Episode 55 : comment audites-tu les data invisibles ? | Compliance Without coma

Description

Vous êtes-vous déjà demandé comment des "données invisibles" peuvent influencer la conformité lors des audits ? Dans cet épisode de "Compliance Without Coma", Fabrice De Paepe nous plonge dans l'univers des distorsions de la réalité. À travers des exemples concrets et des anecdotes, il dévoile comment des informations peuvent exister sans être perçues, impactant ainsi la perception de la conformité.

Fabrice commence par illustrer cette notion avec des cas où la communication joue un rôle essentiel. Il met en lumière les écarts troublants entre ce qui est déclaré et la réalité, soulignant l'importance d'une communication claire lors des audits. En effet, des questions mal posées et des réponses incomplètes peuvent mener à des malentendus qui nuisent à la qualité des audits. Avec une approche amicale et accessible, il nous rappelle que la clarté est la clé pour éviter les distorsions de la réalité.

Au fil de l'épisode, il partage des anecdotes de situations d'audit où la pression et le stress ont conduit à des erreurs de communication. Ces récits illustrent comment la culture et le langage peuvent influencer la compréhension entre auditeurs et audités. Fabrice insiste sur l'importance de s'assurer que tous les participants à l'audit partagent le même vocabulaire et comprennent les attentes. Cette attention aux détails peut faire toute la différence dans le processus d'audit.

En fin d'épisode, Fabrice nous offre des conseils pratiques pour bien se préparer aux audits. Il souligne que la confiance en soi est essentielle pour éviter les distorsions de la réalité. En adoptant une approche proactive et en se familiarisant avec les attentes des auditeurs, vous pouvez transformer une expérience potentiellement stressante en une opportunité d'apprentissage et de croissance.

Ne manquez pas cet épisode riche en enseignements qui vous aidera à naviguer dans le monde complexe de la conformité. Que vous soyez auditeur, audité ou simplement curieux du sujet, "Compliance Without Coma" vous offre des clés pour comprendre et maîtriser les enjeux des audits. Rejoignez-nous pour découvrir comment éviter les pièges des "données invisibles" et améliorer votre approche de la conformité. Écoutez maintenant et transformez votre vision des audits !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Imagine, on est rien que nous deux dans un ascenseur. Tu es quel type de personne ? Celle qui sourit, gênée, ou celle qui commence à parler parce que le silence la dérange ? Dans cet épisode, je te parle de quelques données invisibles et certains de tes comportements, ou ceux de l'auditeur, qui peuvent mener à des non-conformités, ou à valider des choses fausses. Je ne sais pas lequel des deux est le pire. Steve Jobs Parlait de "Reality Distortion Field". Un ingénieur disait que c'était impossible à sortir en 6 mois. Lui disait que si, si, c'est possible. Et puis il le faisait. Donc, rendre possible ce qui semblait impossible. Convaincre que quelque chose est prêt alors que non. Pousser les équipes au-delà de leurs limites. Mais moi je te parle de l'inverse. Je te parle de distorsion de la réalité par la communication. En audit, on a souvent l'inverse de ce que Jobs faisait. On a un champ de distorsion qui dégrade la réalité, alors que Jobs tirait la couverture à lui pour obtenir ce qu'il voulait. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je te parle de distorsion de la réalité et de données invisibles. n'oublie pas de liker et de partager. Commenter aussi si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. En audio par contre, je ne peux pas te dire où tu dois aller liker, l'UI et l'UX de Spotify et Apple ne sont pas les plus aisés. Donc déjà merci pour ton effort là-dessus. Dans cet épisode, je te parle des données invisibles, de la distorsion de la réalité, et un petit tour du monde sémantique, correct, en français, tu vas voir. C'est pas mal. Et aussi quelques exemples de phrases qui doivent te faire tilter. Alors c'est quoi une donnée invisible en audit ? Elle n'est ni cachée ni secrète. C'est une info qui est là, qui existe, mais que l'auditeur ne voit pas. Parce qu'elle n'est pas documentée, exprimée, ou tout simplement comprise. Mais pourtant, elle influence la réalité. Et ça, ça me rappelle un peu le podcast sur les biais d'observabilité, tu sais, dans l'épisode 11. Allez, on rentre dans le dur. Premier exemple concret, l'audité te dit, on fait une revue des accès tous les 6 mois. La réalité, personne ne le fait. La donnée invisible, c'est l'écart réel. Deuxième exemple de l'audité, tu constates que le doc est parfait. C'est conforme. Mais les équipes ne comprennent rien. Données invisibles, le niveau réel de compréhension. Troisième exemple concret, le processus est OK. Tu l'as vérifié, ils le maîtrisent, ils connaissent. Mais en fait, les gens contournent. Ils vont partager le mot de passe, ou bien, pendant que le CISO n'est pas là, les personnes ne s'enregistrent pas à l'accueil. Ça va, on connaît la procédure, merci. On ne le fait pas, on ne le dira pas à l'auditeur. Et rassure-toi, Je sais ce que je dois dire à l'audit. Accès non contrôlé, données invisibles, les comportements. Quatrième exemple concret, et je pense qu'on l'a tous au moins une fois connu, le système A dépend du système B, mais ça n'est écrit nulle part. Données invisibles, le risque caché. Ça me rappelle ce serveur de candidature, alors appelé CV, pour Curriculum Vitae , qui était en DMZ et qui pouvait tomber. C'était pas grave. Mais en fait, ce serveur alimentait des logs Tuxido sur un autre serveur, et quand le système A plantait, après deux heures, tout le site web de la société était par terre. Et il était alors composé de 15 serveurs différents. Que veux-tu ? Je ne suis pas né à l'époque des microservices, mais juste après les cartes perforées. Mais globalement, c'est le même principe, toute sa dépendance. Et c'est aussi à ce moment-là que j'ai quitté ce monde non documenté pour faire de la GRC. Donc un auditeur, lui ou elle, ne va voir que ce qu'on lui montre, ce qu'il comprend, ce qu'il vérifie. Donc il peut rater une partie critique de la réalité. C'est aussi en partie pour cela qu'il doit baser son audit sur la matérialité des processus critiques. Quel beau pléonasme. Et t'es en train de te noyer, prends-le comme une main qui te tire hors de l'eau et qui peut te sauver pour plus tard. Mais vraiment quoi. Donc une donnée invisible, c'est une information réelle. qui n'est ni documentée, ni exprimée, ni perçue, mais qui influence le système. Dis-moi, est-ce que tu vois que c'est exactement là que se joue la différence entre conformité et sécurité réelle ? Une organisation peut être conforme, mais pilotée par des données invisibles. Et rentrons à présent dans la distorsion de la communication, ce qu'on ne te dit pas dans un cours lead auditor ou 19011. C'est ce qui suit. Ça me rappelle cette fois chez un client Eidas, signature digitale qualifiée européenne, où ils étaient deux auditeurs très qualifiés, très compétents. Et l'un des audités a perdu pied, complètement stressé. Nous, nous étions 4 ou 5 autour de la table, et donc en supériorité sur l'échiquier, en quelque sorte. Une des premières questions fuse sur la façon de gérer la sécurité dans notre infra-PKI. Et un des auditeurs pose la question au Head of Application, qui est mal à l'aise. Pourtant, il maîtrise le sujet, et ça tournait, donc franchement, aucun stress. Mais il était sur le grill, il a perdu pied, il se sentait épié par ses faits et gestes, et c'est jamais agréable en fait. Donc la question de l'auditeur n'était pas non plus une question piège. Mais pendant que le premier, lui, avait posé la question, le second Le regardait avec son bic à la main sur sa feuille blanche. Mon collègue n'en pouvait plus. Tu sais, c'est un peu comme à l'école avec ceux qui étudient par cœur et qui demandent au prof. Madame, c'est quoi le premier mot déjà dans la réponse ? Et la prof te répond, c'est LE. Ça t'aide pas non plus, hein ? Mais on était exactement là, dans cette situation-là. Alors que je regardais mon collègue, je voyais des plaques rouges apparaître dans son cou. Le non-verbal. Il était mal à l'aise. J'ai repris la main. en expliquant sa fonction, sa position, et dans quel contexte il intervenait pour ce document-là. Rien d'exceptionnel, en fait. Je lui ai redonné confiance en le regardant, et en démarrant un dialogue, finalement, avec lui. Et quand j'ai vu qu'il était à nouveau à l'aise, je lui ai tendu la perche, en reformulant la question de l'auditeur, et il est parti dans son explication, et tout s'est très bien passé. Et c'est aussi pour ça que je te conseille de ne jamais être seul face à un auditeur, ou à deux auditeurs, dans un meeting. C'est pour ça aussi que je fais des drills avec les équipes pour ceux qui ne sont pas à l'aise. On répète, comme un avocat avec son client. Je pose des questions qui pourraient venir. Je teste ta conformité, ta résistance. Pourtant on est à l'aise, on a les preuves. C'est ce qui fait force probante, les preuves on nous dit. Mais à l'oral, peut-être que tu vas perdre pied, peut-être que tu seras dans la sauce, peut-être que tu n'auras pas bien dormi. Donc le drill te met en confiance et réduit ce risque de distorsion. Alors on répète avec celles et ceux qui en ont besoin. Cela aussi me permet de comprendre ton niveau de maîtrise également de ton ISMS quand le CISO n'est pas là. Ok, mais je dérive un peu et cela nous éloigne de l'épisode du jour. Donc les audits échouent rarement à cause de la norme, mais plutôt à cause des questions mal posées, des réponses mal comprises, des interprétations biaisées. Pour autant que tu aies travaillé, bien sûr si tu n'as rien, tu n'as pas bien fait tes devoirs, donc tu n'iras pas bien loin. Allez, on rentre dans l'illusion de compréhension. Je te donne une situation et une question de l'auditeur. Comment gérez-vous vos risques ? L'audité répond de manière fluide, structurée, avec les bons mots. Identification, évaluation, traitement, il parcourt le process, il explique. Tout est correct, mais par rapport à quoi ? Ainsi, dans le vide, c'est difficile et précis. Mais l'auditeur comprend que le processus est maîtrisé, ou connu, à ce moment-là. Pas qu'il tourne. Et en réalité, l'audité récite son vocabulaire, sans réelle compréhension ou preuve derrière. Donc tu dois faire attention entre le langage maîtrisé, déjà c'est pas simple, et la pratique maîtrisée. Et là, t'es censé être à l'aise avec ton process, non ? En langage maîtrisé, ça me rappelle aussi cette fois où l'auditeur a demandé au COMDIR ce que c'était une partie prenante. Il m'a dit « Fabrice, pas toi, ne réponds pas, mais le management » . Et derrière cette question, il y a plein de choses qui m'ont fait sourire, car il était très fort. Il a voulu vérifier l'implication de la direction dans le vocabulaire, comment il s'était approprié la norme. On était dans la partie des clauses 4 à 10 avec le COMDIR. Et pourtant, on a un process d'analyse des parties intéressées, donc no stress, je me suis dit, ils savent répondre. Eh bien, il y a eu des bégayements quand même. Bégayement ne veut pas dire non maîtrise non plus, on est d'accord. Mais est-ce que tu es prêt ? Parler iso ne veut pas dire faire de l'iso non plus. Il faut être capable de démontrer qu'on passe de la théorie à la pratique. Et ça, ça rassure. L'ISO, en fin de compte, est là comme soutien, c'est ton outil. Standard, vont encore me dire certains, oui, pour une question d'examen, on dira standard. Et je pense aussi à cette question trop vague d'un auditeur. Vous avez une gestion des accès ? L'auditeur répond oui. L'auditeur valide. Là, je vois deux erreurs. On évite les questions fermées, sauf pour préciser si on a bien compris quelque chose. Et la seconde erreur, Quid si on a une vision totalement différente de la gestion des accès ? Pour l'un, c'est peut-être la simple création de compte. Pour l'autre, le cycle complet, avec mon joiner, mover, leaver, tu sais, mon fameux JML. IAM, Identity and Access Management, des revues des droits à intervalles réguliers, des suppressions, une traçabilité, etc. Donc le problème n'est pas la réponse ici, mais l'imprécision de la question. Une question floue, c'est une conformité floue. Et on a aussi la reformulation qui déforme. L'audité explique un process complexe, l'auditeur reformule. Donc, si je comprends bien, vous faites X et Y, l'audité, oui oui, c'est ça. Alors que c'est pas exactement ça. Mais ça te soulage, et il abonde dans le sens de l'auditeur d'un grand ouf. Mais il ne corrige pas. Peut-être le stress, la fatigue, les antihistaminiques, pas assez bu d'eau la veille, je sais pas, le résultat. Une version simplifiée devient la vérité d'audit. Tant mieux pour l'audité, ça passe. Attention donc à la reformulation non validée. Ce que l'auditeur reformule devient la réalité, même si elle est fausse. Et tu vois, ce qui relie en fait ces anecdotes, ce ne sont pas des erreurs techniques, ce sont des erreurs de communication. Et ça, c'est beaucoup plus fréquent. L'audite ne mesure pas uniquement un système, il mesure une conversation sur ce système. Et une autre remarque d'un audité avec des mots vagues, c'est en général, on vérifie avant de dispatcher. En général, ça veut dire quoi, en général ? Quand le chef est là, ou tu as d'autres choses ? Est-ce que c'est tous les lundis, et les autres fois pas, tu vois ? Et une autre question d'auditeur serait de dire, est-ce que tu enregistres toujours les déviations de cette mesure ? Et la réponse de l'audité, oui, quand c'est nécessaire. Oups, non-conformité alors, ça veut dire qu'il ne le fait pas tout le temps. Mais dans sa tête, peut-être qu'il le fait systématiquement, mais au-dessus ou en-dessous d'une certaine valeur. À toi, cher auditeur, à aller vérifier si c'est le cas. Car dans le langage du technicien, il pourrait le faire quand ça excède la tolérance, et non pas quand la déviation se produit. C'est pas la même chose, c'est pas pareil. Et son langage, au technicien, doit pas forcément être celui qui est décrit dans la procédure. Donc à toi de lui demander des précisions. Tu veux dire que tu ne le fais que lorsque cela dépasse un certain seuil ? Ou à chaque fois que la déviation se présente ? C'est pas pareil, n'est-ce pas ? J'en ai encore un autre. Donc je suis l'auditeur, et je te pose cette question. Est-ce que tu fais ton DR tous les mois ? Ton disaster discovery. Et toi tu me réponds, en hésitant, oui, généralement, tu marques une pause, dans le texte, vraiment. Donc, tu hésites, tu réfléchis. Là, je reprends ma casquette d'auditeur, on pourrait dire que c'est conforme. Et finalement, on va se rendre compte qu'avec un audit de suivi, l'audit de suivi va démontrer que les DR ne sont pas systématiquement faits tous les mois, mais quand on y pense. Donc, insiste par « que veux-tu dire ? » par « généralement » . Parce que généralement, ou generally aussi en anglais, ne veut pas dire la même chose dans toutes les cultures. Et en français c'est vague, tu en conviens. Donc dans certaines cultures, ça veut dire non, mais ils le cachent, ou ils ne sont pas à l'aise avec la réponse. Donc tu peux mettre dans ton rapport par exemple que la personne a hésité, et donc tu cherches des preuves complémentaires. Après s'ils disent dans leur politique qu'ils le font 12 fois par an, et disons un tous les mois, et que sur un mois, ils n'en ont pas fait, on va dire que ce n'est pas très grave. Sauf s'ils ont vraiment une obligation légale à ce moment-là, ou réglementaire, que sais-je, qui leur impose. Donc, n'oublie pas non plus de baser ton jugement sur les risques. Allez, je t'offre un petit tour du monde à présent, en attendant les odeurs et la 4DX en audio. On va parler des langues, des différentes langues, car elles sont très riches, et ça fait partie de la culture. Mais tu peux l'interpréter selon ton humeur, comme étant conforme, non conforme, partiellement conforme. Cela produit de l'inconsistance entre les auditeurs, les bureaux de certification, et parfois même les personnes au sein de ton équipe. Et la culture peut être différente. Le verbe et la culture du verbe également. Ajoute à cela parfois ce qu'on appelle du broken English. Et peut-être que tout le monde n'a pas la maîtrise, ou n'a pas ton aisance, ou est stressé en audit. Et donc... Cette personne ou ces personnes vont utiliser des mots qu'ils ne maîtrisent pas parce que la définition n'est pas bien comprise ou bien parce que dans leur propre langue ou dans leur propre culture, c'est complètement perçu différemment. C'est à toi en tant qu'auditeur à reformuler pour comprendre. Parce que je te rappelle que dans le poids des preuves, la partie orale est la moins forte. Mais cela dépend aussi du niveau d'anglais de l'auditeur, ou de son niveau linguistique global si tu préfères. Donc c'est un risque d'interprétation ceci. Des deux côtés du filet, entre audité et auditeur, et chacun se renvoie le volant, ou essaye de le renvoyer, de l'autre côté, comme au badminton en fait. Ouch, il y a du vent aujourd'hui. Bon, si tout est en français, tu vas me dire « ok, ça va » . Quoique, vu le niveau grammatical de certains, et je parle pas des français, mais de ceux qui pensent utiliser correctement la langue française, tu dois t'assurer du niveau de compétence de la personne en face. Pas du diplôme non plus. Et peut-être qu'ils parlent 5 langues, mais on a qu'en général une langue maternelle. Donc fais du feedback, assure-toi de voir qui vraiment tu es en face. Quoique je peux parler belge aussi si tu veux, je dis 90, et pas 90. Tout comme les Suisses. Et pour avoir travaillé dans plusieurs pays, J'ai un peu d'expérience avec ces biais linguistiques aussi. Donc je comprends sémantiquement ce que tu me racontes, c'est-à-dire que la phrase que tu dis en grammaire française, je la comprends, mais est-ce que je comprends la phrase ? Ça c'est autre chose. Et pour imager tout cela, je vais te parler un peu de mon pays de cœur pour te le prouver, le Cameroun. Au Cameroun, on ne dit pas j'encode un dossier, on dit je le saisis. Tu saisis ? Enfin, tu comprends, pardon ? Donc l'étudiant camerounais va te dire « Je suis parti saisir le dossier » . Hein, quoi ? T'es huissier, moi je vais lui dire. Tu vois le genre ? Le français, correct. Mais la langue a évolué. Attends, j'en ai d'autres. C'est marrant parce que je partais pas pour un podcast « Camer » au début. Ah oui, tu vas dire « Ouais » . Parce que tu vas penser que « Camer » , c'est quelqu'un qui se shoote à de la coke ou de l'héroïne. Mais non. Ici, « Camé » , c'est le diminutif de camerounais. De Cameroun. On laisse tomber le « oun » . Donc on dit « Camé » . Et on l'écrit aussi, c'est C-A-M-E-R. Eux aussi, ils disent, c'est gâté. Hein ? Je vais leur répondre, mais qui est gâté ? Moi, je suis gâté ? Non, la machine est gâtée. Ah, pardon, tu veux dire la machine est cassée ? Dialogue de sourds, hein ? Et le truc qui m'a fait rire aussi au Cameroun, c'est, avant le digital, que l'on connaît tous aujourd'hui, c'est le fameux « Je pars laver les photos » . Pardon ? Pourquoi tu veux les laver ? Ça veut dire faire imprimer. Car à l'époque, on les mettait en chambre noire et on les trempait dans un liquide. On les lavait donc. Tu saisis ? En français, n'encode pas dans ton Word. Et quand mon feu beau-père m'a dit qu'il voulait que sa fille termine de fréquenter avant d'aller plus loin avec moi, j'ai rien compris. En fait, ça veut dire fréquenter à l'école, donc parcours scolaire et terminer ses études. Nous, on va dire fréquenter quelqu'un. dans notre mindset. Tu vois un petit peu les quiproquos ? Et comme on dit aussi chez nous au Cameroun et dans une bonne partie de l'Afrique, on est ensemble. Ça veut dire on se voit, on s'entend bientôt. Donc merci d'être là, on est ensemble et on s'entend la semaine prochaine, dans un autre épisode. Mais tu vas avoir la même blague avec le Québec aussi. Au début, il me parlait d'Audi. Je ne comprenais pas pourquoi il me parlait de voiture. Mais c'est remis dans le contexte que j'ai compris que c'était audit, et que le T est aspiré comme notre H de hôpital en français. Et ils disent pas Excel non plus, ils disent chiffrier. Et tu sais comment on dit dinde en anglais ? Turkey. Mais Turkey c'est aussi un autre pays. Et en portugais dinde, c'est Pérou, un autre pays. Donc soyons humbles, on a beau être l'expert, qui sait tout en tant qu'auditeur, imprègne-toi de la culture du client, de l'audité, et de celui que tu audites, ça t'aidera à réduire le risque de ce genre de quiproquos. Voilà, j'espère que je t'ai appris un nouveau type de risque en communication lors des audits, c'est le contexte client. Quand tu entends parler deux avocats entre eux, tu comprends rien. Même chose pour des médecins. Alors quand l'un d'eux me demande aussi mon avis, je ris, et je me venge, et je les bourre d'acronymes également. Ça me rappelle ce français qui se moquait de son petit belge. Car je ne connaissais pas ce qu'était une armoire de brassage, parce que je ne l'avais jamais entendu en français. Nous, à Bruxelles, on dit un patch panel. L'armoire, qui n'en est pas une, où viennent se croiser tous les câbles au réseau de brassage, donc. Je peux te renvoyer aussi au film Les Chtit's, avec les quiproquos entre les deux acteurs principaux, ou au dîner de cons, dans la pièce ou le film, et tu vois le genre de quiproquos qu'il peut y avoir. Moi, tant que tu ne m'invites pas un mercredi soir, ça va. Sinon, je risque de te parler GRC toute la soirée. Voilà, merci d'avoir survécu jusqu'ici, sans anti-histaminique. C'est la période des allergies. Au fait, tu as déjà bookmarké frenchpodcast.fr ? J'attends ton retour. A la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Imagine, on est rien que nous deux dans un ascenseur. Tu es quel type de personne ? Celle qui sourit, gênée, ou celle qui commence à parler parce que le silence la dérange ? Dans cet épisode, je te parle de quelques données invisibles et certains de tes comportements, ou ceux de l'auditeur, qui peuvent mener à des non-conformités, ou à valider des choses fausses. Je ne sais pas lequel des deux est le pire. Steve Jobs Parlait de "Reality Distortion Field". Un ingénieur disait que c'était impossible à sortir en 6 mois. Lui disait que si, si, c'est possible. Et puis il le faisait. Donc, rendre possible ce qui semblait impossible. Convaincre que quelque chose est prêt alors que non. Pousser les équipes au-delà de leurs limites. Mais moi je te parle de l'inverse. Je te parle de distorsion de la réalité par la communication. En audit, on a souvent l'inverse de ce que Jobs faisait. On a un champ de distorsion qui dégrade la réalité, alors que Jobs tirait la couverture à lui pour obtenir ce qu'il voulait. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je te parle de distorsion de la réalité et de données invisibles. n'oublie pas de liker et de partager. Commenter aussi si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. En audio par contre, je ne peux pas te dire où tu dois aller liker, l'UI et l'UX de Spotify et Apple ne sont pas les plus aisés. Donc déjà merci pour ton effort là-dessus. Dans cet épisode, je te parle des données invisibles, de la distorsion de la réalité, et un petit tour du monde sémantique, correct, en français, tu vas voir. C'est pas mal. Et aussi quelques exemples de phrases qui doivent te faire tilter. Alors c'est quoi une donnée invisible en audit ? Elle n'est ni cachée ni secrète. C'est une info qui est là, qui existe, mais que l'auditeur ne voit pas. Parce qu'elle n'est pas documentée, exprimée, ou tout simplement comprise. Mais pourtant, elle influence la réalité. Et ça, ça me rappelle un peu le podcast sur les biais d'observabilité, tu sais, dans l'épisode 11. Allez, on rentre dans le dur. Premier exemple concret, l'audité te dit, on fait une revue des accès tous les 6 mois. La réalité, personne ne le fait. La donnée invisible, c'est l'écart réel. Deuxième exemple de l'audité, tu constates que le doc est parfait. C'est conforme. Mais les équipes ne comprennent rien. Données invisibles, le niveau réel de compréhension. Troisième exemple concret, le processus est OK. Tu l'as vérifié, ils le maîtrisent, ils connaissent. Mais en fait, les gens contournent. Ils vont partager le mot de passe, ou bien, pendant que le CISO n'est pas là, les personnes ne s'enregistrent pas à l'accueil. Ça va, on connaît la procédure, merci. On ne le fait pas, on ne le dira pas à l'auditeur. Et rassure-toi, Je sais ce que je dois dire à l'audit. Accès non contrôlé, données invisibles, les comportements. Quatrième exemple concret, et je pense qu'on l'a tous au moins une fois connu, le système A dépend du système B, mais ça n'est écrit nulle part. Données invisibles, le risque caché. Ça me rappelle ce serveur de candidature, alors appelé CV, pour Curriculum Vitae , qui était en DMZ et qui pouvait tomber. C'était pas grave. Mais en fait, ce serveur alimentait des logs Tuxido sur un autre serveur, et quand le système A plantait, après deux heures, tout le site web de la société était par terre. Et il était alors composé de 15 serveurs différents. Que veux-tu ? Je ne suis pas né à l'époque des microservices, mais juste après les cartes perforées. Mais globalement, c'est le même principe, toute sa dépendance. Et c'est aussi à ce moment-là que j'ai quitté ce monde non documenté pour faire de la GRC. Donc un auditeur, lui ou elle, ne va voir que ce qu'on lui montre, ce qu'il comprend, ce qu'il vérifie. Donc il peut rater une partie critique de la réalité. C'est aussi en partie pour cela qu'il doit baser son audit sur la matérialité des processus critiques. Quel beau pléonasme. Et t'es en train de te noyer, prends-le comme une main qui te tire hors de l'eau et qui peut te sauver pour plus tard. Mais vraiment quoi. Donc une donnée invisible, c'est une information réelle. qui n'est ni documentée, ni exprimée, ni perçue, mais qui influence le système. Dis-moi, est-ce que tu vois que c'est exactement là que se joue la différence entre conformité et sécurité réelle ? Une organisation peut être conforme, mais pilotée par des données invisibles. Et rentrons à présent dans la distorsion de la communication, ce qu'on ne te dit pas dans un cours lead auditor ou 19011. C'est ce qui suit. Ça me rappelle cette fois chez un client Eidas, signature digitale qualifiée européenne, où ils étaient deux auditeurs très qualifiés, très compétents. Et l'un des audités a perdu pied, complètement stressé. Nous, nous étions 4 ou 5 autour de la table, et donc en supériorité sur l'échiquier, en quelque sorte. Une des premières questions fuse sur la façon de gérer la sécurité dans notre infra-PKI. Et un des auditeurs pose la question au Head of Application, qui est mal à l'aise. Pourtant, il maîtrise le sujet, et ça tournait, donc franchement, aucun stress. Mais il était sur le grill, il a perdu pied, il se sentait épié par ses faits et gestes, et c'est jamais agréable en fait. Donc la question de l'auditeur n'était pas non plus une question piège. Mais pendant que le premier, lui, avait posé la question, le second Le regardait avec son bic à la main sur sa feuille blanche. Mon collègue n'en pouvait plus. Tu sais, c'est un peu comme à l'école avec ceux qui étudient par cœur et qui demandent au prof. Madame, c'est quoi le premier mot déjà dans la réponse ? Et la prof te répond, c'est LE. Ça t'aide pas non plus, hein ? Mais on était exactement là, dans cette situation-là. Alors que je regardais mon collègue, je voyais des plaques rouges apparaître dans son cou. Le non-verbal. Il était mal à l'aise. J'ai repris la main. en expliquant sa fonction, sa position, et dans quel contexte il intervenait pour ce document-là. Rien d'exceptionnel, en fait. Je lui ai redonné confiance en le regardant, et en démarrant un dialogue, finalement, avec lui. Et quand j'ai vu qu'il était à nouveau à l'aise, je lui ai tendu la perche, en reformulant la question de l'auditeur, et il est parti dans son explication, et tout s'est très bien passé. Et c'est aussi pour ça que je te conseille de ne jamais être seul face à un auditeur, ou à deux auditeurs, dans un meeting. C'est pour ça aussi que je fais des drills avec les équipes pour ceux qui ne sont pas à l'aise. On répète, comme un avocat avec son client. Je pose des questions qui pourraient venir. Je teste ta conformité, ta résistance. Pourtant on est à l'aise, on a les preuves. C'est ce qui fait force probante, les preuves on nous dit. Mais à l'oral, peut-être que tu vas perdre pied, peut-être que tu seras dans la sauce, peut-être que tu n'auras pas bien dormi. Donc le drill te met en confiance et réduit ce risque de distorsion. Alors on répète avec celles et ceux qui en ont besoin. Cela aussi me permet de comprendre ton niveau de maîtrise également de ton ISMS quand le CISO n'est pas là. Ok, mais je dérive un peu et cela nous éloigne de l'épisode du jour. Donc les audits échouent rarement à cause de la norme, mais plutôt à cause des questions mal posées, des réponses mal comprises, des interprétations biaisées. Pour autant que tu aies travaillé, bien sûr si tu n'as rien, tu n'as pas bien fait tes devoirs, donc tu n'iras pas bien loin. Allez, on rentre dans l'illusion de compréhension. Je te donne une situation et une question de l'auditeur. Comment gérez-vous vos risques ? L'audité répond de manière fluide, structurée, avec les bons mots. Identification, évaluation, traitement, il parcourt le process, il explique. Tout est correct, mais par rapport à quoi ? Ainsi, dans le vide, c'est difficile et précis. Mais l'auditeur comprend que le processus est maîtrisé, ou connu, à ce moment-là. Pas qu'il tourne. Et en réalité, l'audité récite son vocabulaire, sans réelle compréhension ou preuve derrière. Donc tu dois faire attention entre le langage maîtrisé, déjà c'est pas simple, et la pratique maîtrisée. Et là, t'es censé être à l'aise avec ton process, non ? En langage maîtrisé, ça me rappelle aussi cette fois où l'auditeur a demandé au COMDIR ce que c'était une partie prenante. Il m'a dit « Fabrice, pas toi, ne réponds pas, mais le management » . Et derrière cette question, il y a plein de choses qui m'ont fait sourire, car il était très fort. Il a voulu vérifier l'implication de la direction dans le vocabulaire, comment il s'était approprié la norme. On était dans la partie des clauses 4 à 10 avec le COMDIR. Et pourtant, on a un process d'analyse des parties intéressées, donc no stress, je me suis dit, ils savent répondre. Eh bien, il y a eu des bégayements quand même. Bégayement ne veut pas dire non maîtrise non plus, on est d'accord. Mais est-ce que tu es prêt ? Parler iso ne veut pas dire faire de l'iso non plus. Il faut être capable de démontrer qu'on passe de la théorie à la pratique. Et ça, ça rassure. L'ISO, en fin de compte, est là comme soutien, c'est ton outil. Standard, vont encore me dire certains, oui, pour une question d'examen, on dira standard. Et je pense aussi à cette question trop vague d'un auditeur. Vous avez une gestion des accès ? L'auditeur répond oui. L'auditeur valide. Là, je vois deux erreurs. On évite les questions fermées, sauf pour préciser si on a bien compris quelque chose. Et la seconde erreur, Quid si on a une vision totalement différente de la gestion des accès ? Pour l'un, c'est peut-être la simple création de compte. Pour l'autre, le cycle complet, avec mon joiner, mover, leaver, tu sais, mon fameux JML. IAM, Identity and Access Management, des revues des droits à intervalles réguliers, des suppressions, une traçabilité, etc. Donc le problème n'est pas la réponse ici, mais l'imprécision de la question. Une question floue, c'est une conformité floue. Et on a aussi la reformulation qui déforme. L'audité explique un process complexe, l'auditeur reformule. Donc, si je comprends bien, vous faites X et Y, l'audité, oui oui, c'est ça. Alors que c'est pas exactement ça. Mais ça te soulage, et il abonde dans le sens de l'auditeur d'un grand ouf. Mais il ne corrige pas. Peut-être le stress, la fatigue, les antihistaminiques, pas assez bu d'eau la veille, je sais pas, le résultat. Une version simplifiée devient la vérité d'audit. Tant mieux pour l'audité, ça passe. Attention donc à la reformulation non validée. Ce que l'auditeur reformule devient la réalité, même si elle est fausse. Et tu vois, ce qui relie en fait ces anecdotes, ce ne sont pas des erreurs techniques, ce sont des erreurs de communication. Et ça, c'est beaucoup plus fréquent. L'audite ne mesure pas uniquement un système, il mesure une conversation sur ce système. Et une autre remarque d'un audité avec des mots vagues, c'est en général, on vérifie avant de dispatcher. En général, ça veut dire quoi, en général ? Quand le chef est là, ou tu as d'autres choses ? Est-ce que c'est tous les lundis, et les autres fois pas, tu vois ? Et une autre question d'auditeur serait de dire, est-ce que tu enregistres toujours les déviations de cette mesure ? Et la réponse de l'audité, oui, quand c'est nécessaire. Oups, non-conformité alors, ça veut dire qu'il ne le fait pas tout le temps. Mais dans sa tête, peut-être qu'il le fait systématiquement, mais au-dessus ou en-dessous d'une certaine valeur. À toi, cher auditeur, à aller vérifier si c'est le cas. Car dans le langage du technicien, il pourrait le faire quand ça excède la tolérance, et non pas quand la déviation se produit. C'est pas la même chose, c'est pas pareil. Et son langage, au technicien, doit pas forcément être celui qui est décrit dans la procédure. Donc à toi de lui demander des précisions. Tu veux dire que tu ne le fais que lorsque cela dépasse un certain seuil ? Ou à chaque fois que la déviation se présente ? C'est pas pareil, n'est-ce pas ? J'en ai encore un autre. Donc je suis l'auditeur, et je te pose cette question. Est-ce que tu fais ton DR tous les mois ? Ton disaster discovery. Et toi tu me réponds, en hésitant, oui, généralement, tu marques une pause, dans le texte, vraiment. Donc, tu hésites, tu réfléchis. Là, je reprends ma casquette d'auditeur, on pourrait dire que c'est conforme. Et finalement, on va se rendre compte qu'avec un audit de suivi, l'audit de suivi va démontrer que les DR ne sont pas systématiquement faits tous les mois, mais quand on y pense. Donc, insiste par « que veux-tu dire ? » par « généralement » . Parce que généralement, ou generally aussi en anglais, ne veut pas dire la même chose dans toutes les cultures. Et en français c'est vague, tu en conviens. Donc dans certaines cultures, ça veut dire non, mais ils le cachent, ou ils ne sont pas à l'aise avec la réponse. Donc tu peux mettre dans ton rapport par exemple que la personne a hésité, et donc tu cherches des preuves complémentaires. Après s'ils disent dans leur politique qu'ils le font 12 fois par an, et disons un tous les mois, et que sur un mois, ils n'en ont pas fait, on va dire que ce n'est pas très grave. Sauf s'ils ont vraiment une obligation légale à ce moment-là, ou réglementaire, que sais-je, qui leur impose. Donc, n'oublie pas non plus de baser ton jugement sur les risques. Allez, je t'offre un petit tour du monde à présent, en attendant les odeurs et la 4DX en audio. On va parler des langues, des différentes langues, car elles sont très riches, et ça fait partie de la culture. Mais tu peux l'interpréter selon ton humeur, comme étant conforme, non conforme, partiellement conforme. Cela produit de l'inconsistance entre les auditeurs, les bureaux de certification, et parfois même les personnes au sein de ton équipe. Et la culture peut être différente. Le verbe et la culture du verbe également. Ajoute à cela parfois ce qu'on appelle du broken English. Et peut-être que tout le monde n'a pas la maîtrise, ou n'a pas ton aisance, ou est stressé en audit. Et donc... Cette personne ou ces personnes vont utiliser des mots qu'ils ne maîtrisent pas parce que la définition n'est pas bien comprise ou bien parce que dans leur propre langue ou dans leur propre culture, c'est complètement perçu différemment. C'est à toi en tant qu'auditeur à reformuler pour comprendre. Parce que je te rappelle que dans le poids des preuves, la partie orale est la moins forte. Mais cela dépend aussi du niveau d'anglais de l'auditeur, ou de son niveau linguistique global si tu préfères. Donc c'est un risque d'interprétation ceci. Des deux côtés du filet, entre audité et auditeur, et chacun se renvoie le volant, ou essaye de le renvoyer, de l'autre côté, comme au badminton en fait. Ouch, il y a du vent aujourd'hui. Bon, si tout est en français, tu vas me dire « ok, ça va » . Quoique, vu le niveau grammatical de certains, et je parle pas des français, mais de ceux qui pensent utiliser correctement la langue française, tu dois t'assurer du niveau de compétence de la personne en face. Pas du diplôme non plus. Et peut-être qu'ils parlent 5 langues, mais on a qu'en général une langue maternelle. Donc fais du feedback, assure-toi de voir qui vraiment tu es en face. Quoique je peux parler belge aussi si tu veux, je dis 90, et pas 90. Tout comme les Suisses. Et pour avoir travaillé dans plusieurs pays, J'ai un peu d'expérience avec ces biais linguistiques aussi. Donc je comprends sémantiquement ce que tu me racontes, c'est-à-dire que la phrase que tu dis en grammaire française, je la comprends, mais est-ce que je comprends la phrase ? Ça c'est autre chose. Et pour imager tout cela, je vais te parler un peu de mon pays de cœur pour te le prouver, le Cameroun. Au Cameroun, on ne dit pas j'encode un dossier, on dit je le saisis. Tu saisis ? Enfin, tu comprends, pardon ? Donc l'étudiant camerounais va te dire « Je suis parti saisir le dossier » . Hein, quoi ? T'es huissier, moi je vais lui dire. Tu vois le genre ? Le français, correct. Mais la langue a évolué. Attends, j'en ai d'autres. C'est marrant parce que je partais pas pour un podcast « Camer » au début. Ah oui, tu vas dire « Ouais » . Parce que tu vas penser que « Camer » , c'est quelqu'un qui se shoote à de la coke ou de l'héroïne. Mais non. Ici, « Camé » , c'est le diminutif de camerounais. De Cameroun. On laisse tomber le « oun » . Donc on dit « Camé » . Et on l'écrit aussi, c'est C-A-M-E-R. Eux aussi, ils disent, c'est gâté. Hein ? Je vais leur répondre, mais qui est gâté ? Moi, je suis gâté ? Non, la machine est gâtée. Ah, pardon, tu veux dire la machine est cassée ? Dialogue de sourds, hein ? Et le truc qui m'a fait rire aussi au Cameroun, c'est, avant le digital, que l'on connaît tous aujourd'hui, c'est le fameux « Je pars laver les photos » . Pardon ? Pourquoi tu veux les laver ? Ça veut dire faire imprimer. Car à l'époque, on les mettait en chambre noire et on les trempait dans un liquide. On les lavait donc. Tu saisis ? En français, n'encode pas dans ton Word. Et quand mon feu beau-père m'a dit qu'il voulait que sa fille termine de fréquenter avant d'aller plus loin avec moi, j'ai rien compris. En fait, ça veut dire fréquenter à l'école, donc parcours scolaire et terminer ses études. Nous, on va dire fréquenter quelqu'un. dans notre mindset. Tu vois un petit peu les quiproquos ? Et comme on dit aussi chez nous au Cameroun et dans une bonne partie de l'Afrique, on est ensemble. Ça veut dire on se voit, on s'entend bientôt. Donc merci d'être là, on est ensemble et on s'entend la semaine prochaine, dans un autre épisode. Mais tu vas avoir la même blague avec le Québec aussi. Au début, il me parlait d'Audi. Je ne comprenais pas pourquoi il me parlait de voiture. Mais c'est remis dans le contexte que j'ai compris que c'était audit, et que le T est aspiré comme notre H de hôpital en français. Et ils disent pas Excel non plus, ils disent chiffrier. Et tu sais comment on dit dinde en anglais ? Turkey. Mais Turkey c'est aussi un autre pays. Et en portugais dinde, c'est Pérou, un autre pays. Donc soyons humbles, on a beau être l'expert, qui sait tout en tant qu'auditeur, imprègne-toi de la culture du client, de l'audité, et de celui que tu audites, ça t'aidera à réduire le risque de ce genre de quiproquos. Voilà, j'espère que je t'ai appris un nouveau type de risque en communication lors des audits, c'est le contexte client. Quand tu entends parler deux avocats entre eux, tu comprends rien. Même chose pour des médecins. Alors quand l'un d'eux me demande aussi mon avis, je ris, et je me venge, et je les bourre d'acronymes également. Ça me rappelle ce français qui se moquait de son petit belge. Car je ne connaissais pas ce qu'était une armoire de brassage, parce que je ne l'avais jamais entendu en français. Nous, à Bruxelles, on dit un patch panel. L'armoire, qui n'en est pas une, où viennent se croiser tous les câbles au réseau de brassage, donc. Je peux te renvoyer aussi au film Les Chtit's, avec les quiproquos entre les deux acteurs principaux, ou au dîner de cons, dans la pièce ou le film, et tu vois le genre de quiproquos qu'il peut y avoir. Moi, tant que tu ne m'invites pas un mercredi soir, ça va. Sinon, je risque de te parler GRC toute la soirée. Voilà, merci d'avoir survécu jusqu'ici, sans anti-histaminique. C'est la période des allergies. Au fait, tu as déjà bookmarké frenchpodcast.fr ? J'attends ton retour. A la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Imagine, on est rien que nous deux dans un ascenseur. Tu es quel type de personne ? Celle qui sourit, gênée, ou celle qui commence à parler parce que le silence la dérange ? Dans cet épisode, je te parle de quelques données invisibles et certains de tes comportements, ou ceux de l'auditeur, qui peuvent mener à des non-conformités, ou à valider des choses fausses. Je ne sais pas lequel des deux est le pire. Steve Jobs Parlait de "Reality Distortion Field". Un ingénieur disait que c'était impossible à sortir en 6 mois. Lui disait que si, si, c'est possible. Et puis il le faisait. Donc, rendre possible ce qui semblait impossible. Convaincre que quelque chose est prêt alors que non. Pousser les équipes au-delà de leurs limites. Mais moi je te parle de l'inverse. Je te parle de distorsion de la réalité par la communication. En audit, on a souvent l'inverse de ce que Jobs faisait. On a un champ de distorsion qui dégrade la réalité, alors que Jobs tirait la couverture à lui pour obtenir ce qu'il voulait. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je te parle de distorsion de la réalité et de données invisibles. n'oublie pas de liker et de partager. Commenter aussi si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. En audio par contre, je ne peux pas te dire où tu dois aller liker, l'UI et l'UX de Spotify et Apple ne sont pas les plus aisés. Donc déjà merci pour ton effort là-dessus. Dans cet épisode, je te parle des données invisibles, de la distorsion de la réalité, et un petit tour du monde sémantique, correct, en français, tu vas voir. C'est pas mal. Et aussi quelques exemples de phrases qui doivent te faire tilter. Alors c'est quoi une donnée invisible en audit ? Elle n'est ni cachée ni secrète. C'est une info qui est là, qui existe, mais que l'auditeur ne voit pas. Parce qu'elle n'est pas documentée, exprimée, ou tout simplement comprise. Mais pourtant, elle influence la réalité. Et ça, ça me rappelle un peu le podcast sur les biais d'observabilité, tu sais, dans l'épisode 11. Allez, on rentre dans le dur. Premier exemple concret, l'audité te dit, on fait une revue des accès tous les 6 mois. La réalité, personne ne le fait. La donnée invisible, c'est l'écart réel. Deuxième exemple de l'audité, tu constates que le doc est parfait. C'est conforme. Mais les équipes ne comprennent rien. Données invisibles, le niveau réel de compréhension. Troisième exemple concret, le processus est OK. Tu l'as vérifié, ils le maîtrisent, ils connaissent. Mais en fait, les gens contournent. Ils vont partager le mot de passe, ou bien, pendant que le CISO n'est pas là, les personnes ne s'enregistrent pas à l'accueil. Ça va, on connaît la procédure, merci. On ne le fait pas, on ne le dira pas à l'auditeur. Et rassure-toi, Je sais ce que je dois dire à l'audit. Accès non contrôlé, données invisibles, les comportements. Quatrième exemple concret, et je pense qu'on l'a tous au moins une fois connu, le système A dépend du système B, mais ça n'est écrit nulle part. Données invisibles, le risque caché. Ça me rappelle ce serveur de candidature, alors appelé CV, pour Curriculum Vitae , qui était en DMZ et qui pouvait tomber. C'était pas grave. Mais en fait, ce serveur alimentait des logs Tuxido sur un autre serveur, et quand le système A plantait, après deux heures, tout le site web de la société était par terre. Et il était alors composé de 15 serveurs différents. Que veux-tu ? Je ne suis pas né à l'époque des microservices, mais juste après les cartes perforées. Mais globalement, c'est le même principe, toute sa dépendance. Et c'est aussi à ce moment-là que j'ai quitté ce monde non documenté pour faire de la GRC. Donc un auditeur, lui ou elle, ne va voir que ce qu'on lui montre, ce qu'il comprend, ce qu'il vérifie. Donc il peut rater une partie critique de la réalité. C'est aussi en partie pour cela qu'il doit baser son audit sur la matérialité des processus critiques. Quel beau pléonasme. Et t'es en train de te noyer, prends-le comme une main qui te tire hors de l'eau et qui peut te sauver pour plus tard. Mais vraiment quoi. Donc une donnée invisible, c'est une information réelle. qui n'est ni documentée, ni exprimée, ni perçue, mais qui influence le système. Dis-moi, est-ce que tu vois que c'est exactement là que se joue la différence entre conformité et sécurité réelle ? Une organisation peut être conforme, mais pilotée par des données invisibles. Et rentrons à présent dans la distorsion de la communication, ce qu'on ne te dit pas dans un cours lead auditor ou 19011. C'est ce qui suit. Ça me rappelle cette fois chez un client Eidas, signature digitale qualifiée européenne, où ils étaient deux auditeurs très qualifiés, très compétents. Et l'un des audités a perdu pied, complètement stressé. Nous, nous étions 4 ou 5 autour de la table, et donc en supériorité sur l'échiquier, en quelque sorte. Une des premières questions fuse sur la façon de gérer la sécurité dans notre infra-PKI. Et un des auditeurs pose la question au Head of Application, qui est mal à l'aise. Pourtant, il maîtrise le sujet, et ça tournait, donc franchement, aucun stress. Mais il était sur le grill, il a perdu pied, il se sentait épié par ses faits et gestes, et c'est jamais agréable en fait. Donc la question de l'auditeur n'était pas non plus une question piège. Mais pendant que le premier, lui, avait posé la question, le second Le regardait avec son bic à la main sur sa feuille blanche. Mon collègue n'en pouvait plus. Tu sais, c'est un peu comme à l'école avec ceux qui étudient par cœur et qui demandent au prof. Madame, c'est quoi le premier mot déjà dans la réponse ? Et la prof te répond, c'est LE. Ça t'aide pas non plus, hein ? Mais on était exactement là, dans cette situation-là. Alors que je regardais mon collègue, je voyais des plaques rouges apparaître dans son cou. Le non-verbal. Il était mal à l'aise. J'ai repris la main. en expliquant sa fonction, sa position, et dans quel contexte il intervenait pour ce document-là. Rien d'exceptionnel, en fait. Je lui ai redonné confiance en le regardant, et en démarrant un dialogue, finalement, avec lui. Et quand j'ai vu qu'il était à nouveau à l'aise, je lui ai tendu la perche, en reformulant la question de l'auditeur, et il est parti dans son explication, et tout s'est très bien passé. Et c'est aussi pour ça que je te conseille de ne jamais être seul face à un auditeur, ou à deux auditeurs, dans un meeting. C'est pour ça aussi que je fais des drills avec les équipes pour ceux qui ne sont pas à l'aise. On répète, comme un avocat avec son client. Je pose des questions qui pourraient venir. Je teste ta conformité, ta résistance. Pourtant on est à l'aise, on a les preuves. C'est ce qui fait force probante, les preuves on nous dit. Mais à l'oral, peut-être que tu vas perdre pied, peut-être que tu seras dans la sauce, peut-être que tu n'auras pas bien dormi. Donc le drill te met en confiance et réduit ce risque de distorsion. Alors on répète avec celles et ceux qui en ont besoin. Cela aussi me permet de comprendre ton niveau de maîtrise également de ton ISMS quand le CISO n'est pas là. Ok, mais je dérive un peu et cela nous éloigne de l'épisode du jour. Donc les audits échouent rarement à cause de la norme, mais plutôt à cause des questions mal posées, des réponses mal comprises, des interprétations biaisées. Pour autant que tu aies travaillé, bien sûr si tu n'as rien, tu n'as pas bien fait tes devoirs, donc tu n'iras pas bien loin. Allez, on rentre dans l'illusion de compréhension. Je te donne une situation et une question de l'auditeur. Comment gérez-vous vos risques ? L'audité répond de manière fluide, structurée, avec les bons mots. Identification, évaluation, traitement, il parcourt le process, il explique. Tout est correct, mais par rapport à quoi ? Ainsi, dans le vide, c'est difficile et précis. Mais l'auditeur comprend que le processus est maîtrisé, ou connu, à ce moment-là. Pas qu'il tourne. Et en réalité, l'audité récite son vocabulaire, sans réelle compréhension ou preuve derrière. Donc tu dois faire attention entre le langage maîtrisé, déjà c'est pas simple, et la pratique maîtrisée. Et là, t'es censé être à l'aise avec ton process, non ? En langage maîtrisé, ça me rappelle aussi cette fois où l'auditeur a demandé au COMDIR ce que c'était une partie prenante. Il m'a dit « Fabrice, pas toi, ne réponds pas, mais le management » . Et derrière cette question, il y a plein de choses qui m'ont fait sourire, car il était très fort. Il a voulu vérifier l'implication de la direction dans le vocabulaire, comment il s'était approprié la norme. On était dans la partie des clauses 4 à 10 avec le COMDIR. Et pourtant, on a un process d'analyse des parties intéressées, donc no stress, je me suis dit, ils savent répondre. Eh bien, il y a eu des bégayements quand même. Bégayement ne veut pas dire non maîtrise non plus, on est d'accord. Mais est-ce que tu es prêt ? Parler iso ne veut pas dire faire de l'iso non plus. Il faut être capable de démontrer qu'on passe de la théorie à la pratique. Et ça, ça rassure. L'ISO, en fin de compte, est là comme soutien, c'est ton outil. Standard, vont encore me dire certains, oui, pour une question d'examen, on dira standard. Et je pense aussi à cette question trop vague d'un auditeur. Vous avez une gestion des accès ? L'auditeur répond oui. L'auditeur valide. Là, je vois deux erreurs. On évite les questions fermées, sauf pour préciser si on a bien compris quelque chose. Et la seconde erreur, Quid si on a une vision totalement différente de la gestion des accès ? Pour l'un, c'est peut-être la simple création de compte. Pour l'autre, le cycle complet, avec mon joiner, mover, leaver, tu sais, mon fameux JML. IAM, Identity and Access Management, des revues des droits à intervalles réguliers, des suppressions, une traçabilité, etc. Donc le problème n'est pas la réponse ici, mais l'imprécision de la question. Une question floue, c'est une conformité floue. Et on a aussi la reformulation qui déforme. L'audité explique un process complexe, l'auditeur reformule. Donc, si je comprends bien, vous faites X et Y, l'audité, oui oui, c'est ça. Alors que c'est pas exactement ça. Mais ça te soulage, et il abonde dans le sens de l'auditeur d'un grand ouf. Mais il ne corrige pas. Peut-être le stress, la fatigue, les antihistaminiques, pas assez bu d'eau la veille, je sais pas, le résultat. Une version simplifiée devient la vérité d'audit. Tant mieux pour l'audité, ça passe. Attention donc à la reformulation non validée. Ce que l'auditeur reformule devient la réalité, même si elle est fausse. Et tu vois, ce qui relie en fait ces anecdotes, ce ne sont pas des erreurs techniques, ce sont des erreurs de communication. Et ça, c'est beaucoup plus fréquent. L'audite ne mesure pas uniquement un système, il mesure une conversation sur ce système. Et une autre remarque d'un audité avec des mots vagues, c'est en général, on vérifie avant de dispatcher. En général, ça veut dire quoi, en général ? Quand le chef est là, ou tu as d'autres choses ? Est-ce que c'est tous les lundis, et les autres fois pas, tu vois ? Et une autre question d'auditeur serait de dire, est-ce que tu enregistres toujours les déviations de cette mesure ? Et la réponse de l'audité, oui, quand c'est nécessaire. Oups, non-conformité alors, ça veut dire qu'il ne le fait pas tout le temps. Mais dans sa tête, peut-être qu'il le fait systématiquement, mais au-dessus ou en-dessous d'une certaine valeur. À toi, cher auditeur, à aller vérifier si c'est le cas. Car dans le langage du technicien, il pourrait le faire quand ça excède la tolérance, et non pas quand la déviation se produit. C'est pas la même chose, c'est pas pareil. Et son langage, au technicien, doit pas forcément être celui qui est décrit dans la procédure. Donc à toi de lui demander des précisions. Tu veux dire que tu ne le fais que lorsque cela dépasse un certain seuil ? Ou à chaque fois que la déviation se présente ? C'est pas pareil, n'est-ce pas ? J'en ai encore un autre. Donc je suis l'auditeur, et je te pose cette question. Est-ce que tu fais ton DR tous les mois ? Ton disaster discovery. Et toi tu me réponds, en hésitant, oui, généralement, tu marques une pause, dans le texte, vraiment. Donc, tu hésites, tu réfléchis. Là, je reprends ma casquette d'auditeur, on pourrait dire que c'est conforme. Et finalement, on va se rendre compte qu'avec un audit de suivi, l'audit de suivi va démontrer que les DR ne sont pas systématiquement faits tous les mois, mais quand on y pense. Donc, insiste par « que veux-tu dire ? » par « généralement » . Parce que généralement, ou generally aussi en anglais, ne veut pas dire la même chose dans toutes les cultures. Et en français c'est vague, tu en conviens. Donc dans certaines cultures, ça veut dire non, mais ils le cachent, ou ils ne sont pas à l'aise avec la réponse. Donc tu peux mettre dans ton rapport par exemple que la personne a hésité, et donc tu cherches des preuves complémentaires. Après s'ils disent dans leur politique qu'ils le font 12 fois par an, et disons un tous les mois, et que sur un mois, ils n'en ont pas fait, on va dire que ce n'est pas très grave. Sauf s'ils ont vraiment une obligation légale à ce moment-là, ou réglementaire, que sais-je, qui leur impose. Donc, n'oublie pas non plus de baser ton jugement sur les risques. Allez, je t'offre un petit tour du monde à présent, en attendant les odeurs et la 4DX en audio. On va parler des langues, des différentes langues, car elles sont très riches, et ça fait partie de la culture. Mais tu peux l'interpréter selon ton humeur, comme étant conforme, non conforme, partiellement conforme. Cela produit de l'inconsistance entre les auditeurs, les bureaux de certification, et parfois même les personnes au sein de ton équipe. Et la culture peut être différente. Le verbe et la culture du verbe également. Ajoute à cela parfois ce qu'on appelle du broken English. Et peut-être que tout le monde n'a pas la maîtrise, ou n'a pas ton aisance, ou est stressé en audit. Et donc... Cette personne ou ces personnes vont utiliser des mots qu'ils ne maîtrisent pas parce que la définition n'est pas bien comprise ou bien parce que dans leur propre langue ou dans leur propre culture, c'est complètement perçu différemment. C'est à toi en tant qu'auditeur à reformuler pour comprendre. Parce que je te rappelle que dans le poids des preuves, la partie orale est la moins forte. Mais cela dépend aussi du niveau d'anglais de l'auditeur, ou de son niveau linguistique global si tu préfères. Donc c'est un risque d'interprétation ceci. Des deux côtés du filet, entre audité et auditeur, et chacun se renvoie le volant, ou essaye de le renvoyer, de l'autre côté, comme au badminton en fait. Ouch, il y a du vent aujourd'hui. Bon, si tout est en français, tu vas me dire « ok, ça va » . Quoique, vu le niveau grammatical de certains, et je parle pas des français, mais de ceux qui pensent utiliser correctement la langue française, tu dois t'assurer du niveau de compétence de la personne en face. Pas du diplôme non plus. Et peut-être qu'ils parlent 5 langues, mais on a qu'en général une langue maternelle. Donc fais du feedback, assure-toi de voir qui vraiment tu es en face. Quoique je peux parler belge aussi si tu veux, je dis 90, et pas 90. Tout comme les Suisses. Et pour avoir travaillé dans plusieurs pays, J'ai un peu d'expérience avec ces biais linguistiques aussi. Donc je comprends sémantiquement ce que tu me racontes, c'est-à-dire que la phrase que tu dis en grammaire française, je la comprends, mais est-ce que je comprends la phrase ? Ça c'est autre chose. Et pour imager tout cela, je vais te parler un peu de mon pays de cœur pour te le prouver, le Cameroun. Au Cameroun, on ne dit pas j'encode un dossier, on dit je le saisis. Tu saisis ? Enfin, tu comprends, pardon ? Donc l'étudiant camerounais va te dire « Je suis parti saisir le dossier » . Hein, quoi ? T'es huissier, moi je vais lui dire. Tu vois le genre ? Le français, correct. Mais la langue a évolué. Attends, j'en ai d'autres. C'est marrant parce que je partais pas pour un podcast « Camer » au début. Ah oui, tu vas dire « Ouais » . Parce que tu vas penser que « Camer » , c'est quelqu'un qui se shoote à de la coke ou de l'héroïne. Mais non. Ici, « Camé » , c'est le diminutif de camerounais. De Cameroun. On laisse tomber le « oun » . Donc on dit « Camé » . Et on l'écrit aussi, c'est C-A-M-E-R. Eux aussi, ils disent, c'est gâté. Hein ? Je vais leur répondre, mais qui est gâté ? Moi, je suis gâté ? Non, la machine est gâtée. Ah, pardon, tu veux dire la machine est cassée ? Dialogue de sourds, hein ? Et le truc qui m'a fait rire aussi au Cameroun, c'est, avant le digital, que l'on connaît tous aujourd'hui, c'est le fameux « Je pars laver les photos » . Pardon ? Pourquoi tu veux les laver ? Ça veut dire faire imprimer. Car à l'époque, on les mettait en chambre noire et on les trempait dans un liquide. On les lavait donc. Tu saisis ? En français, n'encode pas dans ton Word. Et quand mon feu beau-père m'a dit qu'il voulait que sa fille termine de fréquenter avant d'aller plus loin avec moi, j'ai rien compris. En fait, ça veut dire fréquenter à l'école, donc parcours scolaire et terminer ses études. Nous, on va dire fréquenter quelqu'un. dans notre mindset. Tu vois un petit peu les quiproquos ? Et comme on dit aussi chez nous au Cameroun et dans une bonne partie de l'Afrique, on est ensemble. Ça veut dire on se voit, on s'entend bientôt. Donc merci d'être là, on est ensemble et on s'entend la semaine prochaine, dans un autre épisode. Mais tu vas avoir la même blague avec le Québec aussi. Au début, il me parlait d'Audi. Je ne comprenais pas pourquoi il me parlait de voiture. Mais c'est remis dans le contexte que j'ai compris que c'était audit, et que le T est aspiré comme notre H de hôpital en français. Et ils disent pas Excel non plus, ils disent chiffrier. Et tu sais comment on dit dinde en anglais ? Turkey. Mais Turkey c'est aussi un autre pays. Et en portugais dinde, c'est Pérou, un autre pays. Donc soyons humbles, on a beau être l'expert, qui sait tout en tant qu'auditeur, imprègne-toi de la culture du client, de l'audité, et de celui que tu audites, ça t'aidera à réduire le risque de ce genre de quiproquos. Voilà, j'espère que je t'ai appris un nouveau type de risque en communication lors des audits, c'est le contexte client. Quand tu entends parler deux avocats entre eux, tu comprends rien. Même chose pour des médecins. Alors quand l'un d'eux me demande aussi mon avis, je ris, et je me venge, et je les bourre d'acronymes également. Ça me rappelle ce français qui se moquait de son petit belge. Car je ne connaissais pas ce qu'était une armoire de brassage, parce que je ne l'avais jamais entendu en français. Nous, à Bruxelles, on dit un patch panel. L'armoire, qui n'en est pas une, où viennent se croiser tous les câbles au réseau de brassage, donc. Je peux te renvoyer aussi au film Les Chtit's, avec les quiproquos entre les deux acteurs principaux, ou au dîner de cons, dans la pièce ou le film, et tu vois le genre de quiproquos qu'il peut y avoir. Moi, tant que tu ne m'invites pas un mercredi soir, ça va. Sinon, je risque de te parler GRC toute la soirée. Voilà, merci d'avoir survécu jusqu'ici, sans anti-histaminique. C'est la période des allergies. Au fait, tu as déjà bookmarké frenchpodcast.fr ? J'attends ton retour. A la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Imagine, on est rien que nous deux dans un ascenseur. Tu es quel type de personne ? Celle qui sourit, gênée, ou celle qui commence à parler parce que le silence la dérange ? Dans cet épisode, je te parle de quelques données invisibles et certains de tes comportements, ou ceux de l'auditeur, qui peuvent mener à des non-conformités, ou à valider des choses fausses. Je ne sais pas lequel des deux est le pire. Steve Jobs Parlait de "Reality Distortion Field". Un ingénieur disait que c'était impossible à sortir en 6 mois. Lui disait que si, si, c'est possible. Et puis il le faisait. Donc, rendre possible ce qui semblait impossible. Convaincre que quelque chose est prêt alors que non. Pousser les équipes au-delà de leurs limites. Mais moi je te parle de l'inverse. Je te parle de distorsion de la réalité par la communication. En audit, on a souvent l'inverse de ce que Jobs faisait. On a un champ de distorsion qui dégrade la réalité, alors que Jobs tirait la couverture à lui pour obtenir ce qu'il voulait. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je te parle de distorsion de la réalité et de données invisibles. n'oublie pas de liker et de partager. Commenter aussi si tu me découvres, car cela aide vraiment le podcast à poursuivre son petit chemin dans les charts. En audio par contre, je ne peux pas te dire où tu dois aller liker, l'UI et l'UX de Spotify et Apple ne sont pas les plus aisés. Donc déjà merci pour ton effort là-dessus. Dans cet épisode, je te parle des données invisibles, de la distorsion de la réalité, et un petit tour du monde sémantique, correct, en français, tu vas voir. C'est pas mal. Et aussi quelques exemples de phrases qui doivent te faire tilter. Alors c'est quoi une donnée invisible en audit ? Elle n'est ni cachée ni secrète. C'est une info qui est là, qui existe, mais que l'auditeur ne voit pas. Parce qu'elle n'est pas documentée, exprimée, ou tout simplement comprise. Mais pourtant, elle influence la réalité. Et ça, ça me rappelle un peu le podcast sur les biais d'observabilité, tu sais, dans l'épisode 11. Allez, on rentre dans le dur. Premier exemple concret, l'audité te dit, on fait une revue des accès tous les 6 mois. La réalité, personne ne le fait. La donnée invisible, c'est l'écart réel. Deuxième exemple de l'audité, tu constates que le doc est parfait. C'est conforme. Mais les équipes ne comprennent rien. Données invisibles, le niveau réel de compréhension. Troisième exemple concret, le processus est OK. Tu l'as vérifié, ils le maîtrisent, ils connaissent. Mais en fait, les gens contournent. Ils vont partager le mot de passe, ou bien, pendant que le CISO n'est pas là, les personnes ne s'enregistrent pas à l'accueil. Ça va, on connaît la procédure, merci. On ne le fait pas, on ne le dira pas à l'auditeur. Et rassure-toi, Je sais ce que je dois dire à l'audit. Accès non contrôlé, données invisibles, les comportements. Quatrième exemple concret, et je pense qu'on l'a tous au moins une fois connu, le système A dépend du système B, mais ça n'est écrit nulle part. Données invisibles, le risque caché. Ça me rappelle ce serveur de candidature, alors appelé CV, pour Curriculum Vitae , qui était en DMZ et qui pouvait tomber. C'était pas grave. Mais en fait, ce serveur alimentait des logs Tuxido sur un autre serveur, et quand le système A plantait, après deux heures, tout le site web de la société était par terre. Et il était alors composé de 15 serveurs différents. Que veux-tu ? Je ne suis pas né à l'époque des microservices, mais juste après les cartes perforées. Mais globalement, c'est le même principe, toute sa dépendance. Et c'est aussi à ce moment-là que j'ai quitté ce monde non documenté pour faire de la GRC. Donc un auditeur, lui ou elle, ne va voir que ce qu'on lui montre, ce qu'il comprend, ce qu'il vérifie. Donc il peut rater une partie critique de la réalité. C'est aussi en partie pour cela qu'il doit baser son audit sur la matérialité des processus critiques. Quel beau pléonasme. Et t'es en train de te noyer, prends-le comme une main qui te tire hors de l'eau et qui peut te sauver pour plus tard. Mais vraiment quoi. Donc une donnée invisible, c'est une information réelle. qui n'est ni documentée, ni exprimée, ni perçue, mais qui influence le système. Dis-moi, est-ce que tu vois que c'est exactement là que se joue la différence entre conformité et sécurité réelle ? Une organisation peut être conforme, mais pilotée par des données invisibles. Et rentrons à présent dans la distorsion de la communication, ce qu'on ne te dit pas dans un cours lead auditor ou 19011. C'est ce qui suit. Ça me rappelle cette fois chez un client Eidas, signature digitale qualifiée européenne, où ils étaient deux auditeurs très qualifiés, très compétents. Et l'un des audités a perdu pied, complètement stressé. Nous, nous étions 4 ou 5 autour de la table, et donc en supériorité sur l'échiquier, en quelque sorte. Une des premières questions fuse sur la façon de gérer la sécurité dans notre infra-PKI. Et un des auditeurs pose la question au Head of Application, qui est mal à l'aise. Pourtant, il maîtrise le sujet, et ça tournait, donc franchement, aucun stress. Mais il était sur le grill, il a perdu pied, il se sentait épié par ses faits et gestes, et c'est jamais agréable en fait. Donc la question de l'auditeur n'était pas non plus une question piège. Mais pendant que le premier, lui, avait posé la question, le second Le regardait avec son bic à la main sur sa feuille blanche. Mon collègue n'en pouvait plus. Tu sais, c'est un peu comme à l'école avec ceux qui étudient par cœur et qui demandent au prof. Madame, c'est quoi le premier mot déjà dans la réponse ? Et la prof te répond, c'est LE. Ça t'aide pas non plus, hein ? Mais on était exactement là, dans cette situation-là. Alors que je regardais mon collègue, je voyais des plaques rouges apparaître dans son cou. Le non-verbal. Il était mal à l'aise. J'ai repris la main. en expliquant sa fonction, sa position, et dans quel contexte il intervenait pour ce document-là. Rien d'exceptionnel, en fait. Je lui ai redonné confiance en le regardant, et en démarrant un dialogue, finalement, avec lui. Et quand j'ai vu qu'il était à nouveau à l'aise, je lui ai tendu la perche, en reformulant la question de l'auditeur, et il est parti dans son explication, et tout s'est très bien passé. Et c'est aussi pour ça que je te conseille de ne jamais être seul face à un auditeur, ou à deux auditeurs, dans un meeting. C'est pour ça aussi que je fais des drills avec les équipes pour ceux qui ne sont pas à l'aise. On répète, comme un avocat avec son client. Je pose des questions qui pourraient venir. Je teste ta conformité, ta résistance. Pourtant on est à l'aise, on a les preuves. C'est ce qui fait force probante, les preuves on nous dit. Mais à l'oral, peut-être que tu vas perdre pied, peut-être que tu seras dans la sauce, peut-être que tu n'auras pas bien dormi. Donc le drill te met en confiance et réduit ce risque de distorsion. Alors on répète avec celles et ceux qui en ont besoin. Cela aussi me permet de comprendre ton niveau de maîtrise également de ton ISMS quand le CISO n'est pas là. Ok, mais je dérive un peu et cela nous éloigne de l'épisode du jour. Donc les audits échouent rarement à cause de la norme, mais plutôt à cause des questions mal posées, des réponses mal comprises, des interprétations biaisées. Pour autant que tu aies travaillé, bien sûr si tu n'as rien, tu n'as pas bien fait tes devoirs, donc tu n'iras pas bien loin. Allez, on rentre dans l'illusion de compréhension. Je te donne une situation et une question de l'auditeur. Comment gérez-vous vos risques ? L'audité répond de manière fluide, structurée, avec les bons mots. Identification, évaluation, traitement, il parcourt le process, il explique. Tout est correct, mais par rapport à quoi ? Ainsi, dans le vide, c'est difficile et précis. Mais l'auditeur comprend que le processus est maîtrisé, ou connu, à ce moment-là. Pas qu'il tourne. Et en réalité, l'audité récite son vocabulaire, sans réelle compréhension ou preuve derrière. Donc tu dois faire attention entre le langage maîtrisé, déjà c'est pas simple, et la pratique maîtrisée. Et là, t'es censé être à l'aise avec ton process, non ? En langage maîtrisé, ça me rappelle aussi cette fois où l'auditeur a demandé au COMDIR ce que c'était une partie prenante. Il m'a dit « Fabrice, pas toi, ne réponds pas, mais le management » . Et derrière cette question, il y a plein de choses qui m'ont fait sourire, car il était très fort. Il a voulu vérifier l'implication de la direction dans le vocabulaire, comment il s'était approprié la norme. On était dans la partie des clauses 4 à 10 avec le COMDIR. Et pourtant, on a un process d'analyse des parties intéressées, donc no stress, je me suis dit, ils savent répondre. Eh bien, il y a eu des bégayements quand même. Bégayement ne veut pas dire non maîtrise non plus, on est d'accord. Mais est-ce que tu es prêt ? Parler iso ne veut pas dire faire de l'iso non plus. Il faut être capable de démontrer qu'on passe de la théorie à la pratique. Et ça, ça rassure. L'ISO, en fin de compte, est là comme soutien, c'est ton outil. Standard, vont encore me dire certains, oui, pour une question d'examen, on dira standard. Et je pense aussi à cette question trop vague d'un auditeur. Vous avez une gestion des accès ? L'auditeur répond oui. L'auditeur valide. Là, je vois deux erreurs. On évite les questions fermées, sauf pour préciser si on a bien compris quelque chose. Et la seconde erreur, Quid si on a une vision totalement différente de la gestion des accès ? Pour l'un, c'est peut-être la simple création de compte. Pour l'autre, le cycle complet, avec mon joiner, mover, leaver, tu sais, mon fameux JML. IAM, Identity and Access Management, des revues des droits à intervalles réguliers, des suppressions, une traçabilité, etc. Donc le problème n'est pas la réponse ici, mais l'imprécision de la question. Une question floue, c'est une conformité floue. Et on a aussi la reformulation qui déforme. L'audité explique un process complexe, l'auditeur reformule. Donc, si je comprends bien, vous faites X et Y, l'audité, oui oui, c'est ça. Alors que c'est pas exactement ça. Mais ça te soulage, et il abonde dans le sens de l'auditeur d'un grand ouf. Mais il ne corrige pas. Peut-être le stress, la fatigue, les antihistaminiques, pas assez bu d'eau la veille, je sais pas, le résultat. Une version simplifiée devient la vérité d'audit. Tant mieux pour l'audité, ça passe. Attention donc à la reformulation non validée. Ce que l'auditeur reformule devient la réalité, même si elle est fausse. Et tu vois, ce qui relie en fait ces anecdotes, ce ne sont pas des erreurs techniques, ce sont des erreurs de communication. Et ça, c'est beaucoup plus fréquent. L'audite ne mesure pas uniquement un système, il mesure une conversation sur ce système. Et une autre remarque d'un audité avec des mots vagues, c'est en général, on vérifie avant de dispatcher. En général, ça veut dire quoi, en général ? Quand le chef est là, ou tu as d'autres choses ? Est-ce que c'est tous les lundis, et les autres fois pas, tu vois ? Et une autre question d'auditeur serait de dire, est-ce que tu enregistres toujours les déviations de cette mesure ? Et la réponse de l'audité, oui, quand c'est nécessaire. Oups, non-conformité alors, ça veut dire qu'il ne le fait pas tout le temps. Mais dans sa tête, peut-être qu'il le fait systématiquement, mais au-dessus ou en-dessous d'une certaine valeur. À toi, cher auditeur, à aller vérifier si c'est le cas. Car dans le langage du technicien, il pourrait le faire quand ça excède la tolérance, et non pas quand la déviation se produit. C'est pas la même chose, c'est pas pareil. Et son langage, au technicien, doit pas forcément être celui qui est décrit dans la procédure. Donc à toi de lui demander des précisions. Tu veux dire que tu ne le fais que lorsque cela dépasse un certain seuil ? Ou à chaque fois que la déviation se présente ? C'est pas pareil, n'est-ce pas ? J'en ai encore un autre. Donc je suis l'auditeur, et je te pose cette question. Est-ce que tu fais ton DR tous les mois ? Ton disaster discovery. Et toi tu me réponds, en hésitant, oui, généralement, tu marques une pause, dans le texte, vraiment. Donc, tu hésites, tu réfléchis. Là, je reprends ma casquette d'auditeur, on pourrait dire que c'est conforme. Et finalement, on va se rendre compte qu'avec un audit de suivi, l'audit de suivi va démontrer que les DR ne sont pas systématiquement faits tous les mois, mais quand on y pense. Donc, insiste par « que veux-tu dire ? » par « généralement » . Parce que généralement, ou generally aussi en anglais, ne veut pas dire la même chose dans toutes les cultures. Et en français c'est vague, tu en conviens. Donc dans certaines cultures, ça veut dire non, mais ils le cachent, ou ils ne sont pas à l'aise avec la réponse. Donc tu peux mettre dans ton rapport par exemple que la personne a hésité, et donc tu cherches des preuves complémentaires. Après s'ils disent dans leur politique qu'ils le font 12 fois par an, et disons un tous les mois, et que sur un mois, ils n'en ont pas fait, on va dire que ce n'est pas très grave. Sauf s'ils ont vraiment une obligation légale à ce moment-là, ou réglementaire, que sais-je, qui leur impose. Donc, n'oublie pas non plus de baser ton jugement sur les risques. Allez, je t'offre un petit tour du monde à présent, en attendant les odeurs et la 4DX en audio. On va parler des langues, des différentes langues, car elles sont très riches, et ça fait partie de la culture. Mais tu peux l'interpréter selon ton humeur, comme étant conforme, non conforme, partiellement conforme. Cela produit de l'inconsistance entre les auditeurs, les bureaux de certification, et parfois même les personnes au sein de ton équipe. Et la culture peut être différente. Le verbe et la culture du verbe également. Ajoute à cela parfois ce qu'on appelle du broken English. Et peut-être que tout le monde n'a pas la maîtrise, ou n'a pas ton aisance, ou est stressé en audit. Et donc... Cette personne ou ces personnes vont utiliser des mots qu'ils ne maîtrisent pas parce que la définition n'est pas bien comprise ou bien parce que dans leur propre langue ou dans leur propre culture, c'est complètement perçu différemment. C'est à toi en tant qu'auditeur à reformuler pour comprendre. Parce que je te rappelle que dans le poids des preuves, la partie orale est la moins forte. Mais cela dépend aussi du niveau d'anglais de l'auditeur, ou de son niveau linguistique global si tu préfères. Donc c'est un risque d'interprétation ceci. Des deux côtés du filet, entre audité et auditeur, et chacun se renvoie le volant, ou essaye de le renvoyer, de l'autre côté, comme au badminton en fait. Ouch, il y a du vent aujourd'hui. Bon, si tout est en français, tu vas me dire « ok, ça va » . Quoique, vu le niveau grammatical de certains, et je parle pas des français, mais de ceux qui pensent utiliser correctement la langue française, tu dois t'assurer du niveau de compétence de la personne en face. Pas du diplôme non plus. Et peut-être qu'ils parlent 5 langues, mais on a qu'en général une langue maternelle. Donc fais du feedback, assure-toi de voir qui vraiment tu es en face. Quoique je peux parler belge aussi si tu veux, je dis 90, et pas 90. Tout comme les Suisses. Et pour avoir travaillé dans plusieurs pays, J'ai un peu d'expérience avec ces biais linguistiques aussi. Donc je comprends sémantiquement ce que tu me racontes, c'est-à-dire que la phrase que tu dis en grammaire française, je la comprends, mais est-ce que je comprends la phrase ? Ça c'est autre chose. Et pour imager tout cela, je vais te parler un peu de mon pays de cœur pour te le prouver, le Cameroun. Au Cameroun, on ne dit pas j'encode un dossier, on dit je le saisis. Tu saisis ? Enfin, tu comprends, pardon ? Donc l'étudiant camerounais va te dire « Je suis parti saisir le dossier » . Hein, quoi ? T'es huissier, moi je vais lui dire. Tu vois le genre ? Le français, correct. Mais la langue a évolué. Attends, j'en ai d'autres. C'est marrant parce que je partais pas pour un podcast « Camer » au début. Ah oui, tu vas dire « Ouais » . Parce que tu vas penser que « Camer » , c'est quelqu'un qui se shoote à de la coke ou de l'héroïne. Mais non. Ici, « Camé » , c'est le diminutif de camerounais. De Cameroun. On laisse tomber le « oun » . Donc on dit « Camé » . Et on l'écrit aussi, c'est C-A-M-E-R. Eux aussi, ils disent, c'est gâté. Hein ? Je vais leur répondre, mais qui est gâté ? Moi, je suis gâté ? Non, la machine est gâtée. Ah, pardon, tu veux dire la machine est cassée ? Dialogue de sourds, hein ? Et le truc qui m'a fait rire aussi au Cameroun, c'est, avant le digital, que l'on connaît tous aujourd'hui, c'est le fameux « Je pars laver les photos » . Pardon ? Pourquoi tu veux les laver ? Ça veut dire faire imprimer. Car à l'époque, on les mettait en chambre noire et on les trempait dans un liquide. On les lavait donc. Tu saisis ? En français, n'encode pas dans ton Word. Et quand mon feu beau-père m'a dit qu'il voulait que sa fille termine de fréquenter avant d'aller plus loin avec moi, j'ai rien compris. En fait, ça veut dire fréquenter à l'école, donc parcours scolaire et terminer ses études. Nous, on va dire fréquenter quelqu'un. dans notre mindset. Tu vois un petit peu les quiproquos ? Et comme on dit aussi chez nous au Cameroun et dans une bonne partie de l'Afrique, on est ensemble. Ça veut dire on se voit, on s'entend bientôt. Donc merci d'être là, on est ensemble et on s'entend la semaine prochaine, dans un autre épisode. Mais tu vas avoir la même blague avec le Québec aussi. Au début, il me parlait d'Audi. Je ne comprenais pas pourquoi il me parlait de voiture. Mais c'est remis dans le contexte que j'ai compris que c'était audit, et que le T est aspiré comme notre H de hôpital en français. Et ils disent pas Excel non plus, ils disent chiffrier. Et tu sais comment on dit dinde en anglais ? Turkey. Mais Turkey c'est aussi un autre pays. Et en portugais dinde, c'est Pérou, un autre pays. Donc soyons humbles, on a beau être l'expert, qui sait tout en tant qu'auditeur, imprègne-toi de la culture du client, de l'audité, et de celui que tu audites, ça t'aidera à réduire le risque de ce genre de quiproquos. Voilà, j'espère que je t'ai appris un nouveau type de risque en communication lors des audits, c'est le contexte client. Quand tu entends parler deux avocats entre eux, tu comprends rien. Même chose pour des médecins. Alors quand l'un d'eux me demande aussi mon avis, je ris, et je me venge, et je les bourre d'acronymes également. Ça me rappelle ce français qui se moquait de son petit belge. Car je ne connaissais pas ce qu'était une armoire de brassage, parce que je ne l'avais jamais entendu en français. Nous, à Bruxelles, on dit un patch panel. L'armoire, qui n'en est pas une, où viennent se croiser tous les câbles au réseau de brassage, donc. Je peux te renvoyer aussi au film Les Chtit's, avec les quiproquos entre les deux acteurs principaux, ou au dîner de cons, dans la pièce ou le film, et tu vois le genre de quiproquos qu'il peut y avoir. Moi, tant que tu ne m'invites pas un mercredi soir, ça va. Sinon, je risque de te parler GRC toute la soirée. Voilà, merci d'avoir survécu jusqu'ici, sans anti-histaminique. C'est la période des allergies. Au fait, tu as déjà bookmarké frenchpodcast.fr ? J'attends ton retour. A la semaine prochaine pour un nouvel épisode de Compliance Without Coma.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed