Description

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube,

📌 Résumé de l’épisode :

Dans cet épisode, on démarre avec une scène familière : un téléphone sonne dans un open space… et personne ne décroche. Pourquoi ? Parce que personne ne sait qui est censé le faire. Une situation absurde, mais révélatrice d’un vrai problème dans les organisations : l’absence de clarté sur les rôles.

💡 C’est là qu’entre en scène la matrice RACI. Un outil simple, visuel, et diablement efficace pour structurer les responsabilités dans un processus.

R comme Responsible,

A comme Accountable,

C comme Consulted,

I comme Informed.

Tu découvriras :

• Pourquoi la RACI évite les non-dits, les conflits et les silences gênants en projet,

• Comment elle s’applique concrètement, notamment en ISO 27001 (audit interne, responsabilités de la direction, etc.),

• Pourquoi tu ne la trouveras dans aucune clause ISO (ni 27001, ni 9001),

• Et pourquoi tu devrais l’utiliser quand même, tout le temps.

🔥 Bonus : on parle aussi du cerveau humain, de l’éléphant rose… et de la charge cognitive que la RACI permet de réduire.

✅ Un épisode clair, pratique, et sans blabla inutile, pour éviter que tout le monde se sente responsable… et que personne ne le soit vraiment.

📲 À écouter absolument si tu veux éviter que ta prochaine procédure ISO finisse en cacophonie organisationnelle.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

• Speaker #0

  Aujourd'hui, je commence par une scène que tu as peut-être déjà vécue. Imagine, vous êtes quatre dans un open space. Les bureaux sont espacés et au centre de la pièce, on entend une sonnerie. D'ailleurs, ne pense surtout pas à un téléphone rouge. Je t'ai eu, trop tard, tu y as pensé, n'est-ce pas ? Eh bien, le cerveau n'est pas programmé pour comprendre les phrases négatives. C'est important en communication, car si tu communiques pourquoi tu veux éviter certaines choses en te justifiant, car tu es l'expert, pourquoi tu veux éviter cela, etc., les gens retiennent le contraire inconsciemment. C'est le paradoxe de l'éléphant rose. Lorsqu'on nous demande de ne pas penser à un éléphant rose, notre cerveau va automatiquement... Visualiser un éléphant rose. Mais revenons à notre téléphone. Il sonne. Qui décroche ? Toi ? Ton collègue ? Ta chef ? Et si la chef n'est pas là ? On attend ? Et si le téléphone est entre deux postes ? Personne ne se sent légitime ? Et là, le téléphone sonne dans le vide. Mais parce que personne ne sait... Qui doit décrocher ? Voilà, tu viens de toucher du doigt le problème de l'absence de raci. Quand personne ne sait clairement qui fait quoi, tout le monde attend. Et au final, rien ne se passe. Ou pire, tout le monde s'en mêle et ça part en vrille. C'est là qu'intervient la matrice raci car c'est un outil simple, visuel et radicalement efficace. Et surtout, une des premières choses que je demande quand je structure un processus, bien avant de parler de procédure ISO. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle cybersécurité, gouvernance, normes ISO, sans anesthésie cérébrale et surtout sans blabla inutile. Alors c'est quoi cette fameuse RACI ? C'est une méthode pour structurer les rôles dans un processus. Qui fait quoi ? Qui décide ? Qui donne un... un avis et qui on informe. C'est ça la promesse de la RACI. Et elle évite les flous, les malentendus, les doublons et les silences gênants en réunion. Petite définition express, on va dire que R c'est pour responsible, celui ou celle qui fait le boulot, A accountable, celui ou celle qui porte la responsabilité finale. Moi, j'ai souvent envie de dire que c'est le fusible. S'il faut virer quelqu'un, c'est lui. Et explique-lui comme ça, il va très vite comprendre qu'il est accountable. Et il ne peut y avoir qu'un seul A par ligne. C'est une des conditions sine qua non. On continue avec C pour consulted, ceux qu'on consulte. I pour informed, ceux qu'on informe. Alors, pourquoi je le fais en anglais ? En français, c'est compliqué. Car on a deux fois le terme responsable. On a celui qui est responsable de s'assurer que c'est fait, et celui qui est responsable d'exécuter la tâche. Waouh ! Que de mots tout simplement pour expliquer R et A. Mais c'est aussi la richesse de notre langue française. Et donc, merci la confusion. Donc, évite. Part sur l'anglais. Parfois aussi, on croise un S comme support. Mais je t'avoue, je l'utilise rarement. Parce que dans beaucoup d'entreprises dans lesquelles je travaille, tout le monde comprend que le R doit faire quelque chose. peu importe son intitulé de poste. Et je laisse venir avec le S, peut-être s'il y a vraiment des différences effectives au niveau de la raci matrix. Je vais te donner un exemple ISO 27001, qui est de préparer un audit interne. Ça y est, tu vois, on est dans la clause 9. D'ailleurs, pas uniquement pour la 27001. On prépare l'audit interne, donc le R, c'est l'auditeur interne. Il fait les interviews, collecte les preuves, rédige le rapport. Le R aussi, c'est le CISO. Il doit exécuter le processus d'audit. Ne pas le faire lui-même, sinon il est jug et parti, on a compris. A pour la direction, parce qu'elle doit s'assurer que l'audit interne est fait. C'est la clause 9. Et il y a également un lien intime avec la clause 5, leadership, et la clause 10, amélioration continue. C, le manager de chaque service audité, pourquoi pas. Et I, la direction générale, le board ou le directoire, par exemple. Et sans cette matrice, le R se met à décider. Le A se cache dans le bois. Le C ne donne jamais son avis. Et le I est informé quand tout est déjà en feu. Et maintenant, écoute bien. Tu ne trouveras pas cette matrice raci dans les clauses 4 à 10 de l'ISO. Comme ça, je te fais penser à l'ISO malgré tout. Pense à mon éléphant. Aucun standard ISO, ni 27001, 9001, 22301, 42001, je ne vais pas tous les faire, ne te parlera de ça. Pourquoi ? Parce que l'ISO te dit quoi faire, pas comment. Tu ne la trouveras pas non plus dans l'annexe A de la 27001, tu sais, celle qui contient la 93 contrôle. Pourquoi ? Parce que ce n'est pas un contrôle ISO, mais c'est un outil pratique de gouvernance qu'on retrouve dans les process que tu es censé documenter et maîtriser. Moi, je la glisse systématiquement au début de process. avant même de rédiger le texte de la procédure, parce qu'elle clarifie les rôles d'un coup d'œil. Là où deux pages Word de texte feraient dormir tout le monde. En résumé, la raci, c'est pas de la paperasse, c'est un outil de clarté, c'est un pare-feu contre l'inaction. Et c'est sans doute l'outil le plus simple et le plus utile, pour faire comprendre que dans un système de management, tout le monde ne doit pas tout faire. Alors maintenant, la prochaine fois que le téléphone sonne dans ton open space, tu sauras... qui doit décrocher. Et tu sauras que tant qu'un risque reste un éléphant rose, l'équipe y pensera, mais sans agir. Dès qu'il devient une ligne raci, ton éléphant, on arrête d'y penser et on agit. La raci va t'aider à réduire ta charge cognitive, ta charge mentale, et crois-moi, on en a tous besoin. En passant de tout le monde est vaguement responsable à une personne A, plus au moins R. On évite la diffusion de responsabilités. La matrice est aussi un artefact auditable. C'est top pour les traçabilités. Et n'est-ce pas là qu'on cherche finalement en ISO ? Si cet épisode t'a aidé, balance 5 sur Spotify ou Apple, partage-le avec quelqu'un qui confond encore responsable et exécutant, pense à t'abonner et surtout, pense à intégrer une raci sur ta prochaine procédure ISO et partage-moi ton feedback. A très vite dans Compliance Without Coma.