outil. Et parfois, une mesure, c'est un contrôle. Et là, si toi et la personne en face n'utilisez pas le mot dans le même sens, vous êtes déjà en train de vous perdre. Et donc je te fais une petite parenthèse belge très concrète. En Belgique, ça se voit encore plus vite. Dans une même réunion, tu peux avoir quelqu'un qui pense en français, quelqu'un qui pense en néerlandais, ou bien quelqu'un qui pense en anglais, en broken english, parce que c'est pas sa langue native, et encore, t'as de la chance, je parle pas allemand. Mais sur le papier, c'est la même norme. Dans la tête des gens, ce n'est pas la même chose. Et si toi, en tant que consultant, RSSI, auditeur, et puis auditeur du podcast aussi, tu n'as pas ce discernement linguistique, tu perds ton auditoire, pas parce que tu as tort, mais parce que vous ne parlez pas, finalement, vous ne parlez plus la même langue. Et là, on arrive à Roussel. Ce phénomène-là, il est très bien décrit par Bertrand Roussel, avec ce qu'on appelle la conjugaison de Roussel. C'est une construction actuellement obscure, issue de la linguistique. de la psycho et de la rhétorique, qui va démontrer comment notre esprit rationnel est protégé de la compréhension du rôle secondaire que jouent généralement les informations factuelles par rapport à l'empathie dans la formation de nos opinions. Je t'ai perdu ? Allez, je te donne un exemple. Exemple classique. Je suis ferme. Tu es obstiné. Il est borné. C'est le même comportement, mais ce sont trois mots différents et trois jugements différents. Le langage n'est jamais neutre. Et dans l'ISO 27001, c'est exactement pareil en fait. Quand la norme dit mesure, elle est neutre. Mais ton interlocuteur, lui, il projette sa propre interprétation. C'est un biais cognitif, pas un problème de conformité. Et là, je te fais un petit retour en arrière avec l'ancienne version de l'ISO 27001, donc encore la version 2013. Dans cette version-là, on parlait de contrôle objective. Tu sais, ceux de l'annexe A. Donc, en français, des objectifs de contrôle. C'était limpide. On met des contrôles. pour atteindre des objectifs afin de réduire les risques. Ce terme a disparu dans la version suivante, c'est-à-dire en 2022, mais la logique en fait, elle n'a jamais disparu. Je vais te dire une chose, ce que je fais moi sur le terrain, quand je travaille avec un client, surtout au début, et qu'on parle de ramener les risques à un niveau acceptable, à ce moment-là, je parle des contrôles. Toujours. Pas de mesures, pas de KPI, pas de tableau de bord. Des contrôles. Techniques, organisationnels, humains, je ne vais pas tous les citer. Parce que ce sont les contrôles qui agissent réellement sur le risque. Et je fais ce split de langage le plus tôt possible dans la relation. Et alors tu vas me dire, mais la mesure, elle sert à quoi ? La mesure, elle ne réduit rien. Elle observe. Elle sert à répondre à une seule question. Est-ce que le contrôle fonctionne comme prévu ? Donc, le contrôle agit, la mesure observe, l'analyse interprète, et l'évaluation décide. Et là, tout à coup, la clause 9.1 devient limpide. Et un biais classique... Et le plus fréquent d'ailleurs, c'est de croire que mesurer c'est agir, non ? Mesurer, c'est regarder le village. Agir, c'est construire les remparts. Je te parle des schtroumpfs. Et si tu confonds les deux, ce n'est pas ISO qui est mal écrite. C'est juste que le langage t'a piégé. Et quand le client n'est pas à l'aise avec ISO, là je vais être très clair. Oui, dans la norme, le mot officiel c'est mesure. Oh coucou, mon petit chevalier blanc. Et entre experts, ça fonctionne très bien. J'ai aucun souci avec ça. Mais quand j'ai un client qui débute, n'est pas à l'aise avec la subtilité de la norme. ou vient d'un autre contexte culturel, ou même linguistique, j'adapte mon vocabulaire. Je dis, voici les contrôles, tu sais, l'annexe A, voici comment on vérifie qu'ils fonctionnent, voici comment on décide. Et seulement après, je fais le lien avec ISO. Conclusion, si tu n'avais pas encore compris, retour au village des Schtroumpfs. Donc la maturité-sécurité, ce n'est pas parler comme la norme, c'est se faire comprendre, parce qu'un SMSI mal expliqué, mal compris, mal aligné, reste fragile. Et si je devais traduire la clause 9.1 au village des schtroumpfer, je dirais « schtroumpfer, schtroumpfer, schtroumpfer et schtroumpfer » pour vérifier si les contrôles schtroumpfer vraiment les risques. Et là, tout le monde est aligné maintenant. Voilà, c'était une partie de la clause 9.1, sans jargon inutile, sans perdre les gens en route, enfin j'espère, le village des schtroumpfer est parfois difficile à trouver pour Gargamel, et surtout... Sans schtroumpfer la norme. Alors, est-ce que tu me comprends maintenant pourquoi ça m'énerve quand on mesure un contrôle, ou bien lorsqu'on contrôle une mesure, ou bien lorsqu'on mesure une mesure, voire même lorsqu'on contrôle un contrôle ? Si tu as aimé cet épisode, n'hésite pas de schtroumpfer sur les réseaux sociaux et d'en parler avec un expert qui adorera schtroumpfer et utiliser des mots compliqués. N'oublie pas de liker et de t'abonner. A la semaine prochaine pour un autre épisode de Compliance Without Comma.

Chapters

Introduction et contexte belge
0sec
La clause 9.1 de l'ISO 27001
51sec
La conjugaison de Roussel et le langage
2min
Distinction entre contrôle et mesure
4min
Conclusion et importance de la clarté
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez maintenant et transformez votre approche de la conformité !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Avant de commencer, je dois poser le décor. Je suis belge. Et quand on est belge, on a deux particularités. Premièrement, on vit dans un pays où le langage est un sport de combat. Francophone, néerlandophone, germanophone, anglophone, parfois, tous dans la même réunion. Et deuxièmement, on a grandi avec les schtroumpfs. Tu sais, les petits bonhommes bleus. Et l'une des particularités des schtroumpfs est de remplacer tous les verbes par schtroumpfer. Donc aujourd'hui, je t'emmène là-bas. Oui. au village des schtroumpfs, pour parler d'un sujet très sérieux, la clause 9.1 de l'ISO 27001. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans schtroumpfer. Ou presque. Je suis Fabrice De Paepe et aujourd'hui je t'explique ce que tu dois éviter dans le vocabulaire ISO 27001. Avec contrôle et mesure, si tu veux pas perdre ton interlocuteur non-expert. Oublie pas de liker, partager, commenter si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. Donc, un peu de théorie, la clause 9.1, c'est surveillance, mesure, analyse et évaluation. Dit comme ça, c'est propre, c'est académique, c'est normatif, mais dans la vraie vie... C'est l'une des clauses les plus mal comprises. Pas parce qu'elle est complexe, mais parce que les mots sont piégeux. Alors d'emblée, le mot qui fout le bazar, c'est « mesure » . Oui, en français, on dit « mesure » . Et dès que tu prononces ce mot, les cerveaux partent dans tous les sens. Pour certains, une mesure est un indicateur. Pour d'autres, une mesure est un KPI. Pour d'autres encore, une mesure, c'est un outil. Et parfois, une mesure, c'est un contrôle. Et là, si toi et la personne en face n'utilisez pas le mot dans le même sens, vous êtes déjà en train de vous perdre. Et donc je te fais une petite parenthèse belge très concrète. En Belgique, ça se voit encore plus vite. Dans une même réunion, tu peux avoir quelqu'un qui pense en français, quelqu'un qui pense en néerlandais, ou bien quelqu'un qui pense en anglais, en broken english, parce que c'est pas sa langue native, et encore, t'as de la chance, je parle pas allemand. Mais sur le papier, c'est la même norme. Dans la tête des gens, ce n'est pas la même chose. Et si toi, en tant que consultant, RSSI, auditeur, et puis auditeur du podcast aussi, tu n'as pas ce discernement linguistique, tu perds ton auditoire, pas parce que tu as tort, mais parce que vous ne parlez pas, finalement, vous ne parlez plus la même langue. Et là, on arrive à Roussel. Ce phénomène-là, il est très bien décrit par Bertrand Roussel, avec ce qu'on appelle la conjugaison de Roussel. C'est une construction actuellement obscure, issue de la linguistique. de la psycho et de la rhétorique, qui va démontrer comment notre esprit rationnel est protégé de la compréhension du rôle secondaire que jouent généralement les informations factuelles par rapport à l'empathie dans la formation de nos opinions. Je t'ai perdu ? Allez, je te donne un exemple. Exemple classique. Je suis ferme. Tu es obstiné. Il est borné. C'est le même comportement, mais ce sont trois mots différents et trois jugements différents. Le langage n'est jamais neutre. Et dans l'ISO 27001, c'est exactement pareil en fait. Quand la norme dit mesure, elle est neutre. Mais ton interlocuteur, lui, il projette sa propre interprétation. C'est un biais cognitif, pas un problème de conformité. Et là, je te fais un petit retour en arrière avec l'ancienne version de l'ISO 27001, donc encore la version 2013. Dans cette version-là, on parlait de contrôle objective. Tu sais, ceux de l'annexe A. Donc, en français, des objectifs de contrôle. C'était limpide. On met des contrôles. pour atteindre des objectifs afin de réduire les risques. Ce terme a disparu dans la version suivante, c'est-à-dire en 2022, mais la logique en fait, elle n'a jamais disparu. Je vais te dire une chose, ce que je fais moi sur le terrain, quand je travaille avec un client, surtout au début, et qu'on parle de ramener les risques à un niveau acceptable, à ce moment-là, je parle des contrôles. Toujours. Pas de mesures, pas de KPI, pas de tableau de bord. Des contrôles. Techniques, organisationnels, humains, je ne vais pas tous les citer. Parce que ce sont les contrôles qui agissent réellement sur le risque. Et je fais ce split de langage le plus tôt possible dans la relation. Et alors tu vas me dire, mais la mesure, elle sert à quoi ? La mesure, elle ne réduit rien. Elle observe. Elle sert à répondre à une seule question. Est-ce que le contrôle fonctionne comme prévu ? Donc, le contrôle agit, la mesure observe, l'analyse interprète, et l'évaluation décide. Et là, tout à coup, la clause 9.1 devient limpide. Et un biais classique... Et le plus fréquent d'ailleurs, c'est de croire que mesurer c'est agir, non ? Mesurer, c'est regarder le village. Agir, c'est construire les remparts. Je te parle des schtroumpfs. Et si tu confonds les deux, ce n'est pas ISO qui est mal écrite. C'est juste que le langage t'a piégé. Et quand le client n'est pas à l'aise avec ISO, là je vais être très clair. Oui, dans la norme, le mot officiel c'est mesure. Oh coucou, mon petit chevalier blanc. Et entre experts, ça fonctionne très bien. J'ai aucun souci avec ça. Mais quand j'ai un client qui débute, n'est pas à l'aise avec la subtilité de la norme. ou vient d'un autre contexte culturel, ou même linguistique, j'adapte mon vocabulaire. Je dis, voici les contrôles, tu sais, l'annexe A, voici comment on vérifie qu'ils fonctionnent, voici comment on décide. Et seulement après, je fais le lien avec ISO. Conclusion, si tu n'avais pas encore compris, retour au village des Schtroumpfs. Donc la maturité-sécurité, ce n'est pas parler comme la norme, c'est se faire comprendre, parce qu'un SMSI mal expliqué, mal compris, mal aligné, reste fragile. Et si je devais traduire la clause 9.1 au village des schtroumpfer, je dirais « schtroumpfer, schtroumpfer, schtroumpfer et schtroumpfer » pour vérifier si les contrôles schtroumpfer vraiment les risques. Et là, tout le monde est aligné maintenant. Voilà, c'était une partie de la clause 9.1, sans jargon inutile, sans perdre les gens en route, enfin j'espère, le village des schtroumpfer est parfois difficile à trouver pour Gargamel, et surtout... Sans schtroumpfer la norme. Alors, est-ce que tu me comprends maintenant pourquoi ça m'énerve quand on mesure un contrôle, ou bien lorsqu'on contrôle une mesure, ou bien lorsqu'on mesure une mesure, voire même lorsqu'on contrôle un contrôle ? Si tu as aimé cet épisode, n'hésite pas de schtroumpfer sur les réseaux sociaux et d'en parler avec un expert qui adorera schtroumpfer et utiliser des mots compliqués. N'oublie pas de liker et de t'abonner. A la semaine prochaine pour un autre épisode de Compliance Without Comma.

Chapters

Introduction et contexte belge
0sec
La clause 9.1 de l'ISO 27001
51sec
La conjugaison de Roussel et le langage
2min
Distinction entre contrôle et mesure
4min
Conclusion et importance de la clarté
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction et contexte belge
0sec
La clause 9.1 de l'ISO 27001
51sec
La conjugaison de Roussel et le langage
2min
Distinction entre contrôle et mesure
4min
Conclusion et importance de la clarté
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez maintenant et transformez votre approche de la conformité !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Avant de commencer, je dois poser le décor. Je suis belge. Et quand on est belge, on a deux particularités. Premièrement, on vit dans un pays où le langage est un sport de combat. Francophone, néerlandophone, germanophone, anglophone, parfois, tous dans la même réunion. Et deuxièmement, on a grandi avec les schtroumpfs. Tu sais, les petits bonhommes bleus. Et l'une des particularités des schtroumpfs est de remplacer tous les verbes par schtroumpfer. Donc aujourd'hui, je t'emmène là-bas. Oui. au village des schtroumpfs, pour parler d'un sujet très sérieux, la clause 9.1 de l'ISO 27001. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans schtroumpfer. Ou presque. Je suis Fabrice De Paepe et aujourd'hui je t'explique ce que tu dois éviter dans le vocabulaire ISO 27001. Avec contrôle et mesure, si tu veux pas perdre ton interlocuteur non-expert. Oublie pas de liker, partager, commenter si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. Donc, un peu de théorie, la clause 9.1, c'est surveillance, mesure, analyse et évaluation. Dit comme ça, c'est propre, c'est académique, c'est normatif, mais dans la vraie vie... C'est l'une des clauses les plus mal comprises. Pas parce qu'elle est complexe, mais parce que les mots sont piégeux. Alors d'emblée, le mot qui fout le bazar, c'est « mesure » . Oui, en français, on dit « mesure » . Et dès que tu prononces ce mot, les cerveaux partent dans tous les sens. Pour certains, une mesure est un indicateur. Pour d'autres, une mesure est un KPI. Pour d'autres encore, une mesure, c'est un outil. Et parfois, une mesure, c'est un contrôle. Et là, si toi et la personne en face n'utilisez pas le mot dans le même sens, vous êtes déjà en train de vous perdre. Et donc je te fais une petite parenthèse belge très concrète. En Belgique, ça se voit encore plus vite. Dans une même réunion, tu peux avoir quelqu'un qui pense en français, quelqu'un qui pense en néerlandais, ou bien quelqu'un qui pense en anglais, en broken english, parce que c'est pas sa langue native, et encore, t'as de la chance, je parle pas allemand. Mais sur le papier, c'est la même norme. Dans la tête des gens, ce n'est pas la même chose. Et si toi, en tant que consultant, RSSI, auditeur, et puis auditeur du podcast aussi, tu n'as pas ce discernement linguistique, tu perds ton auditoire, pas parce que tu as tort, mais parce que vous ne parlez pas, finalement, vous ne parlez plus la même langue. Et là, on arrive à Roussel. Ce phénomène-là, il est très bien décrit par Bertrand Roussel, avec ce qu'on appelle la conjugaison de Roussel. C'est une construction actuellement obscure, issue de la linguistique. de la psycho et de la rhétorique, qui va démontrer comment notre esprit rationnel est protégé de la compréhension du rôle secondaire que jouent généralement les informations factuelles par rapport à l'empathie dans la formation de nos opinions. Je t'ai perdu ? Allez, je te donne un exemple. Exemple classique. Je suis ferme. Tu es obstiné. Il est borné. C'est le même comportement, mais ce sont trois mots différents et trois jugements différents. Le langage n'est jamais neutre. Et dans l'ISO 27001, c'est exactement pareil en fait. Quand la norme dit mesure, elle est neutre. Mais ton interlocuteur, lui, il projette sa propre interprétation. C'est un biais cognitif, pas un problème de conformité. Et là, je te fais un petit retour en arrière avec l'ancienne version de l'ISO 27001, donc encore la version 2013. Dans cette version-là, on parlait de contrôle objective. Tu sais, ceux de l'annexe A. Donc, en français, des objectifs de contrôle. C'était limpide. On met des contrôles. pour atteindre des objectifs afin de réduire les risques. Ce terme a disparu dans la version suivante, c'est-à-dire en 2022, mais la logique en fait, elle n'a jamais disparu. Je vais te dire une chose, ce que je fais moi sur le terrain, quand je travaille avec un client, surtout au début, et qu'on parle de ramener les risques à un niveau acceptable, à ce moment-là, je parle des contrôles. Toujours. Pas de mesures, pas de KPI, pas de tableau de bord. Des contrôles. Techniques, organisationnels, humains, je ne vais pas tous les citer. Parce que ce sont les contrôles qui agissent réellement sur le risque. Et je fais ce split de langage le plus tôt possible dans la relation. Et alors tu vas me dire, mais la mesure, elle sert à quoi ? La mesure, elle ne réduit rien. Elle observe. Elle sert à répondre à une seule question. Est-ce que le contrôle fonctionne comme prévu ? Donc, le contrôle agit, la mesure observe, l'analyse interprète, et l'évaluation décide. Et là, tout à coup, la clause 9.1 devient limpide. Et un biais classique... Et le plus fréquent d'ailleurs, c'est de croire que mesurer c'est agir, non ? Mesurer, c'est regarder le village. Agir, c'est construire les remparts. Je te parle des schtroumpfs. Et si tu confonds les deux, ce n'est pas ISO qui est mal écrite. C'est juste que le langage t'a piégé. Et quand le client n'est pas à l'aise avec ISO, là je vais être très clair. Oui, dans la norme, le mot officiel c'est mesure. Oh coucou, mon petit chevalier blanc. Et entre experts, ça fonctionne très bien. J'ai aucun souci avec ça. Mais quand j'ai un client qui débute, n'est pas à l'aise avec la subtilité de la norme. ou vient d'un autre contexte culturel, ou même linguistique, j'adapte mon vocabulaire. Je dis, voici les contrôles, tu sais, l'annexe A, voici comment on vérifie qu'ils fonctionnent, voici comment on décide. Et seulement après, je fais le lien avec ISO. Conclusion, si tu n'avais pas encore compris, retour au village des Schtroumpfs. Donc la maturité-sécurité, ce n'est pas parler comme la norme, c'est se faire comprendre, parce qu'un SMSI mal expliqué, mal compris, mal aligné, reste fragile. Et si je devais traduire la clause 9.1 au village des schtroumpfer, je dirais « schtroumpfer, schtroumpfer, schtroumpfer et schtroumpfer » pour vérifier si les contrôles schtroumpfer vraiment les risques. Et là, tout le monde est aligné maintenant. Voilà, c'était une partie de la clause 9.1, sans jargon inutile, sans perdre les gens en route, enfin j'espère, le village des schtroumpfer est parfois difficile à trouver pour Gargamel, et surtout... Sans schtroumpfer la norme. Alors, est-ce que tu me comprends maintenant pourquoi ça m'énerve quand on mesure un contrôle, ou bien lorsqu'on contrôle une mesure, ou bien lorsqu'on mesure une mesure, voire même lorsqu'on contrôle un contrôle ? Si tu as aimé cet épisode, n'hésite pas de schtroumpfer sur les réseaux sociaux et d'en parler avec un expert qui adorera schtroumpfer et utiliser des mots compliqués. N'oublie pas de liker et de t'abonner. A la semaine prochaine pour un autre épisode de Compliance Without Comma.

Chapters

Introduction et contexte belge
0sec
La clause 9.1 de l'ISO 27001
51sec
La conjugaison de Roussel et le langage
2min
Distinction entre contrôle et mesure
4min
Conclusion et importance de la clarté
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction et contexte belge

La clause 9.1 de l'ISO 27001

La conjugaison de Roussel et le langage

Distinction entre contrôle et mesure

Conclusion et importance de la clarté

Chapters

Introduction et contexte belge

La clause 9.1 de l'ISO 27001

La conjugaison de Roussel et le langage

Distinction entre contrôle et mesure

Conclusion et importance de la clarté

Chapters

Introduction et contexte belge

La clause 9.1 de l'ISO 27001

La conjugaison de Roussel et le langage

Distinction entre contrôle et mesure

Conclusion et importance de la clarté

Chapters

Introduction et contexte belge

La clause 9.1 de l'ISO 27001

La conjugaison de Roussel et le langage

Distinction entre contrôle et mesure

Conclusion et importance de la clarté