Speaker #0Tu sais, je suis plongeur aussi. Et si tu fais ton projet de SMSI en bottom-up, ça veut dire une chose. Tu n'as pas planifié ta plongée. Et tu es en train de vouloir créer des documents en mode panique. Comme si tu remontais à fond de balle du fond de la fosse. Sans prendre aucune considération de ta remontée, de ta planification, ni même de tes objectifs. Et tu risques l'ADD, l'accident de décompression. Et honnêtement, j'ai parfois l'impression de voir exactement ça dans certains projets ISO 27001. Des gens qui ouvrent Word, créent des politiques, copient des templates, empilent des procédures, déploient des contrôles, sans savoir pourquoi, dans quel ordre, ni même où ils veulent arriver. Comme un plongeur qui consomme tout son air, parce qu'il n'a jamais regardé son plan de plongée. Aujourd'hui je vais t'expliquer pourquoi tu dois plutôt faire du top-down dans ton projet SMSI. Pourquoi la gouvernance doit arriver avant les politiques ? Pourquoi les clauses 4.10 de l'ISO 27001 sont probablement les clauses... les plus sous-estimées de la norme. Et surtout, pourquoi certains projets SMSI meurent d'épuisement bien avant l'audit. Et si tu as envie de faire du bottom-up, en étant mon client, ça sera sans moi. Bienvenue dans Compliance Without Coma ! Un de nos podcasts qui parle de gouvernance, de cyber et d'ISO 27001, mais sans te narcotiser. Je suis Fabrice De Paepe et aujourd'hui je t'explique pourquoi, si tu as une stratégie de bottom-up de déploiement de SMSI, eh bien elle ne marchera pas. Oublie pas de liker, partager et discuter de cela avec un plongeur. Il appuiera mes propos sur la planification en plongée. Mais tu peux également en parler à ton équipe projet, dès que tu sens que ta plongée récréative dérive et que tu consommes tout l'air de ton projet sans structure et en mode panique. Bon, déjà, si je te parle de bottom-up, qui ne marche pas, c'est surtout parce qu'il existe une approche qui fonctionne beaucoup mieux, le top-down. Ce sont deux approches de gestion complètement différentes. Le bottom-up, ou de bas en haut, c'est partir du terrain, des équipes, des détails, l'enfer est dans le détail, je te rappelle, des besoins locaux, des procédures. Le top-down, c'est partir de la stratégie, des objectifs, de la gouvernance. Hashtag gouvernance. Du management, du cadre légal, et honnêtement, dans un SMSI, ça change absolument tout. Parce qu'un SMSI, ce n'est pas une collection de documents, ce n'est pas 93 contrôles ISO empilés, des politiques copiées sur Internet ou un SharePoint rempli de PDF, non. Un SMSI, c'est un système de management. Le mot important, c'est système. Et le bottom-up, c'est quoi ? Le bottom-up dans un projet ISO, c'est souvent « bon, on va commencer à écrire des politiques » , puis… Une procédure d'accès, une politique de mot de passe, une policy backup, une policy clean desk. Ah, il nous faut une procédure d'incident. Ah, il nous faut une procédure fournisseur. Et puis quelqu'un dit, hé, il y a 93 contrôles dans l'ISO 27001-2022. Autant tous les implémenter. Et là, tu viens de déclencher la forge de Mordor documentaire. Parce qu'à ce stade, tu ne sais plus où t'arrêter, ce qui est prioritaire, ce qui apporte réellement de la valeur, ni même... ce qui est applicable. Et surtout, il te manque un truc. Spoiler alert. Tu l'as normalement, après 60 épisodes. La gouvernance. Oui, les clauses 4 à 10, le contexte, les parties intéressées, le leadership, les objectifs, la gestion des risques, les KPIs, la redirection, l'amélioration continue, l'audit interne, et de certification, si tu veux aller vers un certificat. Bref, le PDCA. Plan Do Check Act. Et là, dans le bottom-up, tu es directement dans le D. Comme Deni. Pardon, le Do, pardon. Tu déploies sans finalement avoir réellement planifié. Donc, tes contrôles ne sont pas alignés. Tes politiques dérivent. Tes équipes interprètent chacune différemment. Déjà que c'est pas évident quand tu le fais proprement. Et tu finis par construire un château de cartes. Le problème du bottom-up, c'est qu'il donne l'illusion d'avancer. Tu produis des documents, dans le cerveau, crois que ça avance. Mais produire ne veut pas dire gouverner. Et honnêtement, le danger du bottom-up, c'est la dette organisationnelle. Parce que chaque document écrit sans gouvernance crée des incohérences, des dépendances, des contradictions, crée des habitudes difficiles à corriger plus tard. Et plus tu avances, plus tu t'enfonces. Quel beau paradoxe, non ? Alors que tu crois que tu es en train de monter ou de remonter avec ton bottom-up, tu t'enfonces. Et top-down, alors, c'est quoi ? Ben c'est l'inverse, lol. Tu commences par comprendre... l'organisation, définir les objectifs, comprendre les risques, définir le scope. Clarifier la gouvernance, aligner le management, et ensuite seulement tu construis. Comment plonger ? Chaque plongée est planifiée. Pourquoi ? Parce que les ressources sont limitées, mon air dans la bouteille est limité, ton énergie projet aussi, ton budget aussi, ton temps aussi. Et ça, beaucoup de gens l'oublient. Le top-down, c'est pas plus lent. Au contraire, c'est souvent beaucoup plus rapide à long terme, parce que tu évites les réécritures, les doublons, les politiques inutiles, les contrôles. non applicables ou non mesurables. Les guerres internes, où tu les réduis en tout cas. Le top-down permet aussi quelque chose de fondamental. La synchronisation. Tu vois le tunnel sous la manche ? Tu crois qu'ils ont fait ça en bottom-up ? Tu imagines ? Chacun commence à creuser de son côté, sans architecture globale, sans gouvernance, sans alignement. On verra bien où on arrive. On aurait eu deux tunnels, certainement, et probablement pas connectés. Et je vois encore parfois des SMSI exactement comme ça. Chaque département écrit ses procédures, choisit ses outils, définit ses règles sans cohérence globale. Tu n'as pas un SMSI, tu as plusieurs métavers documentaires qui coexistent sans gouvernance. Et là, arrive l'audit. Et soudain, tout le monde découvre les incohérences, les contradictions, les doublons, les politiques jamais validées, les procédures jamais appliquées. Et il y a aussi le piège du cercle parfait. Il y aura un autre problème énorme avec le bottom-up. Le perfectionnisme documentaire. Parce qu'en partant sans cadre, le cerveau veut remplir le vide. Donc, tu rajoutes des couches. Puis encore des couches. Puis encore des couches. Bientôt, ta police de mot de passe fait 18 pages. Ton processus incident, 42 étapes. Et personne ne lit plus rien. Parce qu'un document ISO n'a pas pour objectif d'être beau. Il doit être utile, applicable. compris, maintenable. Le bottom-up pousse souvent à produire trop tôt, des documents trop détaillés, sur des risques pas encore validés. Et après, tu deviens prisonnier de tes propres documents parce que maintenant, ils sont validés, communiqués, publiés, parfois même affichés partout avec la signature d'un manager, histoire de perdre du temps encore quand tu les réviseras annuellement, et parfois audités aussi. Et tu n'oses plus les modifier ? Tu les revois, ça oui, mais modifier, non. Donc tu accumules de la dette documentaire. Le top-down n'est pas l'ennemi de l'agilité. Et attention, top-down ne veut pas dire waterfall rigide de 3 ans. Pas du tout. Moi je fais souvent du top-down agile. Oui, ça existe. On définit la gouvernance, le cadre, la direction, les priorités, le reverse planning aussi, en fonction de quand est ta date butoir finalement. Puis on avance, par sprint. Mais les sprints restent alignés sur un marathon, pas sur de l'improvisation. Et ça c'est différent, parce que le problème n'est pas l'agilité, le problème, c'est l'absence de gouvernance. Et plus j'avance dans l'SMSI, c'est-à-dire plus je m'enfonce, on va dire, plus je me rends compte que cela échoue rarement à cause d'un manque de contrôle. Ils échouent souvent par manque de structure, manque d'alignement, par absence de gouvernance, soyons clairs, par fatigue projet, ou parce qu'on a commencé à construire sans savoir ce qu'on voulait réellement bâtir. et par manque de formation aussi. Et là, je ne te parle pas de compétences à l'examen et de lire une norme, car ça, tout le monde sait le faire. Et comme une plongée, tu peux avoir le meilleur matériel, les meilleures bouteilles, le meilleur ordi plongé. Si tu n'as pas planifié ta remontée, tu peux quand même finir dans le caisson. Et je suis arrivé à un âge où je suis fatigué des projets qui remontent en panique. Des « on verra plus tard » , des « on écrira la gouvernance après » , des... On a déjà 150 procédures, donc ça avance. Parce qu'un SMSI, c'est pas une collection de PDF et de PowerPoint. C'est un système vivant. Et un système, ça se gouverne. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi. C'est encore le meilleur moyen de faire grandir Compliance Without Coma et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur Instagram, TikTok, Youtube. C'est tout simplement Compliance Without Coma. Pour les coulisses du podcast, il y aura des shorts, des reels, des punchlines, des guests en vidéo, des micro-trottoirs, parfois. Et ça, c'est pour les différents événements auxquels je participe. Et j'espère aussi bientôt d'autres surprises. Qui sait ? À vendredi prochain déjà, pour un nouvel épisode de Compliance Without Coma. D'ici là, prends soin de toi coma breaker.
