Speaker #0Bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et d'ISO 27001 sans te plonger dans le coma. Je suis Fabrice De Paepe, depuis plus de 20 ans, j'audite, j'implémente et je forme autour des systèmes de management. Et ici, je te partage ce que je vois vraiment sur le terrain. J'aide des entreprises à construire des systèmes de management qui fonctionnent vraiment. Mon objectif est simple, te faire gagner du temps, t'éviter les usines à gaz et te permettre de construire un SMSI qui apporte de la valeur. Pas juste un certificat. Alors installe-toi confortablement. Aujourd'hui, on va parler de la coupe du monde de football et du choix de ton auditeur interne. Hey ! Comment ça va mon coma breaker préféré ? Imagine une seconde. Tu prépares ton audit ISO 27001 depuis un an. Ton audit interne n'a rien trouvé. Aucune non-conformité. Te voilà rassuré. Moi ça m'inquiète énormément parce que je vais t'expliquer pourquoi. À moins de vivre dans ta caverne de Platon, tu n'es pas sans savoir que la Coupe du monde de football aux USA arrive à sa fin. Et forcément, j'ai pensé à l'ISO 27001. Oui, je sais, j'ai un problème. Mais avant que je ne rentre en réhab pour l'été, écoute ça. Quand une équipe nationale prépare la Coupe du Monde, elle ne choisit pas ses matchs amicaux au hasard. Tu ne vas pas appeler Gibraltar, Samarain ou les îles Samoa. Enfin, tu peux, mais à quoi ça sert ? Tu gagnes 8-0. C'est toi qui leur mets des non-conformités dans leur défense. Et en plus, tu prends confiance. De quoi flatter ton égo, hein, toujours l'égo. Dans la presse, on lit « Cette équipe est prête et a fait le plein de confiance » . Et puis vient le premier match. Tu tombes sur l'Espagne ou l'Argentine. Ou la France, la Somme, diront certains. Je te rappelle que je suis belge. Imagine, tu prépares ta certification ISO 27001. Tu as tes politiques, tes procédures, tes KPI, ton analyse de risque, tes contrôles. Et là tu découvres que ton système ne fonctionne pas face au ténor. Pire, tu te fais prendre par surprise par des équipes moyennes, et tu ne passes pas le premier tour, l'audit d'étape 1. Tu ne sors même pas des poules. Est-ce que tu vois où je veux en venir avec mon idée ? Franchement, ça devrait passer. Mais qui t'a dit ça ? Ton consultant ? Il est gentil. Il veut que tu réussisses. Ton responsable sécurité ? Il a créé la doc. Ton manager ? Il veut que ça passe. Et c'est normal. Mais il ne joue pas le rôle de l'adversaire, mais celui du supporter. Ton collègue ? Il ne veut pas te vexer. En fait... Tout le monde espère que tu es prêt, et c'est précisément le problème. Parce qu'un audit interne, c'est pas un exercice de politesse, ce n'est pas « on vérifie que tout le monde est content » , ce n'est pas un audit de courtoisie, ce n'est pas un audit pour voir, ou un audit qui ne compte pas, comme j'ai déjà entendu, non. Un audit interne, c'est un match de préparation, le plus important de la saison, parfois avec des blessures avant la compète, quelques bleus dans ton ego. Et ton auditeur interne, C'est ton adversaire, le meilleur partenaire que tu puisses avoir. Alors la question est, quel adversaire choisis-tu ? Les îles Samoa ou une équipe qui joue au niveau de la Coupe du Monde ? J'ai parfois vu des audits internes, comment dire, très bienveillants, trop bienveillants. On ne pose pas certaines questions, on évite certains sujets, on reformule les réponses, on souffle parfois même les réponses, on ferme un oeil parfois les deux. Et au final, aucune non-conformité, aucune offi, opportunity for improvement. Tout le monde est content, score final 8-0 contre Gibraltar. Mais, mais, on a gagné ! Mais contre personne, on a joué Gibraltar. Puis arrive le vrai match, et là, bim ! 14 non-conformités mineures. Allez, zéro majeur car tout est déjà implémenté, et je suis gentil. Et 8 offi. Il y a un grand silence dans la salle, comme dans le stade quand l'équipe adverse marque à la 92ème minute. Et est-ce que tu sais ce qui s'est passé ? Rien ? Absolument rien. L'auditeur de certification n'a pas changé les règles du jeu. Il a simplement regardé ton système avec le niveau d'exigence attendu. Les mêmes lunettes, celles que ton auditeur interne aurait dû porter. Parce qu'un bon auditeur interne, c'est pas quelqu'un qui te rassure, c'est quelqu'un qui t'inquiète. juste assez pour éviter que le certificateur ne le fasse à sa place. Quelqu'un qui pose les vraies questions, qui valide les risques. Est-ce que le business est au courant de ses propres risques et de ses risques CES ? Tu dis XX ou Y dans telle procédure ? Bah, montre-moi comment tu fais. Comment prouves-tu cela ? Que se passe-t-il si cette personne quitte l'entreprise ? Tu as examiné la loi par rapport à ce contrôle et le délai de rétention légal ? Est-ce qu'il est respecté ? Et parfois, cette personne, tu la trouves fatigante. Tu te demandes pourquoi elle insiste autant, pourquoi elle gratte, pourquoi elle ne lâche rien, et pourtant, elle est probablement en train de sauver ton audit de certification. C'est exactement comme le football en fait. Quand tu prépares une coupe du monde, tu cherches un adversaire qui va te faire progresser, pas un adversaire qui va flatter ton ego, un adversaire qui a le niveau, qui joue dans le même style que tes futurs adversaires, qui révèle tes faiblesses, qui teste ton système de jeu, qui te pousse à progresser. Tu ne cherches pas quelqu'un qui te laisse gagner. tu cherches quelqu'un qui t'empêche de perdre le jour où ça compte. Et un auditeur interne, c'est exactement ça. Je vais même te dire quelque chose qui surprend souvent mes clients. Un très bon auditeur interne doit parfois être plus exigeant que le certificateur. Oui, tu m'as bien entendu. Parce que s'il lui trouve le problème avant, tu as encore le luxe de pouvoir agir, de corriger et d'appliquer une action correctrice, de t'améliorer, de comprendre. Ça entraîne ton équipe. Ça lui montre ce qu'est un vrai audit. Et lui, montre comment se passe un audit, pour que ton entreprise se prépare. Mais comme à la FIFA, les points sont comptés dans le résultat du match. C'est aussi pour ça que je m'entoure de ce type d'auditeurs, des auditeurs qui sont eux-mêmes auditeurs de certification, parce qu'ils savent exactement ce qu'ils cherchent, et surtout, ce qu'ils ne laisseraient jamais passer. Il y a un autre conseil que je donne régulièrement, change parfois d'auditeur interne. Pas parce que le premier est mauvais. Mais parce qu'au bout de quelques années, tout le monde connaît les questions. Et lorsqu'on connaît les questions, on finit par préparer les réponses. Ça reste un match amical. Mais c'est pas une répétition générale où tout ce qui est écrit arrive. Ton auditeur interne sert aussi pour le jour où ton certificat ne servira plus à rien. Tu sais, parce qu'il te faudra gérer un vrai incident. Alors évidemment, oui, l'auditeur interne prépare à la certification. Mais c'est pas son objectif principal. Son objectif, c'est de vérifier que ton système tiendra. le jour où tu auras vraiment besoin. Il y a une limite. Tu ne vas pas choisir un auditeur interne qui invente des exigences, qui demande des preuves absurdes, qui transforme ton SMSI en usine à gaz, ou qui même essaye de battre le record du monde des non-conformités. Le but n'est pas de casser les jambes de tes joueurs, le but est de leur montrer où elles pourraient casser. Tu veux sortir du terrain, fatigué, un peu frustré, mais plus fort. C'est ça la vraie leçon. Le rôle d'un auditeur interne n'est pas de te dire tout va bien. Son rôle, c'est de faire en sorte que le certificateur ait le moins de surprises possibles. Maintenant, le coup d'envoi est donné. On s'est bien préparé, on ne lâche rien, jusqu'au coup de sifflet final. Parce qu'au fond, la certification n'est pas le match, c'est juste le tableau d'affichage. Le vrai match, il se joue des mois avant, quand quelqu'un ose te montrer tes faiblesses. Et toi, comme un breaker, dis-moi honnêtement. Ton auditeur interne, c'était Gibraltar ? Ou l'Argentine ? Ou la France ? Parce que si ton audite interne est confortable, il est peut-être temps de changer d'adversaire. Avant de terminer, je prépare actuellement deux nouvelles façons de continuer la discussion. La première, c'est Coma Breaker Solo. Un abonnement simple, sans engagement. Tu bloques sur une exigence ISO ? Tu veux un deuxième avis ? Relire une offre ? Valider une décision avant un audit ? ou simplement éviter de transformer un problème de 10 minutes en projet de 3 semaines. Je suis de l'autre côté de l'écran. La seconde, c'est Coma Breaker Academy, l'endroit où mes Coma Breakers se retrouvent pour progresser ensemble, des échanges sur les cas réels, des décryptages, des sessions en direct et des discussions sur ISO 27001, la cyber, la gouvernance et tout ce qui gravite autour. Je dévoilerai tout ça très bientôt. En attendant, si cet épisode t'a été utile, partage-le à quelqu'un qui... Pense encore que la conformité est une montagne de procédures, parce que la conformité ne devrait jamais être en quelque chose que tu subis, en fait, et certainement pas un coma. Et n'oublie pas les 5 étoiles. À défaut de les avoir sur le maillot de l'équipe belge, mets-les-moi sur le podcast. C'est encore le meilleur moyen de continuer à faire grandir Compliance Without Coma. Pense également à t'abonner au podcast pour ne manquer aucun épisode. Et pour prolonger la discussion, on peut se retrouver sur YouTube, Insta, TikTok. C'est tout simplement Compliance Without Comma pour les colisses du podcast. Il y aura également des shorts, des reels, des punchlines, des guests en vidéo. Et surtout, n'attends pas le certificateur pour découvrir tes faiblesses. A vendredi prochain déjà, pour un nouvel épisode de Compliance ou d'autres communs. D'ici là, prends soin de toi, comma breaker.