ISMS Copilot
Ingénierie de prompts

Itérer et affiner grâce aux conversations multi-tours

La puissance du contexte conversationnel

Contrairement aux requêtes ponctuelles adressées à des outils d'IA génériques, ISMS Copilot conserve l'historique des conversations au sein des espaces de travail. Chaque question de suivi s'appuie sur les réponses précédentes, vous permettant d'affiner des politiques, d'approfondir des contrôles spécifiques ou d'ajuster des recommandations sans répéter le contexte.

Cette approche itérative reflète la manière dont les professionnels de la conformité travaillent réellement : commencer par une vue d'ensemble du référentiel, cibler les contrôles prioritaires, générer des ébauches initiales, puis affiner en fonction des spécificités organisationnelles et des retours d'audit.

Comment fonctionne la persistance du contexte

Au sein d'une conversation dans un espace de travail, ISMS Copilot mémorise :

  • Les instructions personnalisées définies pour l'espace de travail

  • Les requêtes et réponses précédentes du fil de discussion actuel

  • Les référentiels, contrôles et détails organisationnels mentionnés plus haut

  • Les documents et politiques générés dans les messages antérieurs

  • Les clarifications et contraintes que vous avez spécifiées

Cela vous permet de faire référence à « la politique de contrôle d'accès mentionnée plus tôt » ou d'« approfondir le point A.5.15 de la réponse précédente » sans avoir à tout reformuler.

Démarrez de nouvelles conversations d'espace de travail pour des projets non liés (différents clients, frameworks ou phases) afin d'éviter toute confusion de contexte. Utilisez la même conversation pour itérer sur des tâches connectées.

Modèles d'itération courants

1. Explorer → Cibler → Implémenter

Commencez large, ciblez des points spécifiques, puis générez des livrables.

Exemple de conversation :

  1. Explorer : « Quels sont les principaux contrôles SOC 2 CC7 pour les opérations système ? »

  2. Cibler : « Détaille le contrôle CC7.2 (surveillance du système) pour une plateforme SaaS utilisant Datadog et PagerDuty »

  3. Implémenter : « Rédige une procédure de surveillance du système pour CC7.2 incluant les seuils d'alerte, les circuits d'escalade et la journalisation des incidents »

  4. Affiner : « Ajoute une section sur la gestion des faux positifs et ajuste les seuils d'alerte pour un SLA de disponibilité de 99,9 % »

Chaque tour approfondit le sujet, passant du concept à l'implémentation, puis au détail opérationnel.

2. Générer → Réviser → Améliorer

Créez un résultat initial, identifiez les lacunes, puis améliorez-le.

Exemple de conversation :

  1. Générer : « Crée un modèle d'évaluation des risques pour l'ISO 27001 A.5.7 couvrant notre infrastructure AWS »

  2. Réviser : « Ce modèle traite-t-il des risques liés au déploiement multi-régions et aux intégrations tierces ? »

  3. Améliorer : « Ajoute des sections pour les risques de réplication de données entre régions et les évaluations de sécurité des intégrations API »

  4. Valider : « Quelles preuves les auditeurs attendent-ils pour cette approche d'évaluation des risques ? »

L'affinement itératif permet de produire des livrables prêts pour l'audit sans repartir de zéro.

3. Comparer → Décider → Personnaliser

Évaluez les options, sélectionnez une approche, puis adaptez-la à votre organisation.

Exemple de conversation :

  1. Comparer : « Quels sont les avantages et inconvénients du contrôle d'accès basé sur les rôles par rapport à celui basé sur les attributs pour l'ISO 27001 A.5.15 ? »

  2. Décider : « Nous utiliserons le RBAC. Quels rôles devrions-nous définir pour une entreprise SaaS de 50 personnes avec des équipes d'ingénierie, de vente et de support ? »

  3. Personnaliser : « Génère une matrice RBAC associant ces rôles aux systèmes : AWS, GitHub, Salesforce, Zendesk et outils d'administration »

  4. Implémenter : « Crée une procédure de provisionnement des accès utilisant ce modèle RBAC avec des workflows d'approbation »

Les décisions informent les étapes suivantes sans avoir à réexpliquer le raisonnement.

4. Contrôle → Preuve → Vérification

Mettez en œuvre le contrôle, identifiez les besoins en preuves, planifiez la validation.

Exemple de conversation :

  1. Contrôle : « Comment implémenter la journalisation ISO 27001 A.8.15 pour AWS CloudTrail et les journaux d'application ? »

  2. Preuve : « Quelles preuves démontrent la conformité à A.8.15 pour un auditeur ? »

  3. Vérification : « Crée une liste de contrôle trimestrielle de revue des journaux pour vérifier l'efficacité de A.8.15 et conserver les preuves »

  4. Documenter : « Rédige la section journalisation de notre documentation SMSI en faisant référence à ces contrôles et preuves »

Une implémentation de bout en bout dans un seul fil de discussion.

Techniques de suivi efficaces

Référencer les résultats précédents

Utilisez des phrases qui exploitent la mémoire de la conversation :

  • « Développe le troisième point de ta dernière réponse »

  • « Applique la méthodologie de risque que nous venons de discuter au chiffrement des bases de données »

  • « Mets à jour le projet de politique pour inclure ces exigences de preuves »

  • « Ajoute les outils que tu as mentionnés (Okta, AWS IAM) à la matrice de contrôle d'accès »

Construire progressivement

Ajoutez de la complexité graduellement plutôt que d'un seul coup :

  1. « Crée une procédure de réponse aux incidents de base pour l'ISO 27001 A.5.24 »

  2. « Ajoute des modèles de communication pour l'escalade interne et la notification des clients »

  3. « Inclue l'intégration avec nos alertes PagerDuty et notre workflow de tickets Jira »

  4. « Développe la section de revue post-incident avec les étapes d'analyse des causes racines »

La superposition des détails évite de surcharger les résultats initiaux.

Tester la compréhension

Vérifiez l'alignement avant de générer des contenus volumineux :

  • « Avant de rédiger la politique complète, confirme : doit-elle couvrir à la fois les employés et les prestataires ? »

  • « Cette approche satisfait-elle à la fois l'ISO 27001 A.6.1 et nos obligations RGPD ? »

  • « Une fréquence de revue trimestrielle est-elle suffisante pour le SOC 2 CC6.1, ou devrait-elle être mensuelle ? »

Corrigez le tir tôt pour éviter de devoir tout refaire.

Demander des alternatives

Explorez les options au sein de la conversation :

  • « Quelle est une approche alternative pour les petites équipes avec un budget limité ? »

  • « Montre-moi une version simplifiée pour l'implémentation initiale, puis l'approche complète pour entreprise »

  • « Compare les solutions manuelles et automatisées pour ce contrôle »

Le contexte de la conversation se réinitialise entre les différentes conversations d'espace de travail. Ne vous attendez pas à ce qu'ISMS Copilot se souvienne des détails d'un espace de travail d'un autre client ou d'un fil de discussion différent dans le même espace.

Exemples par scénario

Itération pour le développement de politiques

Tour 1 : « Rédige une politique de contrôle d'accès pour SOC 2 CC6 couvrant le provisionnement des utilisateurs, les révisions et la résiliation »

Tour 2 : « Ajoute une section sur la gestion des accès privilégiés pour les rôles d'administrateur dans AWS et GitHub »

Tour 3 : « Inclue des procédures d'accès d'urgence pour les ingénieurs d'astreinte avec journalisation après accès »

Tour 4 : « Révise la fréquence de revue de trimestrielle à mensuelle pour les comptes privilégiés, et trimestrielle pour les utilisateurs standards »

Tour 5 : « Ajoute des références à notre configuration Okta SSO et à nos groupes basés sur les rôles »

Résultat : Une politique complète et personnalisée construite par affinements successifs.

Analyse d'écart approfondie

Tour 1 : « Analyse notre posture de sécurité actuelle par rapport à l'ISO 27001:2022 Annexe A.8 (contrôles techniques) »

Tour 2 : « Concentre-toi sur les lacunes identifiées en A.8.1 (appareils terminaux utilisateur) et A.8.15 (journalisation) »

Tour 3 : « Pour la lacune de gestion des terminaux, quels outils satisfont à A.8.1 pour une équipe en télétravail complet utilisant macOS et Windows ? »

Tour 4 : « Crée un plan d'implémentation pour Jamf (macOS) et Intune (Windows) répondant aux exigences de A.8.1 »

Tour 5 : « De quelles preuves les auditeurs auront-ils besoin pour vérifier la conformité à A.8.1 avec ces outils ? »

Résultat : De l'écart de haut niveau au choix de l'outil puis au plan d'implémentation dans un seul fil.

Alignement multi-référentiels

Tour 1 : « Nous devons satisfaire à la fois à l'ISO 27001 A.5.24 (gestion des incidents) et au SOC 2 CC7.3-7.5. Quels sont les chevauchements ? »

Tour 2 : « Crée un plan de réponse aux incidents unifié traitant les deux référentiels »

Tour 3 : « Ajoute des sections spécifiques pour les exigences uniques du SOC 2 que tu as mentionnées (incidents de disponibilité et délais de communication) »

Tour 4 : « Inclue un tableau associant chaque étape de la procédure aux contrôles ISO 27001 et SOC 2 correspondants pour la traçabilité de l'audit »

Résultat : Un plan unique efficace avec une cartographie de conformité claire.

Dépannage d'implémentation

Tour 1 : « Comment implémenter le MFA pour l'ISO 27001 A.5.17 en utilisant Okta ? »

Tour 2 : « Nous avons des applications héritées qui ne supportent pas le SAML. Comment les gérer ? »

Tour 3 : « Suggère un contrôle compensatoire pour les applications héritées jusqu'à ce que nous puissions les migrer »

Tour 4 : « Documente l'approche du contrôle compensatoire pour examen par l'auditeur, incluant le calendrier de migration complète vers le MFA »

Résultat : Une solution pragmatique tenant compte des contraintes techniques.

Gérer les conversations longues

Nous savons que les limitations des conversations longues sont frustrantes. Notre priorité absolue en ingénierie est actuellement d'implémenter le compactage des messages pour permettre des conversations beaucoup plus longues sans impact majeur sur vos limites d'utilisation. Bien que les conversations plus longues consomment toujours plus de jetons (c'est ainsi que l'IA fonctionne), le compactage vous rapprochera de conversations quasi infinies avec un impact minimal sur l'utilisation. Livraison prévue : fin février à début mars 2026.

Quand continuer vs recommencer

Continuez la conversation lorsque :

  • Vous construisez sur des résultats précédents (affinement de politique, extension de procédure)

  • Vous travaillez sur des contrôles liés en séquence (A.5.1 → A.5.2 → A.5.3)

  • Vous itérez sur un livrable unique (affinement de l'évaluation des risques)

  • Vous dépannez l'implémentation d'un contrôle déjà discuté

  • La conversation contient moins de 15 à 20 messages

Commencez une nouvelle conversation lorsque :

  • Vous passez à un référentiel ou domaine non lié (SOC 2 → RGPD)

  • Vous changez de phase de projet (passage de l'implémentation à la préparation de l'audit)

  • Le contexte devient trop complexe (plus de 10 échanges sur plusieurs sujets)

  • Vous avez besoin d'une page blanche sans hypothèses préalables

  • La conversation dépasse 20 messages (pour l'efficacité d'utilisation, jusqu'à l'arrivée du compactage)

Résumer pour plus de clarté

Dans les conversations longues, résumez périodiquement :

Exemple : « Pour confirmer nos décisions jusqu'ici : nous utilisons le RBAC avec 5 rôles (Admin, Développeur, Ventes, Support, Prestataire), des revues d'accès trimestrielles sauf mensuelles pour les admins, Okta SSO pour toutes les applications sauf le CRM hérité qui reçoit des contrôles compensatoires. Maintenant, rédigeons la politique formelle. »

Cela réinitialise la compréhension commune et évite les dérives.

Utilisez stratégiquement le menu déroulant du style de réponse (Concise/Normale/Détaillée) : Concise pour des itérations rapides, Détaillée pour les ébauches initiales, Normale pour la plupart des affinements.

Combiner l'itération avec d'autres techniques

Itération + Instructions personnalisées

Définissez des instructions d'espace de travail pour un contexte cohérent sur tous les tours :

Instruction : « SaaS santé, 80 employés, infrastructure AWS, implémentation ISO 27001:2022 avec alignement HIPAA, audit dans 8 mois »

Séquence de requêtes : Chaque requête hérite de ce contexte sans avoir à le répéter.

Itération + Téléchargement de fichiers

Téléchargez une fois, référencez tout au long de la conversation :

  1. Téléchargement : Joindre la politique de contrôle d'accès actuelle (PDF)

  2. Tour 1 : « Examine cette politique par rapport au SOC 2 CC6 et identifie les lacunes »

  3. Tour 2 : « Réécris la section sur la revue des accès pour combler les lacunes trouvées »

  4. Tour 3 : « Ajoute les exigences de preuves que tu as mentionnées dans une nouvelle Annexe A »

Itération + Personas

Changez de persona en cours de conversation pour varier les perspectives :

  1. Persona Implémenteur : « Donne-moi les étapes d'implémentation pas à pas du MFA pour Okta »

  2. Persona Auditeur : « Examine ce plan d'implémentation — quelles preuves seront manquantes ? »

  3. Persona Consultant : « Comment justifier le coût de l'implémentation auprès de notre CFO ? »

Plusieurs points de vue sur le même sujet dans un seul fil.

Reconnaître les rendements décroissants

Arrêtez d'itérer quand :

  • Vous faites des micro-ajustements qui n'améliorent pas la préparation à l'audit

  • Les suivis n'intègrent plus le contexte précédent avec précision (signe de surcharge de la conversation)

  • Vous posez la même question reformulée plusieurs fois

  • Les résultats deviennent moins utiles ou plus génériques

À ce stade, sauvegardez la meilleure version et passez à l'implémentation ou commencez une nouvelle conversation.

Sauvegarder le travail itératif

Bonnes pratiques pour préserver les résultats des conversations :

  • Copiez les versions finales dans votre référentiel documentaire après chaque affinement majeur

  • Utilisez la conversation comme piste d'audit montrant comment la politique/procédure a évolué

  • Exportez les réponses clés pour examen avec les parties prenantes avant de poursuivre l'itération

  • Nommez clairement vos espaces de travail pour retrouver les conversations plus tard (« ISO 27001 - Contrôles d'accès - Client ABC »)

Les conversations multi-tours sont le domaine où la spécialisation d'ISMS Copilot brille. Les outils d'IA génériques perdent le contexte ou la précision après 2 ou 3 tours. ISMS Copilot maintient une compréhension spécifique à la conformité tout au long de projets d'implémentation entiers.

Étapes suivantes

Lancez une conversation multi-tours pour votre prochaine tâche de conformité. Commencez par une requête de haut niveau, puis utilisez 3 à 5 suivis pour affiner le résultat en un livrable prêt pour l'implémentation. Observez comment la préservation du contexte accélère la qualité.

Retour à l'aperçu de l'ingénierie de prompt

Cela vous a-t-il été utile ?