Speaker #0Hey, comment tu vas mon coma breaker préféré ? Je vais te faire une confidence. Je suis un chef amateur, pas un vrai. Je ne suis pas capable de te faire un menu gastronomique de 8 services. Mais je sais faire une béarnaise. Enfin, quand elle ne tourne pas. Et si tu as déjà essayé, tu sais. La cuisine est calme, tu incorpores les cubes de beurre froid au fur et à mesure, tu montes les jaunes, tu fouettes en huit, ton sabayon monte et tu es fier, et soudain, la sauce tranche. Et là, il y a deux catégories de personnes. Bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de conformité. Bon, ISO27001 aussi. Mais sans te plonger dans le coma, même pendant une canicule. Je suis Fabrice De Paepe et aujourd'hui j'aimerais te parler des playbooks. On te parle toujours des livres de recettes, jamais de comment les rattraper quand elles ratent. Et c'est ça aussi, les auditeurs adorent te poser cette question. Quels sont les plans que vous avez mis en place pour la réponse à vos incidents ? Donc oublie pas de liker, partager et discuter de cela avec un collègue CISO ou RSSI ou chef en devenir, ou quand tu croises quelqu'un d'un comex. Si tu veux, je te refile ma recette de Béarnaise. Ah aussi... J'ai lu récemment que le cerveau associait comme suspect le fait de n'avoir que des maximums en cotation. J'ai été voir les cotes du podcast et je n'ai effectivement que des 5 étoiles. Non, finalement, oublie ce que j'ai dit. Mets-moi 5 étoiles si tu veux, c'est encore ça qui aide le plus le podcast à être vu. Donc on est dans la sauce, on parlait de quoi déjà ? Ah oui, les deux catégories de personnes lorsque tu rates une sauce. Donc la première, c'est celle qui panique. Elle fouette plus vite. Elle ajoute du beurre, puis de l'eau, puis du vinaigre, puis elle regarde vite sur YouTube, la sauce retombe, puis TikTok, puis elle jure. Je te passe les injures. Et au bout de cinq minutes, finalement, elle jette tout. Et puis il y a la deuxième catégorie de personnes. Elle connaît la procédure d'urgence. Elle sait que si la sauce a tranché, tu dois recréer une émulsion. Tu prends un nouveau jaune d'œuf, hors du feu, tu le bats dans un autre récipient, tranquille, tu gères, tu incorpores doucement la sauce ratée, et parfois... Tu récupères tout. Bon, je rentre pas dans tous les détails, c'est juste pour te mettre sur l'idée qu'il y a évidemment différentes techniques en fonction de l'incident et de l'origine. Et tu sais quoi, cette fameuse procédure, c'est pas une recette, c'est un playbook. La recette, elle, elle t'explique comment réussir une béaraise. Le playbook, lui, il t'explique comment sauver une béarnesse ratée. Et en cybersécurité, c'est pareil. Beaucoup d'entreprises ont des cookbooks. Comment gérer des sauvegardes, comment configurer l'antivirus, comment patcher Windows, comment créer un compte AD, et je t'en passe un. Mais le jour où tu reçois ce message, « Your files have been encrypted » , ton cookbook ne sert à rien, il te faut un playbook. Parce qu'à cet instant, personne ne demande comment fonctionne l'Active Directory. Tout le monde demande, on coupe Internet ? On éteint les serveurs ? Qui appelle le CEO ? Qui prévient les autorités ? Euh, c'est un incident NIS 2 ? Oui ou non ? On restaure ou on attend ? Les backups sont-ils propres ? C'est qui notre forensic déjà ? Et si tu improvises, ta sauce tourne. Un playbook n'est pas comment faire une béarnaise. Un playbook sait comment récupérer une béarnaise qui a tourné. Et c'est pour ça qu'il doit être court, testé, connu à l'avance, il ne se lit pas pendant la crise. Ou ne se découvre pas, surtout pendant la crise. Parce qu'en pleine panique, tu n'as pas le temps d'ouvrir le fichier qui se nomme Incident underscore response underscore plan underscore final underscore version 7.3 underscore underscore approve underscore 2025 underscore last version J'en ai encore. Underscore v2 underscore real final dot pdf. T'imagines ? Non, tu veux un playbook ransomware, par exemple, avec Merci. Isoler, préserver l'épreuve, identifier le périmètre, notifier, décider, restaurer, revoir. Et là j'ai vu des entreprises jeter une infrastructure entière, comme certains jettent une béarnaise, avec un duty manager en mode panique voulant à tout prix déclencher le DR, tu sais le disaster recovery. Oui je vois le playbook comme une réponse aux incidents, donc ça peut être un DR. Mais c'est tellement plus vendeur de dire playbook non ? On en oublierait presque qu'on doit gérer une crise, et que le nom Playbook te fait penser que cela va être un jeu d'enfant, et une aventure extraordinaire dans ton conte de fées préféré. Et j'ai aussi vu des organisations qui... respirent. Zen, ouvre leur playbook, suive les étapes, et parfois, elle récupère quelque chose qu'elle pensait perdue. Parce qu'au fond, l'improvisation est un art en cuisine. En gestion d'incidents, c'est souvent un luxe qu'on ne peut pas se permettre. Et toi, cher comma breaker, quels sont les playbooks que tu as déjà mis en œuvre, ou les recettes que tu as foirées et récupérées ? Et quelle catégorie de personnes tu es, la 1 ou la 2 ? Et surtout, est-ce que je t'ai donné l'envie de te créer tes propres playbooks ? Est-ce que tu as maintenant ce sentiment d'urgence ou pas ? Et tu me dis, mais en fait, il ne fait que parler de recettes et mon playbook, il n'en parle pas. Je vais quand même te donner un playbook assez générique pour un ransomware, par exemple, pour te mettre l'idée. Donc d'abord, on a le trigger. Quel est l'effet déclencheur ? Donc tu pourras avoir une note de rançon qui est détectée. Tu pourras avoir des fichiers chiffrés. une alerte de ton EDR XR préféré, une activité suspecte confirmée. Pour ça, c'est également la réponse aux incidents. On est dans l'ISO 27001, par exemple, ou dans l'ISO 27035 pour la gestion des incidents. Tu as peut-être déjà déclenché ton C-CIRT, ton Computer Security Incident Response Team. Et la première chose que tu dois faire après l'identification et le déclenchement, c'est stopper l'hémorragie. Pense à ma sauce qui a tourné. Donc tu vas isoler les systèmes infectés. Comment ? Je te les aurai avec ton ciseau. Je peux te donner des idées, mais je ne connais pas ton contexte. Vous êtes trop nombreux et dans différents contextes, c'est impossible à le faire comme ça dans un podcast. Ça ne se partage pas, en fait. Mais tu pourrais désactiver le réseau. Et n'oublie pas ta carte Wi-Fi. Et n'oublie pas ton Bluetooth. Donc isoler les systèmes infectés, empêcher la propagation. ça je viens de te l'expliquer, tu vas retirer et désactiver le réseau, préserver les preuves, donc prends des copies de ton écran avec un smartphone, si aujourd'hui je pense qu'il n'y a plus personne à Nokia 3310, et tu vas devoir évaluer, donc avec l'aide de ton ciseau, identifier les systèmes touchés, les données touchées, est-ce qu'on est sur un data breach ou pas au niveau RGPD, donc synchronise-toi au niveau de tes processus internes avec le ciseau et le DPO, déterminer si l'attaque est toujours actuelle. active ou en train de se propager, tu dois alerter les gens. Donc, ça, normalement, tu l'as déjà en place. C'est-à-dire que tu vas informer le responsable de sécurité, la direction, éventuellement déclencher l'activité de cellules de crise, que moi j'appelle CMT, Crisis Management Team, qui, elle, va coordonner en interne, en externe. Je ne vais pas te dire le comment, mais si c'est impossible pour moi de te le dire, bien sûr. Décider ? Qu'est-ce qu'on va décider ? Est-ce qu'on continue ou on arrête certaines activités ? Est-ce qu'on reconstruit ou est-ce qu'on restaure ? Ma sauce Bernays, je la jette ou pas ? On détermine les priorités métiers en fonction de ce qui a été affecté, puis on va récupérer. Donc, on restaure les systèmes prioritaires. Pour ça, il faut vérifier leur intégrité, que les backups soient clean également. Et on reprend progressivement les activités. Donc ça, c'est un DR, en fait. Donc tu vas communiquer aussi. Ça, c'est ton CMT qui va le faire, ton Crisis Management Team. Tu vas communiquer selon tes intervalles, j'allais dire intervalles de confiance, mais non, selon tes incidents, tes service level agreements, avec tes parties prenantes internes, avec les clients concernés, sur les bons canaux, les autorités si nécessaire. Et Fab, c'est Nice 2 ou pas ? Je ne sais pas, ça dépend, tu es dans le secteur ou pas ? Avec les fournisseurs concernés. Et après, quand tout ça est passé, ok, Zen, what did we learn ? Donc tu vas apprendre. C'était quoi la root cause ? La cause racine ? Est-ce que je mets à jour certains contrôles dans mon SMSI ? Est-ce que je mets à jour mon playbook ? Qu'est-ce qui n'a pas fonctionné dans mon playbook ? Ou alors est-ce que ça a fonctionné mais que je pourrais être moins ambigu ? Je vais affecter les actions correctives ? Etc. Tu vois, c'est un framework, c'est un squelette. Je ne peux pas te donner un livre, un playbook qui va répondre à tout. J'espère que tu l'as compris. Avant de terminer... Je voulais aussi te dire que j'ai reçu pas mal de messages ces dernières semaines, des avis sur un contrôle dans un certain contexte avec une loi, une directive, une réglementation en particulier, des demandes d'avis sur la durée d'un audit interne, savoir si mon lead implementer NIS2 est accrédité ou non comme certification, des demandes de revue de contrat B2B, et oui, et pourtant je ne suis pas juriste, mais j'en regarde dans les angles morts au niveau IT et sur d'autres choses. des revues de demande d'offres de prix et de catalogue de formation, des questions sur les certifications tendances du moment ou pour ta propre carrière, des idées de plans d'action pragmatiques sur des non-conformités, également de la stratégie. Comme dirait Comex par rapport à certains contrôles, des « Fab, à ma place, tu ferais quoi ? » Bref, des trucs que je ne pourrais pas mettre dans des facs, ni dans un podcast, pour clauses et causes de confidentialité. Alors je suis en train de préparer deux choses. La première s'appellera « Comma Breaker Solo » , c'est un abonnement, pour ceux qui veulent pouvoir me poser leurs questions, débloquer une situation, avoir un deuxième avis, autre que l'IA, ou simplement éviter de construire une usine à gaz quand Excel suffit. Et la deuxième sera Coma Breakers Academy, un endroit pour continuer d'apprendre ensemble, échanger sur des cas réels, parler d'ISO 27001, de DORA, de NIS2, des incidents de ta carrière. D'ailleurs, cette partie ira de pair avec le type de formation qu'on prépare pour le mois d'août et à la rentrée. Donc n'hésite pas à candidater. Si tu veux en suivre une ISO 27001, Lead Implementer ou Lead Auditor avec accréditation à NAPA en plus. Et si tu sais pas c'est quoi, pose-moi la question. Il y aura également un suivi hebdomadaire de deux mois dans le Coma Breaker Academy, de la pratique et d'échanges. Je n'ai pas encore tout dévoilé, mais si l'idée te parle, reste dans le coin. Et si cet épisode t'a plu, n'hésite pas à le partager autour de toi. C'est encore le meilleur moyen de faire grandir le podcast, Compliance Without Coma, qui est une marque maintenant, et de rester éveillé. Donc pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur Youtube, Insta et TikTok, sur Compliance Without Coma. pour les coulisses du podcast, avec des shorts, des reels, des punchlines, des guests en vidéo, ça arrive, et je te dis déjà vendredi prochain pour un nouvel épisode de Compliance Without Comma. D'ici là, prends soin de toi Comma Breaker.
