ISMS Copilot
Ingénierie de prompts

Itération et affinement avec des conversations multi-tours

La puissance du contexte de conversation

Contrairement aux requêtes ponctuelles adressées aux outils d'IA génériques, ISMS Copilot conserve l'historique des conversations au sein des espaces de travail. Chaque question de suivi s'appuie sur les réponses précédentes, vous permettant d'affiner des politiques, d'approfondir des contrôles spécifiques ou d'ajuster des recommandations sans répéter le contexte.

Cette approche itérative reflète la manière dont les professionnels de la conformité travaillent réellement : commencer par une vue d'ensemble du cadre, se focaliser sur les contrôles prioritaires, générer des versions initiales, puis affiner en fonction des spécificités organisationnelles et des retours d'audit.

Fonctionnement de la persistance du contexte

Au sein d'une conversation dans un espace de travail, ISMS Copilot se souvient :

  • Des instructions personnalisées définies pour l'espace de travail

  • Des requêtes et réponses précédentes dans le fil actuel

  • Des cadres, contrôles et détails organisationnels mentionnés plus tôt

  • Documents et politiques générés dans les messages antérieurs

  • Des clarifications et contraintes que vous avez spécifiées

Cela vous permet de faire référence à « la politique de contrôle d'accès mentionnée plus tôt » ou d'« approfondir le point A.5.15 de la réponse précédente » sans avoir à tout reformuler.

Démarrez de nouvelles conversations dans l'espace de travail pour des projets non liés (différents clients, cadres ou phases) afin d'éviter toute confusion de contexte. Utilisez la même conversation pour itérer sur des tâches connectées.

Modèles d'itération courants

1. Explorer → Cibler → Mettre en œuvre

Commencez largement, affinez vers des détails spécifiques, puis générez les livrables.

Exemple de conversation :

  1. Explorer : « Quels sont les principaux contrôles SOC 2 CC7 pour l'exploitation du système ? »

  2. Cibler : « Approfondis le point CC7.2 (surveillance du système) pour une plateforme SaaS utilisant Datadog et PagerDuty »

  3. Mettre en œuvre : « Rédige une procédure de surveillance du système pour CC7.2 incluant les seuils d'alerte, les voies d'escalade et la journalisation des incidents »

  4. Affiner : « Ajoute une section sur la gestion des faux positifs et ajuste les seuils d'alerte pour un SLA de disponibilité de 99,9 % »

Chaque tour approfondit le passage du concept à la mise en œuvre, puis au détail opérationnel.

2. Générer → Réviser → Améliorer

Créez un premier résultat, identifiez les lacunes, puis améliorez.

Exemple de conversation :

  1. Générer : « Crée un modèle d'évaluation des risques pour l'ISO 27001 A.5.7 couvrant notre infrastructure AWS »

  2. Réviser : « Est-ce que ce modèle prend en compte les risques de déploiement multi-régions et les intégrations tierces ? »

  3. Améliorer : « Ajoute des sections pour les risques de réplication de données entre régions et les évaluations de sécurité des intégrations API »

  4. Valider : « Quelles preuves les auditeurs attendent-ils pour cette approche d'évaluation des risques ? »

L'affinement itératif produit des résultats prêts pour l'audit sans avoir à recommencer de zéro.

3. Comparer → Décider → Personnaliser

Évaluez les options, sélectionnez une approche, puis adaptez-la à votre organisation.

Exemple de conversation :

  1. Comparer : « Quels sont les avantages et les inconvénients du contrôle d'accès basé sur les rôles par rapport à celui basé sur les attributs pour l'ISO 27001 A.5.15 ? »

  2. Décider : « Nous utiliserons le RBAC. Quels rôles devrions-nous définir pour une entreprise SaaS de 50 personnes avec des équipes d'ingénierie, de vente et de support ? »

  3. Personnaliser : « Génère une matrice RBAC faisant correspondre ces rôles aux systèmes : AWS, GitHub, Salesforce, Zendesk et outils d'administration »

  4. Mettre en œuvre : « Crée une procédure de provisionnement des accès utilisant ce modèle RBAC avec des workflows d'approbation »

Les décisions informent les étapes suivantes sans avoir à réexpliquer le raisonnement.

4. Contrôle → Preuve → Vérification

Mettez en œuvre le contrôle, identifiez les besoins en preuves, planifiez la validation.

Exemple de conversation :

  1. Contrôle : « Comment mettre en œuvre la journalisation ISO 27001 A.8.15 pour AWS CloudTrail et les journaux d'application ? »

  2. Preuve : « Quelle preuve démontre la conformité à l'élément A.8.15 pour un auditeur ? »

  3. Vérification : « Crée une liste de vérification trimestrielle de l'examen des journaux pour vérifier l'efficacité de l'A.8.15 et conserver les preuves »

  4. Documenter : « Rédige la section sur la journalisation de notre documentation SMSI en faisant référence à ces contrôles et preuves »

Mise en œuvre de bout en bout dans un seul fil de conversation.

Techniques de suivi efficaces

Référence aux résultats précédents

Utilisez des phrases qui exploitent la mémoire de la conversation :

  • « Approfondis le troisième point de ta dernière réponse »

  • « Applique la méthodologie de risque dont nous venons de discuter au chiffrement de la base de données »

  • « Mets à jour le projet de politique pour inclure ces exigences en matière de preuves »

  • « Ajoute les outils que tu as mentionnés (Okta, AWS IAM) à la matrice de contrôle d'accès »

Construction incrémentale

Ajoutez de la complexité progressivement plutôt que d'un seul coup :

  1. « Crée une procédure de réponse aux incidents de base pour l'ISO 27001 A.5.24 »

  2. « Ajoute des modèles de communication pour l'escalade interne et la notification des clients »

  3. « Inclue l'intégration avec notre workflow d'alerte PagerDuty et de tickets Jira »

  4. « Développe la section de revue post-incident avec les étapes d'analyse des causes racines »

La superposition de détails évite de surcharger les sorties initiales.

Tester la compréhension

Vérifiez l'alignement avant une génération étendue :

  • « Avant de rédiger la politique complète, confirme : doit-elle couvrir à la fois les employés et les prestataires ? »

  • « Est-ce que cette approche satisfait à la fois l'ISO 27001 A.6.1 et nos obligations RGPD ? »

  • « Une fréquence de révision trimestrielle est-elle suffisante pour le SOC 2 CC6.1, ou devrait-elle être mensuelle ? »

Corrigez le tir tôt pour éviter de refaire le travail.

Demander des alternatives

Explorez des options au sein de la conversation :

  • « Quelle serait une approche alternative pour de petites équipes avec un budget limité ? »

  • « Montre-moi une version simplifiée pour la mise en œuvre initiale, puis l'approche complète pour entreprise »

  • « Compare les solutions manuelles et automatisées pour ce contrôle »

Le contexte de la conversation se réinitialise entre les différentes conversations d'espace de travail. Ne vous attendez pas à ce qu'ISMS Copilot se souvienne des détails de l'espace de travail d'un autre client ou d'un fil de conversation différent au sein du même espace.

Exemples par scénario

Itération sur le développement de politiques

Tour 1 : « Rédige une politique de contrôle d'accès pour le SOC 2 CC6 couvrant le provisionnement, les révisions et la résiliation des utilisateurs »

Tour 2 : « Ajoute une section sur la gestion des accès privilégiés pour les rôles d'administrateur dans AWS et GitHub »

Tour 3 : « Inclue des procédures d'accès d'urgence pour les ingénieurs d'astreinte avec journalisation post-accès »

Tour 4 : « Révise la fréquence de révision de trimestrielle à mensuelle pour les comptes privilégiés, et trimestrielle pour les utilisateurs standard »

Tour 5 : « Ajoute des références à notre configuration Okta SSO et à nos groupes basés sur les rôles »

Résultat : Une politique complète et personnalisée construite par affinement.

Plongée dans l'analyse des lacunes (Gap Analysis)

Tour 1 : « Analyse notre posture de sécurité actuelle par rapport à l'Annexe A.8 de l'ISO 27001:2022 (contrôles techniques) »

Tour 2 : « Focalise-toi sur les lacunes que tu as identifiées dans l'A.8.1 (appareils terminaux des utilisateurs) et l'A.8.15 (journalisation) »

Tour 3 : « Pour la lacune sur la gestion des terminaux, quels outils satisfont l'A.8.1 pour une équipe en télétravail complet utilisant macOS et Windows ? »

Tour 4 : « Crée un plan de mise en œuvre pour Jamf (macOS) et Intune (Windows) répondant aux exigences de l'A.8.1 »

Tour 5 : « De quelles preuves les auditeurs auront-ils besoin pour vérifier la conformité à l'A.8.1 avec ces outils ? »

Résultat : De la lacune de haut niveau à la sélection de l'outil puis au plan de mise en œuvre dans un seul fil.

Alignement multi-cadres

Tour 1 : « Nous devons satisfaire à la fois l'ISO 27001 A.5.24 (gestion des incidents) et le SOC 2 CC7.3-7.5. Quels sont les chevauchements ? »

Tour 2 : « Crée un plan de réponse aux incidents unifié traitant les deux cadres »

Tour 3 : « Ajoute des sections spécifiques pour les exigences SOC 2 uniques que tu as mentionnées (incidents de disponibilité et délais de communication) »

Tour 4 : « Inclue un tableau faisant correspondre chaque étape de la procédure aux contrôles ISO 27001 et SOC 2 correspondants pour la traçabilité de l'audit »

Résultat : Un plan unique efficace avec une cartographie de conformité claire.

Dépannage de mise en œuvre

Tour 1 : « Comment mettre en œuvre le MFA pour l'ISO 27001 A.5.17 en utilisant Okta ? »

Tour 2 : « Nous avons des applications héritées qui ne supportent pas le SAML. Comment les gérer ? »

Tour 3 : « Suggère un contrôle compensatoire pour les applications héritées jusqu'à ce que nous puissions les migrer »

Tour 4 : « Documente l'approche du contrôle compensatoire pour l'examen de l'auditeur, incluant le calendrier pour la migration complète vers le MFA »

Résultat : Une solution pragmatique tenant compte des contraintes techniques.

Gérer les conversations longues

Quand continuer ou recommencer à zéro

Continuez la conversation lorsque :

  • Vous construisez sur des résultats précédents (affinement d'une politique, extension d'une procédure)

  • Vous travaillez sur des contrôles liés en séquence (A.5.1 → A.5.2 → A.5.3)

  • Vous itérez sur un livrable unique (affinement d'une évaluation des risques)

  • Vous dépannez la mise en œuvre d'un contrôle déjà discuté

Démarrez une nouvelle conversation lorsque :

  • Vous passez à un cadre ou un domaine non lié (SOC 2 → RGPD)

  • Il s'agit d'une phase de projet différente (passage de la mise en œuvre à la préparation de l'audit)

  • Le contexte devient trop complexe (plus de 10 échanges sur plusieurs sujets)

  • Vous avez besoin d'une page blanche sans hypothèses préalables

Synthétiser pour plus de clarté

Dans les conversations longues, résumez périodiquement :

Exemple : « Pour confirmer nos décisions jusqu'à présent : nous utilisons le RBAC avec 5 rôles (Admin, Développeur, Vente, Support, Prestataire), des revues d'accès trimestrielles sauf mensuelles pour les admins, Okta SSO pour toutes les apps sauf le CRM hérité qui reçoit des contrôles compensatoires. Maintenant, rédigeons la politique formelle. »

Cela réinitialise la compréhension partagée et évite les dérives.

Utilisez stratégiquement le menu déroulant du style de réponse (Concis/Normal/Détaillé) : Concis pour des itérations rapides, Détaillé pour les versions initiales, Normal pour la plupart des affinements.

Combiner l'itération avec d'autres techniques

Itération + Instructions personnalisées

Définissez des instructions d'espace de travail pour un contexte cohérent à chaque tour :

Instruction : « SaaS santé, 80 employés, infrastructure AWS, mise en œuvre de l'ISO 27001:2022 avec alignement HIPAA, audit dans 8 mois »

Séquence de requêtes : Chaque requête hérite de ce contexte sans avoir à le répéter

Itération + Téléchargement de fichiers

Téléchargez une fois, faites-y référence tout au long de la conversation :

  1. Téléchargement : Joindre la politique de contrôle d'accès actuelle (PDF)

  2. Tour 1 : « Examine cette politique par rapport au SOC 2 CC6 et identifie les lacunes »

  3. Tour 2 : « Réécris la section sur la revue des accès pour corriger les lacunes trouvées »

  4. Tour 3 : « Ajoute les exigences en matière de preuves que tu as mentionnées dans une nouvelle Annexe A »

Itération + Personas

Changez de persona en milieu de conversation pour obtenir des perspectives différentes :

  1. Persona de l'intégrateur : « Donne-moi la mise en œuvre du MFA étape par étape pour Okta »

  2. Persona de l'auditeur : « Examine ce plan de mise en œuvre — quelles preuves manqueront ? »

  3. Persona du consultant : « Comment justifier le coût de mise en œuvre auprès de notre CFO ? »

Plusieurs points de vue sur le même sujet dans un seul fil.

Reconnaître les rendements décroissants

Arrêtez d'itérer quand :

  • Vous effectuez des micro-ajustements qui n'améliorent pas la préparation à l'audit

  • Les suivis n'intègrent pas précisément le contexte précédent (signe de surcharge de la conversation)

  • Vous posez la même question reformulée plusieurs fois

  • Les résultats deviennent moins utiles ou plus génériques

À ce stade, enregistrez la meilleure version et passez à la mise en œuvre ou démarrez une nouvelle conversation.

Sauvegarder le travail itératif

Bonnes pratiques pour préserver les résultats de la conversation :

  • Copiez les versions finales dans votre dépôt de documentation après chaque affinement majeur

  • Utilisez la conversation comme une piste d'audit montrant comment la politique/procédure a évolué

  • Exportez les réponses clés pour examen avec les parties prenantes avant toute itération supplémentaire

  • Nommez clairement les espaces de travail pour retrouver les conversations plus tard (« ISO 27001 - Contrôles d'accès - Client ABC »)

C'est dans les conversations multi-tours que la spécialisation d'ISMS Copilot brille. Les outils d'IA génériques perdent le contexte ou la précision après 2-3 tours. ISMS Copilot maintient une compréhension spécifique à la conformité tout au long de projets de mise en œuvre entiers.

Prochaines étapes

Démarrez une conversation multi-tours pour votre prochaine tâche de conformité. Commencer par une requête de haut niveau, puis utilisez 3 à 5 questions de suivi pour affiner le résultat en un livrable prêt pour la mise en œuvre. Remarquez comment la préservation du contexte accélère la qualité.

Retour à l'aperçu de l'ingénierie de prompt

Cela vous a-t-il été utile ?