Épisode 47: Quand les châteaux forts deviennent des aéroports | Compliance Without coma

Description

La cybersécurité est-elle vraiment aussi solide qu'un château fort, ou devrait-elle plutôt ressembler à un aéroport moderne ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous invite à repenser notre approche de la sécurité numérique. Dans un monde où les menaces évoluent sans cesse, la sécurité ne se limite pas à empêcher les intrusions, mais qu'elle doit également garantir un contrôle efficace des flux d'informations et d'identités.

Avec cette métaphore Fabrice compare la cybersécurité à un aéroport, où chaque passager doit être minutieusement contrôlé pour éviter les incidents. Il met l'accent sur l'importance des contrôles d'accès, de la vérification continue et du partage de la responsabilité en matière de sécurité. Imaginez un instant que chaque donnée qui entre ou sort de votre organisation soit soumise à un examen rigoureux, tout en permettant une circulation fluide et sécurisée. C'est là toute la beauté de la cybersécurité moderne, que Fabrice explore en profondeur.

Il introduit également le concept de Zero Trust, une philosophie qui remet en question l'idée de confiance par défaut. Aujourd'hui, la cybersécurité doit être dynamique et adaptable, permettant aux données de circuler librement tout en prévenant les menaces. C'est un changement de paradigme qui nécessite une réévaluation des rôles au sein des équipes de sécurité. Fabrice insiste sur le fait que les professionnels de la sécurité doivent évoluer pour devenir des contrôleurs aériens de la donnée, veillant à la fluidité des opérations sans jamais compromettre la sécurité des organisations.

Si vous êtes passionné par la cybersécurité, la gestion des risques, ou si vous souhaitez simplement comprendre comment protéger vos données dans un environnement de plus en plus complexe, cet épisode de Compliance Without Coma est fait pour vous. Ne manquez pas cette occasion de découvrir comment la sécurité peut être à la fois rigoureuse et flexible. Rejoignez-nous pour une discussion qui changera peut être votre vision de la cybersécurité.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La cybersécurité moderne, elle ne ressemble pas à un château fort. Elle ressemble à un aéroport. Oui, oui, un aéroport. Et tu vas voir, une fois que tu l'as compris, tu ne verras plus jamais ton organisation de la même manière. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne te donne pas envie de fouillir sous un plaid. Je suis Fabrice De Paepe et aujourd'hui, je vais te parler d'un truc essentiel, mais que peu d'organisations ont vraiment compris. Avant de parler cyber, on va parler château fort, parce que soyons honnêtes, on a tous joué avec des châteaux. Que ce soit avec une marque danoise bien connue, tu vois les jouets en plastique, ou peut-être en visitant un vrai château pendant des vacances. Des murs. Des tours, un donjon, un pont-levis, cette fameuse défense en couche comme expliquée dans des certifications. Et je t'avoue qu'il y a 20 ans, je parlais encore de château fort pour expliquer mon métier. Le fantasme parfait de la sécurité. Le vieux rêve parfait du château fort. Alors pendant des années, on a pensé la sécurité informatique comme un château fort. Tu mets le secret au centre, tu construis des murs autour, tu ajoutes des gardes, une défense en couche, et si possible, un dragon qui vole au-dessus de ton royaume. Et n'oublie pas, n'oublie pas le backdoor, pour que ton roi puisse s'échapper. D'ailleurs, les plus malins cherchaient la trappe plutôt que d'attaquer de front le pont-levis. Et on pensait souvent que si le serveur était bien caché, si la base client était au fond du donjon, si le firewall était épais, alors tout irait bien. Il suffisait de renforcer les murs, ajouter une muraille à la muraille, faire un audit de plus et hop, sécurité assurée. Sauf que ça, c'était avant. Parce que le château fort a un défaut énorme. Si quelqu'un passe la porte, tout est foutu. Un seul accès, une seule brèche, un seul prestataire compromis, et tu viens d'offrir la clé de toute la ville. D'ailleurs, qui te demande encore de montrer ton badge une fois que t'es rentré ? Donc bienvenue dans le monde de l'aéroport. Le monde moderne ne fonctionne plus comme un château. Le monde moderne, c'est un aéroport international. 24 heures sur 24, des flux constants, des gens qui arrivent, qui repartent. qui transitent. Comme nos données, en fait. Comme nos identités, comme nos utilisateurs. Et surtout, on n'empêche pas le monde d'entrer. On le contrôle. On continue. Partout. Un aéroport n'a pas un mur. Il a des checkpoints, des scanners, des vérifications, des contrôles d'identité, du monitoring, des logs humains et techniques. Et ça, c'est exactement Zero Trust. Alors, Zero Trust, enfin expliqué clairement. Tu me vois pas venir ? Zero Trust n'a jamais voulu dire ne fait confiance à personne. Ça veut dire ne pas faire confiance par défaut. Comme à l'aéroport, en fait. Tu voyages depuis 20 ans ? Tu te fais scanner quand même. Tu viens d'un pays sûr ? Contrôle quand même. Tu as un badge ? Ok, mais on va quand même revérifier pour cette zone spécifique que tu tentes d'accéder. Ton bagage est déjà dans le bâtiment ? Oui, mais on va quand même le rescanner. Et malgré tout, c'est fluide. Parfois c'est chiant, c'est vrai. Mais c'est pas naïf. c'est optimisé, mais jamais aveugle. Un château fort, tu le protèges en empêchant les gens d'entrer. Un aéroport, tu le protèges en acceptant qu'ils entrent. T'as pas le choix. Sinon tu coupes ton business. Mais c'est donc, c'est jamais sans contrôle. Et ça, c'est notre métier aujourd'hui. Parce que le monde, en fait, a évolué. Il n'est plus centré. Il est distribué. Et entre nous, si quelqu'un pense encore vivre dans un château fort numérique, C'est qu'il n'a pas réalisé que ses données sont dans 14 SAAS, son DevOps est en Asie, son fournisseur est au Luxembourg, son SOC est à distance, et son Shadow IT dans le sac à dos du marketing. Quand il ne l'a pas oublié dans le train. On ne vit plus en autarcie, on vit dans un flux permanent. Et tu ne contrôles pas un flux avec un mur, tu le contrôles avec des points de passage, des politiques, des logs, de la gouvernance, des contrôles continus, du vibe coding et des fuites de données IA aussi. D'ailleurs, la cybersécurité moderne, ce n'est pas empêcher le monde d'entrer, c'est empêcher la menace d'y circuler librement. Si tu empêches le monde d'entrer, tu bloques le business. Et là, je viens juste de te résumer en une phrase, une punchline du CISM, la certif de l'ISACA. Si tu as besoin de conseils sur cette certif-là, passe me voir à l'occasion. On vit finalement dans un monde où la responsabilité est partagée. Dans un aéroport, la sécurité n'est pas assurée par une seule entité. Je te laisse imaginer, mais... pense à ton dernier voyage. L'aéroport d'origine est responsable. L'aéroport d'arrivée... aussi. La compagnie aérienne, aussi. Le personnel au sol, aussi. Tout ça pour voir qui a laissé un coup d'ongle. Et en cyber, c'est pareil. Tu partages le risque avec ton cloud provider, ton intégrateur, ton MSP, ton FAI, tes partenaires, tes sous-traitants, ton personnel. Donc Zero Trust, c'est accepter cette réalité. Tu n'es jamais seul. Tu ne dois jamais faire confiance les yeux fermés. Et surtout, tu ne dois jamais faire confiance sans traces. Et en guise de conclusion, et oui, ça va vite, je pense aux contrôleurs aériens de la donnée. On est passé du château fort à l'aéroport, de la muraille à la fluidité, de la forteresse statique à la sécurité dynamique. Et notre rôle, toi, moi, tous ceux qui travaillent dans la sécu finalement, ce n'est plus d'empêcher l'information de bouger, c'est d'être les contrôleurs aériens de la donnée. Attention, je ne te parle pas de ceux qui loguent un incident en safety. Parce que la machine à café fait trop de bruit et que cela les perturbe dans leur travail quotidien. Non, je te parle de ceux qui surveillent, de ceux qui préviennent les collisions, de ceux qui permettent au trafic d'exister, sans mettre l'organisation en danger. Et oui, le rôle de CISO a évolué. Il est fatigant, mais il est incroyablement riche. Parce que la cybersécurité, c'est pas construire des murs, c'est plutôt aussi construire des ponts. Mais bon, ça... Je l'ai déjà dit dans un autre épisode. Mais c'est aussi savoir laisser passer le monde sans finir dans le coma. Et comme toujours, reste curieux, reste agile et reste éveillé. Merci d'avoir écouté Compliance Without Coma et on se dit à la semaine prochaine pour un nouvel épisode. Ah tiens, j'ai une semaine pour trouver un sujet. J'ai un podcast guest en cours de validation par le guest, mais aucune idée s'il sortira vendredi prochain, dans une semaine ou dans trois semaines. Donc j'anticipe. Si tu as des idées, n'hésite pas à me les partager. N'oublie pas de liker, partager, commenter, ça m'encourage.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La cybersécurité moderne, elle ne ressemble pas à un château fort. Elle ressemble à un aéroport. Oui, oui, un aéroport. Et tu vas voir, une fois que tu l'as compris, tu ne verras plus jamais ton organisation de la même manière. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne te donne pas envie de fouillir sous un plaid. Je suis Fabrice De Paepe et aujourd'hui, je vais te parler d'un truc essentiel, mais que peu d'organisations ont vraiment compris. Avant de parler cyber, on va parler château fort, parce que soyons honnêtes, on a tous joué avec des châteaux. Que ce soit avec une marque danoise bien connue, tu vois les jouets en plastique, ou peut-être en visitant un vrai château pendant des vacances. Des murs. Des tours, un donjon, un pont-levis, cette fameuse défense en couche comme expliquée dans des certifications. Et je t'avoue qu'il y a 20 ans, je parlais encore de château fort pour expliquer mon métier. Le fantasme parfait de la sécurité. Le vieux rêve parfait du château fort. Alors pendant des années, on a pensé la sécurité informatique comme un château fort. Tu mets le secret au centre, tu construis des murs autour, tu ajoutes des gardes, une défense en couche, et si possible, un dragon qui vole au-dessus de ton royaume. Et n'oublie pas, n'oublie pas le backdoor, pour que ton roi puisse s'échapper. D'ailleurs, les plus malins cherchaient la trappe plutôt que d'attaquer de front le pont-levis. Et on pensait souvent que si le serveur était bien caché, si la base client était au fond du donjon, si le firewall était épais, alors tout irait bien. Il suffisait de renforcer les murs, ajouter une muraille à la muraille, faire un audit de plus et hop, sécurité assurée. Sauf que ça, c'était avant. Parce que le château fort a un défaut énorme. Si quelqu'un passe la porte, tout est foutu. Un seul accès, une seule brèche, un seul prestataire compromis, et tu viens d'offrir la clé de toute la ville. D'ailleurs, qui te demande encore de montrer ton badge une fois que t'es rentré ? Donc bienvenue dans le monde de l'aéroport. Le monde moderne ne fonctionne plus comme un château. Le monde moderne, c'est un aéroport international. 24 heures sur 24, des flux constants, des gens qui arrivent, qui repartent. qui transitent. Comme nos données, en fait. Comme nos identités, comme nos utilisateurs. Et surtout, on n'empêche pas le monde d'entrer. On le contrôle. On continue. Partout. Un aéroport n'a pas un mur. Il a des checkpoints, des scanners, des vérifications, des contrôles d'identité, du monitoring, des logs humains et techniques. Et ça, c'est exactement Zero Trust. Alors, Zero Trust, enfin expliqué clairement. Tu me vois pas venir ? Zero Trust n'a jamais voulu dire ne fait confiance à personne. Ça veut dire ne pas faire confiance par défaut. Comme à l'aéroport, en fait. Tu voyages depuis 20 ans ? Tu te fais scanner quand même. Tu viens d'un pays sûr ? Contrôle quand même. Tu as un badge ? Ok, mais on va quand même revérifier pour cette zone spécifique que tu tentes d'accéder. Ton bagage est déjà dans le bâtiment ? Oui, mais on va quand même le rescanner. Et malgré tout, c'est fluide. Parfois c'est chiant, c'est vrai. Mais c'est pas naïf. c'est optimisé, mais jamais aveugle. Un château fort, tu le protèges en empêchant les gens d'entrer. Un aéroport, tu le protèges en acceptant qu'ils entrent. T'as pas le choix. Sinon tu coupes ton business. Mais c'est donc, c'est jamais sans contrôle. Et ça, c'est notre métier aujourd'hui. Parce que le monde, en fait, a évolué. Il n'est plus centré. Il est distribué. Et entre nous, si quelqu'un pense encore vivre dans un château fort numérique, C'est qu'il n'a pas réalisé que ses données sont dans 14 SAAS, son DevOps est en Asie, son fournisseur est au Luxembourg, son SOC est à distance, et son Shadow IT dans le sac à dos du marketing. Quand il ne l'a pas oublié dans le train. On ne vit plus en autarcie, on vit dans un flux permanent. Et tu ne contrôles pas un flux avec un mur, tu le contrôles avec des points de passage, des politiques, des logs, de la gouvernance, des contrôles continus, du vibe coding et des fuites de données IA aussi. D'ailleurs, la cybersécurité moderne, ce n'est pas empêcher le monde d'entrer, c'est empêcher la menace d'y circuler librement. Si tu empêches le monde d'entrer, tu bloques le business. Et là, je viens juste de te résumer en une phrase, une punchline du CISM, la certif de l'ISACA. Si tu as besoin de conseils sur cette certif-là, passe me voir à l'occasion. On vit finalement dans un monde où la responsabilité est partagée. Dans un aéroport, la sécurité n'est pas assurée par une seule entité. Je te laisse imaginer, mais... pense à ton dernier voyage. L'aéroport d'origine est responsable. L'aéroport d'arrivée... aussi. La compagnie aérienne, aussi. Le personnel au sol, aussi. Tout ça pour voir qui a laissé un coup d'ongle. Et en cyber, c'est pareil. Tu partages le risque avec ton cloud provider, ton intégrateur, ton MSP, ton FAI, tes partenaires, tes sous-traitants, ton personnel. Donc Zero Trust, c'est accepter cette réalité. Tu n'es jamais seul. Tu ne dois jamais faire confiance les yeux fermés. Et surtout, tu ne dois jamais faire confiance sans traces. Et en guise de conclusion, et oui, ça va vite, je pense aux contrôleurs aériens de la donnée. On est passé du château fort à l'aéroport, de la muraille à la fluidité, de la forteresse statique à la sécurité dynamique. Et notre rôle, toi, moi, tous ceux qui travaillent dans la sécu finalement, ce n'est plus d'empêcher l'information de bouger, c'est d'être les contrôleurs aériens de la donnée. Attention, je ne te parle pas de ceux qui loguent un incident en safety. Parce que la machine à café fait trop de bruit et que cela les perturbe dans leur travail quotidien. Non, je te parle de ceux qui surveillent, de ceux qui préviennent les collisions, de ceux qui permettent au trafic d'exister, sans mettre l'organisation en danger. Et oui, le rôle de CISO a évolué. Il est fatigant, mais il est incroyablement riche. Parce que la cybersécurité, c'est pas construire des murs, c'est plutôt aussi construire des ponts. Mais bon, ça... Je l'ai déjà dit dans un autre épisode. Mais c'est aussi savoir laisser passer le monde sans finir dans le coma. Et comme toujours, reste curieux, reste agile et reste éveillé. Merci d'avoir écouté Compliance Without Coma et on se dit à la semaine prochaine pour un nouvel épisode. Ah tiens, j'ai une semaine pour trouver un sujet. J'ai un podcast guest en cours de validation par le guest, mais aucune idée s'il sortira vendredi prochain, dans une semaine ou dans trois semaines. Donc j'anticipe. Si tu as des idées, n'hésite pas à me les partager. N'oublie pas de liker, partager, commenter, ça m'encourage.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La cybersécurité moderne, elle ne ressemble pas à un château fort. Elle ressemble à un aéroport. Oui, oui, un aéroport. Et tu vas voir, une fois que tu l'as compris, tu ne verras plus jamais ton organisation de la même manière. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne te donne pas envie de fouillir sous un plaid. Je suis Fabrice De Paepe et aujourd'hui, je vais te parler d'un truc essentiel, mais que peu d'organisations ont vraiment compris. Avant de parler cyber, on va parler château fort, parce que soyons honnêtes, on a tous joué avec des châteaux. Que ce soit avec une marque danoise bien connue, tu vois les jouets en plastique, ou peut-être en visitant un vrai château pendant des vacances. Des murs. Des tours, un donjon, un pont-levis, cette fameuse défense en couche comme expliquée dans des certifications. Et je t'avoue qu'il y a 20 ans, je parlais encore de château fort pour expliquer mon métier. Le fantasme parfait de la sécurité. Le vieux rêve parfait du château fort. Alors pendant des années, on a pensé la sécurité informatique comme un château fort. Tu mets le secret au centre, tu construis des murs autour, tu ajoutes des gardes, une défense en couche, et si possible, un dragon qui vole au-dessus de ton royaume. Et n'oublie pas, n'oublie pas le backdoor, pour que ton roi puisse s'échapper. D'ailleurs, les plus malins cherchaient la trappe plutôt que d'attaquer de front le pont-levis. Et on pensait souvent que si le serveur était bien caché, si la base client était au fond du donjon, si le firewall était épais, alors tout irait bien. Il suffisait de renforcer les murs, ajouter une muraille à la muraille, faire un audit de plus et hop, sécurité assurée. Sauf que ça, c'était avant. Parce que le château fort a un défaut énorme. Si quelqu'un passe la porte, tout est foutu. Un seul accès, une seule brèche, un seul prestataire compromis, et tu viens d'offrir la clé de toute la ville. D'ailleurs, qui te demande encore de montrer ton badge une fois que t'es rentré ? Donc bienvenue dans le monde de l'aéroport. Le monde moderne ne fonctionne plus comme un château. Le monde moderne, c'est un aéroport international. 24 heures sur 24, des flux constants, des gens qui arrivent, qui repartent. qui transitent. Comme nos données, en fait. Comme nos identités, comme nos utilisateurs. Et surtout, on n'empêche pas le monde d'entrer. On le contrôle. On continue. Partout. Un aéroport n'a pas un mur. Il a des checkpoints, des scanners, des vérifications, des contrôles d'identité, du monitoring, des logs humains et techniques. Et ça, c'est exactement Zero Trust. Alors, Zero Trust, enfin expliqué clairement. Tu me vois pas venir ? Zero Trust n'a jamais voulu dire ne fait confiance à personne. Ça veut dire ne pas faire confiance par défaut. Comme à l'aéroport, en fait. Tu voyages depuis 20 ans ? Tu te fais scanner quand même. Tu viens d'un pays sûr ? Contrôle quand même. Tu as un badge ? Ok, mais on va quand même revérifier pour cette zone spécifique que tu tentes d'accéder. Ton bagage est déjà dans le bâtiment ? Oui, mais on va quand même le rescanner. Et malgré tout, c'est fluide. Parfois c'est chiant, c'est vrai. Mais c'est pas naïf. c'est optimisé, mais jamais aveugle. Un château fort, tu le protèges en empêchant les gens d'entrer. Un aéroport, tu le protèges en acceptant qu'ils entrent. T'as pas le choix. Sinon tu coupes ton business. Mais c'est donc, c'est jamais sans contrôle. Et ça, c'est notre métier aujourd'hui. Parce que le monde, en fait, a évolué. Il n'est plus centré. Il est distribué. Et entre nous, si quelqu'un pense encore vivre dans un château fort numérique, C'est qu'il n'a pas réalisé que ses données sont dans 14 SAAS, son DevOps est en Asie, son fournisseur est au Luxembourg, son SOC est à distance, et son Shadow IT dans le sac à dos du marketing. Quand il ne l'a pas oublié dans le train. On ne vit plus en autarcie, on vit dans un flux permanent. Et tu ne contrôles pas un flux avec un mur, tu le contrôles avec des points de passage, des politiques, des logs, de la gouvernance, des contrôles continus, du vibe coding et des fuites de données IA aussi. D'ailleurs, la cybersécurité moderne, ce n'est pas empêcher le monde d'entrer, c'est empêcher la menace d'y circuler librement. Si tu empêches le monde d'entrer, tu bloques le business. Et là, je viens juste de te résumer en une phrase, une punchline du CISM, la certif de l'ISACA. Si tu as besoin de conseils sur cette certif-là, passe me voir à l'occasion. On vit finalement dans un monde où la responsabilité est partagée. Dans un aéroport, la sécurité n'est pas assurée par une seule entité. Je te laisse imaginer, mais... pense à ton dernier voyage. L'aéroport d'origine est responsable. L'aéroport d'arrivée... aussi. La compagnie aérienne, aussi. Le personnel au sol, aussi. Tout ça pour voir qui a laissé un coup d'ongle. Et en cyber, c'est pareil. Tu partages le risque avec ton cloud provider, ton intégrateur, ton MSP, ton FAI, tes partenaires, tes sous-traitants, ton personnel. Donc Zero Trust, c'est accepter cette réalité. Tu n'es jamais seul. Tu ne dois jamais faire confiance les yeux fermés. Et surtout, tu ne dois jamais faire confiance sans traces. Et en guise de conclusion, et oui, ça va vite, je pense aux contrôleurs aériens de la donnée. On est passé du château fort à l'aéroport, de la muraille à la fluidité, de la forteresse statique à la sécurité dynamique. Et notre rôle, toi, moi, tous ceux qui travaillent dans la sécu finalement, ce n'est plus d'empêcher l'information de bouger, c'est d'être les contrôleurs aériens de la donnée. Attention, je ne te parle pas de ceux qui loguent un incident en safety. Parce que la machine à café fait trop de bruit et que cela les perturbe dans leur travail quotidien. Non, je te parle de ceux qui surveillent, de ceux qui préviennent les collisions, de ceux qui permettent au trafic d'exister, sans mettre l'organisation en danger. Et oui, le rôle de CISO a évolué. Il est fatigant, mais il est incroyablement riche. Parce que la cybersécurité, c'est pas construire des murs, c'est plutôt aussi construire des ponts. Mais bon, ça... Je l'ai déjà dit dans un autre épisode. Mais c'est aussi savoir laisser passer le monde sans finir dans le coma. Et comme toujours, reste curieux, reste agile et reste éveillé. Merci d'avoir écouté Compliance Without Coma et on se dit à la semaine prochaine pour un nouvel épisode. Ah tiens, j'ai une semaine pour trouver un sujet. J'ai un podcast guest en cours de validation par le guest, mais aucune idée s'il sortira vendredi prochain, dans une semaine ou dans trois semaines. Donc j'anticipe. Si tu as des idées, n'hésite pas à me les partager. N'oublie pas de liker, partager, commenter, ça m'encourage.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
La cybersécurité moderne, elle ne ressemble pas à un château fort. Elle ressemble à un aéroport. Oui, oui, un aéroport. Et tu vas voir, une fois que tu l'as compris, tu ne verras plus jamais ton organisation de la même manière. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité ne te donne pas envie de fouillir sous un plaid. Je suis Fabrice De Paepe et aujourd'hui, je vais te parler d'un truc essentiel, mais que peu d'organisations ont vraiment compris. Avant de parler cyber, on va parler château fort, parce que soyons honnêtes, on a tous joué avec des châteaux. Que ce soit avec une marque danoise bien connue, tu vois les jouets en plastique, ou peut-être en visitant un vrai château pendant des vacances. Des murs. Des tours, un donjon, un pont-levis, cette fameuse défense en couche comme expliquée dans des certifications. Et je t'avoue qu'il y a 20 ans, je parlais encore de château fort pour expliquer mon métier. Le fantasme parfait de la sécurité. Le vieux rêve parfait du château fort. Alors pendant des années, on a pensé la sécurité informatique comme un château fort. Tu mets le secret au centre, tu construis des murs autour, tu ajoutes des gardes, une défense en couche, et si possible, un dragon qui vole au-dessus de ton royaume. Et n'oublie pas, n'oublie pas le backdoor, pour que ton roi puisse s'échapper. D'ailleurs, les plus malins cherchaient la trappe plutôt que d'attaquer de front le pont-levis. Et on pensait souvent que si le serveur était bien caché, si la base client était au fond du donjon, si le firewall était épais, alors tout irait bien. Il suffisait de renforcer les murs, ajouter une muraille à la muraille, faire un audit de plus et hop, sécurité assurée. Sauf que ça, c'était avant. Parce que le château fort a un défaut énorme. Si quelqu'un passe la porte, tout est foutu. Un seul accès, une seule brèche, un seul prestataire compromis, et tu viens d'offrir la clé de toute la ville. D'ailleurs, qui te demande encore de montrer ton badge une fois que t'es rentré ? Donc bienvenue dans le monde de l'aéroport. Le monde moderne ne fonctionne plus comme un château. Le monde moderne, c'est un aéroport international. 24 heures sur 24, des flux constants, des gens qui arrivent, qui repartent. qui transitent. Comme nos données, en fait. Comme nos identités, comme nos utilisateurs. Et surtout, on n'empêche pas le monde d'entrer. On le contrôle. On continue. Partout. Un aéroport n'a pas un mur. Il a des checkpoints, des scanners, des vérifications, des contrôles d'identité, du monitoring, des logs humains et techniques. Et ça, c'est exactement Zero Trust. Alors, Zero Trust, enfin expliqué clairement. Tu me vois pas venir ? Zero Trust n'a jamais voulu dire ne fait confiance à personne. Ça veut dire ne pas faire confiance par défaut. Comme à l'aéroport, en fait. Tu voyages depuis 20 ans ? Tu te fais scanner quand même. Tu viens d'un pays sûr ? Contrôle quand même. Tu as un badge ? Ok, mais on va quand même revérifier pour cette zone spécifique que tu tentes d'accéder. Ton bagage est déjà dans le bâtiment ? Oui, mais on va quand même le rescanner. Et malgré tout, c'est fluide. Parfois c'est chiant, c'est vrai. Mais c'est pas naïf. c'est optimisé, mais jamais aveugle. Un château fort, tu le protèges en empêchant les gens d'entrer. Un aéroport, tu le protèges en acceptant qu'ils entrent. T'as pas le choix. Sinon tu coupes ton business. Mais c'est donc, c'est jamais sans contrôle. Et ça, c'est notre métier aujourd'hui. Parce que le monde, en fait, a évolué. Il n'est plus centré. Il est distribué. Et entre nous, si quelqu'un pense encore vivre dans un château fort numérique, C'est qu'il n'a pas réalisé que ses données sont dans 14 SAAS, son DevOps est en Asie, son fournisseur est au Luxembourg, son SOC est à distance, et son Shadow IT dans le sac à dos du marketing. Quand il ne l'a pas oublié dans le train. On ne vit plus en autarcie, on vit dans un flux permanent. Et tu ne contrôles pas un flux avec un mur, tu le contrôles avec des points de passage, des politiques, des logs, de la gouvernance, des contrôles continus, du vibe coding et des fuites de données IA aussi. D'ailleurs, la cybersécurité moderne, ce n'est pas empêcher le monde d'entrer, c'est empêcher la menace d'y circuler librement. Si tu empêches le monde d'entrer, tu bloques le business. Et là, je viens juste de te résumer en une phrase, une punchline du CISM, la certif de l'ISACA. Si tu as besoin de conseils sur cette certif-là, passe me voir à l'occasion. On vit finalement dans un monde où la responsabilité est partagée. Dans un aéroport, la sécurité n'est pas assurée par une seule entité. Je te laisse imaginer, mais... pense à ton dernier voyage. L'aéroport d'origine est responsable. L'aéroport d'arrivée... aussi. La compagnie aérienne, aussi. Le personnel au sol, aussi. Tout ça pour voir qui a laissé un coup d'ongle. Et en cyber, c'est pareil. Tu partages le risque avec ton cloud provider, ton intégrateur, ton MSP, ton FAI, tes partenaires, tes sous-traitants, ton personnel. Donc Zero Trust, c'est accepter cette réalité. Tu n'es jamais seul. Tu ne dois jamais faire confiance les yeux fermés. Et surtout, tu ne dois jamais faire confiance sans traces. Et en guise de conclusion, et oui, ça va vite, je pense aux contrôleurs aériens de la donnée. On est passé du château fort à l'aéroport, de la muraille à la fluidité, de la forteresse statique à la sécurité dynamique. Et notre rôle, toi, moi, tous ceux qui travaillent dans la sécu finalement, ce n'est plus d'empêcher l'information de bouger, c'est d'être les contrôleurs aériens de la donnée. Attention, je ne te parle pas de ceux qui loguent un incident en safety. Parce que la machine à café fait trop de bruit et que cela les perturbe dans leur travail quotidien. Non, je te parle de ceux qui surveillent, de ceux qui préviennent les collisions, de ceux qui permettent au trafic d'exister, sans mettre l'organisation en danger. Et oui, le rôle de CISO a évolué. Il est fatigant, mais il est incroyablement riche. Parce que la cybersécurité, c'est pas construire des murs, c'est plutôt aussi construire des ponts. Mais bon, ça... Je l'ai déjà dit dans un autre épisode. Mais c'est aussi savoir laisser passer le monde sans finir dans le coma. Et comme toujours, reste curieux, reste agile et reste éveillé. Merci d'avoir écouté Compliance Without Coma et on se dit à la semaine prochaine pour un nouvel épisode. Ah tiens, j'ai une semaine pour trouver un sujet. J'ai un podcast guest en cours de validation par le guest, mais aucune idée s'il sortira vendredi prochain, dans une semaine ou dans trois semaines. Donc j'anticipe. Si tu as des idées, n'hésite pas à me les partager. N'oublie pas de liker, partager, commenter, ça m'encourage.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed