ISMS Copilot - Parties intéressées

Dans le cadre de nos engagements ISO 27001 et ISO 42001, nous identifions et analysons les parties intéressées — les parties prenantes qui affectent ou sont affectées par nos pratiques de sécurité de l'information. La compréhension de ces parties prenantes façonne le périmètre de notre SMSI, nos objectifs de sécurité et les priorités de nos mesures de contrôle.

Nos principales parties intéressées

Clients

Vous êtes notre principale partie prenante. Vos exigences guident nos priorités en matière de sécurité :

• Isolation des données : La séparation des espaces de travail garantit que vos données ne sont jamais mélangées avec celles d'autres clients

• Confidentialité : Conformité RGPD, infrastructure dans l'UE, aucune utilisation de vos données pour l'entraînement de l'IA

• Contrôle : Conservation des données gérée par l'utilisateur (de 0 jours à 7 ans), droits d'exportation et de suppression

• Transparence : Documentation du Trust Center, notification des violations dans les délais

• Accompagnement à la conformité : Feuille de route pour les certifications SOC 2 et ISO 27001 pour répondre aux exigences des entreprises

Autorités de régulation

Nous nous conformons au RGPD (CNIL, autorités européennes de protection des données) et aux lois sur la protection de la vie privée applicables. Cela dicte notre architecture de confidentialité dès la conception (privacy-by-design), la mise en œuvre des droits des personnes concernées et nos capacités de réponse aux incidents.

Fournisseurs tiers

Les sous-traitants critiques (Supabase, Vercel, OpenAI, Grok, Mistral, ConvertAPI) font l'objet d'une évaluation de sécurité. Nous privilégions les accords de non-rétention des données (Zero Data Retention) avec les fournisseurs d'IA lorsque cela est possible et utilisons des clauses contractuelles types pour les transferts de données internationaux.

Équipes internes

Nos équipes de développement, de succès client et de direction maintiennent la sécurité grâce à l'authentification multifacteur (MFA) obligatoire, l'analyse de code Semgrep, la séparation des environnements et un engagement de réponse aux rapports de sécurité sous 24 heures.

Organismes de certification et auditeurs

Les futurs auditeurs SOC 2 et ISO 27001 exigent une documentation complète du SMSI, des preuves de l'efficacité des contrôles et des processus d'amélioration continue. Nous élaborons une documentation mature et des programmes d'audit interne pour soutenir la certification.

Assurances et parties juridiques

Les assureurs cyber et les obligations contractuelles influencent nos mises en œuvre de contrôles (MFA, sauvegardes, réponse aux incidents) et dictent les exigences formelles de SLA et d'accord de traitement des données (DPA).

Clients de nos clients (Bénéficiaires indirects)

Lorsque des consultants en conformité et des auditeurs utilisent ISMS Copilot, leurs clients sont des parties prenantes indirectes. L'isolation des espaces de travail (A.5.15, A.8.3) garantit l'absence de contamination croisée entre les clients des consultants. La conservation contrôlée par l'utilisateur (A.5.33) permet aux consultants de répondre aux exigences de conservation de leurs clients. Les conseils de minimisation des données (PII) (A.5.34) et la détection automatisée prévue aident à protéger les données des employés des clients finaux. L'absence d'utilisation des données utilisateur pour l'entraînement de l'IA (A.7.2) empêche les fuites de données clients entre les espaces de travail.

Organismes de normalisation et détenteurs de droits d'auteur

Les éditeurs de référentiels (ISO, IEC, NIST, CIS, AICPA) exigent la protection de la propriété intellectuelle. Nos données d'entraînement excluent le texte des normes sous copyright (A.5.32), utilisant à la place des conseils disponibles publiquement et notre expérience exclusive en conseil. Les instructions du système (prompts) empêchent la reproduction verbatim du texte des contrôles. Les résultats générés mentionnent les référentiels par nom et version avec le conseil de consulter les normes officielles pour les preuves d'audit.

Pratiquer ce que nous prêchons

En tant que plateforme d'IA pour la conformité, l'alignement de notre propre SMSI sur les normes ISO 27001 et ISO 42001 démontre notre engagement envers les standards que nous vous aidons à mettre en œuvre. L'analyse des parties intéressées (ISO 27001:2022 Clause 4.2) est fondamentale pour cet alignement.