Speaker #0Aujourd'hui, on va parler d'un sujet dont personne ne parle. On va encore faire plus niche que niche, tiens, pour le coup. ISO 27021. Tu vois ? Tu ne la connaissais pas, celle-là. Ouais, je sais, encore une norme. Je t'en parle ici, car si j'avais mis ça dans le titre, je ne suis pas certain que tu aurais cliqué. Je soigne mon CTA. Alors, derrière ce nom sexy se cache une question énorme. Est-ce qu'on manque vraiment de talent en cybersécurité ? Ou est-ce qu'on manque surtout de compétences réelles ? Bienvenue dans Compliance Without Coma, le podcast qui parle gouvernance de cyber et d'ISO 27001. Mais sans t'endormir, en tout cas, c'est pas de l'hypnose ericksonienne. Et pas encore gourou non plus d'ailleurs. Pierre Niney, si tu m'entends. Je suis Fabrice De Paepe et aujourd'hui je t'explique un zeste d'ISO 27021 et des absurdités magnifiques qu'on crée nous-mêmes dans notre industrie. Oublie pas de liker, partager et de discuter de cela avec un collègue CISO ou RSSI en devenir. On vit une époque fascinante. Tu peux obtenir 14 certifications, mais pas 15. Tu as la référence ? J'espère pour toi. Sinon, je vais devoir te les faire jusqu'à 15. On peut avoir une bannière LinkedIn Cyber Security Leader. Tant que tu n'es pas dealer in dope, ça me va. On peut faire des threads sur l'IA, car si tu ne postes pas sur l'IA aujourd'hui, tu es mort, et donc ISO 27021, c'est très à contre-courant. Oui, tu peux donc être compétent et malgré tout, ne pas savoir gérer un incident réel. Et c'est là qu'ISO 270021 devient intéressante, parce qu'elle ne parle pas juste de formation ou de certification, elle parle de compétence. La vraie, pas « j'ai suivi un cours » , mais « est-ce que tu es capable de faire le job ? » Et ça, c'est pas la même chose. Parce qu'on connaît tous ce phénomène dans la cyber, le syndrome Pokémon des certifications. Et toutes les plateformes le font, même ta salle de sport préférée. Tu rentres la première fois, tu te prends 100 points et un badge. La gamification, Notre cerveau est addict de récompenses. Il me manque encore le CISSP, je vais prendre le CISM, puis le CRISC, puis le Lead Auditor, puis le Cloud, puis l'IA, Au secours, j'ai plus d'air. Et à la fin, tu as un CV plus long qu'un rapport d'Audit SOC 2 ou PCI DSS. Mais tu paniques dès qu'un client te demande « Ok, mais concrètement, on commence par quoi ? » Et attention, je ne critique pas du tout les certifications, j'en vends, donc je serai mal placé. Mais les certifications ont une vraie valeur. Elles structurent, elles donnent un langage commun, elles accélèrent l'apprentissage. Mais parfois, notre industrie confond connaissances et compétences. D'ailleurs, je connais des CISO sans certification qui sont très très bons. Je ne m'arrête plus à la certif ou au diplôme, mais à la certification, parfois tu vas voir qu'elle rassure le client. Elle rassure le client qui est incapable de t'évaluer. Il est certifié, donc il est bon. Oui, mais est-ce qu'il a fait la guerre et en est surtout revenu vivant ? Mais pour cela, cela demande une maturité côté client qui engage le CISO, le freelance. Je te prends un exemple. C'est comme le permis de conduire. Le jour où tu reçois ton permis, tu sais théoriquement conduire. Mais est-ce que tu es prêt pour Bruxelles sous la pluie, le périphérique parisien, un rond-point italien, un rond-point anglais, sens inversé, une panne moteur à 2h du mat ou un camion qui te colle à 130 sur l'autoroute ? Eh bien, pas forcément. En cybersécurité, c'est pareil. Parce qu'un vrai professionnel, sécurité, doit savoir communiquer avec un comex, gérer le stress, arbitrer des risques, expliquer simplement, vulgariser, prendre des décisions imparfaites, survivre à des contraintes business, gérer des humains. Et ça, aucun QCM de 80 ou 150 questions ne mesure vraiment. Et le sujet devient en fait encore plus intéressant avec l'IA, parce qu'aujourd'hui, rédiger une politique, IA, créer une procédure, IA, générer une analyse de risque, IA, écrire un plan de continuité IA, très bien, mais quand le CEO panique, quand l'usine est à l'arrêt, quand un ransomware chiffre ton ERP, quand les avocats débarquent ou que tu te prends un expert judiciaire sur le dos, quand le journaliste appelle ou qu'un gros client menace de partir, tu peux plus faire juste un prompt, dire chat GPT, please handle my crisis. Enfin, pas encore. Et je pense qu'on entre tout doucement dans une nouvelle phase de la cybersécurité. Pendant longtemps... L'accès à la connaissance était rare. Aujourd'hui, la connaissance, elle est partout. Le vrai différenciateur devient le jugement, l'expérience, la capacité d'adaptation, la communication, la maturité. Bref, la compétence réelle. Et ça rejoint même le principe de Peter, parce qu'on voit partout des gens très bons techniquement, promus managers, puis RSSI, puis responsables gouvernance, sans jamais avoir développé les compétences humaines associées. Et là... Burn-out, syndrome de l'imposteur, posture fragile, compliance théâtre. Honnêtement, je pense que beaucoup de professionnels cyber ne souffrent pas d'un manque d'intelligence, ni d'un manque de motivation, mais d'un système qui récompense. Qui récompense quoi ? Les badges, les mots-clés, les frameworks, les logos. Plus que l'expérience réelle, la pédagogie, la résilience, la capacité à créer la confiance. Mais revenons à notre ISO 27000 et 021. Bah oui. Ça ne m'a quand même pas coûté 135 euros pour rien. Ce serait dommage de ne pas t'en faire profiter un tout petit peu. Donc son objectif principal, c'est de définir les compétences attendues des professionnels travaillant autour d'un SMSI, et donc ISO 27001. Ce qu'elle cherche à résoudre, en fait, c'est que pendant longtemps, beaucoup d'organisations se sont focalisées sur les certifications, les diplômes, les années d'expérience. Mais ISO 27021 pose une autre question. Quelles compétences concrètes faut-il réellement maîtriser ? pour exercer efficacement un rôle sécurité. Et honnêtement, c'est très moderne comme approche. Alors parcourons ensemble les grands sujets clés. Tout d'abord, compétence versus connaissance. Sujet central. La norme distingue implicitement savoir quelque chose, c'est incertif, être capable de l'appliquer, ton expérience. Donc, suivre une formation est différent d'être compétent. Avoir une certification est différent de savoir gérer une situation réelle. Ensuite, on y parle des rôles professionnels SMSI. Donc la norme s'intéresse aux personnes impliquées dans l'implémentation ISO 27001, le management de la sécu, l'audit, la gouvernance, la gestion des risques, l'amélioration continue. Elle ne vise pas uniquement les techniciens. Ouf, je te rappelle qu'on parle de sécurité de l'information et pas de sécurité informatique. Elle parle également des domaines de compétences, donc elle couvre notamment les compétences en termes de management. Gouvernance. Hashtag gouvernance. Leadership, communication, gestion des parties prenantes, stratégie. Ok, les 4 premiers mots-clés, on connaît déjà via la 27.9. Mais stratégie, on n'en parle pas assez. Si tu ne les connais pas encore, retourne un peu écouter mes épisodes sur Machiavel, Sun Tzu, Mandela & Co. Et puis elle parle aussi de compétences sécurité, gestion des risques, contrôle sécurité, vulnérabilité, incident management, conformité, rien de neuf là-dedans. Mais elle parle aussi des compétences ISO ou SMSI. Compréhension de l'ISO 27001, Amélioration continue, Audit, les métriques, les processus SMSI. Métriques, ça veut dire quoi ? En fait, si tu es technique, tu n'as pas forcément la fibre pour trouver les KPI qui parlent au business. Et elles parlent aussi des compétences humaines. Et ça, c'est très intéressant, car je ne l'ai pas encore trouvé dans un examen ISO 27001 et j'ai fait trois bureaux de certif différents. Donc la norme reconnaît implicitement la communication, la pédagogie, le comportement, la collaboration. comme élément critique, ce qui est rarement assez valorisé en cyber en fait, puisque mon IA va patcher les firewalls en plus, donc pourquoi s'en faire ? Et puis aussi on a une approche lifecycle des compétences. La norme pousse l'idée que les compétences doivent être maintenues, évaluées, développées dans le temps. Ça me rappelle l'ISO 17024. Et surtout donc que les formations ponctuelles sont insuffisantes, et qu'il y a un réel besoin d'amélioration continue. Message subliminal, écoute mon podcast. Ensuite, on a l'alignement RH. ISO 27021 est très utile pour des matrices de compétences, des fiches de poste, des plans de formation, l'évaluation de maturité des équipes et le recrutement cyber. Mais en fin de compte, le vrai message caché de la norme, ça peut être intéressant. Le message implicite, c'est quoi ? C'est que la cybersécurité n'est pas qu'un problème technique. C'est un problème de capacité humaine. On sait aussi qu'il faut protéger l'humain ou le faire grandir. Et ce que je trouve aussi très moderne dans l'ISO 27021, c'est qu'elle anticipe plusieurs tendances actuelles. Pénurie cyber, pas juste quantité, mais qualité réelle. L'IA, quand la connaissance devient automatisable, la compétence humaine prend encore plus de valeur. La compliance fatigue, comme je l'appelle. Les entreprises veulent des gens capables d'agir, pas juste produire des documents. Produire un doc, je te rappelle qu'en maturité c'est du niveau 2 ou 3, ça suffit pas. Est-ce qu'elle ne le fait pas ? Elle ne dit pas « tu dois avoir telle certification, tu dois avoir 5 ans d'expérience minimum, ou tel diplôme obligatoire. Ah merde, moi qui pensais trouver le Saint Graal pour vendre plus de certifications, c'est raté. » Non, elle reste orientée « capacité réelle à exercer un rôle » . Donc je pense que cette norme pourrait devenir beaucoup plus importante dans les prochaines années parce qu'on va progressivement passer de « avez-vous une politique sécurité ? » bien « autre référence cinématographique, si tu l'as » . On va passer de ça à les personnes responsables sont-elles réellement compétentes ? Pas bien ! Et ça, c'est un changement énorme. Mais je fais le pari que tu as la référence. Alors, en guise de conclusion, peut-être que la vraie question n'est pas combien de certification as-tu, mais plutôt, est-ce que les gens te feraient confiance pendant une crise réelle ? Et ça, aucune norme ISO ne peut complètement le certifier. D'ailleurs, merci à Alexandre pour l'idée. Oui, car je n'avais pas de sujet pour aujourd'hui. Et j'en ai qui maturent, encore pour les semaines qui viennent. Comme quoi se faire un lunch en terrasse avec un ciseau de temps en temps donne des idées de podcast. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi. C'est encore le meilleur moyen de faire grandir Compliance Without Coma et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Il y a un newsletter, tu verras. Et pour prolonger la discussion, on peut se retrouver sur Instagram, TikTok, YouTube. C'est tout simplement Compliance Without Coma. Là-bas, il y aura des coulisses du podcast, des shorts, des reels, des punchlines, des guests en vidéo. Parfois des micro-trottoirs dans les différents événements. auquel je participe, et j'espère bientôt d'autres surprises, qui sait. A vendredi prochain déjà pour un nouvel épisode de Compliance Without Comma. D'ici là, prends soin de toi, Comma Breaker.
