Speaker #0Dans cet épisode, je t'explique ce qu'il se cache derrière la certification de personne. Je vois tout et n'importe quoi sur LinkedIn. Et sans juger ni faire de bashing, je vais juste te donner des quilles pour que tu comprennes si ce que tu as acheté comme certification vaut le coup ou pas. La force tranquille du marketing, quoi. Mais je vais surtout te parler de ce que fait l'ISO 17024 et de son écosystème. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui, je te révèle ce qui se cache derrière la norme ISO 17024. Oui, je sais, il y a une norme pour tout. D'ailleurs, il y en a presque autant que de nombres premiers. Chuck Norris, lui, les a lues toutes et deux fois. Mais surtout, ce que je veux te dire, c'est que si tu es dans la GRC, tu as certainement déjà passé l'une ou l'autre certification. chapeautée par cette norme. Oublie pas de liker, partager, et discuter de cela avec toute personne qui est en retard sur ces fameux CPE, tu sais, les Continuous Professional Education, et profites-en pour lui rappeler qu'il y a un podcast qui monte et qui permet également de déclarer des CPE. On est environ à 12 CPE. Ouais, vu ainsi, c'est pas beaucoup. Mais si je te dis 12 heures de contenu, tu le prends comment ? Marketing quand tu nous tiens, tu vois, tout dépend de l'angle. Alors si tu payes des AMF et ou dois déclarer certains crédits annuels, tu sais les AMF, annual maintenance fee, et que tu dois déclarer ces crédits annuels pour maintenir ta ou tes certifications, alors il y a de fortes chances que l'ISO 17024 se cache derrière tout cela. L'idée de cet épisode en fait m'est venue suite à des questions de followers, qui viennent me demander mon avis après avoir acheté ailleurs. C'est comme quand t'achètes une voiture dans un garage A ? Et que tu viens demander l'avis à un garagiste du garage B, mais d'une autre marque. Qu'est-ce que tu veux que je dise ? À part que c'est trop tard, et que ton argent est parti. Et que le mien, je ne l'ai pas fait non plus du coup. Et aussi j'ai constaté que, à part les gens qui ont travaillé dans un cab, tu sais le bureau de certification, très peu comprennent ce qui se cache vraiment derrière cela. Et donc, je ne juge pas, si c'est intentionnel, si les gens qui te vendent des certifs en ligne t'arnaquent ou pas, il y a certainement des gens de bonne foi. D'autres un peu moins, mais c'est comme partout. Et d'autres qui sont ISO 17024. Et là aussi, c'est comme partout. Il y a à boire et à manger. On est d'accord qu'il y a des flics et des ripoux aussi. Bon, allez, c'est parti. Je te donne les quilles. A toi de faire ton propre jugement. Avant d'aller plus loin, je vais d'abord rappeler c'est quoi une certification de personne ? Quels sont les différents bureaux de certification ? Alors, voici les différents types de certification en GRC. Il y a différents bureaux de certification. LSTI. Cocorico, c'est français. PECB, difficile de ne pas les nommer. Ils sont présents depuis 20 ans, au moins, et je les ai connus à leur début. T'imagines le reste ? C'est de l'histoire avec un grand H. Il y a EC-Council, il y a également TRECCERT. Je n'ai pas de comité de censure derrière moi, et ça c'est top quand même. Donc j'ai pas de CSA, j'ai pas d'ARCOM, pas de sponsor non plus, un petit appel du pied. Donc, je peux continuer ma liste de bureaux de certification. on va bien finir par tomber sur un que tu connais. Il y a également l'ISC Square, l'ISC2 pour certains, l'ISACA, Certitrust, l'IRCA, GRC Institute, c'est un podcast sur la GRC, oui ou non ? Il y a l'IAPP pour tout ce qui est privacy, le CREST pour les pentests, le SANS Institute, un coucou spécial à Xavier Mertens qui nous écoute, et qui est principal trainer au SANS. File vite voir d'ailleurs. les trois épisodes qu'on a fait avec Xavier. Voilà, je ne les cite pas tous, mais ce sont les principaux. Ne sois pas choqué si je n'ai pas cité le tien. Et il y a aussi beaucoup d'acteurs qui vendent des certifications, des certificats, et qui ne sont pas accrédités pour les délivrer. Ceux-là, je ne vais pas te les citer. Il y en a trop. Mais c'est aussi ma ligne éditoriale de ne pas faire du bashing. Non, moi je t'éveille à penser par toi-même. Par contre, je peux m'auto-basher. Donc ma société, par exemple. Je suis compétent pour te pondre un examen ISO 27001 à tout niveau, tu penses, avec plus de 20 ans d'expérience dans la 27001, mais ça ne vaudrait rien sur le plan ISO, en termes de certification de personne, parce que ça peut te préparer à un examen, à passer, à réussir ta certif, on a des quiz d'ailleurs, mais je n'irai pas faire un examen et te le vendre une certification sans m'adresser à un vrai bureau de certification. Parce que je sais l'effort qu'il faut mettre pour monter un cab de personne. J'ai jadis dû me farcir l'ISO 17024. Parce qu'en fait aussi l'honnêteté fait partie de mes valeurs. Même si ça m'a déjà coûté pas mal d'argent. Mais bon, je crois au karma. D'ailleurs à ce propos, est-ce que tu savais que ton diplôme, quel qu'il soit, ne valait rien ? Je te choque ? C'est voulu. Il ne vaut rien sur le plan ISO. Ton diplôme n'est pas ISO 17024. Lol. Non, en fait ton diplôme vaut quelque chose. Souvent c'est le personal branding de ton école ou de ton université qui est derrière. qui fait que tu en es fier, et puis soyons honnêtes, une fois que tu as fait ton parcours, tu ne vas jamais aller casser ton école, car ça reviendra te casser toi. Tu vois, c'est un peu le même avec ton bureau de certification. Si tu es certifié d'un bureau en particulier, et que ça ne vaut rien, tu ne vas pas aller casser du sucre sur leur dos, car c'est te mettre toi-même dans la sauce, publiquement en plus. Donc tu vas liker, partager, partager pour qui ? Pour tous les doomscrollers ! Et les autres aficionados des réseaux sociaux ? Mais dis-moi, est-ce que tu ne rêverais pas de sortir avec une moyenne de 18 sur 20 de l'université de Floride ? Ou alors rêve quoi, ça sent la wax, les longs cheveux et le surf et les spring breaks sur la plage. Perso je préfère un 12 du MIT si j'ai le choix. Corporate branding, tu vois où je veux en venir ? Donc tu comprendras que certains te feront croire que c'est eux les meilleurs. Bah fais ton due care et due diligence, il y a un épisode pour ça aussi. Et fais-toi ton propre jugement. Es-tu prêt à afficher cette marque sur les réseaux sociaux ? Si tant est que tu sais ce qu'il y a derrière. Ou pas. C'est toi qui vois. Et je n'ai pas de jugement à porter là-dessus. Bon. Dans les certifs, en fait c'est un peu pareil. Sauf que ce n'est que le début. Le début de quoi ? De ton parcours. De ton chemin. Si on parle d'ISO 17024. Le chemin est encore long, et il te faudra l'expérience terrain. C'est là où se gagnent les médailles. En revenant avec des blessures de guerre, ou en les évitant. Tout ça pour dire que dans les cabs, c'est pareil. Tous ne sont pas égaux. Certains ont pris des accreditation body low cost et d'autres premium. Dans les faits, quand tu voyages, est-ce que tu prends le taxi ou le Uber ou le Bolt ? Tout se transporte et t'amènes d'un point A à un point B. Si tu prends le taxi, tu vas payer plus cher car la contrainte d'une société de taxi, elle est beaucoup plus forte. Si tu prends le Uber, là c'est moins cher. Et tu es d'accord qu'il y a des bons chauffeurs de taxi et des mauvais. Tout comme c'est la même chose avec Uber. Mais bon, Uber, tu les sanctionnes tout de suite. Tu leur retires une étoile. C'est comme la différence entre le bon chasseur et le mauvais chasseur. Je sais, j'ai grandi avec les inconnus. Et cette télé des années 90 qui ne vieillit pas trop. Mal, je trouve. Pas de censure, en tout cas, à l'époque. Alors aussi, pourquoi tu dois payer des AMF ? Et maintenir des CPD ? Alors, les AMF, c'est pour les annual maintenance fee. Et les CPD, j'ai déjà dit plus haut. Ça, c'est pour les examens Lead Implementer et Lead Auditor. De bureau de certification, de ton choix toujours. Et le terme n'est pas protégé non plus. Donc, tu as des rigolos qui vont te vendre un Lead Implementer ou un Lead Auditor sans même être accrédité. Ça, tu le découvriras au moment où tu veux passer PCIQSA ou devenir auditeur de certification. Tu seras compétent peut-être. Je ne suis pas là pour juger le contenu de l'examen. Mais tu ne seras pas compliant. Donc, recalé comme au bac. Tu as un fichier collé. Ouais, je sais, j'étais gosse quand le film français des sous-doués est sorti. Que veux-tu, c'est comme ça. En fait, pour un examen de type Lead Implementer ou Lead Auditor, le bureau de certification doit démontrer que tu maintiens ton niveau de compétence et que tu payes tes AMF. Car il y a quand même un coup back-office derrière. Sinon, t'imagines, tu passes ta certif, tu la gardes 20 ans, et ça explose les coûts de ton bureau de certification qui ferme. Et à ce moment-là, tu perds tes certifs. Dans le pire des cas, bien sûr. De même pour les certifs comme le CISSP, le CCSP, CISA, CISM, CGEIT, CRISC, CEH, CISSO, j'arrête avec tous les C, tu vois de quoi je parle. Et s'il ne démontre pas que tu es compétent, ton bureau de certification, qu'est-ce qu'il se passe ? Il se prend une non-conformité de son bureau d'accréditation à ce moment-là. Potentiellement la non-conformité, car ça dépend si ta fiche qui était collée sort lors de l'échantillonnage de l'audit. Ou pas. Donc crois-moi, ils ne vont pas prendre le risque et globalement, ils sont tous sérieux là-dessus. Ils ne vont pas aller risquer leur business pour ça. Mais je parle. Mais est-ce que tu as remarqué que je parle de l'examen uniquement ? Et pas du contenu du cours, ni des slides. C'est normal. C'est l'examen qui est dans le scope d'accréditation. Pas les slides. Tu peux donc acheter la norme, acheter l'examen et réussir. Ça, c'est le chemin le plus court. Mais comme mes filles qui révisent leur kata de karaté devant YouTube, Après, tu as le chemin, qui est plus long bien sûr, et qui n'a pas de fin, car on est en PDCA, Plan to Check Act, sur notre propre carrière aussi. Et les foundations, practitioners, essentials, on en fait quoi alors ? Ben rien, tu as devant toi un très vieux certifié ITIL V3 Foundation. Je le mettrais comme épitaphe, certifié à vie. Et voilà, en fait pour les Foundations, les Basics, les Basements, les Fondations, peu importe, les cabs n'ont aucune obligation d'aller le faire accréditer. Donc ils le font pas. Tu irais toi faire payer plus cher pour quelque chose que les gens ne valorisent pas, sans monter tes marges et en augmentant tes charges ? Moi pas. Mais certains bureaux commencent aussi à jouer avec ça. Et c'est normal, vu la concurrence, chacun essaie de se démarquer, tu sais, on est dans océan rouge, océan bleu. Et j'en ai vu d'autres aussi te faire croire que leur certif LI et LA, dérivés, étaient accrédités, alors que c'est juste le produit phare qu'il l'est. Et ça, ça se voit sur le certificat que tu publies sur LinkedIn. Si t'as pas le tampon du bureau d'accréditation, bah y'a anguille sous roche. Et aussi la différence entre un lead implementer, lead auditor d'un bureau de certification accrédité. versus tous les autres foundations, c'est que pour les foundations, il n'y a pas d'obligation d'avoir un surveillant. Oups, qu'est-ce que je viens de dire là ? Oh, zut ! Donc, va faire tes recherches sur les bureaux d'accréditation et cherche après le périmètre de leur ISO. Tu sais, c'est comme l'ISO 27001. On peut avoir un scope très léger. Ça attire une majorité de clients qui achètent sans savoir, de nouveau au due care due diligence, qu'ils achètent quoi ? Qu'ils achètent un... produit qui n'est pas dans le scope ISO. Mais n'est-ce pas là le jeu ? A toi de te renseigner. Te voilà averti. Et si t'es curieux, peu importe le parcours que tu choisis, tu compléteras ta connaissance sur le long terme. Ça, je n'en doute pas. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi. C'est encore le meilleur moyen de faire grandir Compliance Without Coma et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. J'ai fait simple. Frenchpodcast.fr Tu me diras de ce que tu penses de la petite redirection. Et pour prolonger la discussion, on peut se retrouver sur Instagram, TikTok, YouTube. C'est tout simplement compliancewithoutcoma. Pour les coulisses du podcast, il y a des shorts aussi, des réels, des punchlines, comme tu me connais, des guests en vidéo, et je te dis déjà à vendredi prochain pour un nouvel épisode de compliancewithoutcoma. D'ici là, prends soin de toi.
