How-to·2 min

Checklist RSSI : cadrer un déploiement IA on-premise en 6 semaines

Un déploiement IA conforme commence par le périmètre, pas par le modèle. Cartographie des données, audit-trail, alignement ISO 27001 et RGPD : la checklist de la phase de cadrage avant tout choix technique.

La plupart des projets IA qui échouent en environnement régulé ont commencé par le modèle. Le bon ordre est inverse. Vous cadrez d'abord le périmètre, la conformité et la traçabilité, puis vous choisissez le modèle qui rentre dans ces contraintes. Cette checklist couvre les six semaines de cadrage qui précèdent toute décision technique.

Semaines 1 et 2 : cartographier les données

Aucun choix de modèle n'a de sens avant de savoir quelles données entrent dans le système.

  • Recensez les sources qui alimenteront les agents : dossiers, contrats, bases métier, messageries.
  • Classez chaque source par niveau de sensibilité et par régime applicable (RGPD, secret professionnel, données de santé, classification défense).
  • Identifiez les données qui ne doivent jamais quitter le périmètre. C'est la liste qui justifie le déploiement on-premise plutôt qu'un service cloud.
  • Notez les durées de conservation et les obligations de suppression. Elles contraindront l'architecture de stockage et de logs.

À la fin de cette étape, vous savez ce qui circule, sous quel régime, et ce qui interdit une sortie vers un éditeur tiers.

Semaines 2 et 3 : définir l'audit-trail

En secteur régulé, un système qui ne trace pas ce qu'il fait n'est pas auditable, donc pas déployable.

  • Définissez ce qui doit être journalisé : requête, document consulté, modèle sollicité, réponse produite, identité de l'appelant.
  • Fixez la rétention des logs et leur niveau de protection. Un audit-trail manipulable ne vaut rien.
  • Prévoyez l'export des logs vers votre SIEM existant plutôt qu'un silo isolé.

L'audit-trail n'est pas une fonctionnalité ajoutée après coup. Il conditionne le design de l'ensemble.

Semaines 3 et 4 : aligner sur ISO 27001 et RGPD

Le cadrage rejoint ici vos obligations existantes.

  • Reliez le projet à votre déclaration ISO 27001 : périmètre, mesures de sécurité, gestion des accès.
  • Documentez la base légale RGPD de chaque traitement, et l'analyse d'impact si elle est requise.
  • Vérifiez la cohérence avec votre politique d'hébergement : région, souveraineté, alignement SecNumCloud si votre secteur l'exige.
  • Intégrez le projet à votre gestion des habilitations. Qui peut interroger quel agent, sur quelles données.

Semaines 5 et 6 : les questions à poser au prestataire

Le cadrage se termine par une mise à l'épreuve du fournisseur.

  • Montrez-moi la topologie de déploiement, pas une démo de capacité.
  • Où vivent les poids du modèle, où vivent les données, et que franchit le réseau.
  • Comment se présente l'audit-trail, et puis-je l'exporter.
  • Quels modèles open-weight sont supportés, et puis-je en changer plus tard.
  • Que se passe-t-il si je résilie : récupération des données, des logs, des modèles fine-tunés.

Un prestataire qui répond par la topologie avant de pitcher la performance comprend votre contrainte. C'est le signal que vous cherchez.

Le livrable de cadrage

Au bout de six semaines, vous disposez d'une note qui tient en quelques pages : périmètre des données, régime de conformité, spécification de l'audit-trail, contraintes d'hébergement, et grille d'évaluation du prestataire. Ce document vaut plus qu'un comparatif de modèles. Il définit l'enveloppe dans laquelle le modèle devra entrer, et il transforme le choix technique en décision documentée plutôt qu'en pari.