ISMS Copilot
Ingénierie de prompts

Décomposer les requêtes complexes

Pourquoi décomposer les requêtes complexes ?

Les projets de conformité impliquent des tâches à plusieurs niveaux : les politiques nécessitent des évaluations de risques, les mises en œuvre ont besoin d'évaluations de fournisseurs, les audits exigent des preuves sur des dizaines de contrôles. Demander à ISMS Copilot de « préparer l'audit SOC 2 » en une seule requête produit des conseils superficiels sur trop de sujets à la fois.

Des requêtes séquentielles et ciblées produisent des réponses plus approfondies et exploitables. Chaque étape s'appuie sur la précédente, vous permettant d'affiner la direction et de détecter les problèmes tôt plutôt que de découvrir des lacunes après avoir généré 50 pages de documentation générique.

Avantages des requêtes séquentielles

  • Qualité supérieure par sujet – Des instructions ciblées permettent d'obtenir des résultats détaillés et prêts pour l'audit au lieu de résumés abrégés

  • Vérification facilitée – Examinez un contrôle ou une politique à la fois par rapport aux normes, plutôt que des cadres entiers

  • Orientation adaptable – Ajustez les questions de suivi en fonction des résultats intermédiaires sans effort inutile

  • Meilleure utilisation du quota de messages – Les limites de l'offre gratuite encouragent l'efficacité ; les requêtes ciblées maximisent la valeur par message

  • Préservation du contexte – Les espaces de travail conservent l'historique des conversations, de sorte que les requêtes ultérieures font référence aux résultats précédents

Remarque : Notre priorité technique absolue est la mise en œuvre de la compaction des messages (prévue entre fin février et début mars 2026) pour permettre des conversations beaucoup plus longues sans impact lourd sur vos limites d'utilisation. Cela rendra les flux de travail séquentiels en plusieurs étapes encore plus efficaces.

Comment décomposer les requêtes complexes

1. Commencer par le cadrage

Première requête : Comprendre l'ensemble du paysage avant de plonger dans les détails.

Exemple d'objectif complexe : « Implémenter ISO 27001 pour notre startup »

Requête de cadrage : « Quelles sont les phases clés et les contrôles pour la mise en œuvre d'ISO 27001:2022 dans une entreprise SaaS de 40 personnes avec un délai de 9 mois ? »

Résultat : Feuille de route de haut niveau, contrôles prioritaires, estimations de ressources. Utilisez ceci pour structurer les requêtes suivantes.

2. Traiter un domaine à la fois

Progressez séquentiellement à travers les domaines du cadre ou les critères de services de confiance (TSC).

Exemple de séquence pour SOC 2 :

  1. « Quels contrôles SOC 2 CC6 (accès logique) s'appliquent à une plateforme SaaS utilisant Okta et AWS ? »

  2. « Générer une procédure de revue des accès utilisateurs pour CC6.1 avec des revues trimestrielles par les managers »

  3. « Quelles preuves démontrent la conformité CC6.2 (authentification) avec le MFA via Okta ? »

  4. « Rédiger une politique de mot de passe couvrant les exigences CC6.1 pour notre équipe »

Chaque requête produit un résultat complet et applicable pour ce contrôle avant de passer au suivant.

3. Superposer du général au particulier

Commencez par une vision large, puis approfondissez les détails en fonction des premières réponses.

Séquence :

  1. « Quels sont les contrôles organisationnels de l'Annexe A.5 d'ISO 27001 ? » (vue d'ensemble)

  2. « Développer les exigences de l'A.5.1 (politiques de sécurité de l'information) » (ciblé)

  3. « Rédiger une politique de sécurité de l'information traitant de l'A.5.1 pour un SaaS de santé avec des exigences HIPAA » (mise en œuvre)

  4. « Quelles preuves les auditeurs attendent-ils pour l'approbation et la communication de la politique A.5.1 ? » (préparation à l'audit)

Chaque étape approfondit la compréhension avant de s'engager dans la documentation.

4. Séparer la génération de la révision

Ne demandez pas simultanément la création de documents et l'analyse des écarts.

❌ Requête surchargée : « Créer une évaluation des risques pour ISO 27001 et dites-moi ce qui manque dans notre approche actuelle »

✅ Approche séquentielle :

  1. « Examiner notre processus actuel d'évaluation des risques [joindre le fichier] par rapport à ISO 27001 A.5.7 et identifier les lacunes »

  2. « Créer un modèle d'évaluation des risques traitant des lacunes identifiées pour notre environnement AWS »

Cela garantit que l'analyse des écarts informe la conception du modèle, et non l'inverse.

5. Aborder les dépendances dans l'ordre

Certaines tâches de conformité nécessitent des résultats préalables.

Exemple de chaîne de dépendances :

  1. « Quels actifs devrions-nous inclure dans un inventaire d'actifs ISO 27001 pour une plateforme SaaS ? » (fondation)

  2. « Créer un schéma de classification des actifs pour les données clients, les systèmes internes et les dépôts de code » (structure)

  3. « Générer un modèle d'évaluation des risques utilisant l'inventaire des actifs et les classifications » (s'appuie sur 1-2)

  4. « Rédiger des plans de traitement des risques pour les risques prioritaires issus de l'évaluation » (s'appuie sur 3)

Chaque résultat alimente le suivant, créant une documentation cohérente.

Utilisez les espaces de travail pour maintenir le contexte à travers les flux de travail multi-étapes. ISMS Copilot se souvient des tours de conversation précédents, de sorte que les requêtes ultérieures peuvent faire référence à « l'évaluation des risques de tout à l'heure » ou à « la politique que nous venons de créer ».

Exemples par scénario

Scénario 1 : Premier audit SOC 2

Requête complexe : « Aidez-moi à préparer l'audit SOC 2 Type I dans 6 mois »

Décomposition :

  1. « Quels sont les critères de services de confiance SOC 2 pour la sécurité et la disponibilité, et lesquels s'appliquent à une plateforme SaaS B2B ? »

  2. « Créer une liste de contrôle de préparation SOC 2 pour une entreprise de 50 personnes ayant 6 mois avant l'audit »

  3. « Générer une politique de sécurité de l'information couvrant CC1.1-1.5 (gouvernance et risque) »

  4. « Quel processus d'évaluation des risques fournisseurs satisfait à CC9.2 pour nos dépendances SaaS (AWS, Stripe, SendGrid) ? »

  5. « Rédiger un plan de réponse aux incidents pour CC7.3 avec les rôles, l'escalade et les procédures de communication »

  6. « Quelle collecte de preuves devrions-nous commencer maintenant pour CC6.1 (revues d'accès) compte tenu des cycles de revue trimestriels ? »

Six requêtes ciblées valent mieux qu'une demande écrasante.

Scénario 2 : Remédiation des lacunes ISO 27001

Requête complexe : « Corrigez nos constatations d'audit ISO 27001 concernant le contrôle d'accès, la gestion des changements et la journalisation »

Décomposition :

  1. « Notre auditeur a signalé des revues d'accès inadéquates pour ISO 27001 A.5.18. Concevoir un processus de revue d'accès trimestriel pour Okta, AWS IAM et GitHub »

  2. « Créer une procédure de gestion des changements pour A.8.32 couvrant notre flux CI/CD GitHub + AWS CodePipeline avec des étapes d'approbation »

  3. « Quelle configuration de journalisation satisfait à la norme ISO 27001 A.8.15 pour AWS CloudTrail, les journaux d'application dans Datadog et les journaux système Okta ? »

  4. « Générer des procédures de collecte de preuves pour les nouveaux contrôles de revue d'accès, de gestion des changements et de journalisation »

Traite chaque constatation en profondeur avec les détails de mise en œuvre.

Scénario 3 : Alignement multi-référentiels

Requête complexe : « Cartographier les contrôles ISO 27001 et SOC 2 pour réduire les doublons »

Décomposition :

  1. « Quels contrôles SOC 2 chevauchent l'Annexe A.5 d'ISO 27001:2022 (contrôles organisationnels) ? »

  2. « Créer une politique de contrôle d'accès unique satisfaisant à la fois ISO 27001 A.5.15-5.18 et SOC 2 CC6.1-6.3 »

  3. « Comment une seule procédure de réponse aux incidents peut-elle couvrir les exigences ISO 27001 A.5.24 et SOC 2 CC7.3-7.5 ? »

  4. « Concevoir un processus de collecte de preuves unifié pour les contrôles redondants dans les deux cadres »

Identifie les synergies avant de créer la documentation partagée.

Scénario 4 : Révision et amélioration de documents

Requête complexe : « Examiner toutes nos politiques et les mettre à jour pour la nouvelle norme ISO 27001:2022 »

Décomposition :

  1. « Qu'est-ce qui a changé entre ISO 27001:2013 et 2022 qui affecte les politiques existantes ? » (compréhension)

  2. « Examiner notre politique de sécurité de l'information [joindre] par rapport à ISO 27001:2022 A.5.1 et suggérer des mises à jour » (une politique)

  3. « Examiner notre politique de contrôle d'accès [joindre] par rapport aux nouveaux contrôles A.5.15-5.18 et identifier les lacunes » (politique suivante)

  4. « Mettre à jour notre méthodologie d'évaluation des risques pour inclure les nouvelles exigences A.5.7 pour les actifs cloud » (mise à jour spécifique)

Une révision systématique est préférable à une tentative de tout mettre à jour simultanément.

Reconnaître quand décomposer

Votre requête est trop complexe si elle :

  • Demande des résultats sur plus de 5 contrôles ou domaines

  • Demande à la fois des conseils stratégiques et des détails de mise en œuvre

  • Combine génération, révision et analyse d'écarts

  • Couvre plusieurs cadres sans spécifier de priorité

  • Inclut « et » ou « aussi » plus de deux fois

Les requêtes complexes produisent souvent des résultats superficiels qui nécessitent de toute façon un suivi approfondi. Commencer par des requêtes ciblées fait gagner du temps et améliore la qualité du premier jet.

Maintenir le contexte d'une requête à l'autre

Au sein d'une conversation dans un espace de travail, ISMS Copilot se souvient des échanges précédents. Utilisez des références telles que :

  • « Développer le processus de revue d'accès de la réponse précédente »

  • « Appliquer la méthodologie de risque dont nous avons discuté au chiffrement des bases de données »

  • « Mettre à jour le projet de politique pour inclure les exigences de preuves que vous venez de lister »

Cela permet de construire une documentation cohérente de manière incrémentielle sans perdre le fil.

Quand la complexité est appropriée

Certaines requêtes bénéficient du regroupement d'éléments liés :

  • Mise en œuvre d'un contrôle unique – « Implémenter ISO 27001 A.8.24 (cryptographie) couvrant le chiffrement au repos, en transit et la gestion des clés pour notre environnement AWS » (un seul domaine, aspects liés)

  • Analyse comparative – « Comparer les exigences de contrôle d'accès ISO 27001, SOC 2 et NIST CSF pour notre plateforme SaaS » (vue multi-cadres intentionnelle)

  • Procédures intégrées – « Créer une procédure combinée d'onboarding/offboarding traitant ISO 27001 A.5.17 et SOC 2 CC6.1 avec le provisionnement des rôles dans Okta, AWS, GitHub et Salesforce » (flux de travail naturellement intégré)

La clé : des éléments liés avec des connexions naturelles versus des tâches sans rapport forcées ensemble.

Mesurer le succès

Une décomposition efficace produit :

  • Des réponses que vous pouvez mettre en œuvre immédiatement sans modifications majeures

  • Une compréhension claire de chaque composant avant de passer à la suite

  • Des résultats réutilisables (politiques, modèles, procédures) sans lacunes

  • Une utilisation efficace du quota de messages (qualité plutôt que quantité)

Si vous posez trois fois la même question sur le même sujet, votre requête initiale était probablement trop large ou trop vague.

Considérez les conversations avec ISMS Copilot comme de la programmation en binôme : des échanges itératifs et ciblés produisent un meilleur code que d'essayer d'architecturer un système entier en une seule demande. Il en va de même pour la documentation de conformité.

Prochaines étapes

Prenez votre prochaine tâche de conformité complexe et esquissez 3 à 5 requêtes séquentielles pour la traiter. Observez comment chaque étape ciblée produit des conseils de meilleure qualité et plus exploitables.

Retour à l'aperçu de l'ingénierie de prompt

Cela vous a-t-il été utile ?