ISMS Copilot
Ingénierie de prompts

Itérer et affiner grâce aux conversations multi-tours

La puissance du contexte de conversation

Contrairement aux requêtes ponctuelles adressées aux outils d'IA génériques, ISMS Copilot conserve l'historique des conversations au sein des environnements de travail. Chaque question de suivi s'appuie sur les réponses précédentes, vous permettant d'affiner les politiques, d'approfondir des contrôles spécifiques ou d'ajuster les recommandations sans avoir à répéter le contexte.

Cette approche itérative reflète la manière dont les professionnels de la conformité travaillent réellement : commencer par une vue d'ensemble du cadre, se concentrer sur les contrôles prioritaires, générer des versions initiales, puis affiner en fonction des spécificités organisationnelles et des retours d'audit.

Comment fonctionne la persistance du contexte

Au sein d'une conversation dans un espace de travail, ISMS Copilot mémorise :

  • Instructions personnalisées définies pour l'espace de travail

  • Requêtes et réponses précédentes dans le fil actuel

  • Cadres, contrôles et détails organisationnels mentionnés plus haut

  • Documents et politiques générés dans les messages antérieurs

  • Clarifications et contraintes que vous avez spécifiées

Cela vous permet de faire référence à « la politique de contrôle d'accès de tout à l'heure » ou d' « approfondir le point A.5.15 de la réponse précédente » sans avoir à tout reformuler.

Démarrez de nouvelles conversations dans l'espace de travail pour des projets non liés (différents clients, cadres ou phases) afin d'éviter toute confusion de contexte. Utilisez la même conversation pour itérer sur des tâches connectées.

Modèles d'itération courants

1. Explorer → Cibler → Implémenter

Commencez large, réduisez aux spécificités, puis gérez les livrables.

Exemple de conversation :

  1. Explorer : « Quels sont les principaux contrôles SOC 2 CC7 pour les opérations système ? »

  2. Cibler : « Développez le point CC7.2 (surveillance du système) pour une plateforme SaaS utilisant Datadog et PagerDuty »

  3. Implémenter : « Rédigez une procédure de surveillance du système pour CC7.2 incluant les seuils d'alerte, les parcours d'escalade et la journalisation des incidents »

  4. Affiner : « Ajoutez une section sur la gestion des faux positifs et ajustez les seuils d'alerte pour un SLA de disponibilité de 99,9 % »

Chaque tour approfondit le passage du concept à l'implémentation, puis au détail opérationnel.

2. Générer → Réviser → Améliorer

Créez une production initiale, identifiez les lacunes, puis améliorez.

Exemple de conversation :

  1. Générer : « Créez un modèle d'évaluation des risques pour ISO 27001 A.5.7 couvrant notre infrastructure AWS »

  2. Réviser : « Ce modèle traite-t-il des risques de déploiement multi-régions et des intégrations tierces ? »

  3. Améliorer : « Ajoutez des sections pour les risques de réplication de données entre régions et les évaluations de sécurité des intégrations API »

  4. Valider : « Quelles preuves les auditeurs attendent-ils pour cette approche d'évaluation des risques ? »

L'affinement itératif produit des résultats prêts pour l'audit sans avoir à recommencer de zéro.

3. Comparer → Décider → Personnaliser

Évaluez les options, sélectionnez l'approche, puis adaptez-la à votre organisation.

Exemple de conversation :

  1. Comparer : « Quels sont les avantages et les inconvénients du contrôle d'accès basé sur les rôles par rapport au contrôle d'accès basé sur les attributs pour ISO 27001 A.5.15 ? »

  2. Décider : « Nous utiliserons le RBAC. Quels rôles devrions-nous définir pour une entreprise SaaS de 50 personnes avec des équipes d'ingénierie, de vente et de support ? »

  3. Personnaliser : « Générez une matrice RBAC associant ces rôles aux systèmes : AWS, GitHub, Salesforce, Zendesk et outils d'administration »

  4. Implémenter : « Créez une procédure de provisionnement des accès utilisant ce modèle RBAC avec des flux d'approbation »

Les décisions informent les étapes suivantes sans répétition des justifications.

4. Contrôle → Preuve → Vérification

Implémentez le contrôle, identifiez les besoins en preuves, planifiez la validation.

Exemple de conversation :

  1. Contrôle : « Comment implémenter la journalisation ISO 27001 A.8.15 pour AWS CloudTrail et les journaux d'application ? »

  2. Preuve : « Quelles preuves démontrent la conformité à A.8.15 pour un auditeur ? »

  3. Vérification : « Créez une liste de contrôle trimestrielle de révision des journaux pour vérifier l'efficacité de A.8.15 et conserver les preuves »

  4. Documenter : « Rédigez la section sur la journalisation de notre documentation SMSI en faisant référence à ces contrôles et preuves »

Une implémentation de bout en bout dans un seul fil de conversation.

Techniques de suivi efficaces

Référencer les productions précédentes

Utilisez des phrases qui exploitent la mémoire de la conversation :

  • « Développez le troisième point de votre dernière réponse »

  • « Appliquez la méthodologie de risque que nous venons de discuter au chiffrement de la base de données »

  • « Mettez à jour le projet de politique pour inclure ces exigences de preuves »

  • « Ajoutez les outils que vous avez mentionnés (Okta, AWS IAM) à la matrice de contrôle d'accès »

Construire de manière incrémentale

Ajoutez de la complexité progressivement plutôt que tout d'un coup :

  1. « Créez une procédure de réponse aux incidents de base pour ISO 27001 A.5.24 »

  2. « Ajoutez des modèles de communication pour l'escalade interne et la notification aux clients »

  3. « Incluez l'intégration avec notre flux d'alerte PagerDuty et de tickets Jira »

  4. « Développez la section de revue post-incident avec les étapes d'analyse des causes racines »

La superposition de détails évite de surcharger les résultats initiaux.

Tester la compréhension

Vérifiez l'alignement avant une génération extensive :

  • « Avant de rédiger la politique complète, confirmez : doit-elle couvrir à la fois les employés et les prestataires ? »

  • « Cette approche satisfait-elle à la fois ISO 27001 A.6.1 et nos obligations RGPD ? »

  • « Une fréquence de révision trimestrielle est-elle suffisante pour SOC 2 CC6.1, ou devrait-elle être mensuelle ? »

Corrigez le tir tôt pour éviter de refaire le travail.

Demander des alternatives

Explorez les options au sein de la conversation :

  • « Quelle serait une approche alternative pour les petites équipes avec un budget limité ? »

  • « Montrez-moi une version simplifiée pour l'implémentation initiale, puis l'approche complète pour entreprise »

  • « Comparez les solutions manuelles et automatisées pour ce contrôle »

Le contexte de la conversation est réinitialisé entre les différentes conversations d'espace de travail. Ne vous attendez pas à ce qu'ISMS Copilot se souvienne des détails de l'espace de travail d'un autre client ou d'un fil de conversation différent au sein du même espace de travail.

Exemples par scénario

Itération de développement de politique

Tour 1 : « Rédigez une politique de contrôle d'accès pour SOC 2 CC6 couvrant le provisionnement des utilisateurs, les révisions et la résiliation »

Tour 2 : « Ajoutez une section sur la gestion des accès privilégiés pour les rôles d'administrateur dans AWS et GitHub »

Tour 3 : « Incluez des procédures d'accès d'urgence pour les ingénieurs d'astreinte avec journalisation post-accès »

Tour 4 : « Révisez la fréquence de révision de trimestrielle à mensuelle pour les comptes privilégiés, et trimestrielle pour les utilisateurs standard »

Tour 5 : « Ajoutez des références à notre configuration Okta SSO et à nos groupes basés sur les rôles »

Résultat : Une politique complète et personnalisée construite par affinements successifs.

Approfondissement de l'analyse des lacunes (Gap Analysis)

Tour 1 : « Analysez notre posture de sécurité actuelle par rapport à l'Annexe A.8 d'ISO 27001:2022 (contrôles techniques) »

Tour 2 : « Concentrez-vous sur les lacunes identifiées en A.8.1 (appareils terminaux utilisateurs) et A.8.15 (journalisation) »

Tour 3 : « Pour la lacune sur la gestion des terminaux, quels outils satisfont à A.8.1 pour une équipe en télétravail complet utilisant macOS et Windows ? »

Tour 4 : « Créez un plan d'implémentation pour Jamf (macOS) et Intune (Windows) répondant aux exigences de A.8.1 »

Tour 5 : « De quelles preuves les auditeurs auront-ils besoin pour vérifier la conformité A.8.1 avec ces outils ? »

Résultat : Du constat de lacune général au choix de l'outil puis au plan d'implémentation dans un seul fil.

Alignement multi-référentiels

Tour 1 : « Nous devons satisfaire à la fois ISO 27001 A.5.24 (gestion des incidents) et SOC 2 CC7.3-7.5. Quels sont les chevauchements ? »

Tour 2 : « Créez un plan de réponse aux incidents unifié traitant les deux cadres »

Tour 3 : « Ajoutez des sections spécifiques pour les exigences uniques de SOC 2 que vous avez mentionnées (incidents de disponibilité et délais de communication) »

Tour 4 : « Incluez un tableau associant chaque étape de la procédure aux contrôles ISO 27001 et SOC 2 pertinents pour la traçabilité de l'audit »

Résultat : Un plan unique efficace avec une cartographie de conformité claire.

Dépannage de l'implémentation

Tour 1 : « Comment implémenter le MFA pour ISO 27001 A.5.17 en utilisant Okta ? »

Tour 2 : « Nous avons des applications héritées qui ne supportent pas le SAML. Comment les gérer ? »

Tour 3 : « Suggérez un contrôle compensatoire pour les applications héritées jusqu'à ce que nous puissions les migrer »

Tour 4 : « Documentez l'approche du contrôle compensatoire pour examen par l'auditeur, incluant le calendrier de migration complète vers le MFA »

Résultat : Solution pragmatique tenant compte des contraintes techniques.

Gérer les conversations longues

Le compactage des messages est désormais actif pour le mode Think (Claude Opus 4.6) ! Le compactage automatique des conversations permet des échanges beaucoup plus longs en mode Think sans impact majeur sur vos limites d'utilisation. Bien que les conversations plus longues consomment toujours plus de jetons (c'est le fonctionnement de l'IA), le compactage vous rapproche de conversations infinies avec un impact minimal sur l'utilisation. Le support du mode Fast arrive bientôt.

Quand continuer vs recommencer à zéro

Continuez la conversation lorsque :

  • Vous construisez sur des résultats précédents (affinage de politique, extension de procédure)

  • Vous travaillez sur des contrôles liés en séquence (A.5.1 → A.5.2 → A.5.3)

  • Vous itérez sur un seul livrable (affinement de l'évaluation des risques)

  • Vous dépannez l'implémentation d'un contrôle déjà discuté

  • La conversation contient encore moins de 15-20 messages

Démarrez une nouvelle conversation lorsque :

  • Vous passez à un cadre ou domaine non lié (SOC 2 → RGPD)

  • C'est une phase différente du projet (passage de l'implémentation à la préparation de l'audit)

  • Le contexte devient trop complexe (plus de 10 tours d'échanges sur des sujets multiples)

  • Vous avez besoin de repartir de zéro sans hypothèses préalables

  • La conversation dépasse 20 messages (pour l'efficacité de l'utilisation, jusqu'à l'arrivée du compactage)

Résumer pour plus de clarté

Dans les conversations longues, résumez périodiquement :

Exemple : « Pour confirmer nos décisions jusqu'à présent : nous utilisons le RBAC avec 5 rôles (Admin, Développeur, Ventes, Support, Prestataire), des révisions d'accès trimestrielles sauf mensuelles pour les admins, Okta SSO pour toutes les applications sauf l'ancien CRM qui bénéficie de contrôles compensatoires. Rédigeons maintenant la politique formelle. »

Cela réinitialise la compréhension commune et évite les dérives.

Utilisez stratégiquement le menu déroulant du style de réponse (Concise/Normale/Détaillée) : Concise pour les itérations rapides, Détaillée pour les ébauches initiales, Normale pour la plupart des affinements.

Combiner l'itération avec d'autres techniques

Itération + Instructions personnalisées

Définissez des instructions d'espace de travail pour un contexte cohérent à chaque tour :

Instruction : « SaaS santé, 80 employés, infrastructure AWS, implémentation ISO 27001:2022 avec alignement HIPAA, audit dans 8 mois »

Séquence de requêtes : Chaque requête hérite de ce contexte sans rappel nécessaire.

Itération + Téléchargement de fichiers

Téléchargez une fois, référencez tout au long de la conversation :

  1. Téléchargement : Joindre la politique de contrôle d'accès actuelle (PDF)

  2. Tour 1 : « Examinez cette politique par rapport à SOC 2 CC6 et identifiez les lacunes »

  3. Tour 2 : « Réécrivez la section de révision des accès pour combler les lacunes trouvées »

  4. Tour 3 : « Ajoutez les exigences de preuves que vous avez mentionnées dans une nouvelle Annexe A »

Itération + Personas

Changez de persona en milieu de conversation pour différentes perspectives :

  1. Persona Implémenteur : « Donnez-moi l'implémentation MFA étape par étape pour Okta »

  2. Persona Auditeur : « Examinez ce plan d'implémentation : quelles preuves manqueront-elles ? »

  3. Persona Consultant : « Comment justifier le coût de l'implémentation auprès de notre CFO ? »

Plusieurs points de vue sur le même sujet dans un seul fil.

Reconnaître les rendements décroissants

Arrêtez l'itération lorsque :

  • Vous faites des micro-ajustements qui n'améliorent pas l'état de préparation à l'audit

  • Les suivis n'intègrent plus précisément le contexte précédent (signe de surcharge de la conversation)

  • Vous posez la même question reformulée plusieurs fois

  • Les résultats deviennent moins utiles ou plus génériques

À ce stade, sauvegardez la meilleure version et passez à l'implémentation ou démarrez une nouvelle conversation.

Sauvegarder le travail itératif

Bonnes pratiques pour conserver les résultats de conversation :

  • Copiez les versions finales dans votre référentiel documentaire après chaque affinement majeur

  • Utilisez la conversation comme piste d'audit montrant l'évolution de la politique/procédure

  • Exportez les réponses clés pour examen avec les parties prenantes avant de poursuivre l'itération

  • Nommez clairement les espaces de travail pour retrouver les conversations plus tard (« ISO 27001 - Contrôles d'accès - Client ABC »)

Les conversations multi-tours sont le domaine où la spécialisation d'ISMS Copilot brille. Les outils d'IA génériques perdent le contexte ou la précision après 2 ou 3 tours. ISMS Copilot maintient une compréhension spécifique à la conformité tout au long de projets d'implémentation entiers.

Étapes suivantes

Démarrez une conversation multi-tours pour votre prochaine tâche de conformité. Commencez par une requête de haut niveau, puis utilisez 3 à 5 suivis pour affiner le résultat en un livrable prêt pour l'implémentation. Notez comment la préservation du contexte accélère la qualité.

Retour à l'aperçu de l'ingénierie de prompt

Cela vous a-t-il été utile ?