ISMS Copilot
Bâtir un ISMS avec Copilot

Créer un SMSI avec Copilot : Un flux de travail de départ

Ce guide vous accompagne dans la création d'un SMSI à partir de zéro à l'aide d'ISMS Copilot, de la configuration de l'espace de travail à la génération de votre ensemble de documents de base. Suivez ce flux de travail pour créer une base structurée et prête pour l'audit pour votre implémentation de l'ISO 27001.

Ce que vous allez accomplir

À la fin de ce flux de travail, vous disposerez de :

  • Un espace de travail dédié à votre projet de SMSI

  • Des instructions de projet adaptées à votre organisation

  • Documents fondamentaux du SMSI : politiques, évaluation des risques et Déclaration d'Applicabilité (SoA)

  • Une voie claire pour valider et itérer sur les résultats générés par l'IA

Prérequis

Avant de commencer, rassemblez :

  • Le choix de votre référentiel (ISO 27001:2022 est le choix par défaut pour les nouveaux SMSI)

  • Le contexte organisationnel de base : secteur d'activité, taille de l'entreprise, systèmes concernés

  • Toute documentation de sécurité existante (politiques, procédures, schémas) pour l'importation

ISMS Copilot prend en charge les normes ISO 27001:2022, ISO 42001:2023, SOC 2, RGPD, HIPAA, DORA, NIS2, etc. Ce flux de travail se concentre sur l'ISO 27001, point de départ le plus courant, mais la même approche s'applique aux autres référentiels.

Étape 1 : Créer un espace de travail dédié

Votre projet de SMSI a besoin de son propre espace de travail pour organiser les conversations, le contexte et les documents générés en un seul endroit.

  1. Accédez à la section Espaces de travail dans la barre latérale

  2. Cliquez sur Ajouter un espace de travail ou sur le bouton +

  3. Donnez un nom descriptif à votre espace de travail : Implémentation ISO 27001 ou [Nom de l'entreprise] — ISO 27001

  4. Cliquez sur Créer l'espace de travail

Pour des instructions détaillées sur la configuration de l'espace de travail, consultez Comment créer et configurer votre premier espace de travail.

Étape 2 : Ajouter des instructions de projet

Les instructions de projet fournissent à l'IA un contexte persistant sur votre organisation. Cela vous évite de répéter les mêmes détails de contexte dans chaque conversation.

Pour ajouter des instructions de projet :

  1. Ouvrez votre espace de travail et cliquez sur Modifier sur la carte de l'espace de travail

  2. Localisez le champ de texte Instructions de projet

  3. Saisissez le contexte de votre organisation

  4. Cliquez sur Enregistrer les modifications

Ce qu'il faut inclure

Des instructions de projet efficaces couvrent :

  • Secteur d'activité et taille de l'entreprise — ex. : « SaaS B2B, 50 employés, cloud-native sur AWS »

  • Périmètre du référentiel — ex. : « ISO 27001:2022, certification SMSI complète »

  • Maturité actuelle — ex. : « Aucun SMSI existant, départ de zéro »

  • Systèmes clés — ex. : « GitHub, Google Workspace, AWS, Stripe »

  • Préférences de sortie — ex. : « Langage formel adapté à la documentation d'audit »

Exemple d'instructions de projet

Industry: B2B SaaS (healthcare sector)
Framework: ISO 27001:2022
Scope: Full ISMS implementation
Team: 45 employees, 3-person security team
Systems: GitHub, AWS, Google Workspace, Stripe
Current state: No existing ISMS, starting fresh
Output style: Formal, audit-ready documents

Évitez d'inclure des données sensibles dans les instructions de projet : noms réels de clients, e-mails d'employés, chiffres budgétaires spécifiques ou détails sur des incidents de sécurité. Utilisez des descriptions génériques à la place.

Étape 3 : Choisir un persona

Chaque espace de travail peut avoir un persona par défaut qui façonne les réponses de l'IA. Pour construire un SMSI, choisissez le persona qui correspond à votre rôle :

  • Implémenteur — Idéal pour construire un SMSI de zéro. Les réponses se concentrent sur des étapes exploitables, des modèles de politiques et des conseils de mise en œuvre des contrôles.

  • Consultant — Idéal si vous conseillez une organisation. Les réponses incluent des recommandations stratégiques et des livrables destinés aux clients.

  • Par défaut — Conseils polyvalents pour des tâches mixtes.

Pour définir un persona :

  1. Ouvrez les paramètres de l'espace de travail (cliquez sur Modifier sur la carte de l'espace de travail)

  2. Sélectionnez votre persona dans le menu déroulant Persona par défaut

  3. Cliquez sur Enregistrer les modifications

Étape 4 : Générer vos documents fondamentaux du SMSI

Une fois votre espace de travail configuré, commencez à générer des documents. Débutez par les artefacts fondamentaux du SMSI et développez à partir de là.

Séquence de génération recommandée

  1. Analyse d'écart (Gap analysis) — Comprendre ce que vous avez par rapport aux exigences de l'ISO 27001

  2. Évaluation des risques — Identifier les actifs, les menaces et les plans de traitement

  3. Déclaration d'Applicabilité (SoA) — Documenter quels contrôles de l'Annexe A s'appliquent

  4. Politiques fondamentales — Politique de sécurité de l'information, politique de contrôle d'accès, politique d'utilisation acceptable

  5. Procédures de support — Gestion des incidents, gestion des changements, procédures de sauvegarde

Exemples de prompts

Commencez par ces prompts dans votre espace de travail :

Create a gap analysis table for ISO 27001:2022 Annex A controls.
Include columns: control ID, requirement, current status, gap description, priority.
Generate an information security policy for a SaaS company.
Reference ISO 27001 clauses 5.1-5.2 and include version control headers.
Create a risk assessment template with asset inventory, threat analysis,
and risk treatment plan. Format as a structured table.

Utilisez le mode Think pour des sessions prolongées de génération de documents. Le mode Think permet des conversations indéfinies grâce à une compaction automatique, vous permettant de générer plusieurs politiques sans interruption. Voir Générer plusieurs documents efficacement pour plus de détails.

Étape 5 : Accéder à vos documents générés

Les documents générés au sein d'un espace de travail sont enregistrés dans la zone de fichiers de cet espace. Pour les trouver :

  1. Accédez à votre espace de travail

  2. Faites défiler jusqu'à la section Fichiers générés

  3. Cliquez sur n'importe quel fichier pour le prévisualiser ou le télécharger

Pour une gestion détaillée des fichiers, voir Accéder aux fichiers générés de l'espace de travail.

Seuls les documents générés au sein de cet espace de travail spécifique apparaissent dans sa zone de fichiers. Les documents créés en dehors d'un espace de travail ne sont pas automatiquement liés.

Étape 6 : Valider les sorties de l'IA avant adoption

Les documents générés par l'IA accélèrent votre travail, mais ils nécessitent une validation avant d'être considérés comme des artefacts finaux. ISMS Copilot réduit le risque d'hallucination grâce à l'injection de connaissances sur les référentiels, mais vous devez tout de même vérifier les sorties critiques.

Liste de vérification rapide

  • Vérifiez ponctuellement les numéros de contrôle par rapport à la norme officielle ISO 27001:2022

  • Vérifiez que l'IA a utilisé la version actuelle du référentiel (2022, pas 2013)

  • Vérifiez que les conseils de mise en œuvre correspondent à votre infrastructure technique réelle

  • Confirmez que les exigences de preuves sont réalisables pour la taille de votre organisation

  • Posez des questions de suivi pour tester la profondeur : « Pourquoi ce contrôle est-il requis ? »

Pour des étapes de vérification complètes, consultez Comment vérifier les listes de contrôle de conformité générées par l'IA pour ISO 27001 et SOC 2.

Points de vigilance (Red flags)

  • Identifiants de contrôle qui ne suivent pas la numérotation de l'Annexe A de l'ISO 27001 (de A.5.1 à A.8.34)

  • Espaces réservés génériques comme « VotreEntreprise » qui n'ont pas été personnalisés

  • Étapes de mise en œuvre supposant des ressources d'entreprise que vous n'avez pas

  • Exigences de preuves manquantes pour les contrôles nécessitant une vérification

Étape 7 : Itérer et étendre

La construction d'un SMSI est itérative. Après vos documents de base :

  • Affiner en fonction des écarts — Votre analyse d'écart met en évidence ce qui manque. Générez d'abord des politiques pour les écarts prioritaires.

  • Importer des documents existants — Si vous avez des politiques ou procédures de sécurité, importez-les pour une analyse d'écart et une vérification d'alignement.

  • Créer la documentation des contrôles — Pour chaque contrôle de l'Annexe A dans votre Déclaration d'Applicabilité, générez des modèles de preuves de mise en œuvre.

  • Préparer l'audit — Générez des listes de contrôle d'audit interne et des modèles de revue de direction à l'approche de la certification.

Pour des stratégies d'organisation de l'espace de travail à mesure que votre SMSI grandit, voir Comment organiser les projets de conformité avec les espaces de travail.

Liste de vérification du flux de travail initial

Utilisez cette liste pour suivre vos progrès tout au long de la création du SMSI :

  • Créer un espace de travail dédié pour votre projet de SMSI

  • Ajouter des instructions de projet avec le contexte organisationnel

  • Définir le persona Implémenteur pour obtenir des conseils exploitables

  • Générer une analyse d'écart pour identifier les contrôles manquants

  • Créer une évaluation des risques avec inventaire des actifs et plan de traitement

  • Générer la Déclaration d'Applicabilité pour les contrôles applicables

  • Rédiger les politiques de base (sécurité de l'information, contrôle d'accès, utilisation acceptable)

  • Valider les sorties par rapport aux exigences officielles du référentiel

  • Étendre aux procédures spécifiques aux contrôles et aux modèles de preuves

Étapes suivantes

Cela vous a-t-il été utile ?