Vérifier la conformité d’un projet aux exigences réglementaires en moins de 10 minutes. C’est la promesse de l’outil MindHead Conformité développé par le cabinet de conseil HeadMind Partners grâce aux avancées dans l'intelligence artificielle (IA) générative. Après quelques mois de tests, la solution a été adoptée par Safran. Concrètement, MindHead Conformité permet de vérifier à tout moment et en quelques minutes la conformité d’un projet à une réglementation que ce soit NIS 2, RGPD, CSRD, etc.
Plusieurs modèles travaillent en synergie
Billal Chouli, directeur du développement et de la stratégie IA chez HeadMind Partners, parle d’une «solution avec une architecture complexe où plusieurs modèles, dont un Llama de Meta et un Phi de Microsoft, travaillent en synergie». HeadMind Partners évalue des grands modèles de langage (LLM) open source pour choisir les plus efficaces, robustes et frugaux selon leur usage. Puis, chaque agent est spécialisé dans une tâche. Après deux ans de développement, les équipes sont parvenues à maîtriser l’architecture modulaire permettant de passer d’un modèle à l’autre selon les besoins et de changer les modèles utilisés si besoin.
Pour Safran un point primordial est la protection de la propriété intellectuelle de ses moteurs civils et militaires. L’outil MindHead Conformité a donc été déployé sur sa propre infrastructure de cloud privé.
Un rendu uniforme et exhaustif
Cinq étapes doivent être suivies pour homologuer un projet. D’abord, il faut mettre à disposition de l’outil les documents nécessaires pour évaluer la conformité comme les documents d'architecture technique d'un système d'information, les politiques de sécurité de l'entreprise et les compte-rendus d’entretiens réalisés avec les métiers en vue de l’homologation. Puis, il faut définir un référentiel de normes d’exigences c’est-à-dire les normes à respecter. A cette étape, l’entreprise peut intégrer ses propres textes internes et sélectionner finement pour chaque projet quels sont les exigences à respecter.
Ensuite, il faut investiguer. «Cela revient à chercher les informations pertinentes dispersées dans les différents documents sur une thématique précise, comme la cybersécurité, les agréger et les synthétiser», résume Billal Chouli. La quatrième étape est celle de l’évaluation de conformité lors de laquelle l'IA cherche les informations pertinentes dans les documents du projet, les rapproche des différentes exigences, évalue et justifie la conformité, et donne quelques pistes de remédiation pour réduire d’éventuelles écart de conformité. «Toutes les réponses sont justifiées et sourcées, précise Billal Chouli. L’humain dans la boucle peut valider ou ajouter des informations.»
Enfin, le document d’homologation est généré et une synthèse réalisée. «L’exhaustivité de la solution» et «l’homogénéité des avis rendus» font partie des points forts mis en avant par Jean-Yves Faurois, responsable de la sécurité informatique de Safran. Surtout que l’opérateur final garde la main sur les conclusions et peut les modifier. «La qualité de l’analyse est très dépendante de la qualité des données en entrée, précise-t-il. Si la réponse n’est pas satisfaisante, c’est parce que les données en entrée ne sont pas de bonne qualité.»
Un outil utilisé par les équipes métiers
L’objectif ? Eviter qu’un projet avorte car les équipes sont passées à côté d’un élément de conformité non respecté. «Entre 2019 et 2024, il y a eu plus de 13000 actes réglementaires dans l’Union européenne et à chaque fois les entreprises doivent se mettre en conformité», observe Alexandra Iteanu, avocate spécialiste numérique. L’outil proposé par HeadMind Partners est une réponse à cette inflation réglementaire. Il n’est pas dédié au service juridique mais conçu pour être utilisé directement par les équipes opérationnelles. Une façon de répondre à une charge de travail croissante en «augmentant la capacité de traitement des équipes», selon Jean-Yves Faurois.
Il est possible de vérifier «la conformité à la réglementation applicable, à nos exigences internes, et à celles de nos partenaires s’ils soumettent leur corpus d'exigences», liste Jean-Yves Faurois. Le risque fournisseur peut aussi être analysé. «Avec cet assistant, les équipes peuvent s’assurer qu’une visioconférence mise en place dans le cadre d'un programme international protège bien l'information et limite l'accès à cette information aux seuls partenaires concernés par ce programme international», détaille encore Jean-Yves Faurois. Si Safran n'a pas encore précisément mesuré tous les gains, Jean-Yves Faurois pense que le temps d'intervention de son équipe sur un sujet est divisé par deux.
