Tout CISO et tout responsable GRC a eu la même pensée récemment : « ChatGPT pourrait-il rédiger mes politiques ISO 27001 ? » L'IA peut déjà générer des modèles propres, des paragraphes structurés, voire des documents ISMS complets en quelques minutes. La question n'est pas de savoir si elle en est capable. La question est : pouvez-vous lui faire confiance ?
La plupart des organisations testent l'IA de la mauvaise façon. Elles envoient une invite à ChatGPT ; « Rédige une politique de contrôle d'accès ! » ; et attendent un miracle. Ce qu'elles obtiennent à la place :
- un texte générique
- des contrôles manquants
- une formulation peu adaptée aux auditeurs
- des responsabilités surévaluées
- et aucun alignement avec leur réalité opérationnelle
Voici la vérité du terrain :l'IA peut tout à fait rédiger vos politiques ISMS, mais à condition de la traiter comme un co-pilote, et non comme un remplaçant. Le « vrai test » ne porte pas sur la capacité de ChatGPT à générer du texte. Il porte sur la capacité du résultat à résister aux preuves, aux auditeurs et à la réalité opérationnelle.
Voyons ce que l'IA peut (et ne peut pas) faire pour votre ISMS.
1. L'IA excelle dans la structure ; et peut être désastreuse sur le contexte
ChatGPT maîtrise parfaitement la structure. Il peut produire instantanément :
- des titres
- des clauses
- des définitions
- des tableaux
- des déclarations de périmètre
- des responsabilités
- des plans de politiques
Anecdote : J'ai un jour testé ChatGPT en lui demandant une suite complète de politiques ISMS. En 5 secondes, il a produit 14 politiques d'apparence propre et complète.
Mais :
ChatGPT ne connaît pas :
- votre profil de risque
- vos outils réels
- ce que vous avez mis en œuvre
- qui est responsable de quoi
- vos dérogations
- votre réalité en matière de preuves
Correctif : Utilisez l'IA pour générer le squelette, pas le contenu.
2. L'IA rédige des politiques qui promettent trop ; et c'est dangereux
ChatGPT affectionne les formulations fortes : « Les revues d'accès doivent être effectuées mensuellement. » « Tous les incidents doivent être résolus dans les 24 heures. » « Le chiffrement est obligatoire pour toutes les données. »
Ça paraît professionnel. Ça échoue à l'audit immédiatement.
Car les auditeurs ne vérifient pas ce que vous avez écrit. Ils comparent ce que vous avez promis avec ce que vous prouvez.
Un cas du terrain : une entreprise a copié-collé une politique d'accès générée par l'IA imposant des revues mensuelles. Dans les faits, elle réalisait des revues trimestrielles. L'auditeur a prononcé une non-conformité, car l'organisation ne respectait pas sa propre politique.
Correctif : Reformulez toujours les exigences pour les aligner sur votre réalité opérationnelle, pas sur la perfection de l'IA.
3. L'IA se trompe encore sur ISO 27001 (en particulier sur les contrôles de l'Annexe A)
ChatGPT a souvent tendance à :
- mélanger les versions (2013 et 2022)
- mal interpréter les contrôles
- confondre recommandations et exigences
- inventer des obligations qui n'existent pas
- omettre des clauses obligatoires
- mal aligner le PDCA avec la documentation
Exemple : Demandez à ChatGPT une « Politique de sécurité fournisseurs » basée sur ISO 27001. Il produira un récit correct ; mais passera à côté de l'exigence centrale :les contrats fournisseurs doivent définir les attentes en matière de sécurité, pas seulement les évaluer.
L'IA connaît les mots, pas les nuances.
Correctif : Laissez l'IA rédiger le texte, mais validez le contenu face à la vraie Annexe A.
4. L'IA ne peut pas aligner les politiques sur le périmètre réel de votre ISMS
Le périmètre est le cœur de votre ISMS. Or ChatGPT ne peut pas :
- interpréter votre structure organisationnelle
- définir vos frontières
- intégrer votre inventaire d'actifs
- cartographier vos processus
- refléter votre architecture réelle
- comprendre les responsabilités partagées
Si vous lui demandez de rédiger une politique sans lui fournir de contexte, il écrit pour une organisation fictive.
Anecdote : Un client a utilisé l'IA pour générer une « Politique de sauvegarde ». Le document faisait référence à des systèmes qu'il ne possédait pas et à des responsabilités qui n'existaient pas.
Correctif : Donnez à l'IA le vrai périmètre et le vrai environnement ; sinon vous obtiendrez une politique écrite pour une autre entreprise.
5. L'IA peut vous aider à maintenir la cohérence ; si vous lui fournissez votre style
Un atout majeur de ChatGPT : la cohérence de ton.
Si vous disposez :
- d'une politique existante
- d'un style préféré
- d'un langage de conformité
- de formulations spécifiques
- d'une norme rédactionnelle
l'IA peut les répliquer sur l'ensemble de votre ISMS.
Anecdote : Nous avons un jour fourni à ChatGPT un unique « modèle de politique de référence ». Il a produit six autres politiques avec le même ton, la même mise en forme et la même structure ; ce qui nous a épargné des heures de mise en page manuelle. It produced six other policies with the same tone, formatting, and structure ; saving hours of manual editing.
Correctif : Fournissez des exemples avant de lui demander de générer de nouveaux documents.
6. L'IA est excellente pour les premières ébauches ; mais ne produit pas de versions finales auditables
ChatGPT peut vous donner 80 % du texte d'une politique. Ce qu'il ne peut pas faire, c'est le dernier kilomètre :
- l'alignement avec vos processus réels
- la validation juridique
- les vérifications de faisabilité technique
- les responsabilités transverses
- la défendabilité face à un auditeur
- la cohérence des preuves
- la clarté opérationnelle
La gouvernance reste l'affaire des humains. L'IA prend en charge le travail fastidieux.
C'est l'équilibre juste.
7. L'IA peut accélérer la mise en œuvre de l'ISMS ; considérablement
Avec de bonnes invites, l'IA peut :
- rédiger votre suite de politiques
- ébaucher votre méthodologie de gestion des risques
- produire des ébauches de DdA (Déclaration d'Applicabilité)
- générer du contenu de formation
- réécrire des processus techniques en langage accessible
- transformer des notes d'ingénieurs en politiques
- créer des modèles (ex. rapports d'incident, évaluations fournisseurs)
- synthétiser les exigences d'audit
- comparer des référentiels (ISO vs SOC vs NIS2 vs DORA)
Un CISO m'a confié : « Ce qui prenait deux mois de rédaction prend maintenant une semaine. »
L'IA ne fait pas mûrir le ISMS. Elle rend la documentation indolore.
8. Le vrai test : ChatGPT peut-il faire face à un auditeur ?
Réponse courte : non. Pas encore. Peut-être jamais.
Les auditeurs demandent : « Montrez-moi les preuves qui étayent cette affirmation. » ChatGPT ne peut pas répondre à ça. Seul votre environnement le peut.
Les auditeurs vérifient :
- la traçabilité
- la mise en œuvre
- les responsabilités
- la date de dernière mise à jour
- les flux de travail prouvés
- les journaux
- les approbations
L'IA peut générer des explications ; pas des preuves.
Correctif : Utilisez l'IA pour la rédaction. Utilisez les humains pour la validation et la preuve.
9. La formule gagnante : gouvernance humaine + rédaction par l'IA
Voici le modèle qui fonctionne réellement :
- L'humain définit : le périmètre, les responsabilités, les fréquences, la réalité des preuves.
- L'IA rédige : la structure, le langage, la mise en forme, l'alignement.
- L'humain corrige : l'exactitude, la faisabilité, l'alignement réglementaire.
- L'IA affine : la clarté, la cohérence, le ton.
- L'humain approuve : la gouvernance finale et la traçabilité des preuves.
Cette approche hybride réduit le temps de documentation ISMS de 50 à 70 %, tout en améliorant la clarté.
10. Alors… ChatGPT peut-il rédiger votre politique ISMS ?
Oui. Mais seulement si vous comprenez ce qu'est l'IA ; et ce qu'elle n'est pas.
L'IA est un moteur de rédaction.Ce n'est pas un moteur de gouvernance.
Elle peut :
- accélérer
- simplifier
- standardiser
- inspirer
- clarifier
Elle ne peut pas :
- prendre en charge des contrôles
- valider des preuves
- interpréter les exigences ISO
- refléter votre réalité organisationnelle
- survivre seule à un audit
L'IA est le meilleur assistant GRC junior que vous aurez jamais ; mais elle a toujours besoin d'un humain senior pour piloter.
Pour conclure
ChatGPT ne remplacera pas votre ISMS. Il remplacera la phase de rédaction lente et pénible que tout le monde déteste.
Les organisations qui réussissent la transition IA ne sont pas celles qui laissent l'IA tout écrire. Ce sont celles qui utilisent l'IA pour supprimer les frictions tout en maintenant une gouvernance solide.
L'IA accélère. Les humains valident. Ensemble, ils transforment la façon dont la documentation ISMS est produite.
Si vous souhaitez apprendre à utiliser l'IA de façon sûre et efficace pour construire ou mettre à niveau votre ISMS, qu'il s'agisse de ISO 27001, NIS2, DORA, SOC 2 ou d'autres référentiels, c'est précisément ce que nous enseignons au sein du Cyber Academy AI for GRC & Compliance Programs. Rejoignez la prochaine session et construisez un ISMS moderne et intelligent qui fonctionne.
