Compliance Without coma

Es-tu prêt à transformer la manière dont ton organisation aborde la gouvernance et la gestion des risques ? Dans cet épisode de Compliance Without Coma, je te plonge dans le modèle des trois lignes de défense, une approche modernisée par l'Institut des auditeurs internes (IIA) en 2020. Ce modèle est essentiel, que tu diriges une petite entreprise ou une grande organisation, car il met l'accent sur l'importance d'une gouvernance claire et d'une collaboration efficace entre les différentes lignes. Je te présente les six principes fondateurs de ce modèle : la gouvernance forte, le rôle central de l'organe de gouvernance, la flexibilité entre la première et la deuxième ligne, l'importance de l'audit interne, l'indépendance de l'audit et la nécessité de créer et protéger de la valeur. En intégrant ces principes, tu pourras non seulement renforcer ta conformité, mais aussi améliorer ta gestion des risques et la sécurité des entreprises. Ce modèle est moins rigide et plus stratégique, favorisant la communication et la collaboration. Je souligne que, dans un monde où les incidents de sécurité sont de plus en plus fréquents, il est crucial de prendre des décisions éclairées en matière de cybersécurité et de gestion des risques. En adoptant une approche proactive, tu pourras non seulement prévenir les incidents, mais aussi répondre efficacement lorsqu'ils surviennent. À la fin de cet épisode, je te partage des conseils pratiques pour appliquer ce modèle dans les PME. J'insiste sur l'importance d'une cartographie des rôles et d'une gouvernance claire pour gérer efficacement les risques contemporains. Tu découvriras également comment intégrer des normes ISO, telles que la norme 27001, dans ta stratégie de conformité. 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, et même Youtube etc. Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Est-ce que tu es conscient que le leadership en matière de sécurité peut faire la différence entre une organisation résiliente et une cible facile pour les cyberattaques ? Dans cet épisode de Compliance Without Coma, je te plonge dans la clause 5 de l'ISO 27001, une clause essentielle pour garantir la sécurité de l'information au sein des entreprises. Il ne s'agit pas seulement de signer des politiques, mais de les incarner au quotidien. Je te rappelle que chaque leader doit montrer l'exemple, car le comportement des dirigeants influence directement la culture de sécurité au sein de l'organisation. À travers des anecdotes , je t'illustre comment un engagement authentique des leaders peut transformer la perception de la sécurité. En décomposant la clause 5 en huit points clés, je met en lumière l'importance de l'engagement, de la communication et de l'amélioration continue dans le processus de conformité. Que tu sois CISO, DPO, ou simplement un passionné de compliance, cet épisode vous t'offre des conseils pratiques pour renforcer ton système de management de la sécurité de l'information (SMSI). Enfin, cet épisode se termine par un puissant appel à l'action : les leaders doivent devenir des exemples à suivre, non seulement pour renforcer la crédibilité de leur organisation, mais aussi pour garantir l'efficacité de leurs systèmes de management. 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Dans cet épisode, on explore l’expertise judiciaire : comment un expert technique peut aider le juge à comprendre des dossiers complexes, du bâtiment à la cybersécurité.Avec Jean-Pierre Heymans, nous parlons du rôle de l’expert judiciaire, de la différence entre expertise privée et expertise en justice, et des défis pour traduire la technique dans le langage du tribunal.Est-ce que tu savais que chaque contact numérique laisse une trace? Dans cet épisode de "Compliance Without Coma", Jean-Pierre Heymans, expert judiciaire en cybersécurité, nous plonge au cœur de l'univers des enquêtes numériques. Nous explorons le rôle des experts judiciaires dans la lutte contre la cybercriminalité, notamment lors de piratages ou de fraudes. Jean-Pierre nous dévoile comment transformer des fichiers logs en éléments de preuve tangibles, tout en insistant sur l'importance de la collecte et de la documentation rigoureuse pour garantir leur authenticité devant un tribunal. Avec une expérience qui va d'ingénieur système à expert judiciaire, il partage son parcours atypique et souligne que la cybercriminalité nécessite des profils variés pour faire face aux défis modernes. Dans cet épisode, tu découvriras le principe de Lockhart, qui stipule que chaque contact laisse une trace, et comment ce principe s'applique dans le monde numérique d'aujourd'hui. Jean-Pierre illustre ses propos avec l'un ou l'autre anecdote sur des affaires où il a été impliqué, y compris des situations éthiques délicates.🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook,Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Êtes-vous prêt à transformer la façon dont votre entreprise aborde la sécurité de l'information ? Dans cet épisode captivant de Compliance Without Coma, Je te plonge dans le processus JML (Joiner, Mover, Leaver), un outil incontournable pour optimiser la gestion des ressources humaines tout en renforçant la sécurité des données. Même si ton entreprise n'envisage pas de viser la certification ISO 27001, la mise en place d'un processus JML peut véritablement métamorphoser ta culture d'entreprise et booster ta efficacité opérationnelle. Je te rappelle que l'onboarding structuré des nouvelles recrues est essentiel. Cela ne se limite pas à un simple accueil, mais inclut une couverture exhaustive de tous les aspects administratifs et techniques. Imagines les bénéfices d'un processus bien documenté qui garantit la conformité tout en facilitant les audits de sécurité. Dans un monde où les data breaches sont de plus en plus fréquentes, il est crucial d'adopter des bonnes pratiques cybersécurité pour protéger tes informations sensibles. Au fil de cet épisode, je t'aborde des scénarios variés auxquels une entreprise peut faire face, que ce soit le passage d'un employé à un freelance ou le départ d'un salarié. Chaque situation requiert une approche spécifique et réfléchie. Je souligne également l'importance de la documentation, non seulement pour assurer la conformité, mais aussi pour renforcer la gouvernance au sein de l'entreprise. En intégrant le processus JML, tu peux améliorer tes capacités d'audit tout en respectant les normes ISO et en te préparant à d'éventuels audits de conformité. En conclusion, je te rappelle que le JML est bien plus qu'un simple processus administratif. C'est un véritable levier pour la cyber sécurité et la conformité, adaptable aux évolutions de ton entreprise. Si tu souhaites en savoir plus sur la manière dont le JML peut transformer ton approche de la gestion des RHet de la sécurité de l'information, ne manques pas cet épisode de Compliance Without Coma. 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Ês-tu un optimiste ou un pessimiste lorsqu'il s'agit de mener à bien un projet ? Dans cet épisode , je te plonge dans la dynamique des projets à travers ce prisme, en m'appuyant sur les concepts de Philippe Gabillet. (Voir Livre L'éloge de l'optimisme). Si tu t'es déjà demandé comment la psychologie des participants peut influencer la réussite d'un projet, cet épisode est fait pour toi ! Je t'introduis une matrice qui classe les participants d'un projet selon leur vision du but et du chemin à parcourir. Il décrit quatre profils psychologiques distincts : l'optimiste, le pessimiste, le naïfet le cynique, qui Comprendre ces profils est essentiel pour toute démarche de conformité, notamment dans le cadre des normes ISO comme l'ISO 27001. Que tu sois un professionnel de la GRC ou simplement quelqu'un qui cherche à améliorer ses bonnes pratiques en cybersécurité, cet épisode te fournira des conseils pratiques en cybersécurité qui t'aideront à naviguer dans les défis de la conformité (sans Coma).🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Je m’appelle Fabrice De Paepe. Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction. Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Centres de données, puis très vite dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité de l’information, la conformité, et surtout la gouvernance. J’ai accompagné des dizaines de structures (PME, multinationales, institutions publiques) dans leurs démarches de mise en conformité. Je suis à la fois consultant, auditeur, formateur, et parfois même traducteur de jargon techniqueMon super-pouvoir ? 👉 Transformer des exigences normatives en solutions concrètes et actionnables. 👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde). 👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût. 🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça. Une manière de diffuser ce que je vois sur le terrain, de partager les bonnes pratiques (et les mauvaises), d’alerter sur les pièges classiques, et de déchiffrer ce qui se cache vraiment derrière les buzzwords ou l'actualité. Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-) Pas de “consultant PowerPoint”. Mais une vraie envie de transmettre, de questionner, et d’outiller. Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit. Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé. Et si tu es dans les bouchons, écoutes moi ;-) Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Vous êtes-vous déjà senti comme un imposteur dans votre domaine, ou avez-vous déjà rencontré quelqu’un qui semblait avoir une confiance excessive en ses compétences ?Dans cet épisode de Compliance Without Coma, je plonge dans deux biais cognitifs fascinants : le syndrome de l’imposteur et l’effet Dunning-Kruger. Des phénomènes très fréquents… surtout dans le monde de la cybersécurité.🎯 On croit souvent être seul à douter. Pourtant, ces mécanismes mentaux touchent aussi bien les juniors que les seniors. Moi compris. Je vous raconte d’ailleurs comment je les ai vécus — parfois douloureusement — en tant qu’auditeur et consultant ISO 27001.🧠 Dunning-Kruger, mode d’emploi :Ce biais montre que les personnes les moins compétentes… surestiment souvent leur niveau.Et à l’inverse, celles qui sont vraiment compétentes… doutent de leur légitimité.Ça pique ? C’est normal. Et c’est crucial à comprendre dans nos métiers où la conformité ISO, la sécurité, ou encore l’analyse des risques demandent du recul.💥 Ce que vous allez apprendre :• Comment reconnaître ces biais en vous (ou chez les autres)• Pourquoi certains profils s’autoproclament experts… alors qu’ils n’ont pas encore compris la base• Comment fixer des objectifs réalistes, reformuler vos doutes, et passer à l’action sans peur de l’échec🔐 Conformité et sécurité ne sont pas des terrains pour l’ego.Mais pour l’humilité active. Le bon auditeur, le bon RSSI, le bon manager, ce n’est pas celui qui sait tout. C’est celui qui sait écouter, se remettre en question, et ajuster.Et c’est là que le podcast devient utile.🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’info, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, consultant ISO 27001, auditeur, formateur et fondateur de Nitroxis.📲 Abonne-toi sur ta plateforme préférée et découvre des épisodes qui mixent storytelling, retours d’expérience, et vraie vision terrain.Je m’appelle Fabrice De Paepe.Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Data centers…), puis dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité, la conformité, la gouvernance.Mon super-pouvoir ?👉 Transformer des exigences normatives en solutions concrètes.👉 Vulgariser les trucs chiants — sans endormir tout le monde.👉 Et faire de la sécurité un atout stratégique, pas une ligne de coût.🎧 Ce podcast, c’est un prolongement de tout ça.Pas de bullshit, pas de consultant PowerPoint.Mais du vrai contenu. Des audits vécus. Des pièges classiques. Des pratiques à améliorer.Bref : un espace où on parle sécurité sans jargon inutile. Et où on reste bien éveillé.Tu veux écouter l’épisode ?C’est ici 🎧 https://podcast.ausha.co/compliance-without-comaEt si t’es dans les bouchons, écoute-moi 😉Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Tu bosses bien, t’es reconnu, on te donne plus de responsabilités. Et un jour… clac, tu plafonnes.Tu galères, tu doutes, tu stagnes.Et si c’était pas toi le problème… mais le principe de Peter ?Ce principe dit qu’on finit tous par être promus jusqu’à notre niveau d’incompétence.Pas parce qu’on est mauvais. Mais parce qu’on est plus à notre place.Dans cet épisode, je raconte comment j’ai fui un poste où je ne vibrais plus, comment j’ai fait le deuil de certaines ambitions techniques, et pourquoi se planter, parfois, c’est sain.🧠 Je parle aussi de :la différence entre s’ennuyer et être dépasséce moment où tu dois choisir entre expertise et posture managérialecomment anticiper ton propre plafondet pourquoi il vaut mieux pivoter que t’entêter🎯 À écouter si tu t’es déjà demandé :“Et si j’étais monté trop haut ?”📍Lien en commentaire 🔗Et si tu veux commenter ton propre “moment Peter”, je lis tout 👀🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Je m’appelle Fabrice De Paepe.Je suis tombé dans l’informatique par curiosité à 12 ans… et j’y suis resté par conviction.Depuis plus de 25 ans, je gravite dans le monde de l’IT, d’abord côté technique (Mainframe, Windows, Unix, Centres de données, puis très vite dans ce que j’aime appeler “l’IT qui fait sens” : la sécurité de l’information, la conformité, et surtout la gouvernance.J’ai accompagné des dizaines de structures (PME, multinationales, institutions publiques) dans leurs démarches de mise en conformité. Je suis à la fois consultant, auditeur, formateur, et parfois même traducteur de jargon techniqueMon super-pouvoir ?👉 Transformer des exigences normatives en solutions concrètes et actionnables.👉 Vulgariser les trucs chiants avec une dose d’humour (ou au moins sans endormir tout le monde).👉 Et permettre à mes clients de faire de la sécurité un atout stratégique — pas une ligne de coût.🎙️ Ce podcast, Compliance Without Coma, c’est un prolongement de tout ça.Une manière de diffuser ce que je vois sur le terrain, de partager les bonnes pratiques (et les mauvaises), d’alerter sur les pièges classiques, et de déchiffrer ce qui se cache vraiment derrière les buzzwords ou l'actualité. Ici, pas de bullshit - je vais tâcher de pas en faire en tout cas ;-) Pas de “consultant PowerPoint”.Mais une vraie envie de transmettre, de questionner, et d’outiller.Tu y retrouveras des réflexions sur la gouvernance, des capsules ISO 27001 digestes, des retours d’expérience d’audit.Bienvenue dans un espace où on parle sécurité avec recul, où on ose poser les bonnes questions, et où, surtout, on reste éveillé.Et si tu es dans les bouchons, écoutes moi ;-) Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 13 — Due Care & Due Diligence : Jusqu’où doit-on aller ?Et si on arrêtait de confondre effort et responsabilité ? Dans cet épisode, on plonge dans deux notions fondamentales mais souvent mal comprises : Due Diligence (la découverte proactive des risques) et Due Care (l’obligation d’agir pour les maîtriser).💡 Tu découvriras :La différence claire entre les deux conceptsDes exemples concrets (Titanic inclus 🧊🚢)Comment un CEO visionnaire m’a convaincu avec son Elevator PitchLe lien direct avec les audits ISO, CISM, et même la NIS2 ou DORA, CSSF, AI, Cloud RegisterLes 4 critères que j’utilise pour évaluer sérieusement un fournisseurPourquoi je dis NON à certains clients qui n’ont pas fait leurs devoirs🚀 Spoiler : tu sauras mieux répondre à une question d’examen ISACA… mais aussi à ton board.Et si tu restes jusqu’à la fin, à la clé un petit concours surprise 🎁Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Et si le plus gros blocage de ton projet ISO 27001… c’était toi ? Ou plutôt, cette quête du SMSI parfait qu’on t’a mis dans la tête.Dans cet épisode, on parle du syndrome du responsable sécurité fraîchement certifié, livré à lui-même après sa formation, bloqué entre des outils trop lourds, des exigences floues, et une montagne de tâches qui tournent en rond.Tu veux tout faire parfaitement ? Tu vises le Big Bang du SMSI ?Spoiler : tu vas t’épuiser.👉 Je t’explique pourquoi viser un scope MVP est souvent la meilleure stratégie.👉 Comment éviter les pièges des outils d’analyse de risques usine à gaz.👉 Et pourquoi ton auditeur ne cherche pas un système parfait, mais un système cohérent et vivant.Je te partage aussi les bases de ma méthode Immersion ISO 27001 : pragmatique, pilotable, certifiable — et surtout humaine. Parce que ton SMSI, ce n’est pas un karting… c’est un tanker.💡 Reste jusqu’à la fin : un mot secret s’est glissé dans l’épisode. Envoie-le-moi discrètement sur LinkedIn ou ailleurs, et tu participes au tirage au sort (fin juillet 2025) pour remporter :Un TRECCERT Essentials de ton choixou 30 minutes avec moi pour voir si tu te qualifies pour la prochaine classe Immersion ISO 27001.🚨 Spoiler : écoute le mot secret à la fin et partages-le moi sur Linkedin pour tenter de gagner ce qui est décrit ci-dessus. Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Savez-vous que la plupart des incidents de cybersécurité passent inaperçus, laissant les entreprises vulnérables à des attaques dévastatrices ? Dans cet épisode captivant de Compliance Without Coma, Fabrice De Paepe nous plonge dans le fascinant monde du biais d'observabilité, à travers l'histoire d'Abraham Wald, un statisticien dont les découvertes pendant la Seconde Guerre mondiale ont révolutionné notre compréhension des données. Wald a prouvé que les zones touchées des avions qui revenaient de mission n'étaient pas celles à surveiller, mais plutôt celles qui n'affichaient aucune marque de balles, signalant des avions abattus. Ce principe, connu sous le nom de biais du survivant, s'applique aujourd'hui à la cybersécurité, notamment dans l'analyse des incidents de phishing. Fabrice nous rappelle que se concentrer uniquement sur les incidents visibles peut conduire à des prises de décisions erronées. Dans le cadre de la cyber sécurité, il est crucial d'analyser également les incidents qui passent inaperçus. En effet, comprendre les comportements des utilisateurs, en particulier ceux qui cliquent sur des liens de phishing, est essentiel pour renforcer notre conformité et améliorer nos pratiques. L'épisode met également en lumière l'importance d'un audit de sécurité rigoureux et de la mise en œuvre des normes ISO, notamment l'ISO 27001 et le NIS2, pour garantir une protection efficace contre les data breaches. Au fil de la discussion, Fabrice partage des conseils pratiques cybersécurité et des bonnes pratiques cybersécurité qui peuvent aider les entreprises à mieux se préparer face aux menaces émergentes. Il souligne l'importance de la sensibilisation et de la formation des employés, car la sécurité commence par une culture d'entreprise solide. En fin d'épisode, un petit défi est lancé aux auditeurs : êtes-vous prêts à revoir votre approche de la cybersécurité et à adopter une vision plus globale et proactive ? Rejoignez-nous pour cet épisode enrichissant de Compliance Without Coma, où nous explorons les enjeux cruciaux de la GRC (gouvernance, risque et conformité) et comment une meilleure compréhension des biais d'observabilité peut transformer votre stratégie de sécurité. Ne manquez pas cette occasion d'améliorer vos connaissances et de renforcer votre posture de sécurité ! 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube etc. Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, et même Youtube ;-) Une attaque toute simple.Un mail bien tourné.Et un RH bienveillant… qui fait tout foirer 💥Dans cet épisode 100 % vrai (sauf les prénoms 😅), je te raconte comment un pirate a détourné un salaire complet… juste en exploitant LinkedIn, un peu d’OSINT, et l’absence de procédure de vérification chez un client.💡 Tu bosses en RH ? En paie ? En finance ? Cet épisode est une masterclass de sensibilisation.On y parle :de social engineering 🧠de processus RH qui tiennent (ou pas)de firewalls humains et de super-héros Marvelde LinkedIn comme outil d’attaqueet surtout : de comment ne PAS te faire avoir.🎧 À écouter si tu veux sensibiliser sans endormir,et te rappeler qu’en cybersécurité… l’humain est souvent la plus grosse faille.#cybersecurité #OSINT #socialengineering #sensibilisation #RH #conformité #infosec #linkedin #firewallhumain #JML #compliance #podcastfrançais #cybersécuritéRH #cybersécuritépratiq #awareness #compliancewithoutcoma #frenchpodcast Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, et Youtube🎙️ Compliance Without Coma – Épisode 9Le mythe de Sisyphe… et ton plan d’actions ISO 27001Et si #Sisyphe était le vrai héros de la conformité ? Un épisode du French podcast Compliance Without Coma qui mêle #cybersécurité, #qualité et #ISO27001 pour repenser le #PDCA à la lumière des #normesISO. -Tu en as marre de redire pour la dixième fois ce qu’est une mesure corrective ?-Tu as l’impression que ton SMSI, c’est une pierre que tu repousses sans fin ?-Bienvenue dans la vie de Sisyphe. Ou du RSSI. Ou du consultant. Ou du DPO.Dans cet épisode, on plonge dans le mythe grec de Sisyphe, revisité à la sauce ISO 27001.-Une pierre à pousser, éternellement.-Un PDCA qui recommence encore et encore.-Et un consultant (toi ?) qui finit par se dire… “mais pourquoi je fais ça ?”Et si on trouvait du sens là-dedans ?Et si l’amélioration continue était absurde mais nécessaire ?Et si, comme l’écrivait Camus, “il faut imaginer Sisyphe heureux”… même face à un patching sans fin ou une carto d’actifs qu’on refait tous les trimestres ?-Un épisode entre philosophie, vécu terrain et prise de recul salutaire.-À écouter si tu travailles dans la cybersécurité, la conformité, l’audit ou la qualité.-Et si tu veux, pour une fois, sourire en parlant de l’ISO.🔗 Abonne-toi pour ne pas rater les prochains épisodes (spoiler : y’a un requin qui arrive et le Principe de Peter🦈)⭐ Note l’épisode si tu l’as aimé (5 étoiles - What else :-D ?) 📬 Écris-moi pour me parler de ton propre rocherHébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube,📌 Résumé de l’épisode :Dans cet épisode, on démarre avec une scène familière : un téléphone sonne dans un open space… et personne ne décroche. Pourquoi ? Parce que personne ne sait qui est censé le faire. Une situation absurde, mais révélatrice d’un vrai problème dans les organisations : l’absence de clarté sur les rôles.💡 C’est là qu’entre en scène la matrice RACI. Un outil simple, visuel, et diablement efficace pour structurer les responsabilités dans un processus.R comme Responsible,A comme Accountable,C comme Consulted,I comme Informed.Tu découvriras :Pourquoi la RACI évite les non-dits, les conflits et les silences gênants en projet,Comment elle s’applique concrètement, notamment en ISO 27001 (audit interne, responsabilités de la direction, etc.),Pourquoi tu ne la trouveras dans aucune clause ISO (ni 27001, ni 9001),Et pourquoi tu devrais l’utiliser quand même, tout le temps.🔥 Bonus : on parle aussi du cerveau humain, de l’éléphant rose… et de la charge cognitive que la RACI permet de réduire.✅ Un épisode clair, pratique, et sans blabla inutile, pour éviter que tout le monde se sente responsable… et que personne ne le soit vraiment.📲 À écouter absolument si tu veux éviter que ta prochaine procédure ISO finisse en cacophonie organisationnelle.Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Compliance Without Coma — Épisode 7Bloquer l’AD ne suffit pas quand ton admin s’en va👉 Aujourd’hui, je te raconte une autre histoire vraie :✅ une faille interne,✅ une fausse bonne assurance,✅ et une attaque… rendue possible par l’exploitation d’une vulnérabilité connue.Dans cet épisode, je t’introduis la notion de process JML (Joiner, Mover, Leaver) :➡️ un point-clé souvent sous-estimé… et pourtant essentiel à la sécurité de ton système d’information.Tu verras pourquoi bloquer un compte AD ne suffit pas,ce qu’un simple hash peut permettre,et comment éviter que ce genre de situation ne t’arrive.Au programme :Comment un pentest a transformé un hash dormant en escalade de privilègesPourquoi le process JML doit être documenté et maîtriséComment sécuriser réellement les départs d’adminsLeçons pratiques à tirer pour ton entrepriseLiens avec l’ISO 27001 et les contrôles concernésLe message clé ?Le danger ne vient pas toujours de l’extérieur.Et un compte AD bloqué… ne protège pas forcément ton SI.Bonne écoute ! 🎧Et si tu as aimé cet épisode :⭐ Laisse-lui une note sur ta plateforme préférée🔄 Partage-le autour de toi💬 Et surtout… revois ta politique de Leaver 😉Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 👋 Aujourd’hui, on remonte à l’été 2018…Un Data Breach réel, massif et évitable : celui de British Airways.-380 000 clients touchés-24M€ d’amende-Un mot de passe admin en clair-Et un prestataire compromis (Swissport)Résultat ? Des CB volées, un script injecté, un fichier texte avec un mot de passe, et un outil de test… qui tournait depuis 3 ans.Un enchaînement d’erreurs que la directive NIS2 aurait pu largement empêcher.Dans cet épisode, je te raconte :-Ce qu’il s’est passé-Ce que la NIS2 impose désormais-Pourquoi les failles internes sont souvent plus dangereuses que les hackers du PérouCe qu’on aurait pu éviter avec NIS2 :Analyse des fournisseurs critiques→ Le compte compromis venait d’un sous-traitant. NIS2 impose des clauses contractuelles, audits et MFA obligatoires pour les fournisseurs à risque.Politiques d’accès robustes→ Mot de passe admin en clair ? NIS2 exige des mesures strictes d’authentification, de journalisation et de gestion des privilèges.Rôle de la direction renforcé→ Avec la RACI, on sait qui fait quoi. Fini le “je ne savais pas”, la direction est accountable.Revue des logs & détection d’anomalies→ Le fichier loggait les CB en clair depuis 3 ans. NIS2 impose détection, supervision et SIEM actif.Notification en cas d’incident→ BA a tardé à alerter. NIS2 impose notification en 24h, rapport en 72h, et communication sous 1 mois.Sanctions dissuasives→ Sous NIS2, l’amende serait montée à 340M€, pas juste 24M€. Autant dire que le due diligence aurait été pris au sérieux…Tests réguliers de sécurité→ Une lib JS vulnérable depuis 2012, non patchée. NIS2 impose pentests, scan de vulnérabilités, revue des composants.Morale de l’histoireTu peux avoir un réseau bien cloisonné, des procédures sur papier, des firewalls partout…Mais si tu laisses traîner un mot de passe en clair, un script vieux de 6 ans, ou que tu ne maîtrises pas tes prestataires…Ça explose.NIS2 et ISO 27001 ne sont pas que des cases à cocher.Ce sont des outils pour éviter les crashs, structurer ta cybersécurité, et aligner direction et IT.Comme je dis souvent :On ne met pas des freins à une voiture pour la ralentir…On en met pour pouvoir aller plus vite en toute sécurité.🎧 Alors attache ta ceinture, écoute l’épisode, et si tu bosses dans une boîte publique ou privée…🧯 Mets-toi en conformité avant de sentir le souffle du régulateur sur ta nuque.📲 Poll Spotify :“La NIS2, tu la vois comme…”• Une opportunité pour structurer• Une contrainte de plus• Un mal nécessaire• Une blague administrativeDonne-moi ton avis, c’est anonyme 😏Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. Et si Platon avait tout compris… à la cybersécurité ?Dans cet épisode, on plonge dans l’allégorie de la caverne pour parler conformité, illusions, résistance au changementet rôle du consultant.Tu verras comment certains KPI, certaines politiques internes ou certains audits peuvent n’être que des ombres au mur.Et comment sortir de cette caverne demande du courage, de la stratégie… et une vraie vision.📌 On y parle aussi :– De clients qui s’auto-proclament conformes– De dashboards toujours verts– De la métaphore de la grenouille qui cuit doucement– Et de Matrix (pilule rouge ou bleue ?)Un épisode pour tous ceux qui en ont marre du “on a toujours fait comme ça”.Et qui veulent accompagner le changement… sans sombrer dans le coma.Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Abemus Papam… et bye bye privacy ?Dans cet épisode, je t’emmène à Rome. Un city trip en apparence banal… sauf qu’en chemin, ta vie privée se fait siphonner à chaque étape.Réservations en ligne, géolocalisation, réseaux sociaux, Airbnb, Uber, audioguides, apps : même en vacances, tes données ne dorment jamais.📌 Au programme :Pourquoi ton compte YouTube n’est pas le seul à RomeCe que Airbnb, Uber ou WeWard collectent vraimentComment tu deviens traçable avant même de poser le pied en ItalieEt pourquoi c’est si dur de respecter le RGPD dans la vie perso… alors qu’on l’exige côté pro➡️ Un épisode qui mêle humour, quotidien et prise de conscience numérique — sans sombrer dans la parano.🎧 À écouter si tu veux comprendre pourquoi, même en city-trip tu restes un produit dans la machine.Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 3 – De la géopolitique aux cyberattaques : pourquoi ton SMSI ne peut plus se permettre d’ignorer le contexte actuelTu crois que la géopolitique, ce n’est pas ton problème en cybersécurité ?Attends de voir ce qu’un chaos monkey géopolitique peut faire tomber dans ton SMSI.Dans cet épisode, on plonge dans un sujet souvent laissé de côté, mais crucial pour toute organisation qui gère un système de management de la sécurité de l’information (SMSI).On parle de guerre en Ukraine, de financement du programme CVE, de Tonton Donald, de chaos monkeys, et surtout : de ce que toi, tu dois adapter dans ton SMSI aujourd’hui.🚨 Spoiler :Je te donne 9 points concrets à vérifier ou à mettre à jour dans ton SMSI.📌 Et tu verras que “ne rien faire” peut te coûter plus cher que tu ne le penses.🎯 Dans cet épisode, tu vas apprendre :Pourquoi le contexte géopolitique affecte directement ta cybersécuritéCe que les USA ont failli couper (et pourquoi ça nous concerne tous)En quoi le programme CVE est une dépendance critique mondialeCe que fait l’Europe pour rééquilibrer le jeu (merci NIS2, ENISA, CERTs locaux)Et quels documents, process et clauses de ton ISMS tu dois revoir dès maintenant🧠 Tu repartiras avec :Un regard élargi sur les menaces extérieuresUne compréhension stratégique du lien entre politique et cyberEt une checklist concrète pour renforcer ton système de sécurité📍 À écouter si tu es :CISO, consultant, auditeur ou en reconversionEn train de bâtir, revoir ou faire certifier ton ISMSOu simplement curieux de comprendre le lien entre cyber, chaos et contexte global🎧 Disponible sur Spotify, Apple Podcasts, Amazon, Deezer, et bien sûr Ausha.Et si tu veux aller plus loin, pense à t’abonner à la newsletter Compliance Without Coma —le podcast où la conformité ne te met pas dans le coma 😉#CyberSécurité #ISO27001 #PodcastCyber #NIS2 #CVE #Governance #SMSI #ComplianceWithoutComaHébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. 🎙️ Épisode 2 – SAFe ou LeSS : est-ce que l’agilité protège vraiment la sécurité ?Dans ce deuxième épisode de Compliance Without Coma, on plonge dans les frameworks agiles à grande échelle : SAFe vs. LeSS.Mais surtout : que deviennent la cybersécurité, la gouvernance, et la conformité dans tout ça ? je t’embarque sur un chantier de construction où chaque framework devient une stratégie d’aménagement… ou un risque de court-circuit.🔍 On explore :Ce que promet l’agilité… et ce qu’elle oublie parfois.Pourquoi LeSS peut séduire, mais exposer.Comment SAFe structure la sécurité dès la base.Ce que tout CISO ou auditeur doit comprendre avant de “faire de l’agile”.Et pourquoi la gouvernance est plus précieuse que n’importe quel outil.📌 Tu crois qu’un framework peut te sauver ?Pas sans stratégie. Pas sans pilotage. Pas sans lucidité.🎯 À écouter si tu veux :Repenser la sécurité dans ton organisation agileAnticiper les pièges de la transformation numériqueOu tout simplement… éviter de livrer vite et mal.🎤 Compliance Without Coma,le podcast où la conformité ne te met pas dans le coma.Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc. C’est le tout premier épisode de Compliance Without Coma,et on commence fort : non, la conformité ISO ne protège pas toujours.Pire : mal comprise, mal vendue ou mal pilotée, elle peut tuer ton CISO à petit feu.🚨 Je te parle :de l’effet vitrine d’un certificat ISO 27001,des confusions entre marketing, réalité terrain et sécurité effective,du piège du “tout est documenté donc tout va bien”,et de comment un logo bien placé peut camoufler un système mal protégé.🧠 À écouter si tu veux :comprendre les coulisses des audits trop lisses,savoir pourquoi le logo ISO ne vaut rien sans vraie gouvernance,et surtout… si tu veux arrêter de subir le “compliance washing”.🎯 Le sujet pique ?Oui. Et c’est pour ça qu’on en parle.Parce qu’ici, la conformité ne t’endort pas.🎤 Compliance Without ComaLe podcast où la sécurité de l’information se parle enfin… à voix haute.Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.