ISO 42001
Chez Assecio, nous vous accompagnons sur l’essor de l’intelligence artificielle via la réalisation d’accompagnements et de tests d’intrusion de l’IA. Car cela nécessite la mise en place d’une gouvernance rigoureuse, éthique et responsable de l’IA, à deux points de vue :
- Les bonnes pratiques purement techniques et métiers autour de l’intelligence artificielle ;
- L’implémentation d’un système de management de l’IA (SMIA) basé sur la norme ISO/IEC 42001:2013.
Tests d'intrusion de l'IA
exigences A.6.1, A.6.2.4
La norme ISO 42001, dans la mise en œuvre et le maintien de son SMIA, requiert de réaliser des tests de sécurité. Nous vous proposons la réalisation de ces tests sous forme de tests d’intrusion conformément à votre méthodologie si celle-ci est déjà définie, mais pouvons également vous accompagner dans la création de ce processus, incluant la périodicité, les méthodes et étapes préalables à la réalisation de ce type de tests.
Nos tests d’intrusion, à finalité non destructive et alignés avec les bonnes pratiques du métier comme l’OWASP Top 10 pour LLM ou encore le MITRE ATT&CK Framework, peuvent être réalisés :
- sur des environnements Cloud (AWS, GCP, Azure, etc.) pour vos instances MCP ou vos propres moteurs IA ;
- sur des environnements on-premise hébergés par vous-même ou un prestataire.
Ces tests peuvent cibler les vecteurs spécifiques aux systèmes d’IA, tels que la manipulation de prompts (prompt injection), la divulgation de données d’entraînement, l’évasion de modèles ou la compromission de pipelines MLOps.
Chez Assecio, nous nous occupons :
- de vous challenger sur le périmètre à tester en fonction de la criticité de vos actifs et de votre environnement ;
- d’identifier les parties prenantes à contacter, faisant partie du test ;
- de réaliser le protocole (ou mandat) d’audit ;
- de vous accompagner dans la collecte des informations nécessaires à la bonne réalisation du test (accès à distance ou sur site, comptes, outils) ;
- de vous conseiller sur la périodicité ou la mise à jour de votre programme de résilience.
Toute offre de test d’intrusion inclut par défaut un contre-audit, réalisable en général 3 mois après le test initial, pour confirmer la correction des vulnérabilités.
Exigence A.6.2.4 : AI system verification and validation
The organization shall define and document verification and validation measures for the AI system and specify criteria for their use.
Exigence A.6.1.3 : Processes for responsible design and development of AI systems
The organization shall define and document the specific processes for the responsible design and development of the AI system.
Analyse d'impact sur l'IA
exigences 6.1.4, A.5.2
La norme ISO 42001, dans la mise en œuvre et le maintien de son Système de Management de l’Intelligence Artificielle (SMIA), requiert de réaliser une analyse d’impact visant à identifier, évaluer et maîtriser les risques associés à l’utilisation des systèmes d’IA.
Nous vous proposons la réalisation de cette analyse conformément à votre méthodologie si celle-ci est déjà définie, ou pouvons également vous accompagner dans la création complète du processus, incluant la périodicité, les critères d’évaluation et les étapes préalables à sa mise en œuvre.
Nos analyses d’impact se basent sur les bonnes pratiques du domaine (NIST AI RMF, lignes directrices OCDE) et répondent à l’exigence 6.14 du SMIA. Elles peuvent être réalisées :
- Sur vos modèles d’IA internes (LLM, algorithmes d’aide à la décision, moteurs de scoring, etc.) ;
- Sur des solutions intégrant des briques IA tierces (API, plateformes SaaS, infrastructures Cloud).
Chez Assecio, nous nous occupons :
- De définir le périmètre de l’analyse selon la criticité des usages IA, leur impact potentiel et le domaine d’application du SMIA ;
- D’identifier les parties prenantes concernées (techniques, métiers, conformité, gouvernance) ;
- De collecter les informations nécessaires (données, documentation, architecture, logique du modèle) ;
- De proposer les mesures de maîtrise et de suivi adaptées à votre contexte d’utilisation.
L’analyse d’impacts sur l’IA est livrée sous format Excel, avec la méthodologie complète vous permettant de vous l’approprier et la dupliquer sur d’autres périmètres.
Exigence 6.1.4 : AI system impact assessment
The organization shall define a process for assessing the potential consequences for individuals or groups of individuals, or both, and societies that can result from the development, provision or use of AI systems.
The AI system impact assessment shall determine the potential consequences an AI system’s deployment, intended use and
foreseeable misuse has on individuals or groups of individuals, or both, and societies.
The AI system impact assessment shall take into account the specific technical and societal context where the AI system is deployed
and applicable jurisdictions.
The result of the AI system impact assessment shall be documented. Where appropriate, the result of the system impact assessment can be made available to relevant interested parties as defined by the organization.
Exigence A.5.2 : AI system impact assessment process
The organization shall establish a process to assess the potential consequences for individuals or groups of individuals, or both, and societies that can result from the AI system throughout its life cycle.
Audit de l'intelligence artificielle et du SMIA
exigence 9.2
La multiplication des usages de l’intelligence artificielle au sein des organisations nécessite une évaluation technique rigoureuse de leur sécurité, de leur conformité et de leur intégration dans le système d’information.
Nous vous proposons la réalisation d’un audit technique complet de vos systèmes et usages IA, incluant la détection, le cadrage et l’évaluation du shadow IA — c’est-à-dire les usages non maîtrisés ou non autorisés de solutions IA par les équipes métiers ou techniques.
Nos audits, à finalité non destructive et alignés avec les bonnes pratiques du domaine (ISO/IEC 42001, NIST AI RMF, OWASP Top 10 LLM, MITRE ATLAS) incluent :
- L’usage de l’IA sur vos environnements Cloud ou hybrides (AWS, GCP, Azure, OpenAI API, etc.) ;
- Sur vos moteurs IA internes, applications métiers intégrant de l’IA, ou processus automatisés.
Dans le cadre de cet audit nous nous occupons :
- De cartographier les usages IA déclarés et non déclarés (shadow IA) dans vos environnements ;
- D’analyser la sécurité technique des modèles, des données d’entraînement et des API connectées ;
- De vérifier la conformité des intégrations IA aux politiques internes et exigences réglementaires ;
- De réaliser des tests ciblés sur les interfaces, prompts et pipelines de données ;
- De formuler des recommandations pour la sécurisation, la supervision et la gouvernance des usages IA.
Toute offre d’audit inclut par défaut une phase de restitution complète présentant les vulnérabilités, les risques associés au shadow IA et un plan d’action priorisé, suivi d’un contre-audit optionnel trois mois plus tard pour valider la mise en conformité technique et organisationnelle.
Exigence 9.2.1 : General
The organization shall conduct internal audits at planned intervals to provide information on whether the AI management system:
a) conforms to:
- the organization’s own requirements for its AI management system;
- the requirements of this document;
b) is effectively implemented and maintained.
Exigence 9.2.2 : Internal audit programme
The organization shall plan, establish, implement and maintain (an) audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme(s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
a) define the audit objectives, criteria and scope for each audit;
b) select auditors and conduct audits to ensure objectivity and the impartiality of the audit process;
c) ensure that the results of audits are reported to relevant managers.
Documented information shall be available as evidence of the implementation of the audit programme(s) and the audit results.
Sensibilisation aux enjeux de l’IA
Exigence 7.3
La sensibilisation aux enjeux de l’Intelligence Artificielle est cruciale pour votre organisme et peut avoir un impact compétitif réel pour rester à jour.
Nous vous accompagnons dans la réalisation de cette sensibilisation périodique en échangeant sur vos besoins, vos technologies, vos modes de travail ainsi que votre secteur d’activité, afin de vous proposer des méthodes de sensibilisation pertinentes et efficaces selon la population ciblée.
Que cela soit sur les nouveaux LLM, la réflexion autour de l’implémentation du standard MCP, ou encore la mise en place d’agents pour fluidifier vos processus métiers, tout est sujet à sensibiliser les collaborateurs aux nouvelles méthodes et aux meilleures pratiques associées.
Nous sélectionnons les thématiques, créons les supports et réalisons les actions de sensibilisation. À l’issue de cette sensibilisation, travaillée avec les équipes internes, vous seront remis le support de sensibilisation ainsi que la preuve de réalisation.
Exigence 7.3 – Awareness
Persons doing work under the organization’s control shall be aware of:
- the AI policy […] ;
- their contribution to the effectiveness of the AI management system, including the benefits of improved AI performance;
- the implications of not conforming with the AI management system requirements.
Conseil stratégique d’implémentation
périmètre, audit, implémentation
Au-delà de l’implémentation d’exigences spécifiques attendues par la norme ISO 42001, Assecio est présent pour vous accompagner sur la totalité de votre mise en conformité et certification. Certains de ces accompagnements incluent notamment :
- la stratégie de définition et d’optimisation du périmètre ;
- la réalisation d’analyses d’écarts ou d’audits internes ;
- du conseil sur l’implémentation d’exigences propres à la norme comme l’appréciation des risques, la gestion du cycle de vie de l’Intelligence Artificielle, la mise en œuvre d’un processus de gestion des fournisseurs ou encore la gestion des données d’entraînement des modèles ;
- l’aide à la sélection de l’organisme de certification et l’accompagnement durant l’audit.
Tout accompagnement est sur mesure afin de répondre au mieux à vos besoins, et s’adapter à votre planning et à vos moyens.
Nos services
Découvrez notre gamme de services pour vous accompagner dans votre stratégie cybersécurité, qu’elle soit drivée par vos besoins métiers ou vos mises en conformité.
J'ai un besoin stratégique
Vous souhaitez être accompagné dans votre roadmap cybersécurité, vous avez un projet ou une solution à auditer, ou encore un besoin métier clef au sein de votre organisation.
ISO 27001
Vous êtes certifiés ISO 27001 ou en cours de mise en conformité – Vous souhaitez réaliser des tests d’intrusion, des audits internes ou encore avoir du support sur votre SMSI.
PCI DSS
Vous gérez des données de cartes bancaires, êtes un commerçant ou un prestataire de service de paiement, et souhaitez challenger le niveau de sécurité de votre périmètre CDE.
DORA
Vous êtes un organisme bancaire ou un prestataire TIC, et avez un programme de tests de résilience opérationnelle à dérouler, des tests d’intrusion au test du PCA.
ISO 42001
Vous vous intéressez à l’intelligence artificielle, vous avez une démarche d’implémentation de SMIA ou souhaitez tester les agents, les fournisseurs et les solutions IA implémentées.
RGPD
Que vous soyez DPO ou simplement concerné par le RGPD, vous avez un besoin relatif à la gestion des risques, une analyse d’impact ou encore de tester une solution gérant des DCP.
NIS 2
Vous êtes concernés par la directive NIS 2 ou pensez l’être, et souhaitez évaluer les dispositifs mis en œuvre pour démarrer ou vérifier votre conformité en tant que EE/EI.
Qui sommes-nous ?
Parce que cet ensemble peut être une mise en conformité initiale ou son maintien, la découverte d’un nouveau périmètre, un enjeu interne fort ou encore la nécessité de tester la robustesse d’une solution avant mise en production : l’adaptabilité de nos méthodes à vos enjeux nous permettront, ensemble, de voir le plus loin possible.
Pourquoi nous choisir ?
Notre engagement : une pluricompétence et des valeurs claires pour vous accompagner avec excellence dans vos projets les plus complexes.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Technicité
Des certifications et de nombreuses années d’expérience passées à auditer, conseiller et se faire auditer.
Indépendance
Des constats et recommandations transparentes, objectives et alignées avec nos expertises.
Objectivité
Une approche factuelle basée sur des méthodologies éprouvées et reconnues.
Sur mesure
Une approche et un conseil adapté à votre contexte et vos enjeux spécifiques.
Vous avez un projet ?
Pour tout renseignement ou besoin, n’hésitez pas à nous contacter et nous reviendrons vers vous sous 24h.