Actu/Blog
ÉvénementIAProcessus

L'IA, nouveau junior dans l'équipe — retour sur le RDV Terrain Numérique du 18/06/2026

RDV en Terrain Numérique — meetup mensuel à Angoulême
Participants et salle de la soirée RDV en Terrain Numérique du 18 juin 2026 à Angoulême
RDV en Terrain Numérique — 18 juin 2026, Angoulême.

Le 18 juin 2026 à Angoulême, retour sur les RDV en Terrain Numérique et sur comment intégrer l'IA dans votre organisation en maîtrisant la cybersécurité : structurer un workflow auditable, avec de vrais livrables et une traçabilité vérifiable.

Un logigramme, même en vacances

Un logigramme n'est pas un jargon ISO réservé aux consultants : on l'utilise sans le nommer, dès qu'on organise des étapes avec une décision au milieu.

Logigramme — préparer un week-endDe l'envie de partir à la valise, avec une décision budget📋 Idéesliste destinations💶 Deviscomparateur prix✉️ ConfirmationréservationEnvie departirChoisir la destinationdates + météoComparer hébergement& transportBudgetOK ?Ajuster le planNONOUIRéserverPréparerla valise
Logigramme commenté : de l'envie de partir à la valise — point d'entrée, décision budget, boucle NON vers "Ajuster le plan", documents en pointillé.

Les logigrammes au fil des métiers

Dans chaque métier j'ai dû faire des logigrammes ; ils ne portaient pas toujours ce nom, mais c'était bien le même outil, la même logique.

Études — développement

Flowcharts & UML
  • Algorithmes, flowchart / diagramme de flux
  • Diagramme de séquence
  • Cas d'usage, pseudo-code

Développeur & intégration

Workflows & métier
  • n8n — nœuds, triggers, API
  • Process métier — offre → commande → prod
  • BL → facturation

Commerce & avant-vente

Pipelines commerciaux
  • Pipelines commerciaux
  • Construction & organisation des ventes
  • Déploiement terrain

Consultant — ISO 27001

Logigrammes & preuves
  • Cartographie processus
  • Procédure + instruction
  • Enregistrements auditables
Même objet — vocabulaire différent :flowchart=workflow n8n=pipeline commercial=logigramme ISO=procédure

Cartographie des processus

Les processus à bordure rouge sont critiques sécurité : une faille y a un impact direct sur le SMSI.

Attentes des parties prenantesSatisfaction des parties prenantesManagementDirection GénéraleSMSIRSEOpérationsGestion projetHébergementDéveloppementSupportSupportsCOMADMRHSI
Cartographie entreprise de développement et hébergement — Management, Opérations et Supports. Les processus à bordure rouge sont critiques sécurité.

Exemple de cartographie de processus. À gauche, les attentes des parties prenantes ; à droite, on mesure la satisfaction — et en fonction, on peut ajuster notre organisation.

En haut, les processus de management qui vont, entre autres, définir et valider les politiques à appliquer par tous les processus de l'organisation.

Un processus RH — le diagramme tortue

Le diagramme tortue donne une vue d'ensemble du processus. L'essentiel à retenir : les activités au centre, et les données d'entrée et de sortie qui déclenchent le travail et en fixent les livrables.

Processus RHPilote du processusAvec quoi ?Portails recrutement Indeed…Logiciel de PaieAvec qui ?DirectionManagers des servicesSalariésDonnées d'entréeBesoin ouverture posteCandidatures, CVsDemandes congés, frais dép.Arrêts maladieActivités du processusGérer les recrutementsFaire les entretiens individuelsFaire la paieGérer les départsGérer les formationsDonnées de sortieContrat de travailPlan de formationFiche de paieCompte rendu EIMesuresIndicateur suivi plan formationIndicateurs satisfaction personnelComment ?Procédure de RHModèle plan d'entretienModèles de contratsCharte Informatique · Code du travail
Diagramme tortue — processus RH : activités centrales, données d'entrée et de sortie.

Les autres zones — avec quoi, avec qui, mesures, comment — complètent le cadre. Chaque activité se décline ensuite dans une procédure, le plus souvent sous forme de logigramme : c'est ce qu'on détaille dans l'exemple recrutement ci-dessous.

Procédure RH — recrutement

Exemple — activité « Gérer les recrutements » du diagramme tortue : extrait résumé d'une procédure de recrutement. Les quatre premières étapes sur dix :

Cet extrait ne montre que le QUI et le QUOI — les colonnes DOCUMENT et ENREGISTREMENT sont volontairement absentes ici pour alléger la lecture.

En procédure complète, chaque étape précise quel document produire et quel enregistrement conserver. Ces enregistrements permettent de garder des preuves traçables — utiles pour un audit ou un onboarding.

Pourquoi modéliser ?

Quatre raisons concrètes qui motivent l'effort de documentation :

a

Sécu & qualité

Repérer les étapes manquantes, les contrôles absents, et améliorer le processus avant l'incident ou l'audit. Le PDCA suppose qu'on a quelque chose à vérifier — la procédure est le référentiel.

b

Projets & IA

Modéliser un flux humain + IA + script — qui fait quoi, dans quel ordre. Exemple : mails de veille → IA synthétise → script → email humain. Même logique que le logigramme, avec des acteurs mixtes.

c

Preuves & données

Identifier les enregistrements à produire, stocker ou générer — la preuve suit le flux. Chaque étape dit ce qu'elle produit : un document, une entrée dans audit.log.

d

Onboarding & savoir-faire

Capitaliser le savoir-faire — procédures, instructions, liasse pour accueillir un nouveau collaborateur humain ou un agent IA. La documentation sert les deux.

L'onboarding d'une IA peut, en partie, ressembler à celui d'une personne : il faut lui transmettre le contexte — politiques, chartes, procédures, enregistrements attendus. C'est ce qu'on détaille ci-dessous.

Donner à manger à l'IA

Un agent LLM peut suivre une procédure, plus ou moins bien, s'il reçoit le bon contexte, au bon moment. Pas toute la documentation à chaque invite, mais un contexte minimal pertinent. Ces couches forment le régime alimentaire de l'agent :

Workflow IA — cycle de travail

Cet exemple décrit comment j'ai adapté ce principe pour mon cas d'utilisation, avec le développement d'un workflow standard que je déploie et utilise dans mes projets (gestion documentaire, gestion du site web, gestion de développements…).

Le workflow ai-cycle est un développement interne SOOIZ — meta-commandes, scripts et templates de livrables — qui enchaîne capture → clarify → start → plan → do → review → close. Les pré-phases comptent autant que l'exécution ; le schéma reprend la slide présentée :

Cycle nominal — meta-commandes /💡/capture/clarify🚀/start📝/plan🔨/do🔍/review/close⚙️ Scripts et outils◇ Gates — plusieurs points de contrôleGateGateGateGaterisk / confidence → waiting-gate si seuil dépassé🔍 Recherche & notescycle : search · learnings🌙 /dreamconstruction du knowledge📚 Knowledgemémoire long terme🏷️ Spécialisations · web · sécu · doc📦 Livrables (templates)PLANREVIEWRAPPORTsnapshot.mdaudit.log📋 Dashboard tâches — machine à états#15 — Présentation RDV Terrain Numériquedocumentation · type:doc-smsistep:dostatus:in-progresswaiting-gatestep:reviewstep:doneÉtat courant visible en un coup d'œil — phase + statut + gate éventuelle
Workflow ai-cycle (développement interne SOOIZ) — cycle nominal, scripts et outils, gates, livrables, recherche / dream / knowledge, dashboard tâches.

Les pré-phases ne sont pas décoratives. En /capture, on résume en une phrase (ou plus) ce que l'on veut faire. En /clarify, on itère pour figer les attendus fonctionnels — en particulier les livrables attendus. En /plan, on définit les attendus techniques : étapes, critères de fin, risques.

Le cœur plan → do → review → close peut se lire comme un Plan – Do – Check – Act : chaque tâche clôturée enrichit la pratique, et l'amélioration continue se construit au fil des cycles traités. Les gates risk/confidence sécurisent les transitions sensibles.

La mémoire de contexte (context.snapshot.md, livrables intermédiaires) permet de changer d'IA en cours de workflow et de reprendre sans tout re-expliquer. Pendant le /do, des learnings sont capturés au fil de l'exécution ; en fin de journée ou entre les tâches, /dream enrichit la documentation de référence. Des scripts de recherche (search-knowledge) permettent à l'agent d'interroger la base pendant le traitement d'une tâche — sans charger tout le dépôt à chaque invite.

Captures d'écran de rapports d'exécution réels :

Rapport d'exécution ai-cycle — phases start, plan, do, review et close avec métriques
Rapport d'exécution : enchaînement des phases, livrables produits, métriques DoD.
Piste d'audit et décisions — journal audit.log et gates de validation avec timeline humain/LLM
Piste d'audit et décisions : gates, traces dans audit.log, points de validation humaine.

Exemple de rapport — CYCLE_5

L'exemple ci-dessous montre ce que produit le cycle à la clôture : une synthèse structurée du résultat de l'audit, pas un simple verdict. Extrait du rapport CYCLE_5 (tâche #5 — infrastructure hébergement sooiz.fr) :

Extrait — CYCLE_5 · Rapport auditeur

Infrastructure hébergement sooiz.fr

Staging + audit sécurité web · Tâche #5 · 2026-06-05

Résultats de l'audit sécurité — devweb.sooiz.fr

  • 7 livrables produits
  • 100 % DoD validé
  • Itérations do/review tracées

Le rapport raconte le cycle — plans, revues, snapshot, timeline décisions humain/LLM — et en extrait cette synthèse audit par domaine de contrôle.

En ajoutant cet audit à chaque revue d'une tâche de développement, je limite les risques d'introduire de nouvelles vulnérabilités à chaque ajout / modification de code.

L'IA, nouveau junior dans l'équipe

On passe de l'optimisation du prompt au cadrage du contexte, puis à l'industrialisation du harnais (harness). La stack « hard » à droite complète le cadrage « soft » :

Évolution prompt → harnais · stack hard — proxy, IAM transversal, outils agentiques.

Modèle et infrastructure — en SaaS, cette couche reste largement opaque : sauf exception de l'hébergement maîtrisé (serveur, TLS, en-têtes HTTP, déploiement), on ne configure pas directement le modèle ni le GPU. Les fournisseurs proposent quelques leviers (région, rétention, choix de modèle, politiques entreprise) — le reste repose sur le contrat et la conformité déclarée.

Proxy, compression, sécurité — c'est le point de passage que l'organisation peut réellement tenir : filtrage des prompts et des réponses, journalisation, rate limiting, routage vers un modèle ou un autre, parfois compression ou anonymisation. Une couche de maîtrise des flux entrants et sortants, avant envoi vers le cloud.

Couche logicielle — IDE agentiques, assistants intégrés, connecteurs MCP : les précautions habituelles (versions, durcissement, moindre privilège OS) s'appliquent, avec en plus la personnalisation des droits par outil — quels fichiers, quels serveurs MCP, quelles données. Anthropic le formalise dans son cadre Zero Trust for AI agents : identité d'agent vérifiable, permissions limitées à la tâche en cours, révocation immédiate — les clés API statiques partagées ne suffisent plus comme baseline.

Harnais (harness) — il apporte des protections « soft » (politiques, procédures, gates, traces dans audit.log), mais surtout il permet de rester indépendant du modèle et des applications : workflow, scripts et livrables templatés survivent au changement de fournisseur LLM ou d'IDE.

IAM transversal — le rail latéral n'est pas une couche empilée : identités humaines et agents séparées, SSO, tokens courts, moindre privilège, audit des accès. Sans identité vérifiable et traçable, aucun contrôle d'accès sérieux — principe Zero Trust appliqué aux agents autonomes.

Clôture

Pour la mise en œuvre de la couche proxy et du filtrage des prompts en pratique, voir notre retour d'expérience : POC — Filtrer les prompts Claude Enterprise avec un proxy.

L'IA n'est pas magique. Il faut lui fournir le contexte, des chartes, des politiques, des procédures, des gates et une traçabilité.

Questions fréquentes

Combien de temps cela vous fait-il réellement gagner sur votre travail ?

Les gains dépendent du type de tâche. Sur la documentation, les synthèses et les reformulations structurées, un agent bien cadré peut diviser par deux à cinq le temps passé — à condition d'avoir modélisé le processus et les livrables attendus. Sur le jugement métier, la relation client ou les arbitrages stratégiques, le gain reste marginal : l'IA accélère le format, pas la décision.

Au-delà du temps potentiellement gagné, l'outil permet surtout de réaliser des choses que vous ne sauriez pas mener seul dans un délai raisonnable. Exemples concrets :

  • Site web — refaire le site actuel en Astro (HTML statique) en une semaine, charte graphique complète et documentée comprise ; un périmètre qui, sans ce levier, demanderait des semaines supplémentaires de mise en route.
  • Contrôle de parc — pour un client, construire un outil de contrôle de l'état du parc : mise à jour de l'inventaire des postes, croisement avec l'Active Directory et l'EDR Sophos, puis rapport hebdomadaire (les postes inventoriés sont-ils bien présents dans l'AD, avec un EDR à jour et des mises à jour Windows à jour ?) — sans acquérir pour le client d'outil supplémentaire qu'il ne souhaitait pas mettre en œuvre dans l'immédiat.
  • Revue de portefeuille — diviser par deux le temps de préparation des revues de portefeuille projet cyber.

Le gain dépend beaucoup des tâches : il mérite d'être mesuré et cadré sur des cycles concrets.

Un collaborateur pourrait-il détourner l'IA pour explorer le réseau, les serveurs ou dépasser ses droits ?

Oui — c'est un risque réel dès qu'un agent dispose d'outils exécutables (terminal, scripts, connecteurs MCP, accès fichiers ou API internes) sans cadre. L'IA ne cartographie pas votre réseau toute seule : elle agit avec les permissions que vous lui accordez, souvent via le compte ou les tokens de l'utilisateur qui l'interroge. Un usage négligent ou malveillant peut conduire à scanner des hôtes, lire des configurations sensibles, exfiltrer des données ou déclencher des actions réseau non prévues.

La réponse n'est pas d'interdire l'outil, mais de séparer les identités (humain vs agent), d'appliquer le moindre privilège, de filtrer les prompts et les appels outils via un proxy, et de journaliser chaque action. Anthropic formalise ce principe dans son cadre Zero Trust for AI agents : permissions limitées à la tâche, révocation immédiate, pas de clés API partagées en baseline.

En pratique : pas d'accès réseau ou serveur par défaut ; périmètre pilote documenté ; règles d'usage et formation ; revue des connecteurs avant élargissement. Retour d'expérience sur le filtrage : POC proxy Claude Enterprise. Pour cadrer le déploiement dans votre organisation, voir intégration IA.

Comment passe-t-on du PowerPoint à la pratique ?

La question se pose d'abord ainsi : comment passe-t-on des logigrammes à l'implémentation ? On cartographie les étapes, les décisions et les preuves attendues (logigramme, tortue ISO, procédure), puis on enchaîne un cycle nominal — plan, exécution, revue, clôture — avec des livrables versionnés et une traçabilité auditable. Le PowerPoint reste un support de veille ; la pratique, ce sont les scripts, les gates et les critères d'acceptation suivis au quotidien.

Plusieurs chemins coexistent :

  • Se faire accompagner — toujours un minimum, surtout au démarrage et sur la cybersécurité.
  • Se former et interroger son IA — en posant des questions de méthode, pas seulement des demandes de livrable.
  • Suivre des parcours structurés — par exemple l'Anthropic Academy, en commençant par Claude 101 et le module AI Fluency.
  • Pratiquer en sécurité — sur un périmètre limité, avec proxy, journalisation et règles d'usage avant d'élargir.

Par où commencer pour intégrer l'IA dans une PME en maîtrisant la cybersécurité ?

Définir d'abord ce que vous voulez faire. Sans objectif clair, les pièges sont la dispersion, la perte de temps (itérations sans livrable), les usages à risque voire malveillants, et des failles de cybersécurité liées à des droits trop larges ou à des données non classifiées.

Ensuite : un périmètre limité et mesurable — un processus documenté, un proxy ou une couche de filtrage, des identités agents distinctes des comptes humains. Cartographiez les risques (données sensibles, chaîne d'approvisionnement, conformité AI Act), puis pilotez un cycle avec des livrables vérifiables.

Pour un premier échange sur votre contexte, voir notre page intégration IA.

Est-ce que cela ne bloque pas la partie créativité ?

Non — à condition de ne pas confondre cadre et carcan. En entreprise, un harness bien conçu permet à l'IA de respecter une charte graphique, un ton éditorial et une politique de marque documentée (tokens CSS, composants, règles de copywriting). Le cadre libère l'équipe du travail de mise en forme répétitif pour se concentrer sur le fond.

Sans cadre, un LLM retombe vite sur les idées les plus probables — et elles se ressemblent. Le harness aide justement à structurer l'exploration, plutôt qu'à lancer une injonction vague du type « sois créatif ». Une étude Wharton (2024) l'a montré sur GPT-4, en comparant 35 façons de le solliciter : seul le prompting par étapes, avec une critique forcée entre chaque phase, a vraiment diversifié les propositions ; les personas, les appels émotionnels ou le simple « sois créatif » n'ont rien apporté — parfois même moins.

Exemple récent en mathématiques ouvertes : en mai 2026, un modèle interne d'OpenAI a réfuté la conjecture des distances unitaires d'Erdős (1946). Pour dépasser la borne attendue, le système n'a pas testé des milliards de configurations en géométrie plane : il a transposé le problème vers la théorie algébrique des nombres (corps de nombres, tours de corps de classes infinis via le critère de Golod–Shafarevich), reliant des domaines que peu de spécialistes avaient associés à cette question (présentation vidéo). Sur la même liste Erdős, le problème n°397 a également été résolu avec l'appui de GPT-5.2 et vérifié par Terence Tao — preuve qu'un modèle contraint à explorer peut ouvrir un chemin inédit, pas seulement optimiser le sentier statistique dominant.

Loin de brider la créativité, le harness peut la révéler — comme le souligne Brian Uzzi (Nature, janvier 2026) : c'est en demandant comment explorer, plutôt que quoi produire, que l'IA devient un amplificateur d'originalité plutôt qu'un presse-purée de réponses moyennes.

Modéliser vos processus et intégrer l'IA dans votre organisation

Un premier échange de 30 minutes suffit pour voir si nos approches correspondent à vos enjeux.

Prendre rendez-vous