0/8

Audit & Qualification d'une Solution IA Souveraine

📅 Juillet 2026 👥 PTI → RG 🎯 Réunion 1h 📋 Niveau 2 — Intermédiaire
⏱ Chrono
0:00
💬 Mode Q&A ⏱ Chrono gelé

💾 Sauvegardé automatiquement

📝 Notes présentateur

Slide actif : Introduction

💾 Sauvegardé automatiquement dans le navigateur

1
⏱ 5 min

Introduction — Qui sommes-nous, pourquoi nous sommes là

⏱ Timing : 5 min — 0:00 → 5:00

🏢 PTI en bref

Crédibilité technique

Créée en 2022 • Alsace (Vendenheim) • 40+ projets clients • 6 projets R&D internes • Labels French Fab, France Num, Région Grand Est • Dirigée par Stéphane C. (Docteur en physique, 23+ ans d'expérience) • IPD 88%

🎯 Notre raison d'être aujourd'hui

Positionnement

Nous ne sommes pas là pour juger la solution SIA. Nous sommes là pour éclairer la décision de RG : sécuriser votre investissement, identifier les leviers d'amélioration, et vous donner les clés pour aborder sereinement la suite.

🗣️ "On n'audite pas un dépôt. On qualifie un système. Le code, l'architecture, les données, la sécurité, la conformité, la souveraineté, la valeur réelle : c'est l'ensemble qui compte."
PTI 4 experts Mission Audit 17,9 k€ / 3 sem. SIA Solution IA RG Client
2
⏱ 10 min

Notre compréhension de vos enjeux

⏱ Timing : 10 min — 5:00 → 15:00 • 🎤 Phase d'écoute
💬 Ce que nous avons compris de votre situation : Vous avez identifié SIA comme un levier d'automatisation et de souveraineté. Vous avez investi ~100 k€ dans son développement avec un prestataire externe. Vous avez besoin aujourd'hui d'être rassurés sur la maturité, la sécurité et la pérennité de la solution avant d'envisager un déploiement élargi — voire une commercialisation auprès d'autres ETI.

✅ Ambition

Interface IA multi-moteurs centralisée, sécurisée, souveraine. Premier cas d'usage pour vos besoins internes, avec potentiel de diffusion ETI.

⚠️ Complexité

Développement externe (Arnaud), architecture multi-modèles (Azure, Mistral, Llama), chantier K8s en cours, enjeux NIS2.

🎯 Décision

Pouvoir arbitrer : Go, Go sous conditions, Refonte partielle, Refonte de socle, ou Stop — avec une vision claire des risques et des coûts.

🎤 Phase d'écoute active : "Est-ce que notre lecture de votre situation vous semble juste ? Y a-t-il des éléments que nous n'avons pas vus ?"
3
⏱ 15 min

Notre méthode d'audit — 13+1 vecteurs, 5 trajectoires

⏱ Timing : 15 min — 15:00 → 30:00 • 🎤 Phase démonstration de la valeur

Les 4 macro-questions qui guident notre audit

🔧 Q1: Sain? 🎛️ Q2: Maîtrisé? 🛡️ Q3: Défendable? 💎 Q4: Valeur réelle? 13 vecteurs d'audit + 1 axe de synthèse (valeur nette)

Les 3 blocs d'audit

BlocVecteursQuestions clés
A. Santé technique Nature IA, Architecture, Qualité code, Supply chain, Robustesse Le système tient-il techniquement debout ?
B. Maîtrise réelle Gouvernance données, Évaluation modèle, Prompts/RAG/Agentique, Traçabilité Le système est-il compris, piloté, justifiable ?
C. Sûreté & Défendabilité Sécurité IA, RGPD, Conformité NIS2, Souveraineté Le système est-il sûr, traçable, juridiquement défendable ?

Les 5 trajectoires de décision — Cliquez pour plus de détails

✅ Go
⚠️ Go sous conditions
🔨 Refonte partielle
🔄 Refonte socle
⛔ Stop
✅ Go — La solution est saine, maîtrisée, défendable, et apporte une valeur réelle. Recommandation : poursuivre le déploiement, envisager la mutualisation. Actions : plan de déploiement, mise en production, accompagnement au scale.
⚠️ Go sous conditions — Le potentiel est là, mais des points bloquants identifiés doivent être levés avant mise en production. Actions : plan de correction, checkpoint à J+30, réserve budgétaire.
🔨 Refonte partielle — Certains composants nécessitent une reprise (architecture, sécurité, données). Le reste est sain. Actions : spécifications des modules à refondre, chiffrage, planning.
🔄 Refonte socle — Des fragilités structurelles impactent la fiabilité et la maintenabilité. Une réécriture ciblée des fondations est nécessaire. Actions : analyse d'impact, architecture cible, budget dédié.
⛔ Stop — La solution présente des risques inacceptables (sécurité, conformité, viabilité) ou un défaut de valeur avéré. Actions : documentation des motifs, plan de sortie, recommandation alternative.
📐 Adossé à des standards : NIST AI RMF • OWASP Top 10 LLM • ANSSI IA générative • NIS2 • AI Act • RGPD — pas une méthode maison.
4
⏱ 5 min

Niveau d'audit recommandé pour SIA

⏱ Timing : 5 min (inclus dans le bloc méthode) — 20:00 → 25:00
NiveauProfilForfaitRecommandé ?
N1 Simple Périmètre restreint, usage IA simple 11 900 € ❌ Trop limité
★ N2 Intermédiaire Plusieurs modules, logique métier dense, flux non triviaux 17 900 € ✅ Recommandé (offre de base)
N3 Soutenu Système riche, orchestration avancée, RAG, ambition ETI 28 900 € ⚠️ Possible si ambition commerciale confirmée
N4 Complexe Système distribué, fortement intégré, enjeux stratégiques 42 900 € ❌ Probablement excessif à ce stade

📦 Périmètre Niveau 2

Revue de code par modules • Analyse des flux de données • Examen CI/CD et tests • Contrôle des dépendances • Sécurité applicative • Revue IAM • Analyse hébergement et souveraineté • Cartographie des risques

📋 Livrables

Rapport structuré (13+1 vecteurs) • Synthèse exécutive pour direction • Matrice des constats C1-C4 • Cartographie des risques • Note d'orientation architecture • Recommandation de trajectoire

5
⏱ 10 min

Analyse préliminaire — Sans jugement

⏱ Timing : 10 min — 30:00 → 40:00 • 🎤 Phase la plus délicate
⚠️ Important : Ces observations sont basées sur ce qui est visible publiquement. Elles ne préjugent pas du résultat de l'audit. Nous les partageons pour montrer notre transparence et notre rigueur.

✅ Ce qui nous semble solide

• Approche multi-modèles (Azure, Mistral, Llama) → pas de dépendance unique
• Chiffrement complet annoncé (AES-256 repos, TLS 1.3 transit)
• Accès restreint intra-entreprise (pas grand public)
• Modules utiles (secureGPT + assistant CR réunion)
• Security by design affiché

🔍 Points à clarifier (c'est le rôle de l'audit)

• Dépendance Azure OpenAI → Cloud Act : quelle stratégie de souveraineté ?
• Certifications ISO 27001 : obtenues ou en cours ?
• Documentation : correspond-elle à la réalité du code ?
• Pipeline CI/CD : tests, sécurité, déploiement ?
• IAM : SSO, MFA, délégation d'authentification ?

Sécurité Souveraineté Traçabilité Conformité Documentation SIA (estimé) Nécessaire (NIS2/AI Act)
SIA — Estimation préliminaire Niveau requis NIS2 + AI Act 🔵 Écart à combler (l'audit le quantifiera)
🧭 "Ces points ne sont pas des accusations. Ce sont les questions que tout DSI responsable se poserait avant de déployer une solution IA dans son infrastructure critique."
6
⏱ 10 min

Proposition — Le plan d'audit

⏱ Timing : 10 min — 40:00 → 50:00 • 🎤 Phase de closing
🕐 S1: Collecte 🔍 S2: Analyse ✍️ S3: Rapport 🎤 S4: Restitution 🚀 S5: Accompagnement

💰 Budget

17 900 € pour l'audit complet Niveau 2

Forfait fixe, sans surprise (offre de base)

📅 Calendrier

3 semaines du kick-off à la restitution

S1: collecte • S2: analyse • S3: rapport

👥 Équipe

2 experts PTI

Architecture logicielle + Gouvernance IA

📊 Comparaison budgétaire — 17,9 k€ d'audit vs les vrais risques

Audit N2
17,9 k€
17,9 k€
Contrat SIA
100 k€
~100 k€
Amende NIS2 max
10 M€
10 M€

L'audit représente 0.18% d'une amende NIS2 potentielle et 17,9% du contrat SIA déjà engagé.

Ce que nous pouvons activer ensuite

OptionObjetBudget indicatif
Option AConstruction / Refonte post-audit68 k€ → 230 k€ selon scénario
Option BGo-to-market ETI29 k€ → 44 k€
ComplémentaireRed team IA, Revue infra, Gouvernance usages, Acculturation4,8 k€ → 19 k€
7
⏱ 10 min

Questions & Réponses — Prochaines étapes

⏱ Timing : 10 min — 50:00 → 60:00 • 🎤 Phase d'échange
✅ Si la réponse est OUI : Envoyer le contrat sous 48h • Planifier kick-off • Demander accès code source + infra • Démarrer S1
🤷 Si la réponse est PEUT-ÊTRE : Proposer un audit de cadrage gratuit (1/2 journée) • Envoyer proposition réduite (Niveau 1 à 8 k€) • Relancer à J+7
❓ Si la réponse soulève des objections : Voir les réponses préparées — rappeler le cadre NIS2, le coût de l'inaction, et notre impartialité.
📄 Signature BC 🔑 Accès code 🚀 Kick-off S1 🎯
8
⏱ Clôture

Pour aller plus loin

📚 Référentiels utilisés

NIST AI RMF 1.0 • OWASP Top 10 LLM • ANSSI Recommandations IA Générative • Directive NIS2 (UE 2022/2555) • AI Act (UE 2024/1689) • RGPD (UE 2016/679) • Cyber Resilience Act

🏢 PTI — Contact

23 Rue de la Forêt, 67550 Vendenheim, Bas-Rhin • +33 (0)9 74 98 92 90 • LinkedIn : Prométhée Technologies & Ingénierie

🏛️ "Notre mission : transformer une initiative technologique prometteuse en une trajectoire maîtrisée, documentée et décisionnelle."