Speaker #0Il y a quelques mois, un client me contacte, très fier, mais vraiment, et honnêtement, au début, je pensais qu'il allait m'annoncer une bonne nouvelle. Il me dit « Fabrice, on a pratiquement terminé notre ISO 27001 » . Je réponds, un peu étonné, « Ah bon ? » Parce que je ne les avais pas vus depuis très longtemps en fait. Je suis hors budget. Il m'a remplacé. Et là, il me dit « On a acheté un pack de templates » . Bon. Moi, l'effet coupe du monde oblige, quand tu me parles de pack, je pense à un pack de bière. Et surtout parce que dans la majorité des cas, ton pack de bière serait tout aussi efficace que ton kit de template. Bienvenue dans Compliance Without Comma, le podcast qui parle de cybersécurité, de gouvernance et de conformité, mais sans te plonger dans le commun. Aujourd'hui j'aimerais te parler d'une drôle d'idée, une idée qui devient de plus en plus populaire. L'idée qu'on peut acheter un SMSI, comme un label RSE avec de la revue documentaire uniquement, comme on achète une cuisine Ikea. Là tu stresses, parce qu'il va toujours te rester 7 vis, et tu as beau avoir toutes ces vis là à la fin, tu... te poses la question, qu'est-ce que j'ai oublié de monter ? Et est-ce que mes armoires vont se casser la figure à 3h du matin ? Si, si, c'est toujours la nuit que ça se passe. Donc, pareil, tu as acheté ton kit SMSI, comme on achète un thème WordPress, comme on achète un modèle PowerPoint. Et je vais t'expliquer pourquoi cette idée est séduisante, mais probablement trompeuse. Et en plus, d'ici la fin de mon podcast, ton SMSI en kit se trouvera sur l'IA. pour 20 euros. Donc, pourquoi encore aller payer pour les templates documentaires ? Imagine un instant. Tu décides de passer ton permis de conduire. Et sur Internet, quelqu'un te propose le formulaire d'inscription, le carnet d'apprentissage, les attestations, les checklists, les procédures, les documents administratifs. Tout est prêt. Tout est pro. Tout est bien présenté. Tout semble officiel. Tu achètes. Tu remplis les documents. Tu classes tout dans un magnifique dossier, tu passes 6 mois à peaufiner tes formulaires, puis arrive le jour de l'examen. L'examinateur monte dans la voiture avec toi, il te regarde et il dit simplement « Allez, démarre ! » Et là, tu réalises que personne ne t'a appris à conduire. Et bien c'est exactement ce qui se passe avec beaucoup de projets ISO 27001. Les organisations achètent de la documentation, parfois le bullshit. Ça rassure le cerveau. Ça le rend occupé. On a des milliers de docs pour lancer comme de la poudre de perlimpinpin à l'auditeur. En fait, les organisations pensent acheter de la maîtrise. Et ce ne sont pas les mêmes choses. Et lorsque je suis retourné chez ce client, eh bien j'ai ouvert son répertoire documentaire. Des politiques, des procédures, des formulaires, des registres, des matrices racies, des ségrégations of duties, des modèles, des modèles de modèles. C'était magnifique. Franchement, le problème, c'est que personne ne savait vraiment comment tout cela fonctionnait. Et quand j'ai demandé, mais comment gérez-vous vos risques ? Silence. Quand j'ai demandé, mais pourquoi ce contrôle est-il applicable ? Silence. Quand j'ai demandé, et qui valide cette exception ? Silence. Et pourtant, tous les documents existaient. Et c'est là que beaucoup de personnes se trompent sur ISO 27001 parce qu'elles pensent que l'auditeur vient vérifier l'existence de documents. Allez, ok, je te refile une question d'examen. Ça, c'est le stage 1 audit. Audit d'étape 1. C'est principalement la revue documentaire. Mais l'auditeur va faire l'audit d'étape 2. Et là, il va vérifier que tu as mis en place tous les documents. Donc même si tes documents seuls sont incapables de générer des records, ta maturité sur l'échelle CMMI... elle est loin d'être atteinte. Et tu me diras, le template va aussi faire le design des KPIs qui sont propres à chaque entreprise ? Alors, comment est-ce qu'un inspecteur qui compterait les pages, comment un professeur qui vérifierait la longueur d'un mémoire, pour dire, s'il ne fait pas 5 cm d'épaisseur, ça ne va pas, ou tu penses que c'est vraiment ça, ce que l'auditeur cherche ? Non. Un bon auditeur... cherche quelque chose de beaucoup plus simple. Il cherche à comprendre si tu pilotes réellement ton système. Et il va faire le lien entre les documents que toi-même tu n'aurais pas vus, pour vérifier si cela reste cohérent, mais aussi surtout pour sa propre compréhension. Et c'est là que commence le problème des templates. Les templates répondent à une question. À quoi ressemble un SMSI ? Mais ils ne répondent pas à la question la plus importante. Comment fonctionne-t-on un SMSI ? Ce sont deux questions totalement différentes. Je te prends un exemple. Tu télécharges une politique de gestion des accès. Elle est superbe. On y parle d'approbation. De séparation des rôles, de revue périodique, d'accès privilégié. Parfait. Puis l'auditeur te demande « comment faites-vous chez vous ? » Et là, le document ne peut plus répondre, c'est à toi de répondre. Et c'est précisément à ce moment-là que la certification se gagne ou se perd. Et en plus l'IA aujourd'hui ajoute une nouvelle couche au problème. Parce qu'avant il fallait au moins copier-coller, maintenant il suffit de demander. Je me vois dans un lardin demander au génie « Tiens, je frotte la lampe et j'ai trois vœux. » Personne ne m'a appris à prompter le génie, donc je vais lui demander « Rédige-moi une politique ISO 27001. » 30 secondes plus tard, magie, le document apparaît, professionnel, structuré, élégant. Mais l'IA souffre exactement du même problème que les templates. Elle écrit, elle ne comprend pas, elle rédige, elle ne décide pas. Elle produit du contenu. Elle ne connaît pas ton entreprise. Enfin si, elle pourrait si tu montes ton LLM en local, mais je ne vais pas en parler dans cet épisode. Elle ignore tes contraintes, tes clients, tes outils, tes exceptions, ta culture, tes arbitrages, et pourtant tu conviens qu'elle est meilleure que tes templates. Elle ne sait pas pourquoi tu acceptes certains risques, elle ne sait pas pourquoi certains contrôles sont impossibles à mettre en œuvre, elle ne sait pas pourquoi ton environnement ressemble à ce qu'il est. Et c'est justement ce contexte qui intéresse ISO 27001. Je compare souvent cela à un GPS. Le GPS peut calculer le meilleur itinéraire, mais il ne peut pas décider où tu veux aller. C'est n'est qu'à dire un truc du genre, il n'y a pas de vent pour les marins qui ne savent pas où aller. Imagine, tu achètes le bateau, et avant de te former, tu achètes le kit de la voile. Tu es tout excité à l'idée de traverser seul l'Atlantique, à défaut de traverser le désert. Bon, j'arrête avec mes images. Et l'IA en fait fonctionne pareil. Elle peut t'aider à rédiger, mais elle ne peut pas rédiger ta stratégie de sécurité. Elle ne peut pas choisir tes priorités. Elle ne peut pas comprendre tes enjeux métiers. Tu as remarqué que je mets l'IA sur le même niveau que le template. Bien que l'IA soit beaucoup plus dynamique, c'est juste pour l'idée. Et à mon avis, aujourd'hui, l'IA est bien plus forte que les templates. Mais le plus ironique dans tout ça... C'est que les entreprises qui cherchent à gagner du temps avec des templates finissent souvent par en perdre davantage, parce qu'elles créent des montagnes de documents. Puis elles passent des semaines à corriger, supprimer, fusionner, clarifier, réconcilier les versions. J'appelle ça le syndrome du garage, en fait. Tu achètes des cartons, tu les empiles, tu dis que tout est organisé, puis un jour, tu cherches un tournevis, et tu reviens tout fier, deux heures après, avec, du garage. Et surtout, personne ne savait où il était. T'imagines aucun incident ? Mais j'ai pourtant un template qui me dit que les outils que je dois ranger sont à tel endroit. Oui, oui, bien sûr. Par exemple, 27001, c'est pareil. Une documentation que personne ne maîtrise devient un risque. Et ce risque, tu l'as créé toi-même. Alors, est-ce que les templates sont inutiles ? Attention, spoiler. Non. Est-ce que l'IA est inutile ? Certainement pas. Je les utilise moi-même, mais pas comme produit fini, comme point de départ, comme squelette, comme structure, comme accélérateur, pas comme un cerveau de remplacement. Un bon template doit te faire réfléchir, pas penser à ta place. Une bonne IA doit t'aider à formuler, pas à décider à ta place. C'est le système 1 et 2 de Daniel Kahneman, Think Fast and Slow. Et surtout, chaque document doit pouvoir être défendu, expliqué, illustré, prouvé. Parce que l'auditeur ne va pas te demander « avez-vous un document ? » Il va te demander « explique-moi comment ça fonctionne » . Et cette différence, c'est toute la différence entre la conformité documentaire et la maturité réelle. Alors la prochaine fois que quelqu'un te promet ISO 27001 en 30 jours grâce à nos templates, ou génère ton SMSI avec l'IA, pose-toi une question simple. Est-ce que j'achète un système de management, ou est-ce que j'achète simplement un dossier ? D'ailleurs, je vais sortir une offre abonnement qui va te permettre aussi de te débloquer justement par rapport à cela. Contacte-moi en DM, je pense que tu sais où me trouver maintenant, depuis le temps. Tape juste Compliance Without Comma. Parce qu'un dossier peut impressionner, mais seul un système peut être certifié. Merci d'avoir écouté Compliance Without Comma, et rappelle-toi Comma Breaker. Un SMSI ne se mesure pas au nombre de documents que tu possèdes. Il se mesure au nombre de questions auxquelles tu peux répondre sans regarder tes documents, ou le temps que tu cherches après face à l'auditeur. et ça donnera ta maturité et ta maîtrise. Et toi, dis-moi aussi si tu as déjà acheté un kit ISO 27001 de template. Dis-le-moi en commentaire, j'aimerais avoir ton retour. Et aussi avant de terminer, j'ai reçu pas mal de messages ces derniers mois, des questions sur des root causes analysis impossibles ou qui bouclent, des non-conformités parfois fictives, des auditeurs qui demandent des trucs créatifs auxquels tu ne sais pas quoi répondre, des RSSI qui se demandent s'ils sont les seuls à galérer avec leur shadow IT, Et parfois simplement, Fab, à ta place, toi tu ferais quoi ? Ou à ma place, toi tu ferais quoi ? Alors, je suis en train de préparer deux offres. La première s'appellera Comma Breakers Solo, pour ceux qui veulent pouvoir me poser leurs questions, débloquer une situation, avoir un deuxième avis autre que l'IA, je t'empêche pas d'aller vers l'IA, bien évidemment, ou simplement éviter de construire une usine à gaz quand un Excel suffit. Et la deuxième offre, ça sera Comma Breakers Academy, Un endroit, finalement, pour apprendre ensemble, échanger sur les cas réels, parler ISO 27001, DORAN, IS2, Pentest, que sais-je, incident, et surtout carrière, ta carrière, probablement, ce que j'ai raté aussi dans la mienne, on apprend des autres, et probablement aussi se rendre compte qu'on est nombreux à avoir les mêmes galères. Donc, je n'ai pas encore tout dévoilé, mais si l'idée te parle, reste dans le coin. Parce que la conformité ne devrait pas être un coma, ça tu le sais déjà. Et on est probablement plus nombreux, que vous ne le pensez, à vouloir finalement la rendre, cette conformité un peu plus vivante. Si cet épisode t'a plu, n'hésite pas à le partager autour de toi, c'est encore le meilleur moyen de faire grandir Compliance Without Coma. N'oublie pas de liker et de rester éveillé. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur Youtube, Insta, TikTok... C'est simplement ComplianceWithoutComma. Il y a également les coulisses du podcast, des shorts, des rails, des punchlines, des guests en vidéo. A vendredi prochain, déjà, pour un nouvel épisode de ComplianceWithoutComma. Et d'ici là, prends soin de toi et de tes non-conformités, Comma Breaker.
