Cette page s'affiche en anglAIs en attendant la préparation d'une traduction vérifiée pour votre langue.

Notre vision de la sécurité de l'information multicouche chez Perspectis AI

Une vision clAIre de Perspectis AI sur la défense en profondeur : accès granulAIre, barrières éthiques, minimisation, surveillance, IA encadrée par les mêmes garde-fous – et un cadrage honnête sur la certification par rapport à la conception du produit.

8 min read2026-04-15

Guide en langage clAIr pour les dirigeants, les clients et les équipes (avril 2026)

En bref

Les organisations professionnelles sérieuses ne peuvent pas se contenter d'un seul contrôle de sécurité. Nous considérons la sécurité de l'information comme une défense en profondeur : plusieurs mécanismes indépendants qui se renforcent mutuellement – choix d'accès, hiérarchie des politiques, barrières éthiques, gestion de la confidentialité, trAItement rigoureux des données personnelles, sécurité renforcée des points d'accès au réseau, surveillance et auditabilité – de sorte que si une couche dysfonctionne ou est contournée, les autres continuant de limiter les dégâts.

Cette note explique comment nous présentons cette approche aux parties impliquant non techniques. Il ne s'agit pas d'une certification, d'un avis d'audit ni d'un catalogue exhaustif de contrôles. Les résultats formels tels que la certification de gestion de la sécurité de l'information, les rapports de confiance indépendants et les conclusions juridiques spécifiques aux organismes de réglementation dépendant de la manière dont Perspectis AI est déployé, des sous-trAItants concernés et des preuves que le client conserve auprès des auditeurs et des conseillers juridiques.

Pourquoi le modèle « multicouche » est le bon

Une image parlante est celle d'un campus de recherche avec différents niveaux d'autorisation : badges à l'entrée, laboratoires verrouillés à l'intérieur, règles strictes concernant les documents autorisés à sortir du bâtiment, caméras aux endroits appropriés et équipes distinctes qui n'ont pas le droit de partager leurs notes lorsque le règlement l'interdit. Aucune mesure n'est infAIllible ; c'est la combinAIson de ces mesures qui garantit la résilience.

C'est dans cet esprit que Perspectis AI s'appuie : des contrôles multicouches adaptés au fonctionnement réel des organisations réglementées et soucieuses de leur réputation – et non la promesse qu'une fonctionnalité unique élimine tout risque.

Couche 1 — Ce que la plateforme est autorisée à voir et à fAIre (accès granulAIre)

Les organisations ont des besoins différents en matière d'automatisation des e-mAIls, calendriers, documents et autres canaux. Nous prenons en charge les modèles d'accès granulAIre afin que les équipes puissent choisir, en toute simplicité :

Aucun accès — la plateforme n'accède pas à ce canal pour des tâches importantes.
Accès axé sur les métadonnées — contexte suffisant pour coordonner le travAIl (par exemple, signaux de synchronisation et de routage) sans extrAIre l'intégralité du contenu des messages lorsque la politique de l'interdit.
Accès au contenu — lorsque la politique et les contrats autorisent une assistance plus poussée.

Des options supplémentAIres déterminent si le trAItement du langage naturel, les fonctionnalités d'analyse approfondie, le partage inter-produits et les capacités similAIres sont autorisées pour chaque organisation. Nous décrivons cela comme une surface contrôlée par les politiques : un même produit peut être plus ou moins restrictif selon les choix du client et les exigences des règles professionnelles.

Couche 2 — En cas de divergence entre deux politiques (hiérarchie clAIre)

Dans les entreprises, les règles existant à différents niveaux : normes générales, exigences spécifiques aux clients, restrictions propres à chaque dossier. Ces règles peuvent entrer en conflit. Nous mettons en œuvre des mécanismes de préemption afin que le résultat soit prévisible : parfois la règle la plus stricte prévaut, parfois une autorité supérieure limite les autorisations des niveaux inférieurs, et parfois les politiques convergentes vers le résultat le plus sûr lorsque plusieurs règles s'appliquent simultanément.

La prévisibilité est aussi importante que la rigueur. Les barrières éthiques (ou barrières d'information) ne sont efficaces que si les personnes – et les systèmes – savent quelle règle s'applique à une requête donnée.

Couche 3 — Barrières éthiques et obligations de séparation

Les barrières éthiques correspondant au concept, courant dans le monde professionnel, selon lesquelles certAInes personnes, équipes ou flux de travAIl assistés par l'IA ne doivent pas consulter ni combiner certAInes informations. Nous considérons ces barrières comme une séparation contrAIgnante, et non comme un exercice d'entraînement pour le modèle. Les barrières sont appliquées selon une sémantique facilitant les audits : « ne pas franchir cette limite » est une tension de la plateforme, et non une simple attente implicite.

Ceci est particulièrement pertinent lorsque les niveaux de confidentialité (public, interne, hautement sensible, et autres gradations similAIres utilisées dans la pratique professionnelle) doivent être appliqués de manière cohérente dans les flux de voyage.

Couche 4 — Informations personnelles identifiables et minimisation

Les informations personnelles identifiables sont toutes les données permettant d'identifier une personne, directement ou indirectement. Nous investissons dans la détection et l'assAInissement des données sur les chemins pris en charge. AInsi, de nombreux artefacts stockent des représentations expurgées ou hachées lorsque cela est approprié, tout en reconnAIssant que la défense en profondeur repose également sur l'isolement des locatAIres, les contrôles d'accès et le chiffrement. Tous les champs de chaque flux de travAIl ne sont pas soumis au même processus d'assisAInissement ; nous évitons les affirmations marketing catégoriques que nos évaluations techniques internes ne confirment pas.

Notre objectif de conception est la minimisation : réduire l'empreinte numérique sensible inutile, conserver les enregistrements professionnels lorsque la fonction du produit l'exige et limiter l'analyse approfondie aux mêmes politiques d'accès et de sécurité décrites précédemment.

Couche 5 — La périphérie applicative et la surveillance opérationnelle

Les systèmes destinés aux clients bénéficient de bonnes pratiques de sécurité HTTP : en-têtes axés sur la sécurité, règles d'intégration du navigateur rigoureusement définies et surfaces opérationnelles permettant de surveiller les types d'abus, tels que les tentatives d'injection de requêtes sur les routes contrôlées. Nous investissons également dans des modèles d'observabilité (métriques, alarmes, journaux structurés) afin que les opérateurs puissent détecter les anomalies et réagir, sachant que les tableaux de bord et les seuils précis sont spécifiques à chaque déploiement.

Couche 6 — TravAIl assisté par l'IA dans le cadre des mêmes garde-fous

Les fonctionnalités d'agent personnel et d'assistant personnel de direction ne constituent pas un domAIne à part. Les mêmes principes d'accès, de contrôle, de confidentialité et d'intervention humAIne qui s'appliquent aux AIlleurs s'appliquent aux actions assistées : approbations lorsque les enjeux sont importants, archivage durable lorsque la continuité est essentielle et aucune prétention de contourner les autorisations par une formulation habile.

L'environnement de démonstration d'IA de Perspectis illustre concrètement cette approche : des scénarios de bout en bout montrer comment l'assistance s'intègre aux contrôles professionnels, et non pas en marge.

Langage de conformité que nous utilisons avec soin

Les partis demandent souvent de commenter cela s'aligner sur les cadres de référence connus. Nous alignons le travAIl sur les produits et l'ingénierie sur des thèmes communs (par exemple, les annexes internationales de gestion de la sécurité de l'information, les critères de services de confiance utilisés dans les rapports d'assurance indépendants, les exigences européennes en matière d'ingénierie de la protection de la vie privée et les modèles de protection de type santé lorsque les déployés ciblent ces régimes). Nous précisons que la mise en correspondance n'est pas une certification : les auditeurs émettent des avis sur les organisations et les limites de production, et non sur un instantané du référentiel de code source.

| Sujet | Ce que la posture du produit peut affirmer en toute honnêteté | Ce qui reste du ressort du client et de l'auditeur |

| --- | --- | --- |

| Certification et attestation | Forte alignement de la conception et documentation facilitant les vérifications préalables | Certificats officiels, systèmes concernés, politiques, preuves d'exploitation |

| Chiffrement | Modèles standards du secteur pour les données en transit et au repos, lorsqu'ils sont correctement configurés | Gestion des clés, rotation et choix d'infrastructure pour chaque déploiement |

| Utilisation à des fins de formation | Séparation architecturale entre les charges de travAIl client et les modèles d'entraînement appartenant à Perspectis ; les fournisseurs de modèles tiers restent soumis à leurs propres conditions et aux choix du client | Examen par le client des sous-trAItants, des accords de trAItement des données et des modes de conservation |

Supervision de l'IA | Intervention humAIne, journaux d'audit, gouvernance des outils et parcours prenant en compte les barrières de sécurité lorsqu'ils sont mis en œuvre | Conclusions relatives aux privilèges, à l'éthique et au droit local propres à l'entreprise |

Des limites transparentes (car la crédibilité est aussi un facteur de contrôle)

Nous énonceons clAIrement certAInes limites :

Aucune sécurité n'est parfAIte. Tout système réel peut présenter des défauts, des erreurs de configuration ou être vulnérable à de nouvelles attaques.
L'assurance est un voyage collaboratif. Les clients doivent gérer l'identité, les appareils et les processus métier en fonction de leur propre tolérance au risque.
Les scores et les indicateurs des outils de validation internes sont des signaux opérationnels, et non des indicateurs marketing permanents ; la posture cryptographique évolue en fonction des normes et des choix d'infrastructure.

Sources (références publiques pour les cadres de référence, et non allégations relatives aux produits)

Institut national des normes et de la technologie (NIST) : Cadre de cybersécurité
Organisation internationale de normalisation (ISO) : ISO/CEI 27001 — Gestion de la sécurité de l'information
Institut américAIn de l'In des experts-comptables (AICPA) : Présentation des critères des services de confiance (SOC)
Institut national des normes et de la technologie (NIST) : Cadre de gestion des risques liés à l'intelligence artificielle (AI RMF 1.0)

Ce document est destiné à un public externe non technique. Nous conservons des évaluations techniques fAIsant autorité et des références de mise en œuvre à l'intention de nos clients, dans le respect de la confidentialité propriétAIre.