Publicité en cours de chargement...
Mais non, la 27001 n’est pas lourdingue !
Écouter l'article
(Précision utile : par « système » on entend « système de management », à savoir l’ensemble des processus qui font fonctionner le bazar.)
Alors, en fait, non. On va d’ailleurs commencer par le regretté David Graeber et son ouvrage phare Bullshit jobs, où il identifie justement ce qu’il appelle les « cocheurs de case », grosso modo les inspecteurs des travaux finis qui ne produisent rien et passent leur temps à regarder par-dessus l’épaule de ceux qui bossent vraiment (un jour, il faudra d’ailleurs que je phosphore très fort pour savoir qui bosse vraiment dans les organisations, une constante étant que chacun estime que c’est lui et pas certains autres). Nul doute qu’il aurait jugé les normes ISO (et tous les référentiels de conformité) comme étant lourdingues et classé les qualiticiens, les auditeurs, les contrôleurs, les RSSI et les DPO dans cette caste inférieure de l’humanité. Mais le même David Graeber, quand il prenait l’avion, était bien content que des générations de cocheurs de case aient passé des heures au carré, depuis des décennies, à procédurer les vols commerciaux pour en faire l’un des moyens de transport les plus sûrs du monde.
En réalité, il y a deux questions en une, la première étant de se demander à quoi cela sert vraiment, et la seconde de s’interroger sur la supposée lourdinguerie de ces démarches.
À quoi cela sert d’abord : ah ! mais à rien, je vous le concède. En fait, pour être plus précis, cela DEVRAIT ne servir à rien si les gens faisaient juste leur boulot. On n’aurait pas besoin de la 27001 si les informaticiens contrôlaient régulièrement les endpoints sans EDR, révisaient les règles du pare-feu, les comptes admin de domaine, les sauvegardes des serveurs Core du SI, le SLA des fournisseurs critiques, etc., etc., etc. (je ne vais pas vous égrener les 93 mesures de l’annexe A, vous avez compris l’idée). S’il est besoin de mettre un gugusse qui regarde par-dessus leur épaule, c’est peut-être parce que dans la majorité des cas le bug se trouve entre la chaise et le clavier des sachants techniques. Si, si.
La lourdinguerie, ensuite. Je vous engage à aller parcourir le guide de cyber-résilience sur la mise en œuvre de la 27001 que votre serviteur a publié sur le site www.apssis.com : on fait tourner un SMSI avec 15 documents au maximum, ce n’est pas exactement ce que l’on appelle de la lourdinguerie. Et c’est là d’ailleurs qu’une autre comparaison va être intéressante.
Le physicien Michio Kaku fait remarquer que dans bon nombre de cas, une technologie passe du statut « réservé à l’ultra-élite » à « pour tout le monde » jusqu’à ce qu’on ne la remarque même plus tellement elle est dispersée dans le quotidien. C’est ce qui s’est passé pour le papier : le moindre grimoire coûtait une fortune au Moyen Âge, le livre s’est démocratisé avec Gutenberg et les pages imprimées finissent désormais sur les murs et dans les toilettes. C’est ce qui s’est aussi passé avec les microprocesseurs, très rares en 1970, et que chacun de nous possède par dizaines en 2025.
Il en va de même pour les démarches de conformité : si c’est trop lourd pour vous, c’est juste que votre organisation n’a pas encore atteint un niveau de maturité suffisant pour que ces démarches soient enchâssées dans les pratiques de tous les agents au point que plus personne ne les remarque.
Non, la 27001 n’est pas lourdingue : ceux qui le croient sont juste au début de leur premier cycle d’amélioration continue.
Lol.

Cédric Cartau
Avez-vous apprécié ce contenu ?
A lire également.

Conformité au Programme CaRE D2
27 oct. 2025 - 17:00,
Communiqué
- GplexpertLe Programme CaRE, lancé en 2023, constitue une initiative majeure du Ministère de la Santé pour renforcer la cybersécurité et la résilience des établissements de santé. Dans ce cadre, le Domaine 2 (D2), consacré à la continuité et à la reprise d’activité, impose aux établissements de santé de nouve...

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients
13 oct. 2025 - 19:56,
Communiqué
- CHU de ReimsLe Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Domaine 2 du programme CaRE : une matinée pour se faire accompagner
29 sept. 2025 - 11:30,
Actualité
- Valentine Bellanger, DSIHDans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité
22 sept. 2025 - 22:42,
Communiqué
- ImprivataImprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...
