Speaker #0J'ai constaté que vous aviez apprécié mon côté décalé et philo. Donc d'ailleurs à ce jour, l'épisode de Platon et le mythe de la caverne est le plus écouté. Donc peut-être qu'on va péter un score aujourd'hui avec celui-ci. D'ailleurs, cela me donne une idée pour un podcast sur le principe de Peter. On y reviendra. Donc si tu ne veux pas rater d'autres épisodes, abonne-toi pour être notifié dès que ça sort. J'ai encore quelques analogies à te partager. Et donc aujourd'hui, cadeau. On va parler d'un autre mythe. Pas un mythe sur la conformité. Enfin, quoi que. Mais un vrai mythe. Antique. C'est une histoire que je raconte à chaque fois que je donne cours ISO 27001 ou lors de mes cours d'audit. Si tu ne vois pas encore le lien, j'y viens. D'ailleurs, c'est un peu pareil pour la cybersécurité. Il y a de nouvelles vulnérabilités, il faut les patcher, on les patche. Il y a de nouvelles vulnérabilités, il faut les patcher, on les patche. Il y a... Oui, ça va, on a compris. C'est un peu dans la vie de tous les jours la même chose. Se lever, manger, dormir. Se lever, manger, dormir. Parce que les couples disent, c'est métro, boulot, dodo, métro, boulot, dodo. Donc, c'est un peu absurde quand on y pense, non ? Alors, si tu es curieux d'entendre en quoi Sisyphe a un lien avec ta condition absurde d'humain, de consultant, d'implémenteur ISO 27001 ou d'auditeur, c'est aussi valable pour tous les postes de qualité d'ISO, d'ailleurs. C'est par ici. Suis-moi. Bonjour à toi et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité et de gouvernance de normes ISO sans jargon, sans anesthésie cérébrale et surtout sans bullshit. Donc, un peu de mythologie grecque d'abord. Sisyphe était un roi banni par les dieux pour avoir osé les défier. Comme punition, il était condamné à pousser une énorme pierre au sommet d'une montagne jusqu'à la fin de sa vie. Quand il avait fini, une autre pierre arrivait et ce, jusque l'éternité. ou jusqu'à sa mort. Belle délivrance, n'est-ce pas ? Pour Albert Camus, le mythe de Sisyphe, c'est la condition humaine, c'est plutôt la condition absurde de l'existence humaine. Et Sisyphe est effectivement condamné à pousser éternellement ce rocher en haut d'une colline pour le voir redescendre. Ceci représente la lutte inlassable et dépourvue de sens de l'homme face à l'absurdité de la vie. La condition absurde de l'existence humaine, ou du CISO, ou du RSSI ou du consultant, je te laisse, seul juge. Et pour moi, le mythe de Sisyphe, c'est la roue de Deming en qualité. C'est le PDCA. Planifier, déployer, contrôler, agir. Planifier, tu vas créer tes politiques. Déployer, tu mets tes plans d'action en route. Contrôler, tu mesures. Et agir, comment est-ce que je peux encore m'améliorer et pousser cette satanée pierre un cran plus haut sans me faire écraser. Notre Sisyphe donc, le RSSI, toi le DPO, L'auditeur, le consultant, va se faire aider par des standards, des guidelines, la clause 5 de l'ISO, le leadership, pour tenter de monter cette pierre en haut de la montagne. Tu vois les forts. Condition absurde de la sécurité de l'information aussi. On va toujours avoir des trous à boucher. Une fois bouchés, d'autres apparaissent ou on en découvre d'autres. Ou on a de nouveaux fournisseurs et de nouvelles applis. Ou il y a de nouvelles régulations, Dora, NIS2, Part-IS, TISAX quand tu nous tiens. Et cela ne s'arrête pas. Donc, celui ou celle qui me dit « quand est-ce qu'on a fini d'implémenter un ISO 27001 ? » ou peu importe le standard, je dis « jamais, Sisyphe quoi, pense à Deming » et son amélioration continue. Le projet, lui, il a une fin. Je te remets les clés à la fin du projet avec ta Ferrari. Et on pose sur la photo avec le certificat. Mais n'oublie pas l'épisode 1, surtout, le logo « ISO peut tuer le CISO » en respectant la propriété intellectuelle du bureau de certification. Ce serait dommage d'être monté jusqu'en haut de la montagne et de chuter bêtement après tant d'efforts et en te prenant une conformité mineure. Sans blague, cette semaine j'en ai vu deux sur LinkedIn. C'est une entorse dans l'euphorie après avoir vaincu l'Everest, ce sont surtout pour moi des candidats pour les Darwin Awards, mais donc une fois que je te remets les clés de ton système de management, c'est toi, Sisyphe, tu prends ma place. Tu vas prendre ma place. Et j'ai fini la mission et c'est toi qui va pousser la pierre. Bam ! BFM TV annonce 43 000 démissions de RSSI d'un coup en France suite à l'écoute d'un podcast. Bon, ne partagez pas trop vite le podcast, il n'y a pas que dans l'IT. Ah, comment 84 000 démissions aujourd'hui ? Revenez, j'ai besoin de vous pour m'aider à pousser mon podcast. Et surtout ma pierre. Bon, revenons à notre Sisyphe. On voit bien que c'est difficile de pousser une grosse pierre. Pense aux gens qui voient des cercles parfaits et qui eux ont peur de la page blanche. Tu sais, les perfectionnistes, ceux qui se complaisent à procrastiner et ne commencent pas du tout. Pas que dans la vie professionnelle d'ailleurs. La difficulté va être là. Le RSSI va devoir aller trouver du budget, convaincre, trouver du support, la clause 7, auprès des leaders, la clause 5, prioriser les risques, car il n'y aura pas du budget pour tous. Et donc, le cercle parfait. C'est une utopie. Ce qui compte, c'est avancer. Sans compter les gens qui freinent, car ils ne veulent pas que la pierre monte. Ils sont bien dans leur grotte, voir mon ami Platon. Cela ne s'arrêtera donc jamais ? Eh bien non. Un peu comme les requins d'ailleurs. Tu savais que s'ils arrêtaient de nager, ils mourraient ? Enfin, pour la majeure partie des espèces. Ça fait deux fois que je parle de requins. Tiens, il va aussi falloir que je crée un autre podcast avec ça. Bon, j'ai ma petite idée. Mais Sisyphe était heureux d'après Camus. Moi, je dis qu'il était chanceux, oui, car lui n'avait pas les pirates qui venaient s'asseoir de tout leur poids sur sa pierre. On a besoin de tous et de toutes pour pousser la pierre. Maintenant, imagine-toi dans un grand groupe, ou dans une PME, ou même en tant que consultant. Tu construis un processus, tu rédiges une politique, tu déploies un outil, tu sensibilises, tu communiques, tu formes. Puis, la montagne, le rocher, il redégringole. Un changement de direction, une réorganisation, un budget gelé. Un audit raté, un outil qui plante, un collaborateur qui part avec les compétences. Tout est à recommencer. Ou une partie. Tu vois le lien ? C'est pour ça que dans l'ISO, j'aime bien mettre des jalons pour éviter que la rour de Deming ne nous écrase. Ah pardon, je ne t'avais pas encore dit, mais je compare aussi la rour de Deming en qualité, donc le PDCA, avec le mythe de Sisyphe. Et je découpe la grosse pierre de Sisyphe en quatre. Et on tend ainsi vers l'amélioration continue jusqu'à n'en point finir. Donc Sisyphe, c'est un peu le cISO, ou le consultant en sécurité, ou le DPO, ou ton quotidien. Tous ceux qui essayent de maintenir un niveau de conformité dans un monde où les équilibres sont fragiles, on est un peu tous dedans, on est dans la sauce. Mais Sisyphe, c'est pas une punition, pas que. Albert Camus, dans son essai Le mythe de Sisyphe, dit quelque chose de magnifique. Attention, spoiler alert, les deux dernières lignes de l'essai, la lutte elle-même vers les sommets suffit à remplir un cœur d'homme. Il faut imaginer Sisyphe heureux. Heureux ? Sérieux ? Ben oui, parce que Sisyphe, il a un sens, une lucidité, une conscience. Il sait que le monde est absurde, et il choisit malgré tout d'agir. Et c'est peut-être ça la clé. Dans la conformité, dans la sécurité, dans l'iso, tu peux te sentir épuisé. Tu mets en place, tu formes, tu structures, et tu dois toujours recommencer. Mais si tu trouves du sens à ce que tu fais, si tu choisis de le faire à ta sauce, ça peut changer tout. Alors tu démarres dans la plaine avec ton analyse d'écart, ta politique de sécurité, ton plan de traitement des risques. Et là, tu commences à faire levier. Tu es souvent seul au début. Alors oui, tu vas reconfigurer ta RACUI matrix 12 fois. Oui, tu vas refaire ta carto des actifs 3 fois par an. Oui, les managers vont oublier ce qu'est un plan de traitement. Oui, tu vas patcher, patcher et encore patcher. Tiens, ça me rappelle cette mission au Luxembourg dans une grande banque où... mon projet était de patcher les serveurs. Et quand le projet a été terminé, je me suis dit, chouette, je vais passer à autre chose. Eh non Fabrice, tu recommences, mais pour l'année N plus 1. J'ai juste pris mes jambes à mon coup, et je suis parti. Mais toi, tu n'es Sisyphe tu es libre. Et tu peux trouver de la joie dans le mouvement lui-même, parce que chaque pas de plus rend l'organisation plus résiliente, parce que chaque contrôle mis en place est une victoire sur l'absurde. Pour autant que tu choisisses bien tes contrôles, on est d'accord. Et parce que parfois, le rocher ne redescend pas tout en bas. Il s'arrête à la mi-pente. Et tu n'es pas seul à le pousser. D'autres Sisyphe viennent t'aider. Alors, aujourd'hui, si tu galères avec ton plan d'action ISO, si tu répètes pour la dixième fois que c'est une mesure corrective et ce que c'est, ou si tu en as marre qu'on te réponde « Ah, je pensais que c'était le job de l'IT, moi ! » ou si tu donnes pour la trentième fois ce satané cours ISO 27001 Lead Implementer, pense à Sisyphe. Et imagine-le heureux. Parce qu'il a choisi d'avancer. Et parce que toi aussi, tu peux le faire. Et surtout, n'oublie pas de changer de mission et recommencer à pousser une pierre dans un autre projet. Eh oui, un autre Sisyphe. Donc, si tu as aimé cette analogie, qu'elle te serve d'ailleurs à titre privé ou dans le monde pro, n'oublie pas de commenter, me partager ton ressenti, mettre un 5 étoiles, bien sûr, sur tes plateformes préférées. On doit continuer de monter dans les charts et c'est mon Sisyphe à moi, en tout cas pour l'instant, avec ce podcast. C'était Compliance Without Coma, l'épisode qui mêle la sécurité et la philosophie. Tu peux t'abonner, le partager, le noter et m'écrire si tu veux me parler de ton rocher à toi. A très vite.
