Mais non, la 27001 n’est pas lourdingue !

(Précision utile : par « système » on entend « système de management », à savoir l’ensemble des processus qui font fonctionner le bazar.)

Alors, en fait, non. On va d’ailleurs commencer par le regretté David Graeber et son ouvrage phare Bullshit jobs, où il identifie justement ce qu’il appelle les « cocheurs de case », grosso modo les inspecteurs des travaux finis qui ne produisent rien et passent leur temps à regarder par-dessus l’épaule de ceux qui bossent vraiment (un jour, il faudra d’ailleurs que je phosphore très fort pour savoir qui bosse vraiment dans les organisations, une constante étant que chacun estime que c’est lui et pas certains autres). Nul doute qu’il aurait jugé les normes ISO (et tous les référentiels de conformité) comme étant lourdingues et classé les qualiticiens, les auditeurs, les contrôleurs, les RSSI et les DPO dans cette caste inférieure de l’humanité. Mais le même David Graeber, quand il prenait l’avion, était bien content que des générations de cocheurs de case aient passé des heures au carré, depuis des décennies, à procédurer les vols commerciaux pour en faire l’un des moyens de transport les plus sûrs du monde.

En réalité, il y a deux questions en une, la première étant de se demander à quoi cela sert vraiment, et la seconde de s’interroger sur la supposée lourdinguerie de ces démarches.

À quoi cela sert d’abord : ah ! mais à rien, je vous le concède. En fait, pour être plus précis, cela DEVRAIT ne servir à rien si les gens faisaient juste leur boulot. On n’aurait pas besoin de la 27001 si les informaticiens contrôlaient régulièrement les endpoints sans EDR, révisaient les règles du pare-feu, les comptes admin de domaine, les sauvegardes des serveurs Core du SI, le SLA des fournisseurs critiques, etc., etc., etc. (je ne vais pas vous égrener les 93 mesures de l’annexe A, vous avez compris l’idée). S’il est besoin de mettre un gugusse qui regarde par-dessus leur épaule, c’est peut-être parce que dans la majorité des cas le bug se trouve entre la chaise et le clavier des sachants techniques. Si, si.

La lourdinguerie, ensuite. Je vous engage à aller parcourir le guide de cyber-résilience sur la mise en œuvre de la 27001 que votre serviteur a publié sur le site www.apssis.com : on fait tourner un SMSI avec 15 documents au maximum, ce n’est pas exactement ce que l’on appelle de la lourdinguerie. Et c’est là d’ailleurs qu’une autre comparaison va être intéressante.

Le physicien Michio Kaku fait remarquer que dans bon nombre de cas, une technologie passe du statut « réservé à l’ultra-élite » à « pour tout le monde » jusqu’à ce qu’on ne la remarque même plus tellement elle est dispersée dans le quotidien. C’est ce qui s’est passé pour le papier : le moindre grimoire coûtait une fortune au Moyen Âge, le livre s’est démocratisé avec Gutenberg et les pages imprimées finissent désormais sur les murs et dans les toilettes. C’est ce qui s’est aussi passé avec les microprocesseurs, très rares en 1970, et que chacun de nous possède par dizaines en 2025.

Il en va de même pour les démarches de conformité : si c’est trop lourd pour vous, c’est juste que votre organisation n’a pas encore atteint un niveau de maturité suffisant pour que ces démarches soient enchâssées dans les pratiques de tous les agents au point que plus personne ne les remarque.

Non, la 27001 n’est pas lourdingue : ceux qui le croient sont juste au début de leur premier cycle d’amélioration continue.

Lol.