Comment nous assurons la sécurité et la précision de ISMS Copilot

ISMS Copilot aide les professionnels de la conformité à rédiger des politiques, analyser les exigences d'audit et naviguer dans des cadres complexes comme ISO 27001 et SOC 2. Nous avons intégré des garde-fous à chaque couche de la plateforme pour protéger vos données sensibles et garantir que notre IA fournisse des résultats fiables et prêts pour l'audit — et non des conseils génériques qui pourraient compromettre votre certification.

Notre approche combine protections techniques, contrôles de précision et mesures de protection opérationnelles tout au long du cycle de vie de vos données.

La protection des données dès la conception

Le travail de conformité implique des données organisationnelles sensibles. Nous les protégeons via :

• Chiffrement de bout en bout : TLS 1.3 en transit, AES-256 au repos. Vos données sont chiffrées avant d'atteindre nos serveurs et pendant leur stockage.

• Hébergement en UE et conformité RGPD : Toute l'infrastructure fonctionne à Francfort (AWS EU-Central-1). Nous agissons en tant que sous-traitant RGPD avec toutes les obligations de l'Article 28, les Clauses Contractuelles Types et un Accord de Traitement des Données (DPA).

• Isolation des espaces de travail : La sécurité au niveau des lignes (RLS) garantit que les clients et les projets ne se mélangent jamais. Chaque espace de travail est un environnement distinct.

• Zéro entraînement sur vos données : Nous interdisons contractuellement aux fournisseurs d'IA (Mistral AI, OpenAI, xAI) d'utiliser vos entrées ou sorties pour l'entraînement des modèles. Vos données de conformité restent les vôtres.

• Rétention contrôlée par l'utilisateur : Configurez la rétention de 1 jour à 7 ans ou supprimez les données immédiatement. La suppression automatique s'exécute quotidiennement. La suppression d'un compte efface toutes les données sous 30 jours.

Prévenir les hallucinations et les conseils inexacts

Les outils d'IA génériques comme ChatGPT peuvent inventer avec assurance des exigences de contrôle ou mal interpréter des normes. Nous empêchons cela grâce à :

• Injection Dynamique de Connaissances des Référentiels : Lorsque vous mentionnez un référentiel (ISO 27001, SOC 2, RGPD, etc.), notre système injecte automatiquement des connaissances vérifiées provenant de notre base de données propriétaire avant que l'IA ne réponde. Cela élimine les hallucinations sur les contrôles et les exigences.

• Base de connaissances propriétaire : Construite à partir de centaines de projets de conseil réels — et non de contenu web scrapé. Nous maintenons la précision grâce au contrôle de version et à des mises à jour régulières au fur et à mesure de l'évolution des normes.

• Avertissements d'incertitude : Lorsque l'IA n'est pas sûre, elle le précise et vous invite à vérifier par rapport à la norme officielle. Nous limitons strictement les réponses au domaine de la conformité — aucune génération hors sujet.

Authentification et contrôles d'accès

Nous imposons un accès sécurisé via :

• Vérification obligatoire de l'e-mail : Tous les comptes nécessitent un e-mail vérifié avant de pouvoir accéder au service.

• OAuth avec support MFA : Connectez-vous via Google ou Microsoft avec l'authentification multi-facteurs. Nous recommandons d'activer la MFA sur votre fournisseur d'identité.

• Hachage des mots de passe : Les mots de passe sont hachés avec bcrypt. Nous ne stockons jamais d'identifiants en clair.

• Gestion des sessions : Les jetons JWT expirent automatiquement pour limiter les fenêtres d'accès non autorisées.

Prévention des abus et surveillance

Nous surveillons les usages abusifs tout en préservant la confidentialité :

• Modération automatisée du contenu : Les API des fournisseurs d'IA filtrent tous les messages pour détecter les contenus interdits. Le contenu signalé est conservé pendant 1 an pour examen administratif ; les métadonnées non signalées sont supprimées après 30 jours.

• Limitation du débit : Les utilisateurs de l'offre gratuite sont limités à 10 messages toutes les 4 heures pour éviter les abus. Les plans payants ont des quotas plus élevés.

• Surveillance des erreurs : Sentry suit les erreurs techniques à l'aide d'UUID anonymisés — aucun contenu de message n'est enregistré.

• Analyses respectueuses de la vie privée : Utilisation de PostHog sans cookies et sans aucune information personnellement identifiable.

Rédaction des données sensibles

Activez le Mode Réduction des PII (données personnelles) pour biffer automatiquement les noms, adresses e-mail et numéros de téléphone avant d'envoyer les données aux fournisseurs d'IA. Cela ajoute une couche de protection supplémentaire lors de l'importation de documents ou de discussions sur des sujets liés au personnel.

Réponse aux incidents

Si un problème de sécurité survient, notre processus de réponse aux incidents garantit :

• Évaluation sous 24 heures

• Communication aux utilisateurs concernés sous 72 heures pour les violations de données (Article 33 du RGPD)

• Suivi de la remédiation et analyse post-incident

Signalez toute préoccupation de sécurité à [email protected].

Ce qui nous différencie

Contrairement aux outils d'IA généralistes, ISMS Copilot est conçu spécifiquement pour la conformité :

• Pas d'hallucinations sur les contrôles : L'injection de référentiels garantit la précision pour ISO 27001, SOC 2 et d'autres normes.

• Hébergé en UE avec zéro entraînement : Vos données ne quittent jamais l'UE (avec le Mode Avancé) et ne sont jamais utilisées pour entraîner des modèles.

• Résultats prêts pour l'audit* : Politiques structurées et analyses d'écarts — pas des réponses conversationnelles que vous devez remettre en forme. *Révisez toujours vos documents néanmoins, c'est la règle d'or.

• Organisation par espace de travail : Séparation multi-clients et multi-projets intégrée nativement.

Pour des informations détaillées sur le traitement des données, consultez notre Politique de Confidentialité et notre Accord de Traitement des Données.