🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, etc.

👋 Aujourd’hui, on remonte à l’été 2018…

Un Data Breach réel, massif et évitable : celui de British Airways.

-380 000 clients touchés

-24M€ d’amende

-Un mot de passe admin en clair

-Et un prestataire compromis (Swissport)

Résultat ? Des CB volées, un script injecté, un fichier texte avec un mot de passe, et un outil de test… qui tournait depuis 3 ans.

Un enchaînement d’erreurs que la directive NIS2 aurait pu largement empêcher.

Dans cet épisode, je te raconte :

-Ce qu’il s’est passé

-Ce que la NIS2 impose désormais

-Pourquoi les failles internes sont souvent plus dangereuses que les hackers du Pérou

Ce qu’on aurait pu éviter avec NIS2 :

1. Analyse des fournisseurs critiques

   → Le compte compromis venait d’un sous-traitant. NIS2 impose des clauses contractuelles, audits et MFA obligatoires pour les fournisseurs à risque.

2. Politiques d’accès robustes

   → Mot de passe admin en clair ? NIS2 exige des mesures strictes d’authentification, de journalisation et de gestion des privilèges.

3. Rôle de la direction renforcé

   → Avec la RACI, on sait qui fait quoi. Fini le “je ne savais pas”, la direction est accountable.

4. Revue des logs & détection d’anomalies

   → Le fichier loggait les CB en clair depuis 3 ans. NIS2 impose détection, supervision et SIEM actif.

5. Notification en cas d’incident

   → BA a tardé à alerter. NIS2 impose notification en 24h, rapport en 72h, et communication sous 1 mois.

6. Sanctions dissuasives

   → Sous NIS2, l’amende serait montée à 340M€, pas juste 24M€. Autant dire que le due diligence aurait été pris au sérieux…

7. Tests réguliers de sécurité

   → Une lib JS vulnérable depuis 2012, non patchée. NIS2 impose pentests, scan de vulnérabilités, revue des composants.

Morale de l’histoire

Tu peux avoir un réseau bien cloisonné, des procédures sur papier, des firewalls partout…

Mais si tu laisses traîner un mot de passe en clair, un script vieux de 6 ans, ou que tu ne maîtrises pas tes prestataires…

Ça explose.

NIS2 et ISO 27001 ne sont pas que des cases à cocher.

Ce sont des outils pour éviter les crashs, structurer ta cybersécurité, et aligner direction et IT.

Comme je dis souvent :

On ne met pas des freins à une voiture pour la ralentir…

On en met pour pouvoir aller plus vite en toute sécurité.

🎧 Alors attache ta ceinture, écoute l’épisode, et si tu bosses dans une boîte publique ou privée…

🧯 Mets-toi en conformité avant de sentir le souffle du régulateur sur ta nuque.

📲 Poll Spotify :

“La NIS2, tu la vois comme…”

• Une opportunité pour structurer

• Une contrainte de plus

• Un mal nécessaire

• Une blague administrative

Donne-moi ton avis, c’est anonyme 😏

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.