Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est bien lourdingue pour ce que cela rapporte.

(Précision utile : par « système » on entend « système de management », à savoir l’ensemble des processus qui font fonctionner le bazar.)

Alors, en fait, non. On va d’ailleurs commencer par le regretté David Graeber et son ouvrage phare Bullshit jobs, où il identifie justement ce qu’il appelle les « cocheurs de case », grosso modo les inspecteurs des travaux finis qui ne produisent rien et passent leur temps à regarder par-dessus l’épaule de ceux qui bossent vraiment (un jour, il faudra d’ailleurs que je phosphore très fort pour savoir qui bosse vraiment dans les organisations, une constante étant que chacun estime que c’est lui et pas certains autres). Nul doute qu’il aurait jugé les normes ISO (et tous les référentiels de conformité) comme étant lourdingues et classé les qualiticiens, les auditeurs, les contrôleurs, les RSSI et les DPO dans cette caste inférieure de l’humanité. Mais le même David Graeber, quand il prenait l’avion, était bien content que des générations de cocheurs de case aient passé des heures au carré, depuis des décennies, à procédurer les vols commerciaux pour en faire l’un des moyens de transport les plus sûrs du monde.

En réalité, il y a deux questions en une, la première étant de se demander à quoi cela sert vraiment, et la seconde de s’interroger sur la supposée lourdinguerie de ces démarches.

À quoi cela sert d’abord : ah ! mais à rien, je vous le concède. En fait, pour être plus précis, cela DEVRAIT ne servir à rien si les gens faisaient juste leur boulot. On n’aurait pas besoin de la 27001 si les informaticiens contrôlaient régulièrement les endpoints sans EDR, révisaient les règles du pare-feu, les comptes admin de domaine, les sauvegardes des serveurs Core du SI, le SLA des fournisseurs critiques, etc., etc., etc. (je ne vais pas vous égrener les 93 mesures de l’annexe A, vous avez compris l’idée). S’il est besoin de mettre un gugusse qui regarde par-dessus leur épaule, c’est peut-être parce que dans la majorité des cas le bug se trouve entre la chaise et le clavier des sachants techniques. Si, si.

La lourdinguerie, ensuite. Je vous engage à aller parcourir le guide de cyber-résilience sur la mise en œuvre de la 27001 que votre serviteur a publié sur le site www.apssis.com : on fait tourner un SMSI avec 15 documents au maximum, ce n’est pas exactement ce que l’on appelle de la lourdinguerie. Et c’est là d’ailleurs qu’une autre comparaison va être intéressante.

Le physicien Michio Kaku fait remarquer que dans bon nombre de cas, une technologie passe du statut « réservé à l’ultra-élite » à « pour tout le monde » jusqu’à ce qu’on ne la remarque même plus tellement elle est dispersée dans le quotidien. C’est ce qui s’est passé pour le papier : le moindre grimoire coûtait une fortune au Moyen Âge, le livre s’est démocratisé avec Gutenberg et les pages imprimées finissent désormais sur les murs et dans les toilettes. C’est ce qui s’est aussi passé avec les microprocesseurs, très rares en 1970, et que chacun de nous possède par dizaines en 2025.

Il en va de même pour les démarches de conformité : si c’est trop lourd pour vous, c’est juste que votre organisation n’a pas encore atteint un niveau de maturité suffisant pour que ces démarches soient enchâssées dans les pratiques de tous les agents au point que plus personne ne les remarque.

Non, la 27001 n’est pas lourdingue : ceux qui le croient sont juste au début de leur premier cycle d’amélioration continue.

Lol.

 

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Conformité au Programme CaRE D2

Conformité au Programme CaRE D2

27 oct. 2025 - 17:00,

Communiqué

- Gplexpert

Le Programme CaRE, lancé en 2023, constitue une initiative majeure du Ministère de la Santé pour renforcer la cybersécurité et la résilience des établissements de santé. Dans ce cadre, le Domaine 2 (D2), consacré à la continuité et à la reprise d’activité, impose aux établissements de santé de nouve...

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.