ISMS Copilot
Ingénierie de prompts

Décomposer les requêtes complexes

Pourquoi décomposer les requêtes complexes ?

Les projets de conformité impliquent des tâches superposées : les politiques nécessitent des évaluations de risques, les mises en œuvre ont besoin d'évaluations de fournisseurs, les audits exigent des preuves sur des dizaines de contrôles. Demander à ISMS Copilot de « préparer l'audit SOC 2 » en une seule requête produit des conseils superficiels sur trop de sujets à la fois.

Des requêtes séquentielles et ciblées produisent des réponses plus approfondies et exploitables. Chaque étape s'appuie sur la précédente, vous permettant d'affiner la direction et de détecter les problèmes tôt plutôt que de découvrir des lacunes après avoir généré 50 pages de documentation générique.

Avantages des requêtes séquentielles

  • Qualité supérieure par sujet – Les prompts ciblés obtiennent des résultats détaillés et prêts pour l'audit au lieu de résumés abrégés

  • Vérification facilitée – Examinez un contrôle ou une politique à la fois par rapport aux normes, et non des frameworks entiers

  • Direction adaptable – Ajustez les suivis en fonction des résultats intermédiaires sans effort inutile

  • Meilleure utilisation du quota de messages – Les limites de l'offre gratuite encouragent l'efficacité ; les requêtes ciblées maximisent la valeur par message

  • Préservation du contexte – Les espaces de travail conservent l'historique de la conversation, de sorte que les requêtes ultérieures font référence aux résultats précédents

Comment décomposer les demandes complexes

1. Commencer par le cadrage

Première requête : Comprendre l'ensemble du paysage avant de plonger dans les détails.

Exemple d'objectif complexe : « Implémenter ISO 27001 pour notre startup »

Requête de cadrage : « Quelles sont les étapes clés et les contrôles pour l'implémentation d'ISO 27001:2022 dans une entreprise SaaS de 40 personnes avec un délai de 9 mois ? »

Résultat : Feuille de route de haut niveau, contrôles prioritaires, estimations de ressources. Utilisez cela pour structurer les requêtes suivantes.

2. Traiter un domaine à la fois

Parcourez séquentiellement les domaines du framework ou les Trust Services Criteria.

Exemple de séquence pour SOC 2 :

  1. « Quels contrôles SOC 2 CC6 (accès logique) s'appliquent à une plateforme SaaS utilisant Okta et AWS ? »

  2. « Générer une procédure de revue des accès utilisateurs pour CC6.1 avec des revues trimestrielles par les managers »

  3. « Quelles preuves démontrent la conformité CC6.2 (authentification) avec le MFA via Okta ? »

  4. « Rédiger une politique de mots de passe couvrant les exigences CC6.1 pour notre équipe »

Chaque requête produit un résultat complet et applicable pour ce contrôle avant de passer au suivant.

3. Passer du haut niveau au détail

Commencez large, puis creusez les spécificités en fonction des premières réponses.

Séquence :

  1. « Quels sont les contrôles organisationnels de l'Annexe A.5 d'ISO 27001 ? » (vue d'ensemble)

  2. « Développer les exigences de l'A.5.1 (politiques de sécurité de l'information) » (ciblé)

  3. « Rédiger une politique de sécurité de l'information répondant à l'A.5.1 pour un SaaS de santé avec des exigences HIPAA » (mise en œuvre)

  4. « Quelles preuves les auditeurs attendent-ils pour l'approbation et la communication de la politique A.5.1 ? » (préparation à l'audit)

Chaque étape approfondit la compréhension avant de s'engager dans la documentation.

4. Séparer la génération de la révision

Ne demandez pas simultanément la création de documents et l'analyse des écarts.

❌ Requête surchargée : « Créer une évaluation des risques pour ISO 27001 et me dire ce qui manque dans notre approche actuelle »

✅ Approche séquentielle :

  1. « Examiner notre processus actuel d'évaluation des risques [joindre le fichier] par rapport à l'ISO 27001 A.5.7 et identifier les lacunes »

  2. « Créer un modèle d'évaluation des risques traitant des lacunes identifiées pour notre environnement AWS »

Cela garantit que l'analyse des écarts informe la conception du modèle, et non l'inverse.

5. Aborder les dépendances dans l'ordre

Certaines tâches de conformité nécessitent des résultats préalables.

Exemple de chaîne de dépendance :

  1. « Quels actifs devrions-nous inclure dans un inventaire d'actifs ISO 27001 pour une plateforme SaaS ? » (fondation)

  2. « Créer un schéma de classification des actifs pour les données clients, les systèmes internes et les dépôts de code » (structure)

  3. « Générer un modèle d'évaluation des risques utilisant l'inventaire des actifs et les classifications » (s'appuie sur 1-2)

  4. « Rédiger des plans de traitement des risques pour les risques hautement prioritaires de l'évaluation » (s'appuie sur 3)

Chaque résultat alimente le suivant, créant une documentation cohérente.

Utilisez les Espaces de travail pour maintenir le contexte à travers des flux de travail en plusieurs étapes. ISMS Copilot se souvient des tours de conversation précédents, ainsi les requêtes ultérieures peuvent faire référence à « l'évaluation des risques de tout à l'heure » ou à « la politique que nous venons de créer ».

Exemples par scénario

Scénario 1 : Premier audit SOC 2

Demande complexe : « Aide-moi à me préparer à l'audit SOC 2 Type I dans 6 mois »

Décomposition :

  1. « Quels sont les critères SOC 2 Trust Services pour la Sécurité et la Disponibilité, et lesquels s'appliquent à une plateforme SaaS B2B ? »

  2. « Créer une checklist de préparation SOC 2 pour une entreprise de 50 personnes ayant 6 mois avant l'audit »

  3. « Générer une politique de sécurité de l'information couvrant CC1.1-1.5 (gouvernance et risque) »

  4. « Quel processus d'évaluation des risques fournisseurs satisfait au CC9.2 pour nos dépendances SaaS (AWS, Stripe, SendGrid) ? »

  5. « Rédiger un plan de réponse aux incidents pour CC7.3 avec les rôles, l'escalade et les procédures de communication »

  6. « Quelle collecte de preuves devrions-nous commencer maintenant pour CC6.1 (revues d'accès) compte tenu des cycles de revue trimestriels ? »

Six requêtes ciblées valent mieux qu'une demande écrasante.

Scénario 2 : Remédiation des écarts ISO 27001

Demande complexe : « Corrige nos conclusions d'audit ISO 27001 sur le contrôle d'accès, la gestion des changements et la journalisation »

Décomposition :

  1. « Notre auditeur a signalé des revues d'accès inadéquates pour l'ISO 27001 A.5.18. Concevoir un processus de revue d'accès trimestriel pour Okta, AWS IAM et GitHub »

  2. « Créer une procédure de gestion des changements pour l'A.8.32 couvrant notre flux CI/CD GitHub + AWS CodePipeline avec des étapes d'approbation »

  3. « Quelle configuration de journalisation satisfait à l'ISO 27001 A.8.15 pour AWS CloudTrail, les logs applicatifs dans Datadog et les logs système Okta ? »

  4. « Générer des procédures de collecte de preuves pour les nouveaux contrôles de revue d'accès, de gestion des changements et de journalisation »

Traite chaque conclusion en profondeur avec des détails de mise en œuvre.

Scénario 3 : Alignement multi-framework

Demande complexe : « Mapper les contrôles ISO 27001 et SOC 2 pour réduire les doublons »

Décomposition :

  1. « Quels contrôles SOC 2 chevauchent l'Annexe A.5 de l'ISO 27001:2022 (contrôles organisationnels) ? »

  2. « Créer une politique de contrôle d'accès unique satisfaisant à la fois l'ISO 27001 A.5.15-5.18 et le SOC 2 CC6.1-6.3 »

  3. « Comment une procédure de réponse aux incidents peut-elle couvrir les exigences de l'ISO 27001 A.5.24 et du SOC 2 CC7.3-7.5 ? »

  4. « Concevoir un processus unifié de collecte de preuves pour les contrôles redondants dans les deux frameworks »

Identifie les synergies avant de créer une documentation partagée.

Scénario 4 : Révision et amélioration de documents

Demande complexe : « Réviser toutes nos politiques et les mettre à jour pour la nouvelle norme ISO 27001:2022 »

Décomposition :

  1. « Qu'est-ce qui a changé entre l'ISO 27001:2013 et 2022 qui affecte les politiques existantes ? » (compréhension)

  2. « Examiner notre politique de sécurité de l'information [joindre] par rapport à l'ISO 27001:2022 A.5.1 et suggérer des mises à jour » (une politique)

  3. « Examiner notre politique de contrôle d'accès [joindre] par rapport aux nouveaux contrôles A.5.15-5.18 et identifier les lacunes » (politique suivante)

  4. « Mettre à jour notre méthodologie d'évaluation des risques pour inclure les nouvelles exigences A.5.7 pour les actifs cloud » (mise à jour spécifique)

Une révision systématique vaut mieux que d'essayer de tout mettre à jour simultanément.

Reconnaître quand décomposer

Votre requête est trop complexe si elle :

  • Demande des résultats sur plus de 5 contrôles ou domaines

  • Demande à la fois des conseils stratégiques et des détails de mise en œuvre

  • Combine génération, révision et analyse d'écarts

  • Couvre plusieurs frameworks sans spécifier de priorité

  • Inclut « et » ou « aussi » plus de deux fois

Les requêtes complexes produisent souvent des résultats superficiels qui nécessitent de toute façon un suivi extensif. Commencer par des requêtes ciblées permet de gagner du temps et d'améliorer la qualité du premier jet.

Maintenir le contexte entre les requêtes

Au sein d'une conversation dans un espace de travail, ISMS Copilot se souvient des échanges précédents. Utilisez des références telles que :

  • « Développer le processus de revue d'accès de la réponse précédente »

  • « Appliquer la méthodologie de risque dont nous avons discuté au chiffrement de la base de données »

  • « Mettre à jour le projet de politique pour inclure les exigences de preuve que vous venez de lister »

Cela permet de construire une documentation cohérente de manière incrémentale sans perdre le fil.

Quand la complexité est appropriée

Certaines requêtes bénéficient du regroupement d'éléments liés :

  • Mise en œuvre d'un contrôle unique – « Implémenter l'ISO 27001 A.8.24 (cryptographie) couvrant le chiffrement au repos, en transit et la gestion des clés pour notre environnement AWS » (un domaine, aspects liés)

  • Analyse comparative – « Comparer les exigences de contrôle d'accès ISO 27001, SOC 2 et NIST CSF pour notre plateforme SaaS » (vue inter-framework intentionnelle)

  • Procédures intégrées – « Créer une procédure combinée d'onboarding/offboarding traitant de l'ISO 27001 A.5.17 et du SOC 2 CC6.1 avec le provisionnement des rôles dans Okta, AWS, GitHub et Salesforce » (flux de travail naturellement intégré)

La clé : des éléments liés avec des connexions naturelles par rapport à des tâches non liées forcées ensemble.

Mesurer le succès

Une décomposition efficace produit :

  • Des réponses que vous pouvez mettre en œuvre immédiatement sans modifications majeures

  • Une compréhension claire de chaque composant avant de passer au suivant

  • Des résultats réutilisables (politiques, modèles, procédures) sans lacunes

  • Une utilisation efficace du quota de messages (la qualité plutôt que la quantité)

Si vous reposez la question trois fois sur le même sujet, votre requête initiale était probablement trop large ou vague.

Considérez les conversations avec ISMS Copilot comme la programmation en binôme : des échanges itératifs et ciblés produisent un meilleur code que d'essayer d'architecturer un système entier en une seule demande. Le même principe s'applique à la documentation de conformité.

Prochaines étapes

Prenez votre prochaine tâche de conformité complexe et esquissez 3 à 5 requêtes séquentielles pour la traiter. Notez comment chaque étape ciblée produit des conseils de meilleure qualité et plus exploitables.

Retour à la vue d'ensemble de l'ingénierie de prompt

Cela vous a-t-il été utile ?