Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →
Par · Fondateur, Easy Cyber Protection · · Comment nous écrivons

Pourquoi l'IA seule n'atteint pas la conformité NIS2 / CyFun complète

Des vendeurs vendent la «conformité par IA» comme si le problème d'audit était résolu. Il ne l'est pas. L'IA fait du vrai travail — mapping de contrôles, templates d'évidence, suivi réglementaire — mais la conformité demande aussi du jugement humain, de la vérification physique, et des décisions de périmètre qu'une IA ne peut pas légitimement prendre. Ce billet est pour les MSP et dirigeants de PME qui évaluent des outils de conformité teintés d'IA.

Ce que l'IA peut faire pour la conformité — et fait bien

L'IA de conformité moderne est vraiment utile. Utilisée dans un workflow discipliné, elle élimine le travail de volume dans lequel les humains sont mauvais :

  • Mapping de contrôles à l'échelle. Parser le classeur CyberFundamentals du CCB, mapper chacun des 34 (Basic) / 132 (Important) / 217 (Essential) contrôles sur votre entreprise, rédiger un indice d'implémentation par contrôle.
  • Templates d'évidence. Générer des premiers brouillons de documents de politique, des templates de procédure et des grilles d'évidence qui correspondent au langage qu'attend un auditeur.
  • Suivi des mises à jour réglementaires. Quand le CCB publie de nouvelles directives d'implémentation (et il le fait, chaque mois), l'IA signale quels articles, contrôles et politiques doivent être revus.
  • Structuration du dossier d'audit. Consolider les preuves dans la forme que lit un auditeur. Classeur CCB rempli, références d'évidence, statut de contrôle, journal de modifications.
  • Couverture multilingue. La conformité PME belge se fait au minimum en trois langues (NL/FR/EN). L'IA maintient la parité de contenu sans doubler le budget d'écriture humain.

Ce que l'IA ne peut pas faire — et pourquoi c'est important pour votre audit

L'IA échoue aux endroits de la conformité où la réalité doit rencontrer la documentation. Quatre limites qui méritent d'être nommées, parce qu'elles apparaissent dans chaque mission réelle :

1. Décider de ce qui est dans le périmètre de votre entreprise

Le périmètre NIS2 est un arbitrage. Cette division compte-t-elle ? Cette entité acquise est-elle incluse ? Ce fournisseur critique est-il dans votre risque chaîne d'approvisionnement ? Une IA peut énumérer les règles. Seul un humain qui connaît l'entreprise — le dirigeant, le partenaire IT, le conseiller juridique — peut faire l'arbitrage. Mauvaise réponse et l'audit échoue avant de commencer.

2. Vérifier physiquement que la réalité correspond à la politique

Une politique dit «le firewall bloque l'entrant 3389 depuis internet.» Un auditeur va vérifier que le firewall le fait vraiment. Une IA ne peut pas ouvrir le firewall, lancer un port scan depuis l'extérieur, ou se tenir à côté du rack réseau. Le MSP ou l'IT interne vérifie physiquement. L'IA organise les preuves ; les humains les collectent.

3. Faire les arbitrages quand les contrôles entrent en conflit avec les opérations

Parfois le contrôle prescrit par le CCB casse l'entreprise. Un petit fabricant belge ne peut pas air-gapper son réseau de production — les commandes s'arrêteraient. Une réponse qui survit à un audit nécessite soit des contrôles compensatoires, soit une acceptation de risque documentée. Cet arbitrage est humain. Une IA qui propose «implémentez le contrôle» rate le sujet ; le sujet, c'est articuler pourquoi une alternative est défendable.

4. Assumer la responsabilité

Quand un audit échoue, l'entreprise reçoit l'amende et le dirigeant signe. Pas le vendeur d'IA. La responsabilité de conformité est une responsabilité juridique. L'IA est un outil dans le workflow de l'équipe responsable, pas un remplacement de l'humain responsable.

Comment repérer un vendeur qui vend une démo, pas un produit

Quand vous évaluez un vendeur «conformité IA», écoutez ces patterns. Chacun est un signe que le produit ne survit pas à un vrai audit CAB :

  • «Conformité en 24 heures.» Un audit CAB demande des semaines de préparation. Vingt-quatre heures produisent un dashboard brillant, pas de l'audit-readiness.
  • «Sans humain dans la boucle.» Cherchez la porte d'approbation humaine. Si les sorties partent directement du modèle au client, le vendeur n'a pas résolu la conformité — il a automatisé du copywriting marketing.
  • Aucune mention d'évidence. Les auditeurs vérifient les preuves : captures d'écran, logs, politiques signées. Si la démo ne montre que des checklists de contrôle, demandez où est le coffre-fort d'évidence et comment il est maintenu.
  • Aucune mention de l'auditeur CAB. Le travail du produit s'arrête à la porte de l'auditeur. Un vendeur qui ne parle pas de la manière dont sa sortie s'intègre avec un organisme d'audit BELAC n'a pas pensé au-delà de la démo.
  • Aucun workflow pour les mises à jour réglementaires. Le CCB met à jour ses directives régulièrement. Si la plateforme n'a pas de processus documenté pour garder le contenu IA-généré à jour à mesure que la réglementation évolue, le contenu pourrit dès le premier jour.

La bonne répartition du travail : IA sous specs, humains dans la boucle

Une pipeline de conformité IA qui marche a la même forme partout : les humains définissent les rails (contrôles typés, specs en forme d'audit, vérifications de sources primaires, portes d'approbation) et l'IA remplit le travail de volume dans ces rails. Les rails déterminent ce qui est possible. L'IA accélère l'exécution.

  • L'IA mappe chaque contrôle CyFun sur votre entreprise. Un humain révise la mapping pour la sanité du périmètre.
  • L'IA rédige la politique de sécurité. Un humain la lit contre la réalité opérationnelle et signe.
  • L'IA structure le dossier d'audit. Un MSP humain collecte physiquement la capture firewall, les logs de sauvegarde, les preuves d'access-review.
  • L'IA signale les nouvelles directives CCB. Un humain décide quels articles, contrôles et politiques doivent réellement être retravaillés.

Quiconque vend la «conformité par IA» sans cette étape humaine vend une démo, pas un produit. L'audit se moque de votre démo. L'audit se soucie de savoir si vos preuves tiennent. Planifiez en conséquence.

FAQ

L'IA peut-elle remplacer l'auditeur CAB ?

Non. La certification CyFun est effectuée par un organisme d'évaluation de la conformité accrédité BELAC. En avril 2026, deux sont accrédités en Belgique. L'IA ne peut être ni l'un ni l'autre. L'IA prépare le dossier d'audit ; l'auditeur humain le signe.

L'IA peut-elle remplacer le MSP ?

Non. Le MSP vérifie physiquement les règles firewall, exécute le cycle de patch, monitor les access-reviews. L'IA ne peut pas se tenir à côté du rack ou ouvrir le portable. L'IA accélère le travail du MSP ; elle ne retire pas le MSP du workflow.

À quoi l'IA sert-elle alors en conformité ?

Mapping, rédaction, structuration, traduction, suivi. L'IA enlève le travail de volume — les parties qu'un humain fait mal parce qu'il y en a trop. Cela libère l'humain pour les parties que l'IA fait mal : jugement, vérification, responsabilité.

ECP fait-il de la «conformité IA» ?

ECP est un outil de conformité assisté par IA pour les MSP. La plateforme fait le mapping, la rédaction, la structuration. Le MSP fait la vérification physique et la responsabilité. L'auditeur CAB signe. Trois rôles. Chacun dans sa voie.

Pour aller plus loin

Voyez comment ECP gère le côté IA, honnêtement.

Notre page interne «Comment nous travaillons» documente la stack d'agents que nous utilisons pour construire la plateforme elle-même — et les quatre rails de confiance par lesquels les sorties IA passent avant d'atteindre un client.

Comment nous travaillons →
TARS AI