ISMS Copilot
Sécurité

Politiques de sécurité

Cette page documente les politiques de sécurité formellement adoptées par ISMS Copilot 2.0 dans le cadre de notre système de gestion de la sécurité de l'information (SGSI / ISMS). Ces politiques soutiennent notre conformité aux normes ISO 27001, SOC 2 et ISO 42001, et reflètent notre engagement envers un développement d'IA responsable et la protection des données.

Ces politiques guident nos opérations internes et notre mise en œuvre technique. Pour plus de détails sur la manière dont nous protégeons vos données en pratique, consultez notre Présentation de la sécurité et de la protection des données.

Politique de contrôle d'accès

Nous protégeons l'accès à nos systèmes et à nos données par des contrôles d'authentification et d'autorisation stricts.

Authentification et autorisation

  • L'authentification multi-facteurs (MFA) est obligatoire pour tous les utilisateurs accédant aux services critiques

  • Les privilèges d'accès sont accordés selon le principe du moindre privilège

  • Des comptes identifiés uniques sont requis pour tout accès à la production, sans identifiants partagés

  • Les privilèges d'accès des employés sont revus trimestriellement pour garantir l'alignement avec les rôles actuels

  • Des gestionnaires de mots de passe sont utilisés par tous les membres de l'équipe pour sécuriser les identifiants et les clés API

Gestion de session

  • Des limites de durée de session et des exigences de ré-authentification sont appliquées

  • Des connexions sécurisées via TLS sont requises pour tout accès à la production

  • L'accès à la base de données est restreint aux réseaux internes uniquement

Cycle de vie des accès

  • La fourniture d'accès est vérifiée quant à l'adéquation au rôle avant l'octroi des permissions

  • Le départ des employés (offboarding) suit des procédures documentées avec désactivation du compte sous 24 heures

  • L'accès d'urgence est fourni via des comptes « break-glass » avec journalisation obligatoire et revue post-événement

Notre architecture de sécurité au niveau des lignes (row-level security) garantit une isolation complète des données entre les comptes clients, empêchant tout accès non autorisé, même au sein de notre infrastructure.

Politique de gestion des actifs

Nous maintenons un inventaire complet et une protection de tous les actifs de l'entreprise, des appareils des employés aux bases de connaissances propriétaires.

Sécurité des appareils

  • Le verrouillage automatique de l'écran est configuré sur tous les appareils des employés

  • Le chiffrement au repos protège les données sensibles sur les appareils de l'équipe

  • Les mises à jour logicielles sont maintenues automatiquement pour réduire l'exposition aux vulnérabilités

  • Un logiciel anti-malware et des pare-feu configurés protègent contre les menaces

  • La gestion des appareils mobiles (MDM) applique les politiques de sécurité sur tous les appareils

  • Systèmes d'exploitation pris en charge uniquement : les appareils doivent exécuter un OS/logiciel bénéficiant d'un support actif du fournisseur

Manipulation des données

  • Les dispositifs de stockage amovibles sont interdits pour les données de l'entreprise

  • L'effacement sécurisé est requis avant que tout appareil ne soit vendu, transféré ou éliminé

  • Tâches approuvées uniquement : les appareils des employés sont limités à un usage professionnel autorisé

  • Des emplacements physiques sécurisés sont requis lors de l'accès aux données de l'entreprise à distance

Inventaire des actifs

  • Le suivi des actifs maintient un inventaire systématique de tous les actifs de l'entreprise, y compris les bases de connaissances propriétaires et le code source

  • Des revues annuelles garantissent l'exactitude et la pertinence de l'inventaire

  • Les processus d'élimination sécurisée protègent les actifs déclassés contre les fuites de données

Ressources du système d'IA

  • Les ressources du cycle de vie de l'IA sont identifiées et documentées (fournisseurs de LLM, composants de l'architecture RAG)

  • Les ressources de données pour les systèmes d'IA sont documentées (KB propriétaire)

  • Les ressources d'outillage sont documentées (Semgrep, Sentry)

  • Les ressources informatiques sont documentées (infrastructure Vercel, Supabase)

Politique de continuité d'activité, sauvegarde et récupération

Nous maintenons notre résilience grâce à des procédures de reprise après sinistre documentées et des systèmes de sauvegarde automatisés.

Reprise après sinistre

  • Le Plan de Reprise après Sinistre (DRP) est maintenu, approuvé par la direction et mis à jour annuellement

  • Les objectifs de récupération définissent le RTO (Objectif de Temps de Recouvrement) et le RPO (Objectif de Point de Recouvrement) pour tous les systèmes critiques

  • Des tests annuels valident les procédures de reprise après sinistre

  • Des revues annuelles évaluent les stratégies de continuité d'activité et de redondance, en particulier après des changements majeurs comme l'ajout de fournisseurs d'IA

Exigences de sauvegarde

  • Des sauvegardes continues des bases de données de production protègent les historiques de chat des clients et les fichiers téléchargés, avec récupération à un point précis dans le temps activée

  • Rétention minimale de 7 jours pour les sauvegardes

  • Chiffrement de toutes les sauvegardes au repos et en transit via le chiffrement Supabase

  • Accès restreint aux systèmes de sauvegarde avec journalisation et surveillance complètes

  • Des tests de restauration semestriels valident l'intégrité des sauvegardes et les procédures de récupération

  • Une validation de basculement (failover) annuelle pour la redondance et les mécanismes de récupération multi-régions

Résilience des fournisseurs d'IA

  • La surveillance par disjoncteur (circuit breaker) suit la santé du fournisseur d'IA principal (Anthropic) via l'analyse du taux d'erreur sur une fenêtre glissante

  • Basculement automatique vers un fournisseur de secours (OpenAI) lorsque le fournisseur principal subit des pannes ou des performances dégradées

  • Des sondes de récupération automatique testent la santé du fournisseur principal et rétablissent le routage normal une fois rétabli

  • Notification de l'utilisateur pendant le basculement via des bannières d'alerte persistantes tout en maintenant la continuité du service

  • Limitation pour le mode EU-uniquement : les utilisateurs de la Protection Avancée des Données (exclusivité Mistral AI) ne bénéficient pas du basculement en raison de la disponibilité d'un seul fournisseur européen ; nous travaillons à l'ajout d'un second fournisseur EU

  • Journalisation des événements de basculement et revue post-incident pour une amélioration continue

Politique de gestion des données

Nous traitons les données avec des contrôles stricts alignés sur le RGPD et les meilleures pratiques de protection des données.

Cycle de vie des données

  • Le système de classification de l'inventaire des données catégorise toutes les données (Publique, Interne, Confidentielle, Secrète)

  • Suppression sécurisée sur demande formelle ou après expiration de la période de rétention, respectant les droits du RGPD

  • Minimisation des données—seules les données nécessaires aux fins définies sont collectées et conservées

  • Bases juridiques du traitement documentées (consentement, contrat, obligation légale, intérêts légitimes)

  • Le registre des activités de traitement documente les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité

Chiffrement et transport

  • TLS 1.2 minimum (idéalement 1.3) pour tous les services HTTP externes via Vercel

  • Les en-têtes HSTS sur les applications web de production empêchent les attaques par déclassement de protocole

  • Chiffrement AES-256 au repos pour toutes les bases de données de production via Supabase

Gestion des données d'IA

  • La journalisation de l'acquisition des données suit les détails de la source pour le contenu de la base de connaissances propriétaire

  • Le suivi de la provenance des données tout au long du cycle de vie de l'IA garantit la traçabilité dans notre architecture RAG

  • Le contrôle de version et les journaux d'accès gèrent les données pour le développement du système d'IA

  • Contrôles de qualité des données par rapport à des critères définis avant utilisation dans les systèmes d'IA

  • Les méthodes de préparation approuvées standardisent le traitement RAG pour des conseils de conformité cohérents

Droits de protection des données

  • Les droits des personnes concernées (accès, suppression, rectification) sont honorés dans les délais légaux requis par le RGPD

  • Élimination sécurisée pour les actifs déclassés stockant des données sensibles

  • Protection des sauvegardes—les sauvegardes suivent les mêmes règles de chiffrement, de rétention et d'accès que les données de production

Pour des détails complets sur nos pratiques de manipulation des données, consultez notre documentation Confidentialité des données et conformité RGPD.

Politique de développement sécurisé

Nous intégrons la sécurité dans notre cycle de développement, de la validation du code au déploiement en production.

Protection du code source

  • Créer une branche dédiée pour tout nouveau développement

  • Les branches par défaut protégées empêchent les poussées forcées (force push) vers les dépôts de code de production

  • Exigences de Pull Request—pas de commits directs vers les branches protégées

  • Revue de code obligatoire et approbation avant fusion

  • Des messages de commit standardisés améliorent la traçabilité et la capacité d'audit

Tests de sécurité

  • Des tests automatisés s'exécutent pour chaque commit et pull request avant fusion

  • Le scan de secrets détecte automatiquement les identifiants exposés via Semgrep

  • Scan de vulnérabilité des dépendances sur toutes les bibliothèques tierces via Semgrep SCA

  • Scan d'images de conteneurs avant déploiement (le cas échéant)

  • DAST (Dynamic Application Security Testing) sur les environnements de staging

  • SAST (Static Application Security Testing) via Semgrep sur tous les changements de code

  • Blocage du déploiement lorsque des vulnérabilités critiques ou de haute sévérité sont détectées

  • Tests d'intrusion annuels sur les systèmes de production

Flux de travail de développement

  • Ne pas travailler sur de nouvelles fonctionnalités tant que des bugs clés affectent encore les utilisateurs

  • Des branches spécifiques aux fonctionnalités pour un développement et des tests isolés

  • L'environnement de staging reflète la production pour les tests de pré-production

  • Tests locaux requis avant de commiter vers les branches partagées

  • Un SDLC (Cycle de vie du développement logiciel) documenté guide les processus de développement

  • Système de suivi des tickets pour signaler et suivre les bugs du produit

  • Le scan de sécurité effectue la revue de code identifie les problèmes de sécurité

  • Tests unitaires et d'intégration requis pour toute la logique métier critique

Contrôles de sécurité

  • Les linters de sécurité (ESLint) empêchent les modèles de codage non sécurisés en TypeScript

  • Les déploiements automatisés suivent des procédures reproductibles et sécurisées via Vercel

  • Pipelines de déploiement continu pour les changements de code approuvés

  • L'accès au VCS suit le moindre privilège avec MFA obligatoire

  • Procédures de rotation des identifiants exécutées immédiatement après la détection de fuites d'identifiants

  • Des coffres-forts sécurisés (vaults) gèrent les secrets dans les environnements CI/CD et de développement

  • Journalisation de l'activité dans les systèmes de contrôle de version (journaux d'audit GitHub)

Sécurité applicative

  • Politiques CORS correctement configurées pour restreindre les accès non autorisés

  • Les en-têtes CSP (Content Security Policy) empêchent les attaques XSS et par injection

  • Sécurité des cookies—attributs HttpOnly et Secure via Supabase Auth

  • Protection CSRF sur toutes les opérations modifiant l'état

  • Épinglage de certificat (certificate pinning) pour les connexions API critiques

  • Sécurité des messages d'erreur—les erreurs internes sont gérées par Sentry et ne sont pas exposées aux utilisateurs

  • Protection contre l'injection SQL via des requêtes paramétrées et des ORM dans Supabase PostgreSQL

  • Protection XSS par la désinfection des entrées et l'encodage des sorties

  • Validation des entrées pour le type, le format, la longueur et la plage avant traitement

  • Limitation de débit (rate limiting) sur les points de terminaison critiques (authentification, requêtes IA)

  • Sécurité des webhooks via la vérification de signature et l'authentification

Protection des données dans le code

  • Pas de mots de passe en clair—chiffrement au niveau des lignes de la base de données

  • Dépendances prises en charge uniquement—pas de bibliothèques obsolètes ou non supportées en production

  • Configuration externalisée—pas de secrets codés en dur dans le code de l'application

  • Migrations contrôlées par version pour les changements de schéma de base de données

  • Pas de journalisation sensible—les identifiants et les PII ne sont jamais journalisés

  • Langages sûrs en mémoire (TypeScript) privilégiés pour les nouveaux développements

Licences et conformité

  • Logiciels sous licence uniquement—outils correctement licenciés, approuvés et payés requis

  • Pas de licences copyleft (GPL v3) pour protéger le code propriétaire

  • Vérification automatisée des licences dans les pipelines CI/CD via Semgrep

  • Communication des changements aux parties prenantes internes et utilisateurs externes pour les mises à jour majeures

  • Processus d'assurance qualité pour toutes les versions de production

Notre intégration Semgrep analyse automatiquement chaque modification de code pour détecter les vulnérabilités, les secrets exposés et les problèmes de conformité des licences avant le déploiement.

Politique d'infrastructure sécurisée

Notre infrastructure cloud-native met en œuvre une défense en profondeur avec des contrôles de sécurité automatisés.

Sécurité réseau

  • Protection par Pare-feu d'Application Web (WAF) via Vercel pour toutes les applications exposées sur Internet

  • Protocoles chiffrés uniquement (TLS, SSH) pour toutes les connexions externes

  • La segmentation réseau isole les environnements de production, de staging et de développement dans une architecture serverless

  • Règles de pare-feu configurées avec le moindre privilège (interdiction par défaut) via Vercel

  • Protection DDoS activée pour les ressources exposées sur Internet via Vercel

  • TLS 1.2 minimum pour toutes les communications chiffrées

  • TLS direct privilégié par rapport à STARTTLS pour les connexions chiffrées

  • DNSSEC activé pour les zones DNS gérées afin d'empêcher l'usurpation DNS

  • Authentification d'email (DKIM, SPF, DMARC) configurée pour les domaines de messagerie sortants

Gestion de l'infrastructure

  • L'Infrastructure as Code (IaC) gère les configurations Vercel pour la reproductibilité

  • Journalisation centralisée via Sentry pour tous les composants de l'infrastructure, y compris la capture de l'ID utilisateur (UUID uniquement) en production pour la corrélation des erreurs et un dépannage plus rapide

  • Auto-scaling configuré via Vercel pour maintenir la disponibilité lors des pics de trafic

  • Alertes automatisées pour les incidents de sécurité et les comportements anormaux via Semgrep et Sentry

  • Réplication de base de données et basculement automatique pour les bases de données critiques via Supabase Enterprise

  • Restrictions du compte racine—moindre privilège IAM, la racine n'est pas utilisée pour les opérations quotidiennes

  • Pistes d'audit activées (journaux Supabase) et surveillées pour la conformité

  • Documentation d'architecture maintenue et revue annuellement

Durcissement du système

  • Chiffrement de disque activé sur tous les volumes de stockage au repos via Supabase

  • Conteneurs rootless le cas échéant pour réduire les risques d'élévation de privilèges

  • Patchs de sécurité automatisés dans l'environnement serverless

  • Patchs critiques appliqués sous 7 jours, patchs standards sous 30 jours

  • OS pris en charge uniquement recevant des mises à jour de sécurité actives (garanti par Vercel serverless)

  • Versions LTS pour la stabilité de la production

  • Synchronisation NTP pour des horodatages de journaux précis

  • Rotation trimestrielle des identifiants pour les identifiants d'infrastructure (clés API, jetons)

Accès et authentification

  • Coffre-forts sécurisés (KMS cloud) pour le stockage des clés cryptographiques

  • Bastions pour l'accès administratif à l'infrastructure de production

  • Accès au moindre privilège via les contrôles IAM

  • VPN/SSH/accès sécurisé natif cloud requis pour l'infrastructure de production

  • Comptes de service avec privilèges limités pour les processus automatisés

  • Gestion automatisée des certificats via Vercel (Let's Encrypt)

  • Surveillance de l'expiration des certificats avec alertes à 30, 14 et 7 jours avant expiration

Conformité

  • Contrôles de résidence des données pour les clients de l'UE (AWS Francfort) pour se conformer au RGPD

Politique de sécurité des ressources humaines

Nous garantissons la sensibilisation et la responsabilité en matière de sécurité au sein de notre équipe tout au long du cycle de vie des employés.

Structure organisationnelle

  • L'organigramme visualise la structure de l'entreprise, mis à jour trimestriellement

  • Rôles et responsabilités documentés clairement définis (modèle RACI pour petite équipe)

  • Les descriptions de poste documentent les exigences liées à la sécurité pour le recrutement

Embauche et intégration

  • Les procédures de recrutement documentées garantissent des embauches vérifiées et réduisent les risques internes

  • Les contrats de travail incluent des clauses de confidentialité (NDA) pour protéger la PI

  • L'intégration sécurité comprend la configuration du MFA et la formation aux politiques de sécurité

  • Une formation de sensibilisation à la sécurité est suivie par tous les employés

Gestion continue

  • Des évaluations de performance annuelles soutiennent le développement des compétences et la sensibilisation à la sécurité

  • Application des politiques—les employés qui violent les politiques de sécurité font l'objet de sanctions documentées

  • Signalement d'incidents via un système de tickets ou un email de support pour les préoccupations de sécurité

Départ (Offboarding)

  • Des procédures de départ documentées garantissent la désactivation des comptes et la révocation des accès (critique pour les rôles de super administrateur)

Compétences spécifiques à l'IA

  • Les compétences du personnel en IA sont déterminées et assurées par la formation ou l'embauche

  • La documentation des ressources d'IA suit les compétences et contributions de l'équipe

  • Sensibilisation à la politique d'IA—le personnel comprend son rôle dans le développement d'une IA responsable

Politique de sécurité des opérations

Nous maintenons la sécurité opérationnelle par la surveillance, la réponse aux incidents et l'amélioration continue.

Opérations d'infrastructure

  • Schéma d'architecture réseau maintenu et mis à jour annuellement

  • Journalisation des changements d'infrastructure pour les pistes d'audit et la gestion des changements

  • Synchronisation NTP quotidienne pour des horodatages de journaux précis

  • Mises à jour trimestrielles de l'OS du serveur via l'automatisation serverless

  • Agrégation centralisée des journaux via Sentry, capturant les IDs utilisateurs (UUID uniquement) en production pour la corrélation des erreurs

  • Rétention des journaux de 30 jours pour les journaux de production des applications

Gestion des menaces

  • Protection WAF pour les applications de production (équivalent Vercel)

  • Tests d'intrusion annuels de l'environnement de production

  • Surveillance active des menaces pour l'infrastructure cloud via Semgrep et Sentry

  • Surveillance en temps réel via Sentry pour une réponse proactive

  • Alertes automatisées pour les incidents de sécurité

Réponse aux incidents

  • Plan de réponse aux incidents formel pour les problèmes critiques et de sécurité

  • Alertes Slack pour une notification immédiate de panne de production

  • Historique des revues d'incidents maintenu dans un dépôt centralisé pour les retours d'expérience

  • Partage des événements de sécurité avec les parties concernées par souci de transparence

  • Conformité NIS2 : signalement des incidents de cybersécurité significatifs aux autorités (avertissement précoce sous 24h, notification d'incident sans retard indu, rapport final sous un mois)

Sécurité des e-mails

  • Les protocoles SPF, DKIM, DMARC sécurisent les serveurs de messagerie

  • Filtres de sécurité pour la protection contre le spam et les malwares

Communication et transparence

  • Le portail en libre-service fournit la documentation produit aux utilisateurs

  • Le site web public décrit clairement les fonctionnalités et les avantages

  • Email de signalement de sécurité pour la divulgation coordonnée des vulnérabilités

  • Le Trust Center détaille les pratiques de sécurité et les certifications de conformité

  • Page d'état publique communiquant l'état du service et les incidents (prévu)

Atténuation des risques

  • Une couverture d'assurance cyber protège les opérations commerciales de l'impact financier des incidents de sécurité

Opérations d'IA

  • Surveillance des systèmes d'IA pour les performances et les erreurs, avec remédiation par réentraînement, corrections de code ou mises à jour

  • Journalisation des événements d'IA aux phases clés du cycle de vie avec une tenue de registres complète

Politique de sécurité physique

Nous protégeons les actifs physiques et l'infrastructure par des contrôles de sécurité appropriés.

  • La sécurité des centres de données repose sur des fournisseurs certifiés (Supabase/Vercel avec certifications ISO 27001, SOC 2 Type II)

  • Atténuation des menaces pour les emplacements physiques (extincteurs, etc.) dans le cadre de l'évaluation des risques

  • Mesures de sécurité physique mises en œuvre pour tous les actifs physiques

  • Contrôle d'accès au bureau via badge ou système de clé (le cas échéant)

  • Enregistrement des visiteurs dans un système numérique pour le suivi des accès au bureau

Politique de gestion des risques

Nous identifions, évaluons et traitons systématiquement les risques liés à la sécurité de notre information et à nos systèmes d'IA.

Gestion générale des risques

  • Des évaluations de risques annuelles ou au besoin identifient et évaluent les menaces de sécurité

  • AIPD (Analyses d'Impact sur la Protection des Données) pour les activités de traitement de données personnelles à haut risque

Gestion des risques liés à l'IA

  • Identification annuelle des risques d'IA pour le système de gestion de l'IA

  • Évaluation des risques du système d'IA à l'aide d'un score de probabilité et d'impact

  • Traitement des risques par l'application de contrôles, l'acceptation, le transfert ou l'évitement des risques

  • Analyses d'impact sur les individus et les sociétés avec résultats documentés pour les revues de risques

  • Évaluations à intervalles planifiés ou déclenchées par un changement avec résultats documentés

  • Plans de traitement des risques mis en œuvre, vérifiés et mis à jour avec documentation

Politique sur les tiers

Nous évaluons et gérons les risques de sécurité provenant de fournisseurs tiers et de prestataires de services.

  • Évaluations annuelles des fournisseurs pour les tiers comme OpenAI et ConvertAPI

  • Responsabilités du cycle de vie de l'IA réparties entre l'organisation, les partenaires, les fournisseurs, les clients et les tiers

  • Revue des fournisseurs pour l'alignement IA avant d'utiliser des services, produits ou matériaux

  • Intégration des besoins des clients dans l'approche d'IA responsable

  • Évaluation des risques de cybersécurité de la chaîne d'approvisionnement incluant les dépendances de sécurité et les mesures d'atténuation

Nous avons élaboré des accords de rétention de données nulle (Zero Data Retention - ZDR) avec des fournisseurs d'IA tels que Mistral pour renforcer la protection des données et clarifier les responsabilités des tiers.

Politique de gestion de l'IA

Nous gouvernons nos systèmes d'IA par un cadre de gestion complet aligné sur l'ISO 42001.

Système de gestion de l'IA

  • Les enjeux externes et internes pertinents pour les systèmes d'IA sont déterminés et documentés

  • Les parties intéressées sont identifiées ainsi que leurs exigences

  • Les limites et l'applicabilité du système de gestion de l'IA sont définies

  • Amélioration continue du système de gestion de l'IA

  • Engagement de la haute direction démontré (approche « prêcher par l'exemple » menée par le CEO)

Cadre de la politique d'IA

  • Politique d'IA documentée fournissant un cadre pour les objectifs et l'amélioration

  • Alignement de la politique avec les autres politiques organisationnelles

  • Revues à intervalles planifiés de la politique d'IA

  • Des objectifs d'IA mesurables cohérents avec la politique, surveillés et mis à jour (ex: métriques de réduction des hallucinations)

Changements au système d'IA

  • Les changements planifiés au système de gestion de l'IA sont exécutés systématiquement (ex: ajout de nouveaux fournisseurs d'IA)

  • Allocation des ressources pour le système de gestion de l'IA déterminée et fournie

  • Cadre de communication pour les communications internes et externes sur le système d'IA (inclut le Trust Center)

  • Protection des documents pour les informations du système de gestion de l'IA

Gestion des processus d'IA

  • Les processus basés sur les exigences sont planifiés, mis en œuvre et contrôlés

  • Surveillance de la performance et évaluation avec conservation des preuves

  • Audits internes à intervalles planifiés

  • Revues de direction pour l'adéquation du système de gestion de l'IA

  • Actions correctives pour les non-conformités avec documentation

Politique d'analyse d'impact de l'IA

Nous évaluons les conséquences potentielles de nos systèmes d'IA sur les individus et la société.

  • Analyses d'impact annuelles des conséquences du système d'IA sur les individus et les sociétés

  • Résultats documentés conservés à des fins de conformité et d'audit

  • Évaluation de l'impact individuel/de groupe prenant en compte la vie privée des utilisateurs et les biais potentiels

  • Évaluation de l'impact sociétal alignée sur l'IA Act de l'UE et des considérations éthiques plus larges

Politique du cycle de vie du système d'IA

Nous gérons les systèmes d'IA de manière responsable, de la conception au déploiement et à l'exploitation.

Objectifs de développement

  • Des objectifs d'IA responsable sont identifiés, documentés et intégrés dans le développement RAG

  • Des directives de responsabilité sont suivies lors de la conception et du développement pour réduire les hallucinations

Conception et développement

  • Spécification des exigences pour les systèmes d'IA documentée

  • Documentation de conception basée sur les objectifs et les exigences

  • Vérification et validation par des tests de régression avant déploiement

  • Déploiement basé sur les exigences—les systèmes ne sont déployés qu'une fois les exigences satisfaites

  • Documentation technique fournie aux parties concernées (équipe et utilisateurs)

Utilisation et information

  • Informations utilisateur déterminées et fournies (guides d'utilisation expliquant les limitations)

  • Capacités de signalement d'impacts négatifs fournies pour les retours utilisateurs

  • Notifications par email pour les incidents d'IA afin de renforcer la confiance

  • Obligations de signalement aux parties intéressées déterminées et documentées

  • Des directives d'utilisation responsable sont suivies pour les systèmes d'IA

  • Des objectifs d'usage pour une IA responsable sont identifiés et documentés

  • La surveillance des finalités prévues garantit un usage axé sur la conformité

Mises à jour et revues des politiques

Ces politiques sont revues et mises à jour régulièrement pour maintenir l'alignement avec l'évolution de notre posture de sécurité, nos exigences de conformité et nos pratiques opérationnelles. Les changements importants sont communiqués aux parties prenantes par les canaux appropriés.

Nos politiques de sécurité reflètent notre engagement à « prêcher par l'exemple » en tant que plateforme SaaS axée sur la conformité. Nous appliquons les mêmes contrôles de sécurité robustes que nous aidons nos clients à atteindre.

Ressources associées

Cela vous a-t-il été utile ?