Torus IT Security
Menu
Ressources

Checklist Torus

Checklist pour utiliser un assistant cyber avec des données client

Une checklist pour cadrer l'usage d'un assistant cyber avec des documents client, des sources visibles, le ZDR et une validation humaine.

Un assistant cyber peut faire gagner du temps sur la documentation, les procédures, les exigences conformité et les brouillons de livrables. Mais dès que des documents client entrent dans le périmètre, le cadre d’usage devient aussi important que la réponse produite.

Cette checklist aide à poser les bonnes limites avant d’utiliser un assistant sur des documents sensibles.

À retenir La confiance ne repose pas seulement sur la qualité de la réponse. Elle repose sur le périmètre documentaire, les sources visibles, la séparation des espaces, la non-réutilisation des données et la validation humaine.

1. Séparer clairement les espaces client

Avant tout usage, vérifiez que les contextes ne peuvent pas se mélanger.

  • Un espace existe par client, entité ou périmètre.
  • Les documents ajoutés à un espace ne sont pas visibles depuis un autre.
  • Les conversations et brouillons restent rattachés au bon contexte.
  • Les utilisateurs comprennent dans quel espace ils travaillent.
  • Les exports et livrables reprennent le bon périmètre.

Ce point est essentiel pour un consultant qui passe d’une mission à l’autre.

2. Choisir les documents rendus disponibles à l’assistant

Tous les documents stockés ne doivent pas forcément être interrogés.

  • Les documents utiles sont ajoutés à l’espace client concerné.
  • Leur usage par le chatbot est explicite.
  • Les versions obsolètes sont évitées ou signalées.
  • Les documents sensibles inutiles restent hors du périmètre.
  • Les catégories importantes sont claires : politique, procédure, preuve, standard, autre.

La règle doit être lisible : l’assistant travaille sur les documents que le client ou l’équipe rend disponibles dans l’espace concerné.

3. Vérifier la présence de sources visibles

Une réponse utile doit pouvoir être relue.

  • Les passages ou documents mobilisés sont identifiables.
  • Le lecteur peut vérifier si la bonne source a été utilisée.
  • Les sources anciennes ou contradictoires sont repérées.
  • Le brouillon ne masque pas les incertitudes.
  • Les réponses importantes ne sont pas utilisées sans relecture.

Sans sources visibles, l’assistant peut produire un texte plausible mais difficile à défendre.

4. Poser le cadre de confidentialité

Le cadre doit être compréhensible par un RSSI, un consultant et un client prudent.

  • Les données client restent cloisonnées par espace.
  • Le ZDR, ou Zero Data Retention, est activé pour les échanges IA concernés.
  • Les données transmises au modèle ne sont pas conservées pour entraînement ou réutilisation.
  • Toute contribution à un référentiel Torus ferait l’objet d’un accord séparé, explicite et minimisé.
  • Les limites du dispositif sont expliquées sans jargon inutile.

La promesse doit rester sobre : maîtrise, séparation, non-réutilisation par défaut et validation humaine.

5. Intégrer le contexte d’entreprise utile

Un assistant répond mieux s’il comprend le contexte, sans inventer ce qui manque.

  • Organisation et périmètres.
  • Référentiels applicables.
  • Contraintes métier.
  • Exigences client ou audit.
  • Niveaux de validation attendus.
  • Documents de référence déjà existants.

Ce contexte aide à orienter les réponses et la rédaction documentaire, mais il ne remplace pas les sources client.

6. Garder les livrables sous contrôle humain

Un assistant peut préparer un brouillon, pas signer un livrable.

  • Les politiques, procédures et notes de synthèse sont relues.
  • Les réponses à questionnaire sont validées avant envoi.
  • Les écarts documentaires sont arbitrés par une personne responsable.
  • Les preuves déposées sont analysées comme suffisantes, incomplètes ou incohérentes avant décision.
  • Les conclusions sensibles restent sous responsabilité humaine.

Ce cadre protège autant la qualité du livrable que la relation client.

Signaux d’alerte

Interrompez ou recadrez l’usage si l’un de ces signaux apparaît.

  • L’utilisateur ne sait pas quels documents sont utilisés.
  • Les sources ne sont pas visibles.
  • Plusieurs clients ou périmètres risquent d’être mélangés.
  • Une réponse IA est traitée comme une preuve autonome.
  • Le cadre ZDR ou la non-réutilisation des données ne sont pas compris.
  • Le livrable final part sans validation humaine.

Comment Torus s’inscrit dans cette logique

Le Cyber Assistant de Torus est présenté comme un assistant documentaire cyber et conformité : il interroge les documents rendus disponibles dans un espace client, cite ses sources, s’appuie sur des références cyber et conformité lorsque c’est nécessaire, et prépare des brouillons à relire. La page Sécurité & données précise le cadre de confiance attendu.