Une fois n'est pas coutume, aujourd'hui nous n'allons pas parler des normes, ni même de méthodologie. J'avais plutôt envie de vous partager les différents profils de clients que nous avons la joie d'accompagner tous les jours. Toute ressemblance avec des personnes réelles ou situations existantes ne saurait être que (pas) fortuite, cela va sans dire.
EDIT : J'ai oublié la catégorie la plus intriguante, mon erreur est réparée (enfin je crois)
Le sceptique
Lui on lui fait pas à l'envers! Convaincu que l'ISO 27001 est une sorte de mythe urbain, il scrute chaque exigence comme si c'était une énigme de Sherlock Holmes. "Hum, moi je n'aurais pas fait cela mais bon..." est sans doute sa phrase préférée. Il vous demandera de justifier chaque recommandation en détail, souvent en demandant des preuves concrètes de retour sur investissement, ou d'utilité. Il négocie chaque point comme s'il était sur un marché aux puces, cherchant toujours à minimiser l'effort requis. Vous l'aurez compris, il est difficle à convaincre, toutefois une fois à bord, son esprit critique peut se révéler être un atout pour renforcer chaque jour son SMSI.
L'utopiste
Pour l'utopiste, une documentation suffit à résoudre tous les problèmes. "Si nous écrivons que nous sommes sécurisés, alors nous le sommes, n'est-ce pas ?" Il peut se montrer réticent à s'engager dans les détails pratiques de l'implémentation. Il a tendance à penser que la simple existence d'une politique de sécurité est suffisante pour assurer la conformité. Vous devrez l'encourager à comprendre l'importance des processus et des procédures spécifiques, et comment ceux-ci s'intègrent dans une stratégie de sécurité globale efficace. Souvent il tient sa feuille de route de sécurité à coup d'articles LinkedIn. Il a souvent tendance à surévaluer son niveau de conformité (et ce faisant son niveau de sécurité effectif). Cependant il sera un bon camarade, et ne rechignera pas à rédiger plein de documents (ce qui en soi n'est pas inintéressant bien qu'insuffisant.)
Le puriste
Pour lui, l'ISO 27001 est tout au sujet de la technologie. "Tout cela est bien beau, mais parlons de cryptographie !" Il aime les détails techniques et peut se perdre dans les aspects technologiques, oubliant parfois que la norme couvre également des aspects organisationnels et humains. Il est souvent très compétent dans la mise en œuvre des contrôles techniques, mais peut vite négliger des éléments tels que la formation des employés, la sensibilisation ou les processus de gestion. Notre rôle consistera à l'aider à équilibrer son approche, en soulignant l'importance des autres aspects du SMSI.
L'optimiste
L'optimiste est enthousiaste et prêt à plonger tête première dans le processus. Il suppose que tout se passera sans accroc et que tout le monde va participer à cet effort sans difficulté (internes, fournisseurs, partenaires). Sa positivité est rafraîchissante, mais elle peut conduire à un manque de préparation et de vigilance. Il sous-estime souvent la complexité de mise en oeuvre, les coûts directs et indirects de ce type de démarche et la difficulté d'embarquer toute son organisation dans cet objectif. Souvent il est complètement aveugle à notion de menace interne, pour lui tout le monde est beau et gentil dans son entreprise et puis que "bon de toute façon qui pourrait en vouloir à mon système d'information ?".
Le brillant
Et enfin, the last but not the least, le brillant car oui il existe. Lui, est né avec le référentiel dans les mains, il a compris les enjeux techniques et organisationnels de ce type de démarche. Il a déjà mis en place beaucoup de mesures de sécurité avant même le démarrage de l'implémentation. Son défi sera peut être de déléguer ou de faire confiance aux autres pour accomplir des tâches, car il est souvent habitué à tout gérer lui-même. Notre rôle consistera à l'aider à canaliser son énergie et ses connaissances de manière productive, en veillant à ce que toute l'organisation soit impliquée et engagée dans le processus.
Le perfectionniste
Bon le brillant n'était pas vraiment le dernier du coup...
Le perfectionniste vise l'excellence absolue dans chaque aspect de l'ISO 27001. Pour lui, tout doit être non seulement conforme, mais aussi exemplaire. Il se concentre intensément sur les détails, cherchant à optimiser chaque processus et chaque contrôle de sécurité. Bien que son engagement envers la qualité soit admirable, il peut parfois se perdre dans une quête incessante de perfection, risquant de retarder la mise en œuvre en raison de standards parfois trop élevés ou irréalistes. Il est crucial de reconnaître son désir de qualité tout en le guidant vers des objectifs réalisables, en lui rappelant que la perfection est un chemin et non une destination.
Vous l'aurez compris : L'approche personnalisée est la clé. La valeur ajoutée d'un cabinet comme Akant est non seulement de posséder une expertise technique et une connaissance approfondie de la norme, mais aussi des compétences en communication et en gestion des relations humaines. Il s'agit d'équilibrer l'optimisme avec le réalisme, d'encourager la vision globale tout en se concentrant sur les détails, et de valoriser l'expertise technique tout en reconnaissant l'importance des facteurs humains et organisationnels.
En fin de compte, la réussite de l'implémentation de l'ISO 27001 repose sur la capacité à naviguer dans ces "5 nuances de clients", en transformant leurs perspectives uniques en leviers pour une sécurité de l'information robuste et efficace. C'est en comprenant et en embrassant cette diversité que nous visons l'excellence au quotidien.
Et vous, vous seriez dans quelle team ?