Publicité en cours de chargement...
Mais non, la 27001 n’est pas lourdingue !
Écouter l'article
(Précision utile : par « système » on entend « système de management », à savoir l’ensemble des processus qui font fonctionner le bazar.)
Alors, en fait, non. On va d’ailleurs commencer par le regretté David Graeber et son ouvrage phare Bullshit jobs, où il identifie justement ce qu’il appelle les « cocheurs de case », grosso modo les inspecteurs des travaux finis qui ne produisent rien et passent leur temps à regarder par-dessus l’épaule de ceux qui bossent vraiment (un jour, il faudra d’ailleurs que je phosphore très fort pour savoir qui bosse vraiment dans les organisations, une constante étant que chacun estime que c’est lui et pas certains autres). Nul doute qu’il aurait jugé les normes ISO (et tous les référentiels de conformité) comme étant lourdingues et classé les qualiticiens, les auditeurs, les contrôleurs, les RSSI et les DPO dans cette caste inférieure de l’humanité. Mais le même David Graeber, quand il prenait l’avion, était bien content que des générations de cocheurs de case aient passé des heures au carré, depuis des décennies, à procédurer les vols commerciaux pour en faire l’un des moyens de transport les plus sûrs du monde.
En réalité, il y a deux questions en une, la première étant de se demander à quoi cela sert vraiment, et la seconde de s’interroger sur la supposée lourdinguerie de ces démarches.
À quoi cela sert d’abord : ah ! mais à rien, je vous le concède. En fait, pour être plus précis, cela DEVRAIT ne servir à rien si les gens faisaient juste leur boulot. On n’aurait pas besoin de la 27001 si les informaticiens contrôlaient régulièrement les endpoints sans EDR, révisaient les règles du pare-feu, les comptes admin de domaine, les sauvegardes des serveurs Core du SI, le SLA des fournisseurs critiques, etc., etc., etc. (je ne vais pas vous égrener les 93 mesures de l’annexe A, vous avez compris l’idée). S’il est besoin de mettre un gugusse qui regarde par-dessus leur épaule, c’est peut-être parce que dans la majorité des cas le bug se trouve entre la chaise et le clavier des sachants techniques. Si, si.
La lourdinguerie, ensuite. Je vous engage à aller parcourir le guide de cyber-résilience sur la mise en œuvre de la 27001 que votre serviteur a publié sur le site www.apssis.com : on fait tourner un SMSI avec 15 documents au maximum, ce n’est pas exactement ce que l’on appelle de la lourdinguerie. Et c’est là d’ailleurs qu’une autre comparaison va être intéressante.
Le physicien Michio Kaku fait remarquer que dans bon nombre de cas, une technologie passe du statut « réservé à l’ultra-élite » à « pour tout le monde » jusqu’à ce qu’on ne la remarque même plus tellement elle est dispersée dans le quotidien. C’est ce qui s’est passé pour le papier : le moindre grimoire coûtait une fortune au Moyen Âge, le livre s’est démocratisé avec Gutenberg et les pages imprimées finissent désormais sur les murs et dans les toilettes. C’est ce qui s’est aussi passé avec les microprocesseurs, très rares en 1970, et que chacun de nous possède par dizaines en 2025.
Il en va de même pour les démarches de conformité : si c’est trop lourd pour vous, c’est juste que votre organisation n’a pas encore atteint un niveau de maturité suffisant pour que ces démarches soient enchâssées dans les pratiques de tous les agents au point que plus personne ne les remarque.
Non, la 27001 n’est pas lourdingue : ceux qui le croient sont juste au début de leur premier cycle d’amélioration continue.
Lol.

Cédric Cartau
Avez-vous apprécié ce contenu ?
A lire également.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...