Charger des fichiers pour le contexte et l'analyse
Pourquoi charger des fichiers ?
Le travail de conformité se concentre sur les documents : politiques existantes, rapports d'audit, évaluations de risques, contrats de fournisseurs et inventaires d'actifs. Décrire tout cela par texte fait perdre du temps et génère des erreurs. Charger des fichiers directement donne à ISMS Copilot un contexte précis pour l'analyse d'écarts, les recommandations d'amélioration et la cartographie de conformité.
L’analyse de fichiers transforme des questions vagues comme « Notre politique est-elle assez bonne ? » en retours spécifiques et exploitables : « Votre politique de contrôle d'accès adresse les critères SOC 2 CC6.1 et CC6.2, mais il manque les exigences CC6.3 pour la surveillance des accès privilégiés. Ajoutez des sections pour... »
Types de fichiers supportés et limites
ISMS Copilot accepte :
PDF – Politiques, rapports d'audit, certifications, évaluations de fournisseurs
DOCX – Brouillons de politiques, procédures, modèles de documentation
XLS/XLSX – Registres de risques, inventaires d'actifs, matrices de contrôles, journaux de preuves
Taille de fichier : Jusqu'à 10 Mo par fichier
Longueur : Les documents jusqu'à 20+ pages sont traités efficacement ; les documents plus longs peuvent nécessiter un fractionnement
Emplacement du chargement : Joignez les fichiers via l'icône trombone dans la zone de saisie de la requête
Les fichiers chargés sont traités avec les mêmes normes de confidentialité que les requêtes textuelles : chiffrement de bout en bout, stockage dans l'UE (Francfort) et jamais utilisés pour l'entraînement de l'IA. Cependant, évitez de charger des fichiers contenant des mots de passe réels, des clés API ou des informations personnellement identifiables (PII) sauf si nécessaire.
Scénarios courants de chargement de fichiers
1. Analyse d'écarts (Gap Analysis)
Chargez des politiques ou documents existants pour une évaluation de conformité.
Exemple de requête avec fichier : « Révise cette politique de contrôle d'accès [joindre PDF] par rapport aux exigences SOC 2 CC6.1-6.3. Identifie les contrôles manquants, le langage obsolète et les manques de preuves pour un audit de Type II. »
Réponse d'ISMS Copilot : Sections spécifiques nécessitant des mises à jour, contrôles manquants (ex: surveillance des accès privilégiés pour CC6.3), ajouts recommandés et exigences en matière de preuves.
Exemple de rapport d'audit : « Analyse les conclusions de notre dernier audit de surveillance ISO 27001 [joindre PDF]. Hiérarchise la remédiation par sévérité et crée un plan d'action avec un calendrier. »
2. Amélioration de politique
Améliorez la documentation existante pour répondre à de nouvelles normes ou référentiels.
Exemple de requête : « Mets à jour cette politique de sécurité de l'information [joindre DOCX] pour passer des exigences ISO 27001:2013 à celles de 2022. Mets en évidence les sections nécessitant une révision et suggère un nouveau texte pour les contrôles modifiés. »
Réponse d'ISMS Copilot : Comparaison côte à côte des anciennes et nouvelles exigences, sections de politique révisées, nouveaux contrôles à ajouter (ex: A.5.7 veille sur les menaces, A.8.23 filtrage web).
3. Revue de l'évaluation des risques
Validez la méthodologie de risque et la notation par rapport aux exigences du référentiel.
Exemple de requête : « Révise ce registre des risques [joindre XLSX] par rapport aux exigences ISO 27001 A.5.7. Les sources de menaces sont-elles exhaustives ? Notre notation 1-5 est-elle appropriée ? Quels risques manquons-nous pour une plateforme SaaS cloud-first ? »
Réponse d'ISMS Copilot : Évaluation de la méthodologie, suggestion de catégories de menaces additionnelles (ex: chaîne d'approvisionnement, menaces internes), couplages actifs-risques manquants, retour sur le calibrage de la notation.
4. Évaluation des fournisseurs
Évaluez les certifications et contrats de tiers pour la conformité.
Exemple de requête : « Analyse ce rapport SOC 2 de fournisseur [joindre PDF] pour notre évaluation des risques tiers. Couvre-t-il les services que nous utilisons (stockage et traitement de données) ? Y a-t-il des exceptions ou des réserves pertinentes ? Satisfait-il à nos exigences SOC 2 CC9.2 ? »
Réponse d'ISMS Copilot : Couverture du périmètre de service, exceptions notables, manques de contrôles, recommandations pour le suivi du questionnaire fournisseur.
5. Cartographie des preuves
Reliez les éléments existants aux exigences d'audit.
Exemple de requête : « Mappe ce journal de formation à la sensibilisation à la sécurité [joindre XLSX] aux exigences de preuves ISO 27001 A.6.3. De quelles preuves supplémentaires avons-nous besoin pour l'audit de certification ? »
Réponse d'ISMS Copilot : Couverture actuelle des preuves, éléments manquants (ex: suivi de complétion, scores aux tests, formation par rôle), améliorations recommandées pour le journal.
6. Vérification de la mise en œuvre des contrôles
Validez les configurations techniques par rapport aux exigences de contrôle.
Exemple de requête : « Révise cette documentation de configuration AWS CloudTrail [joindre PDF] par rapport aux exigences ISO 27001 A.8.15 (journalisation et surveillance). La rétention est-elle suffisante ? Les événements critiques sont-ils couverts ? »
Réponse d'ISMS Copilot : Évaluation de l'adéquation de la configuration, sources de journaux manquantes (ex: journaux d'application, accès base de données), recommandations sur la période de rétention, lacunes dans les alertes.
7. Évaluation de modèles (Templates)
Évaluez si les modèles répondent aux standards des référentiels.
Exemple de requête : « Évalue ce modèle de réponse aux incidents [joindre DOCX] pour la conformité SOC 2 CC7.3-7.5. Inclut-il tous les éléments requis (détection, réponse, communication, revue post-incident) ? Que manque-t-il ? »
8. Comparaison multi-documents
Analysez plusieurs fichiers pour vérifier la cohérence ou la couverture.
Exemple de requête : « Compare notre politique de contrôle d'accès [joindre DOCX] avec notre journal de revue d'accès réel [joindre XLSX]. Suivons-nous nos procédures documentées ? Où la pratique et la politique divergent-elles ? »
Joignez les fichiers au début des conversations pour établir le contexte de toutes les requêtes de suivi. ISMS Copilot mémorise les documents chargés au sein de la conversation de l'espace de travail.
Requêtes efficaces pour le chargement de fichiers
Précisez ce qu'il faut analyser
Ne vous contentez pas de charger un fichier en disant « Révise ceci ». Donnez une direction :
❌ « Qu'en penses-tu ? » [joindre politique]
✅ « Révise cette politique de classification des données par rapport aux exigences ISO 27001 A.5.12. Vérifie l'exhaustivité, les niveaux de sensibilité appropriés et les procédures de manipulation. »
Indiquez votre référentiel et périmètre
Les fichiers manquent de contexte intrinsèque sur la norme qui s'applique :
❌ « Cette politique est-elle conforme ? » [joindre politique de contrôle d'accès]
✅ « Évalue cette politique de contrôle d'accès par rapport aux critères SOC 2 CC6.1-6.3 pour notre prochain audit de Type II. Concentre-toi sur le provisionnement des utilisateurs, les revues et les accès privilégiés. »
Indiquez le format de sortie souhaité
Précisez ce dont vous avez besoin en retour :
« Crée un tableau récapitulatif des écarts avec les colonnes : Exigence, État actuel, Écart (O/N), Recommandation »
« Fournis une version annotée avec des suggestions de modifications intégrées »
« Liste les 5 principales améliorations prioritaires classées par risque d'audit »
« Génère une checklist de conformité montrant quels contrôles sont adressés vs manquants »
Fournissez le contexte organisationnel
Les fichiers ne révèlent pas la taille de votre entreprise, votre pile technique ou vos contraintes :
Exemple : « Révise ce plan de continuité d'activité [joindre PDF] par rapport à l'ISO 27001 A.5.29 pour une entreprise SaaS de 60 personnes avec une infrastructure AWS et un SLA de disponibilité de 99,9 %. Les RTO et RPO sont-ils appropriés ? Notre stratégie de sauvegarde est-elle suffisante ? »
Analyse multi-fichiers
Chargez plusieurs fichiers liés pour une revue complète :
Exemple de requête : « Révise ces trois politiques [joindre : InfoSec Policy.pdf, Access Control Policy.pdf, Incident Response Policy.pdf] pour vérifier la cohérence et l'exhaustivité par rapport aux contrôles organisationnels de l'Annexe A.5 de l'ISO 27001:2022. Identifie les contradictions, les lacunes et les redondances. »
Exemple de référence croisée : « Compare notre procédure de gestion des changements documentée [joindre DOCX] avec les journaux de changements réels de Jira [joindre XLSX]. Suivons-nous notre processus ? Où les déviations se produisent-elles ? »
Bien que vous puissiez charger plusieurs fichiers par requête, l'analyse de 2 à 3 documents liés fonctionne mieux. Au-delà, l'attention peut se disperser — envisagez des requêtes séquentielles pour les grands ensembles de documents.
Bonnes pratiques pour le chargement de fichiers
Avant de charger
Supprimez les données sensibles : Masquez les noms réels des clients, les identifiants, les PII s'ils ne sont pas essentiels à l'analyse
Vérifiez la taille du fichier : Assurez-vous qu'il fait moins de 10 Mo ; compressez ou fractionnez les gros fichiers si nécessaire
Utilisez des noms de fichiers clairs : « Politique_Controle_Acces_v2.pdf » est préférable à « Document1.pdf »
Vérifiez le type de fichier : Convertissez les formats non supportés (ex : .pages en .docx)
Dans votre requête
Référencez le fichier chargé : « Révise le registre des risques joint... » clarifie de quel document il s'agit si plusieurs fichiers existent dans la conversation
Expliquez l'objectif du fichier : « C'est notre politique actuelle qui doit être mise à jour pour la norme 2022 »
Définissez les attentes : « Concentre-toi sur les écarts, pas sur les problèmes de mise en forme » ou « Donne la priorité aux conclusions à haut risque »
Après le chargement
Itérez en fonction des résultats : « Développe sur l'écart CC6.3 que tu as identifié — quels contrôles spécifiques manquent ? »
Demandez des révisions : « Réécris la section sur la revue des accès pour combler ces lacunes »
Générez du contenu lié : « Crée une checklist de preuves pour les contrôles que cette politique adresse »
Dépannage des chargements de fichiers
Le chargement échoue ou expire
Vérifiez la taille du fichier (doit être inférieure à 10 Mo)
Vérifiez le type de fichier (PDF, DOCX, XLS/XLSX uniquement)
Essayez de diviser les gros fichiers en sections
Assurez une connexion Internet stable
L'analyse manque des points clés
Donnez une direction plus spécifique à la requête (« Concentre-toi sur la section 3.2 concernant les accès privilégiés »)
Chargez une source de meilleure qualité (ex : DOCX original vs PDF numérisé)
Divisez les documents traitant de plusieurs sujets en chargements séparés avec des requêtes ciblées
La réponse fait référence au mauvais référentiel
Indiquez explicitement le référentiel dans la requête : « Révise par rapport à ISO 27001:2022, pas SOC 2 »
Vérifiez les instructions personnalisées de l'espace de travail pour détecter tout contexte conflictuel
Le traitement du fichier prend trop de temps
Les fichiers volumineux (15+ pages) peuvent prendre 30 à 60 secondes pour être traités
Les feuilles de calcul complexes avec de nombreux onglets peuvent retarder la réponse
Les PDF numérisés (images) sont traités plus lentement que les PDF textuels
Considérations relatives à la confidentialité et à la sécurité
La gestion des fichiers par ISMS Copilot respecte des normes de confidentialité strictes :
Chiffrement : Fichiers chiffrés en transit et au repos
Résidence des données : Stockés dans des centres de données de l'UE (Francfort)
Pas d'entraînement d'IA : Le contenu chargé n'est jamais utilisé pour entraîner des modèles
Contrôles d'accès : Fichiers visibles uniquement au sein de votre espace de travail
Rétention : Fichiers conservés pendant la durée de la conversation ; supprimez l'espace de travail pour les effacer
Quand utiliser la réduction des PII : Activez le bouton de réduction des PII si les fichiers contiennent des exemples avec des noms réels, des e-mails ou des identifiants qui ne sont pas essentiels à l'analyse.
Pour les fichiers contenant des données hautement sensibles (contrats de fusion-acquisition, rémunération des dirigeants, analyses forensiques d'incidents réels avec PII), envisagez de charger des versions caviardées ou d'utiliser du texte fictif dans les requêtes au lieu des documents complets.
Combiner les chargements de fichiers avec d'autres techniques
Fichiers + Instructions personnalisées
Définissez le contexte de l'espace de travail, puis chargez les fichiers — le contexte s'applique automatiquement :
Instruction : « Entreprise de services financiers, 200 employés, mettant en œuvre l'ISO 27001:2022 »
Chargement + Requête : « Révise la politique de contrôle d'accès jointe par rapport à A.5.15-5.18 » (pas besoin de répéter le secteur/taille)
Fichiers + Personas
Changez de persona pour différents angles d'analyse :
Persona Auditeur : « Révise cette politique [joindre] pour l'état de préparation à l'audit SOC 2 — quels manques de preuves existent ? »
Persona Implémenteur : « Sur la base de cette politique, donne des tâches de mise en œuvre étape par étape pour notre équipe DevOps »
Fichiers + Affinement itératif
Chargez une fois, affinez par la conversation :
Chargement : Joindre le registre des risques actuel
Étape 1 : « Révise par rapport à ISO 27001 A.5.7 — que manque-t-il ? »
Étape 2 : « Ajoute les risques d'infrastructure cloud manquants que tu as identifiés »
Étape 3 : « Mets à jour les scores de risque en utilisant la matrice 5x5 que tu as suggérée »
Étape 4 : « Génère des plans de traitement des risques pour les risques notés 15 ou plus »
Exemples de flux de travail (Workflows)
Flux 1 : Modernisation de politique
Chargez une politique obsolète (ex: politique de contrôle d'accès de l'ère ISO 27001:2013)
Requête : « Compare cette politique aux exigences ISO 27001:2022 A.5.15-5.18. Qu'est-ce qui a changé ? »
Suivi : « Réécris la Section 4 (Revues d'accès) pour répondre aux nouvelles exigences A.5.18 »
Suivi : « Ajoute une nouvelle Section 5 pour les accès privilégiés (A.5.17) avec nos rôles d'administrateur AWS et GitHub »
Final : « Génère une note d'approbation pour le CTO expliquant les changements et les bénéfices de conformité »
Flux 2 : Préparation à l'audit
Chargez 3 fichiers : Politique de contrôle d'accès, journal de revue d'accès (XLSX), document de config Okta
Requête : « Évalue l'état de préparation SOC 2 CC6.1 en utilisant ces documents. Quelles sont les preuves solides ? Que manque-t-il ? »
Suivi : « Crée un plan de remédiation pour les preuves manquantes avec un calendrier de 60 jours »
Suivi : « Rédige une procédure de revue d'accès mise à jour intégrant tes recommandations »
Final : « Génère un document de briefing pour l'auditeur résumant nos contrôles et preuves CC6.1 »
Flux 3 : Évaluation des risques fournisseurs
Chargez le rapport SOC 2 du fournisseur + le contrat du fournisseur
Requête : « Évalue le rapport SOC 2 de ce fournisseur pour nos exigences CC9.2. Couvre-t-il les services de traitement de données prévus dans notre contrat ? »
Suivi : « Quelles questions devrions-nous poser dans un questionnaire fournisseur pour combler les lacunes que tu as trouvées ? »
Suivi : « Rédige un résumé de l'évaluation des risques fournisseur pour notre comité de conformité »
Les chargements de fichiers sont plus efficaces lorsqu'ils sont combinés avec des requêtes spécifiques et un affinement itératif. Chargez, analysez, améliorez, vérifiez — le tout dans une seule conversation d'espace de travail.
Prochaines étapes
Identifiez une politique, un rapport ou une évaluation existante nécessitant une revue. Chargez-le avec une requête spécifique d'analyse d'écarts ou d'amélioration et découvrez comment le contexte des fichiers accélère le travail de conformité.