Episode 57 : NIS2, le tueur lent… et la loi de Parkinson | Compliance Without coma

Description

Êtes-vous vraiment prêt pour la date limite du 18 avril 2027 ? Dans cet épisode de "Compliance Without Comma", Fabrice De Paepe nous plonge au cœur de la loi de Parkinson et de son influence sur la gestion du temps au sein des organisations, notamment face aux exigences de la réglementation NIS2. Saviez-vous que le travail a tendance à s'étendre pour remplir le temps disponible ? Cette réalité peut avoir des conséquences désastreuses sur la mise en conformité, et il est crucial d'en prendre conscience dès maintenant.

Fabrice met en lumière un fait alarmant : la majorité des organisations ne sont pas prêtes pour les audits qui s'annoncent. Avec la date butoir qui approche à grands pas, la demande d'auditeurs va exploser dans les mois précédant cette échéance. Ignorer les signaux d'alarme peut mener à des crises de conformité inévitables. C'est pourquoi cet épisode de "Compliance Without Comma" est un incontournable pour tous ceux qui souhaitent naviguer avec succès dans le paysage complexe de la réglementation NIS2.

Au fil de la discussion, Fabrice insiste sur l'importance d'agir dès maintenant. La perception du temps joue un rôle essentiel dans la manière dont les organisations se préparent à ces nouvelles exigences. Ne laissez pas la procrastination vous piéger ! Le véritable défi ne réside pas seulement dans la loi NIS2 elle-même, mais dans la capacité des entreprises à anticiper et à planifier efficacement. Chaque minute compte, et chaque décision prise aujourd'hui peut avoir un impact majeur sur votre conformité future.

Rejoignez-nous pour découvrir des conseils pratiques et des stratégies qui vous aideront à éviter les pièges courants liés à la conformité. Que vous soyez un professionnel de la conformité, un dirigeant d'entreprise ou simplement curieux des enjeux réglementaires, cet épisode vous fournira des insights précieux pour naviguer dans cette période de transition. Ne manquez pas cette occasion de prendre une longueur d'avance et d'assurer la pérennité de votre organisation face aux défis de la réglementation NIS2.

Écoutez dès maintenant "Compliance Without Comma" et démarrez votre voyage vers une conformité proactive et efficace !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Rejoins-nous sur frenchpodscast.fr

ou sur compliancewithoutcoma.com

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
J'ai envie de te parler d'un truc dangereux, pas spectaculaire, ni bruyant. Un tueur lent, un peu comme le monoxyde de carbone, le truc qui t'endort pour de bon pendant ton sommeil. Tu vois de quoi je parle ? Je te parle de ton planning. Parce qu'il y a une loi très simple, la loi de Parkinson. Le travail s'étale pour occuper le temps disponible. Tu donnes 30 jours à quelqu'un, il mettra 35. Tu lui donnes 3 jours, il livrera en 3, parfois en 2. Les shootés à l'adrénaline, eux, commencent toujours la veille. Le problème, ce n'est pas le temps, c'est la perception du temps. Et je vais te mettre un peu cela en transposition avec NIS2, mais tu pourras l'appliquer pour n'importe quelle loi ou régulation, bien entendu. Bienvenue dans Compliance Without Comma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. Mais sans t'endormir lentement, je suis Fabrice Dupap et aujourd'hui je te parle de la loi de Parkinson face à Nice 2. Oublie pas de liker, partager et discuter de cela avec ton dirigeant qui ne sait pas encore que son organisation est importante pour Nice 2. C'est le moment pour la pure heure, un coup de pression ne fait jamais de tort. Mais si tu es français, avec modération, bien sûr, la pression. D'ailleurs... Est-ce que tu sens une différence ? Moi pas. C'est comme le yaourt qui a expiré à minuit, tu sais. S'il est minuit une, c'est quoi le changement réel dans le yaourt ? Bah ici, ça fait un an et un épisode. Je ne sens pas le changement. Pourtant, vous êtes de plus en plus nombreux à me suivre. Merci pour ça, mais comme un breaker. On reste dans la saison 1 et on incrémente juste les épisodes. Maintenant je te parle un peu de Nice 2. On parle d'environ de 2000-2700 organisations concernées en Belgique. Ou dans la sauce, si tu veux. Avec en moyenne 5 jours d'audit. Il n'y a rien de plus faux qu'une moyenne. Mais à la marge, c'est un ordre de grandeur que je te donne pour voir si le modèle va tenir. Ça fait 10 000 jours d'audit quand même. Soit environ 50 auditeurs à temps plein. Pendant un an. Tu pourrais penser que ça va. Mais non. Car la deadline pour être conforme est le 18 du 4 2027. dans un an. Et auditer maintenant, c'est souvent une gap analysis pour remettre le rapport à notre CCB, Center for Cyber Security Belgium. Donc ce qui va se passer, outre la forte demande d'auditeurs et lits d'auditeurs compétents qui arrivent, c'est qu'il y a une forte demande d'auditeurs pour Q1 2027, puisque la majorité des sociétés ne sont pas prêtes. Donc elles vont tout repousser et vouloir se faire auditer en Q1 2027. Tu vois la demande d'auditeurs en souffrance ? Ou pardon, la demande en souffrance d'auditeurs plutôt. C'est le deuxième effet qui se coule. Petite parenthèse rapide. Si tu bosses sur ISO 27001 ou NIS2, tu sais que le vrai problème, c'est pas les normes. C'est de savoir par où commencer. Et je m'appuie sur un programme reconnu de certification et j'accompagne pour structurer tout ça concrètement, sans t'éparpiller. Si ça te parle, viens m'écrire. Allez, on reprend. Donc, il va y avoir des goulots d'étranglement. Ben si, on l'a encore vu avec la transition ISO 27001-2013 vers la 2022. Une majorité non préparée demande en même temps un audit de transition. Et comme l'histoire avec un grand H, les gens oublient, alors qu'elle se répète. Et avec la loi de Parkinson... Les gens ne s'y prennent pas suffisamment à temps. Il y a un risque de perte de certif dans certains cas, des amendes qui arrivent pour d'autres. Merci Nice2. Je te parle du pire des cas, bien sûr, je ne suis pas prédicateur. Et je pense qu'il faudra aussi à un moment donné être capable de démontrer à notre CCB national qu'il existe un contrat avec un cab, ton bureau de certif. Ainsi, si eux sont à carence d'auditeurs, ben toi tu as fait ton due care et due diligence. Je sens déjà arriver des périodes de grâce, dans tous les sens du terme. certains vont planer, d'autres vont découvrir l'épée de Damoclès au-dessus de leur tête. Mais est-ce qu'ils existent ces 50 auditeurs temps plein ? Et là le dirigeant se dit, on a encore du temps. Sauf que non, parce que c'est pas juste une question d'audit, il faut monter en maturité, structurer un ISMS, former les équipes, trouver des profils compétents, trouver des auditeurs, ça je te l'ai déjà dit, passer des certifications, et ça... Ça se fait pas en trois mois ? Alors oui, on peut aller vite, très vite. Mais dans ce cas, on réduit le scope en fait. Et si tu réduis ton scope, ou si tu le réduis de trop... plus vraiment une entité importante, ni ce deux. Donc tu gagnes du temps, mais tu perds le jeu. Moi, ce qui me fascine, c'est que ce n'est pas nouveau. On a vu ça avec Y2K, le bug de l'an 2000. Si tu m'écoutes, tu es peut-être le ou la survivante du Y2K. Ou tu es même un enfant d'un survivant du Y2K. Alors, à quoi bon faire peur ? Puisqu'on a eu une autre belle date. Marignan, 1515. Non, je déconne. Le 25 mai 2018. Tu l'as ? Yes, le RGPD. Et puis les prémices de Nice 2, avec Nice 1. Nice 2, c'est un peu comme un film d'horreur. C'est le second volet. Le monstre n'était pas complètement mort. Il revient et cette fois, il n'est pas content. Mais on a le temps. On a eu Dora aussi. Et là, je pense aussi à cette zone grise entre je suis Dora, est-ce que je dois être Nice 2 aussi ? Ou bien j'attends et on verra bien. Le tueur lent. Amis juristes. et plus particulièrement ceux de la Legal Tech, j'aimerais bien avoir votre avis là-dessus avec votre plus belle plume, celle d'un band of feature. Si je suis Dora, est-ce que je dois être Nice 2 aussi ? En fin de compte, c'est toujours le même scénario. On attend, on observe, on rationalise, et puis on panique. C'est comme être face à la mer. Au début, il y a des vaguelettes, rien d'inquiétant. Puis la mer se retire. Et là... Tu as encore le temps de terminer tes chamallows de ton barbecue. Tu écoutes le crépitement du feu pour pas entendre les vagues. Mais la vague arrive et elle ne négocie pas. Alors qu'est-ce qu'on va voir arriver ? Une explosion. Des formations accélérées partout. ISO 27001 Lead Implementer, Lead Auditor, NIS2. Le bord doit être formé sur NIS2. Certains paniquent déjà. D'autres planifient leur panique. Le feu d'artifice a déjà commencé en 2025, pour ceux qui avaient compris. Les demandes, ISO 27001. Les auditeurs auront explosé. Là, je te parle de mes KPIs. Les autres, ils commencent à se réveiller maintenant. Et pour certains, il est peut-être déjà trop tard. Parce que le vrai problème, c'est pas Nice 2. Ni l'audit. Ni le framework, selon le pays. C'est Syphon pour la Belgique, 27001. Aussi pour la Belgique. Et Récif pour la France. Non. C'est la loi de Parkinson. Et ce tueur lent, il est déjà dans ton organisation. Au fond, Nice 2 n'est pas un problème de conformité. C'est un problème de timing. On pense qu'on a le temps, on étale, on reporte, on optimise, sur le papier. Ça ne te rappelle rien ? Do you care ? Do you diligence ? J'ai aussi un podcast pour ça. Non, ici je te parle de la loi de Parkinson à l'échelle d'une organisation. Sauf qu'ici le temps ne s'étire pas vraiment, il se compresse. Il s'accélère même. Distorsion du temps. Parce qu'à un moment il faut des auditeurs, des compétences, de la maturité. Et ça, ça ne s'improvise pas. Alors oui, sur le papier, un ISMS peut se monter vite. Mais dans la réalité, ce qui prend du temps, c'est le changement. Et pendant que certains réfléchissent encore à quand commencer, d'autres ont déjà compris que la vague est en train d'arriver. Nice 2 ne va pas créer une crise, elle va révéler celle qui était déjà là. Et comme toujours, ce ne sont pas les plus lents qui survivent, ce sont ceux qui ont commencé avant d'en avoir besoin. Peut-être un podcast sur le darwinisme à un moment donné. Je mets l'idée de côté, tiens, on verra bien. En tout cas... Prenez les bonnes décisions maintenant. Vous ne me verrez pas vous affoler sur LinkedIn en mode prédicateur, j'ai pas besoin de cela. Et puis il y a toutes les grosses boîtes de consultants et d'outils SaaS de conformité en tout genre qui vont le faire pour moi. Il y a également les boîtes de formation qui vont s'en charger, mais là aussi, vous savez qu'on fait les choses de manière différente, on fait du coaching et le reste, donc pas de post LinkedIn pour vite vous mettre la pression sur « Ah, on a une classe ouverte, dépêchez-vous ! » Parce que tu vois bien que je crie pas plus fort que les autres. et que ce que je fais est un peu différent. Et par rapport à mon épisode précédent sur le 6ème, tu sais pourquoi, maintenant, le monde de la formation évolue, et on évolue avec. Non, ce que je veux que tu retiennes ici, au fond, c'est que cet épisode, en fin de compte, est presque basique, comme dirait Orelsan. Voire essentiel, à moins qu'il ne soit important. Arrête de cocher les cases, commence à comprendre ce que tu protèges. Si t'as apprécié, n'hésite pas à commenter, partager, mais t'abonner surtout je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Comma

Chapters

Introduction à la loi de Parkinson et NIS2
0sec
Contexte de NIS2 et son impact sur les organisations
58sec
Les défis d'audit et la préparation des entreprises
1min
Les conséquences de la procrastination sur la conformité
3min
Conclusion et appel à l'action pour les entreprises
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez dès maintenant "Compliance Without Comma" et démarrez votre voyage vers une conformité proactive et efficace !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Rejoins-nous sur frenchpodscast.fr

ou sur compliancewithoutcoma.com

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
J'ai envie de te parler d'un truc dangereux, pas spectaculaire, ni bruyant. Un tueur lent, un peu comme le monoxyde de carbone, le truc qui t'endort pour de bon pendant ton sommeil. Tu vois de quoi je parle ? Je te parle de ton planning. Parce qu'il y a une loi très simple, la loi de Parkinson. Le travail s'étale pour occuper le temps disponible. Tu donnes 30 jours à quelqu'un, il mettra 35. Tu lui donnes 3 jours, il livrera en 3, parfois en 2. Les shootés à l'adrénaline, eux, commencent toujours la veille. Le problème, ce n'est pas le temps, c'est la perception du temps. Et je vais te mettre un peu cela en transposition avec NIS2, mais tu pourras l'appliquer pour n'importe quelle loi ou régulation, bien entendu. Bienvenue dans Compliance Without Comma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. Mais sans t'endormir lentement, je suis Fabrice Dupap et aujourd'hui je te parle de la loi de Parkinson face à Nice 2. Oublie pas de liker, partager et discuter de cela avec ton dirigeant qui ne sait pas encore que son organisation est importante pour Nice 2. C'est le moment pour la pure heure, un coup de pression ne fait jamais de tort. Mais si tu es français, avec modération, bien sûr, la pression. D'ailleurs... Est-ce que tu sens une différence ? Moi pas. C'est comme le yaourt qui a expiré à minuit, tu sais. S'il est minuit une, c'est quoi le changement réel dans le yaourt ? Bah ici, ça fait un an et un épisode. Je ne sens pas le changement. Pourtant, vous êtes de plus en plus nombreux à me suivre. Merci pour ça, mais comme un breaker. On reste dans la saison 1 et on incrémente juste les épisodes. Maintenant je te parle un peu de Nice 2. On parle d'environ de 2000-2700 organisations concernées en Belgique. Ou dans la sauce, si tu veux. Avec en moyenne 5 jours d'audit. Il n'y a rien de plus faux qu'une moyenne. Mais à la marge, c'est un ordre de grandeur que je te donne pour voir si le modèle va tenir. Ça fait 10 000 jours d'audit quand même. Soit environ 50 auditeurs à temps plein. Pendant un an. Tu pourrais penser que ça va. Mais non. Car la deadline pour être conforme est le 18 du 4 2027. dans un an. Et auditer maintenant, c'est souvent une gap analysis pour remettre le rapport à notre CCB, Center for Cyber Security Belgium. Donc ce qui va se passer, outre la forte demande d'auditeurs et lits d'auditeurs compétents qui arrivent, c'est qu'il y a une forte demande d'auditeurs pour Q1 2027, puisque la majorité des sociétés ne sont pas prêtes. Donc elles vont tout repousser et vouloir se faire auditer en Q1 2027. Tu vois la demande d'auditeurs en souffrance ? Ou pardon, la demande en souffrance d'auditeurs plutôt. C'est le deuxième effet qui se coule. Petite parenthèse rapide. Si tu bosses sur ISO 27001 ou NIS2, tu sais que le vrai problème, c'est pas les normes. C'est de savoir par où commencer. Et je m'appuie sur un programme reconnu de certification et j'accompagne pour structurer tout ça concrètement, sans t'éparpiller. Si ça te parle, viens m'écrire. Allez, on reprend. Donc, il va y avoir des goulots d'étranglement. Ben si, on l'a encore vu avec la transition ISO 27001-2013 vers la 2022. Une majorité non préparée demande en même temps un audit de transition. Et comme l'histoire avec un grand H, les gens oublient, alors qu'elle se répète. Et avec la loi de Parkinson... Les gens ne s'y prennent pas suffisamment à temps. Il y a un risque de perte de certif dans certains cas, des amendes qui arrivent pour d'autres. Merci Nice2. Je te parle du pire des cas, bien sûr, je ne suis pas prédicateur. Et je pense qu'il faudra aussi à un moment donné être capable de démontrer à notre CCB national qu'il existe un contrat avec un cab, ton bureau de certif. Ainsi, si eux sont à carence d'auditeurs, ben toi tu as fait ton due care et due diligence. Je sens déjà arriver des périodes de grâce, dans tous les sens du terme. certains vont planer, d'autres vont découvrir l'épée de Damoclès au-dessus de leur tête. Mais est-ce qu'ils existent ces 50 auditeurs temps plein ? Et là le dirigeant se dit, on a encore du temps. Sauf que non, parce que c'est pas juste une question d'audit, il faut monter en maturité, structurer un ISMS, former les équipes, trouver des profils compétents, trouver des auditeurs, ça je te l'ai déjà dit, passer des certifications, et ça... Ça se fait pas en trois mois ? Alors oui, on peut aller vite, très vite. Mais dans ce cas, on réduit le scope en fait. Et si tu réduis ton scope, ou si tu le réduis de trop... plus vraiment une entité importante, ni ce deux. Donc tu gagnes du temps, mais tu perds le jeu. Moi, ce qui me fascine, c'est que ce n'est pas nouveau. On a vu ça avec Y2K, le bug de l'an 2000. Si tu m'écoutes, tu es peut-être le ou la survivante du Y2K. Ou tu es même un enfant d'un survivant du Y2K. Alors, à quoi bon faire peur ? Puisqu'on a eu une autre belle date. Marignan, 1515. Non, je déconne. Le 25 mai 2018. Tu l'as ? Yes, le RGPD. Et puis les prémices de Nice 2, avec Nice 1. Nice 2, c'est un peu comme un film d'horreur. C'est le second volet. Le monstre n'était pas complètement mort. Il revient et cette fois, il n'est pas content. Mais on a le temps. On a eu Dora aussi. Et là, je pense aussi à cette zone grise entre je suis Dora, est-ce que je dois être Nice 2 aussi ? Ou bien j'attends et on verra bien. Le tueur lent. Amis juristes. et plus particulièrement ceux de la Legal Tech, j'aimerais bien avoir votre avis là-dessus avec votre plus belle plume, celle d'un band of feature. Si je suis Dora, est-ce que je dois être Nice 2 aussi ? En fin de compte, c'est toujours le même scénario. On attend, on observe, on rationalise, et puis on panique. C'est comme être face à la mer. Au début, il y a des vaguelettes, rien d'inquiétant. Puis la mer se retire. Et là... Tu as encore le temps de terminer tes chamallows de ton barbecue. Tu écoutes le crépitement du feu pour pas entendre les vagues. Mais la vague arrive et elle ne négocie pas. Alors qu'est-ce qu'on va voir arriver ? Une explosion. Des formations accélérées partout. ISO 27001 Lead Implementer, Lead Auditor, NIS2. Le bord doit être formé sur NIS2. Certains paniquent déjà. D'autres planifient leur panique. Le feu d'artifice a déjà commencé en 2025, pour ceux qui avaient compris. Les demandes, ISO 27001. Les auditeurs auront explosé. Là, je te parle de mes KPIs. Les autres, ils commencent à se réveiller maintenant. Et pour certains, il est peut-être déjà trop tard. Parce que le vrai problème, c'est pas Nice 2. Ni l'audit. Ni le framework, selon le pays. C'est Syphon pour la Belgique, 27001. Aussi pour la Belgique. Et Récif pour la France. Non. C'est la loi de Parkinson. Et ce tueur lent, il est déjà dans ton organisation. Au fond, Nice 2 n'est pas un problème de conformité. C'est un problème de timing. On pense qu'on a le temps, on étale, on reporte, on optimise, sur le papier. Ça ne te rappelle rien ? Do you care ? Do you diligence ? J'ai aussi un podcast pour ça. Non, ici je te parle de la loi de Parkinson à l'échelle d'une organisation. Sauf qu'ici le temps ne s'étire pas vraiment, il se compresse. Il s'accélère même. Distorsion du temps. Parce qu'à un moment il faut des auditeurs, des compétences, de la maturité. Et ça, ça ne s'improvise pas. Alors oui, sur le papier, un ISMS peut se monter vite. Mais dans la réalité, ce qui prend du temps, c'est le changement. Et pendant que certains réfléchissent encore à quand commencer, d'autres ont déjà compris que la vague est en train d'arriver. Nice 2 ne va pas créer une crise, elle va révéler celle qui était déjà là. Et comme toujours, ce ne sont pas les plus lents qui survivent, ce sont ceux qui ont commencé avant d'en avoir besoin. Peut-être un podcast sur le darwinisme à un moment donné. Je mets l'idée de côté, tiens, on verra bien. En tout cas... Prenez les bonnes décisions maintenant. Vous ne me verrez pas vous affoler sur LinkedIn en mode prédicateur, j'ai pas besoin de cela. Et puis il y a toutes les grosses boîtes de consultants et d'outils SaaS de conformité en tout genre qui vont le faire pour moi. Il y a également les boîtes de formation qui vont s'en charger, mais là aussi, vous savez qu'on fait les choses de manière différente, on fait du coaching et le reste, donc pas de post LinkedIn pour vite vous mettre la pression sur « Ah, on a une classe ouverte, dépêchez-vous ! » Parce que tu vois bien que je crie pas plus fort que les autres. et que ce que je fais est un peu différent. Et par rapport à mon épisode précédent sur le 6ème, tu sais pourquoi, maintenant, le monde de la formation évolue, et on évolue avec. Non, ce que je veux que tu retiennes ici, au fond, c'est que cet épisode, en fin de compte, est presque basique, comme dirait Orelsan. Voire essentiel, à moins qu'il ne soit important. Arrête de cocher les cases, commence à comprendre ce que tu protèges. Si t'as apprécié, n'hésite pas à commenter, partager, mais t'abonner surtout je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Comma

Chapters

Introduction à la loi de Parkinson et NIS2
0sec
Contexte de NIS2 et son impact sur les organisations
58sec
Les défis d'audit et la préparation des entreprises
1min
Les conséquences de la procrastination sur la conformité
3min
Conclusion et appel à l'action pour les entreprises
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction à la loi de Parkinson et NIS2
0sec
Contexte de NIS2 et son impact sur les organisations
58sec
Les défis d'audit et la préparation des entreprises
1min
Les conséquences de la procrastination sur la conformité
3min
Conclusion et appel à l'action pour les entreprises
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Écoutez dès maintenant "Compliance Without Comma" et démarrez votre voyage vers une conformité proactive et efficace !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Rejoins-nous sur frenchpodscast.fr

ou sur compliancewithoutcoma.com

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
J'ai envie de te parler d'un truc dangereux, pas spectaculaire, ni bruyant. Un tueur lent, un peu comme le monoxyde de carbone, le truc qui t'endort pour de bon pendant ton sommeil. Tu vois de quoi je parle ? Je te parle de ton planning. Parce qu'il y a une loi très simple, la loi de Parkinson. Le travail s'étale pour occuper le temps disponible. Tu donnes 30 jours à quelqu'un, il mettra 35. Tu lui donnes 3 jours, il livrera en 3, parfois en 2. Les shootés à l'adrénaline, eux, commencent toujours la veille. Le problème, ce n'est pas le temps, c'est la perception du temps. Et je vais te mettre un peu cela en transposition avec NIS2, mais tu pourras l'appliquer pour n'importe quelle loi ou régulation, bien entendu. Bienvenue dans Compliance Without Comma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001. Mais sans t'endormir lentement, je suis Fabrice Dupap et aujourd'hui je te parle de la loi de Parkinson face à Nice 2. Oublie pas de liker, partager et discuter de cela avec ton dirigeant qui ne sait pas encore que son organisation est importante pour Nice 2. C'est le moment pour la pure heure, un coup de pression ne fait jamais de tort. Mais si tu es français, avec modération, bien sûr, la pression. D'ailleurs... Est-ce que tu sens une différence ? Moi pas. C'est comme le yaourt qui a expiré à minuit, tu sais. S'il est minuit une, c'est quoi le changement réel dans le yaourt ? Bah ici, ça fait un an et un épisode. Je ne sens pas le changement. Pourtant, vous êtes de plus en plus nombreux à me suivre. Merci pour ça, mais comme un breaker. On reste dans la saison 1 et on incrémente juste les épisodes. Maintenant je te parle un peu de Nice 2. On parle d'environ de 2000-2700 organisations concernées en Belgique. Ou dans la sauce, si tu veux. Avec en moyenne 5 jours d'audit. Il n'y a rien de plus faux qu'une moyenne. Mais à la marge, c'est un ordre de grandeur que je te donne pour voir si le modèle va tenir. Ça fait 10 000 jours d'audit quand même. Soit environ 50 auditeurs à temps plein. Pendant un an. Tu pourrais penser que ça va. Mais non. Car la deadline pour être conforme est le 18 du 4 2027. dans un an. Et auditer maintenant, c'est souvent une gap analysis pour remettre le rapport à notre CCB, Center for Cyber Security Belgium. Donc ce qui va se passer, outre la forte demande d'auditeurs et lits d'auditeurs compétents qui arrivent, c'est qu'il y a une forte demande d'auditeurs pour Q1 2027, puisque la majorité des sociétés ne sont pas prêtes. Donc elles vont tout repousser et vouloir se faire auditer en Q1 2027. Tu vois la demande d'auditeurs en souffrance ? Ou pardon, la demande en souffrance d'auditeurs plutôt. C'est le deuxième effet qui se coule. Petite parenthèse rapide. Si tu bosses sur ISO 27001 ou NIS2, tu sais que le vrai problème, c'est pas les normes. C'est de savoir par où commencer. Et je m'appuie sur un programme reconnu de certification et j'accompagne pour structurer tout ça concrètement, sans t'éparpiller. Si ça te parle, viens m'écrire. Allez, on reprend. Donc, il va y avoir des goulots d'étranglement. Ben si, on l'a encore vu avec la transition ISO 27001-2013 vers la 2022. Une majorité non préparée demande en même temps un audit de transition. Et comme l'histoire avec un grand H, les gens oublient, alors qu'elle se répète. Et avec la loi de Parkinson... Les gens ne s'y prennent pas suffisamment à temps. Il y a un risque de perte de certif dans certains cas, des amendes qui arrivent pour d'autres. Merci Nice2. Je te parle du pire des cas, bien sûr, je ne suis pas prédicateur. Et je pense qu'il faudra aussi à un moment donné être capable de démontrer à notre CCB national qu'il existe un contrat avec un cab, ton bureau de certif. Ainsi, si eux sont à carence d'auditeurs, ben toi tu as fait ton due care et due diligence. Je sens déjà arriver des périodes de grâce, dans tous les sens du terme. certains vont planer, d'autres vont découvrir l'épée de Damoclès au-dessus de leur tête. Mais est-ce qu'ils existent ces 50 auditeurs temps plein ? Et là le dirigeant se dit, on a encore du temps. Sauf que non, parce que c'est pas juste une question d'audit, il faut monter en maturité, structurer un ISMS, former les équipes, trouver des profils compétents, trouver des auditeurs, ça je te l'ai déjà dit, passer des certifications, et ça... Ça se fait pas en trois mois ? Alors oui, on peut aller vite, très vite. Mais dans ce cas, on réduit le scope en fait. Et si tu réduis ton scope, ou si tu le réduis de trop... plus vraiment une entité importante, ni ce deux. Donc tu gagnes du temps, mais tu perds le jeu. Moi, ce qui me fascine, c'est que ce n'est pas nouveau. On a vu ça avec Y2K, le bug de l'an 2000. Si tu m'écoutes, tu es peut-être le ou la survivante du Y2K. Ou tu es même un enfant d'un survivant du Y2K. Alors, à quoi bon faire peur ? Puisqu'on a eu une autre belle date. Marignan, 1515. Non, je déconne. Le 25 mai 2018. Tu l'as ? Yes, le RGPD. Et puis les prémices de Nice 2, avec Nice 1. Nice 2, c'est un peu comme un film d'horreur. C'est le second volet. Le monstre n'était pas complètement mort. Il revient et cette fois, il n'est pas content. Mais on a le temps. On a eu Dora aussi. Et là, je pense aussi à cette zone grise entre je suis Dora, est-ce que je dois être Nice 2 aussi ? Ou bien j'attends et on verra bien. Le tueur lent. Amis juristes. et plus particulièrement ceux de la Legal Tech, j'aimerais bien avoir votre avis là-dessus avec votre plus belle plume, celle d'un band of feature. Si je suis Dora, est-ce que je dois être Nice 2 aussi ? En fin de compte, c'est toujours le même scénario. On attend, on observe, on rationalise, et puis on panique. C'est comme être face à la mer. Au début, il y a des vaguelettes, rien d'inquiétant. Puis la mer se retire. Et là... Tu as encore le temps de terminer tes chamallows de ton barbecue. Tu écoutes le crépitement du feu pour pas entendre les vagues. Mais la vague arrive et elle ne négocie pas. Alors qu'est-ce qu'on va voir arriver ? Une explosion. Des formations accélérées partout. ISO 27001 Lead Implementer, Lead Auditor, NIS2. Le bord doit être formé sur NIS2. Certains paniquent déjà. D'autres planifient leur panique. Le feu d'artifice a déjà commencé en 2025, pour ceux qui avaient compris. Les demandes, ISO 27001. Les auditeurs auront explosé. Là, je te parle de mes KPIs. Les autres, ils commencent à se réveiller maintenant. Et pour certains, il est peut-être déjà trop tard. Parce que le vrai problème, c'est pas Nice 2. Ni l'audit. Ni le framework, selon le pays. C'est Syphon pour la Belgique, 27001. Aussi pour la Belgique. Et Récif pour la France. Non. C'est la loi de Parkinson. Et ce tueur lent, il est déjà dans ton organisation. Au fond, Nice 2 n'est pas un problème de conformité. C'est un problème de timing. On pense qu'on a le temps, on étale, on reporte, on optimise, sur le papier. Ça ne te rappelle rien ? Do you care ? Do you diligence ? J'ai aussi un podcast pour ça. Non, ici je te parle de la loi de Parkinson à l'échelle d'une organisation. Sauf qu'ici le temps ne s'étire pas vraiment, il se compresse. Il s'accélère même. Distorsion du temps. Parce qu'à un moment il faut des auditeurs, des compétences, de la maturité. Et ça, ça ne s'improvise pas. Alors oui, sur le papier, un ISMS peut se monter vite. Mais dans la réalité, ce qui prend du temps, c'est le changement. Et pendant que certains réfléchissent encore à quand commencer, d'autres ont déjà compris que la vague est en train d'arriver. Nice 2 ne va pas créer une crise, elle va révéler celle qui était déjà là. Et comme toujours, ce ne sont pas les plus lents qui survivent, ce sont ceux qui ont commencé avant d'en avoir besoin. Peut-être un podcast sur le darwinisme à un moment donné. Je mets l'idée de côté, tiens, on verra bien. En tout cas... Prenez les bonnes décisions maintenant. Vous ne me verrez pas vous affoler sur LinkedIn en mode prédicateur, j'ai pas besoin de cela. Et puis il y a toutes les grosses boîtes de consultants et d'outils SaaS de conformité en tout genre qui vont le faire pour moi. Il y a également les boîtes de formation qui vont s'en charger, mais là aussi, vous savez qu'on fait les choses de manière différente, on fait du coaching et le reste, donc pas de post LinkedIn pour vite vous mettre la pression sur « Ah, on a une classe ouverte, dépêchez-vous ! » Parce que tu vois bien que je crie pas plus fort que les autres. et que ce que je fais est un peu différent. Et par rapport à mon épisode précédent sur le 6ème, tu sais pourquoi, maintenant, le monde de la formation évolue, et on évolue avec. Non, ce que je veux que tu retiennes ici, au fond, c'est que cet épisode, en fin de compte, est presque basique, comme dirait Orelsan. Voire essentiel, à moins qu'il ne soit important. Arrête de cocher les cases, commence à comprendre ce que tu protèges. Si t'as apprécié, n'hésite pas à commenter, partager, mais t'abonner surtout je te dis déjà à vendredi prochain pour un nouvel épisode de Compliance Without Comma

Chapters

Introduction à la loi de Parkinson et NIS2
0sec
Contexte de NIS2 et son impact sur les organisations
58sec
Les défis d'audit et la préparation des entreprises
1min
Les conséquences de la procrastination sur la conformité
3min
Conclusion et appel à l'action pour les entreprises
5min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

www.compliancewithoutcoma.com

www.frenchpodcast.fr

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Chapters

Introduction à la loi de Parkinson et NIS2

Contexte de NIS2 et son impact sur les organisations

Les défis d'audit et la préparation des entreprises

Les conséquences de la procrastination sur la conformité

Conclusion et appel à l'action pour les entreprises

Chapters

Introduction à la loi de Parkinson et NIS2

Contexte de NIS2 et son impact sur les organisations

Les défis d'audit et la préparation des entreprises

Les conséquences de la procrastination sur la conformité

Conclusion et appel à l'action pour les entreprises

Chapters

Introduction à la loi de Parkinson et NIS2

Contexte de NIS2 et son impact sur les organisations

Les défis d'audit et la préparation des entreprises

Les conséquences de la procrastination sur la conformité

Conclusion et appel à l'action pour les entreprises

Chapters

Introduction à la loi de Parkinson et NIS2

Contexte de NIS2 et son impact sur les organisations

Les défis d'audit et la préparation des entreprises

Les conséquences de la procrastination sur la conformité

Conclusion et appel à l'action pour les entreprises