• Podcast

    Compliance Without Coma

    Animé par un expert en sécurité de l’information, pour celles et ceux qui veulent comprendre l’ISO 27001, la cybersécurité, la GRC et la conformité… sans s’endormir

    Écouter le dernier épisode Écouter le dernier épisode S'abonner S'abonner

La conformité ne devrait jamais être un somnifère… ni un coma

Cybersécurité, gouvernance, ISO 27001, gestion des risques…
Des sujets essentiels — mais trop souvent traités de manière opaque, théorique ou indigeste.

Compliance Without Coma est né d’un constat simple : on peut être rigoureux sans être ennuyeux. Ici, on décrypte la conformité, les exigences ISO 27001 et les bonnes pratiques en cybersécurité avec : clarté, pragmatisme et un regard critique pour comprendre vraiment… et passer à l’action.

A propos

Concept

Compliance Without Coma est né d’une frustration partagée par beaucoup de professionnels : des normes indispensables, mais mal expliquées.

Ce podcast a été créé pour démystifier, structurer et rendre utiles ces sujets au quotidien.

Chaque épisode aborde un sujet précis lié à la cybersécurité, la gouvernance de l’information et les normes et référentiels (ISO 27001, 27701, NIS2, etc.)

Avec une promesse constante :

  • Du concret
  • Des exemples réels
  • Des clés actionnables
Fabrice De Paepe

Derrière le micro…

Expert en cybersécurité, gouvernance et conformité, avec plus de 20 ans d’expérience en sécurité de l’information.

Au quotidien, j’accompagne des organisations confrontées aux mêmes enjeux :

  • Exigences ISO 27001
  • Gestion des risques
  • Contraintes opérationnelles
  • Conformité réglementaire (NIS2, DORA, Ai Act, CRA, etc.)

Ce podcast est né de cette expérience terrain, avec une idée simple : traduire la conformité en langage humain. Parce qu’entre : des exigences normatives complexes, des risques cyber bien réels et des contraintes métier, il y a souvent un fossé.

Où écouter

Où regarder

Souscrire à la newsletter

Être informé des nouvelles formations, outils et ressources pour mieux maîtriser votre SMSI et la conformité ISO 27001


    Les épisodes en vidéo

    Ton IBAN n'est pas une donnée anodine. 💳 Seul, il est peu exploitable. Associé à ton nom et ton email, il devient une arme d'usurpation. Le risque n'est pas un virement direct, mais la manipulation de ton identité bancaire. L'attaquant exploite les failles des systèmes de paiement. ⚠️ Il peut créer des mandats frauduleux ou enregistrer ton compte sur des sites marchands. Plus grave : il utilise ces détails réels pour des mails de phishing ultra-personnalisés, te poussant à valider des accès sensibles. 📌 Les méthodes d'exploitation : • mandats SEPA frauduleux • micro-prélèvements furtifs • phishing crédible citant ta banque 👉 Les bons réflexes : • surveille tes prélèvements chaque semaine • conteste immédiatement toute opération inconnue • ne donne jamais de code reçu par SMS 👉 Abonne-toi pour d’autres réflexes simples qui peuvent vraiment te protéger.
    Ton IBAN n'est pas une donnée anodine. 💳
    On m’a inscrit au CISSP… avec seulement 1 mois pour le réussir. Pas de formation. Pas de bootcamp. Pas de mentor. Dans cette vidéo, je te raconte comment j’ai réussi le CISSP du premier coup en 2008, avec une méthode ultra intensive, des flashcards papier, des journées de 10h d’étude… et surtout un vrai mindset mental. Parce que le CISSP ne teste pas juste tes connaissances. Il teste : ⚠️ ton endurance mentale ⚠️ ton raisonnement ⚠️ ton calme ⚠️ et honnêtement… ton ego aussi. Et aujourd’hui, avec l’examen adaptatif, c’est encore plus vrai. Je te partage : ✅ ma méthode réelle de préparation ✅ comment identifier tes forces et faiblesses ✅ pourquoi les bootcamps seuls ne suffisent pas ✅ comment apprendre plus intelligemment ✅ les erreurs qui font échouer beaucoup de candidats ✅ et pourquoi le CISSP est autant une épreuve mentale qu’une certification Si tu prépares le CISSP, ou que tu veux évoluer dans la cybersécurité, la gouvernance, le risk management ou la conformité… cette vidéo est pour toi. 📌 Pense à t’abonner si tu veux du contenu cybersécurité & conformité : — sans bullshit — sans jargon inutile — et basé sur le vrai terrain. #CISSP #CyberSecurity #ISC2 #Certification #InfoSec #Cyber #RiskManagement #Governance #Compliance #cybersecurity
    COMMENT J'AI REUSSI LE CISSP EN 30 JOURS (SANS FORMATION)
    Vous êtes-vous déjà demandé si toutes les certifications que vous croisez ont la même valeur ? Dans cet épisode de Compliance Without coma, Fabrice De Paepe nous plonge dans le monde complexe de la certification des personnes, en se concentrant sur la norme ISO 17024. Cette norme est essentielle pour comprendre comment évaluer la valeur réelle des certifications que vous pourriez envisager d'acquérir. Fabrice aborde les différents bureaux de certification, tels que LSTI, PECB et EC-Council, TRECCERT et met en lumière les distinctions cruciales entre les certifications accréditées et celles qui ne le sont pas. Une des clés pour naviguer dans cet univers est de faire preuve de diligence raisonnable lors de l'achat de certifications. Fabrice nous met en garde contre les promesses trompeuses de certains acteurs du marché qui peuvent embellir la réalité. Il est important de savoir que maintenir une certification n'est pas un acte unique : cela nécessite des frais annuels (AMF) et une formation continue (CPD). Ces éléments sont souvent négligés, mais ils sont cruciaux pour quiconque souhaite faire avancer sa carrière dans le respect des normes. Fabrice encourage les auditeurs à être proactifs dans leur parcours professionnel, à faire leurs propres recherches et à s'informer sur les certifications disponibles. Il souligne que la connaissance est un atout précieux dans ce domaine, et que chaque certification doit être choisie avec soin. En fin de compte, il s'agit de votre développement professionnel et de la manière dont vous pouvez vous démarquer dans un marché de plus en plus compétitif. Rejoignez-nous pour une discussion qui vous aidera à mieux comprendre l'importance de la certification et à éviter les pièges courants. Que vous soyez un professionnel chevronné ou un novice dans le monde des certifications, cet épisode de Compliance Without coma vous offre des insights précieux et des conseils pratiques. Écoutez maintenant et équipez-vous des connaissances nécessaires pour prendre des décisions éclairées concernant votre avenir professionnel ! 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc. Tapes compliance without coma dans google et tu nous trouveras :p  Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.
    Episode 59: que se cache-t-il derriere ta certification de personne (ISO 17024) ?
    7ème vérité Tu ne manques pas de documents Des politiques, des procédures, des documents… 👉 tout le monde en a. Ils sont là : dans un SharePoint, dans un dossier oublié, dans un ancien projet. Le problème n’a jamais été le manque de documentation. 👉 Le vrai problème, c’est la direction. 👉 Et surtout… l’alignement. Parce qu’un document n’a de valeur que s’il : • sert les décisions • soutient le business • est compris par ceux qui doivent l’appliquer Et ça… 👉 c’est beaucoup plus rare. Si tu veux comprendre la GRC autrement, sans tomber dans la conformité automatique : 👉 Abonne-toi #GRC #ISO27001 #Governance #Cybersecurity #Compliance
    Tu ne manques pas de documents #ISO27001, tu manques d'alignement
    Ton consultant ne te sauvera pas. On attend souvent du consultant qu’il apporte les réponses. Qu’il sécurise et Qu’il décide à notre place. Mais en réalité… 👉 le consultant n’est pas là pour te sauver. Il peut t’aider à réfléchir. Structurer. Clarifier. Mais les décisions… 👉 elles restent chez toi. Et avec elles… 👉 la responsabilité. En GRC, le risque n’est jamais porté par celui qui conseille. 👉 Il est porté par celui qui décide. Et c’est là que tout se joue. Si tu veux continuer à comprendre la GRC sans tomber dans la conformité “automatique” : 👉 Abonne-toi #GRC #ISO27001 #Cybersecurity #Governance #Compliance
    Ton consultant ISO27001 ne te sauvera pas (et c’est normal)
    Les services publics sont les cibles les plus vulnérables de ton quotidien ! ⚠️ Une mairie centralise tes données les plus sensibles : état civil, fiscalité et vie privée. Pourtant, les budgets limités et les infrastructures vieillissantes en font des cibles idéales pour les attaquants. Le piratage d'une collectivité n'est pas un simple incident technique, c'est une paralysie totale de la vie citoyenne. 🏴‍☠️ Le risque est immédiat et concret. Lorsqu'une commune tombe, tout s'arrête. Les services administratifs sont coupés, la gestion des infrastructures est bloquée et tes informations personnelles finissent sur le marché noir. Une fois la porte ouverte, les attaquants tentent souvent de s'installer durablement via des comptes administrateurs compromis. 📌 Les conséquences réelles : • fuite massive de tes données personnelles • interruption prolongée des services publics • coût financier majeur pour le contribuable La sécurité d'une ville est une responsabilité politique qui impacte directement ta sécurité numérique. 👉 Les bons réflexes : • segmente les réseaux administratifs et techniques • impose une gestion rigoureuse des comptes à hauts privilèges • anticipe la continuité de service en mode dégradé 👉 Abonne-toi pour d’autres réflexes simples qui peuvent vraiment te protéger.
    Les services publics sont les cibles les plus vulnérables de ton quotidien ! ⚠️
    -La Ghost policy - celle qui existe mais que personne n’a lue et ne respecte -Le manque d’adhésion du management -Une SOA très ambitieuse, en tentant d’implémenter tous les contrôles sans justification -Registre des risques statiques -Pauvre preuves… -Partager le mauvais écran -Ne pas suivre les recommandations ah ben ca fait 7 ;-)
    6 erreurs fatales en Audit #ISO27001
    Saviez-vous que la majorité des gens croient à tort que la norme PCI DSS protège leurs données bancaires, y compris leur IBAN ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous plonge dans l'univers souvent méconnu de la protection des IBAN et des vérités surprenantes qui l'entourent. Alors que la sécurité des données est devenue un enjeu majeur dans notre société numérique, il est essentiel de démystifier les idées reçues sur la sécurité bancaire. Fabrice nous explique pourquoi l'IBAN, contrairement à un numéro de carte de crédit, n'est pas considéré comme une donnée secrète au même niveau de protection. Cette distinction soulève des questions alarmantes sur la sécurité de nos informations bancaires. En effet, la confusion autour de la norme PCI DSS peut exposer nos finances à des risques. Dans cet épisode, vous découvrirez des conseils pratiques et des stratégies efficaces pour gérer votre IBAN et sécuriser vos données personnelles. Fabrice insiste sur l'importance de surveiller régulièrement votre compte pour détecter des prélèvements suspects et de mettre en place des validations pour les nouveaux mandats de prélèvement. Mais ce n'est pas tout ! Nous abordons également les dangers de la fraude et du phishing, des menaces omniprésentes dans le monde numérique d'aujourd'hui. Comprendre ces risques est essentiel pour garantir la sécurité de vos données personnelles. Grâce à des exemples concrets et des recommandations claires, cet épisode vous permettra de mieux appréhender la portée des normes de sécurité et de ne pas vous fier aveuglément à elles. Ne laissez pas la confusion vous exposer à des risques inutiles ! Rejoignez-nous pour cet épisode de Compliance Without Coma, où nous vous aidons à naviguer dans le labyrinthe de la sécurité bancaire. Apprenez à protéger votre IBAN et à comprendre les enjeux réels de la sécurité des données. Ensemble, faisons de la conformité une priorité sans tomber dans le coma de l'ignorance ! Écoutez dès maintenant et assurez-vous que vos finances restent en sécurité dans un monde en constante évolution. 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc. Frenchpodcast.fr (http://Frenchpodcast.fr) www.compliancewithoutcoma.com (http://www.compliancewithoutcoma.com) Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations.
    Episode 58: PCI-DSS ne va pas sauver ton IBAN
    Découvrez comment un petit groupe, moins nombreux et moins équipé, a résisté à un empire grâce à une gouvernance exceptionnelle. Des décisions rapides, des rôles clairs et une stratégie ferme ont été leurs armes secrètes. Aujourd'hui, ces principes restent cruciaux face à l'adversité. Comment appliquer ces leçons historiques à votre leadership moderne ? #Gouvernance #Leadership #Histoire #malta #ISO17001
    Leçon de Gouvernance de Malte 1565
    L'erreur humaine reste la faille la plus exploitable de ton organisation. Le piratage ne cible plus les serveurs, mais la psychologie. L'ingénierie sociale manipule les émotions pour obtenir ce qu'aucune intrusion technique ne permet : un accès volontaire et légitime. Le danger est souvent proportionnel au niveau de responsabilité. Un dirigeant ou un cadre supérieur subit une pression constante. En usurpant l'identité d'un collaborateur, d'un avocat ou d'une autorité, l'attaquant utilise l'urgence pour neutraliser le sens critique. Si la hiérarchie impose le silence, la faille devient systémique. 📌 Les leviers utilisés : • l'autorité hiérarchique pour forcer l'exécution • l'urgence extrême pour empêcher la vérification • la flatterie ou l'ego pour baisser la garde La technologie ne peut rien contre un ordre validé par celui qui possède tous les droits. 👉 Les bons réflexes : • instaure une culture du doute à tous les niveaux • mets en place une double validation pour les virements • forme les profils à haute responsabilité en priorité Abonne-toi pour d’autres réflexes simples qui peuvent vraiment te protéger.⚔️
    L'erreur humaine reste la faille la plus exploitable de ton organisation.
    Cette semaine…on m’a posé 3 fois la même question. “Pourquoi on ne me prend pas en GRC ?” Trois personnes différentes. Trois profils différents. Mais la même frustration. au début, j’avais envie de répondre : -“il te manque des certifications.” Mais en réalité… Même avec des certifications… - tu peux rester bloqué. Le vrai problème… -c’est que tu ne comprends pas encore ce que tu apprends. Tu passes des certifs…mais tu restes en surface. Tu ne fais pas la différence entre : -une accréditation -une certification -un certificat de participation - tu ne creuses pas encore assez. Et en GRC… rester en surface… ça ne marche pas. Parce que ton job… 👉 ce n’est pas de réciter une norme. 👉 c’est de comprendre. -Comprendre un risque. -Comprendre une situation. -Comprendre ce qui peut se passer… -Comprendre les gens. -Comment ils travaillent. -Comment ils prennent des décisions. -Comment ils réagissent… ...avec leurs émotions. 👉 ce ne sont pas les systèmes qui prennent des décisions. 👉 ce sont les gens. Et si tu ne comprends pas ça… 👉 tu vas construire des choses qui ne tiennent pas. Tu vas créer des politiques… des contrôles…dans ta tour d’ivoire. Et au moindre changement… 👉 tout s’effondre. 👉 on ne te l’apprend pas dans les certifications. Parce que les certifications… 👉 te parlent de normes. 👉 de concepts. 👉 de frameworks. Mais pas de ce qui fait tourner une entreprise. 👉 les processus. 👉 et les personnes qui les font vivre. C’est aussi pour ça que certaines certifications demandent de l’expérience. 👉 pas juste en cyber. 👉 en entreprise. Parce que tu dois avoir vu : 👉 comment ça marche 👉 comment ça bloque 👉 comment les décisions se prennent Moi aussi…au début… 👉 je pensais que c’était ça le jeu. Les certifs. Les titres. Les lignes sur le CV. Mais le déclic… 👉 c’est quand tu réalises que tu ne sais pas encore. Et que tu acceptes ça. Et que tu commences vraiment…à creuser. Alors si tu veux rentrer en GRC… ...prends ton temps. -comprends ce que tu apprends. -intéresse-toi aux gens. -intéresse-toi aux processus. Le reste…viendra
    POURQUOI PERSONNE NE TE PREND EN GRC ? (ET CE N'EST PAS TES CERTIFS)
    Êtes-vous vraiment prêt pour la date limite du 18 avril 2027 ? Dans cet épisode de "Compliance Without Comma", Fabrice De Paepe nous plonge au cœur de la loi de Parkinson et de son influence sur la gestion du temps au sein des organisations, notamment face aux exigences de la réglementation NIS2. Saviez-vous que le travail a tendance à s'étendre pour remplir le temps disponible ? Cette réalité peut avoir des conséquences désastreuses sur la mise en conformité, et il est crucial d'en prendre conscience dès maintenant. Fabrice met en lumière un fait alarmant : la majorité des organisations ne sont pas prêtes pour les audits qui s'annoncent. Avec la date butoir qui approche à grands pas, la demande d'auditeurs va exploser dans les mois précédant cette échéance. Ignorer les signaux d'alarme peut mener à des crises de conformité inévitables. C'est pourquoi cet épisode de "Compliance Without Comma" est un incontournable pour tous ceux qui souhaitent naviguer avec succès dans le paysage complexe de la réglementation NIS2. Au fil de la discussion, Fabrice insiste sur l'importance d'agir dès maintenant. La perception du temps joue un rôle essentiel dans la manière dont les organisations se préparent à ces nouvelles exigences. Ne laissez pas la procrastination vous piéger ! Le véritable défi ne réside pas seulement dans la loi NIS2 elle-même, mais dans la capacité des entreprises à anticiper et à planifier efficacement. Chaque minute compte, et chaque décision prise aujourd'hui peut avoir un impact majeur sur votre conformité future. Rejoignez-nous pour découvrir des conseils pratiques et des stratégies qui vous aideront à éviter les pièges courants liés à la conformité. Que vous soyez un professionnel de la conformité, un dirigeant d'entreprise ou simplement curieux des enjeux réglementaires, cet épisode vous fournira des insights précieux pour naviguer dans cette période de transition. Ne manquez pas cette occasion de prendre une longueur d'avance et d'assurer la pérennité de votre organisation face aux défis de la réglementation NIS2. Écoutez dès maintenant "Compliance Without Comma" et démarrez votre voyage vers une conformité proactive et efficace ! 🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun. 💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis. 📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc. Rejoins-nous sur frenchpodscast.fr (http://frenchpodscast.de) ou sur compliancewithoutcoma.com (http://compliancewithoutcoma.com) Hébergé par Ausha. Visitez ausha.co/fr/politique-de-confidentialite pour plus d'informations. 0:00 Introduction à la loi de Parkinson et NIS2 0:58 Contexte de NIS2 et son impact sur les organisations 1:52 Les défis d'audit et la préparation des entreprises 3:30 Les conséquences de la procrastination sur la conformité 5:04 Conclusion et appel à l'action pour les entreprises
    Episode 57 : NIS2, le tueur lent… et la loi de Parkinson
    S'abonner