Solutions Aegis Secteurs d'activité Perspectives Tarifs Entreprise Demander une évaluation
Exemple d'évaluation — Organisation fictive À titre d'illustration uniquement Télécommunications

Rapport Sécurité IA »

NordTel Communications S.A. — Opérateur européen de télécommunications

Date d'évaluation
Q1 2026
Type d'évaluation
OASAT 2
Salariés
~6,800
Évaluateur
OneCompliant .r.o.
Remarque : NordTel Communications S.A. est une organisation fictive créée à des fins de démonstration. Tous les résultats, notes et recommandations sont donnés à titre indicatif. Les évaluations réelles des clients restent strictement confidentielles, conformément aux obligations applicables en matière de protection de la vie privée et de confidentialité.
Résumé analytique

Gouvernance IA globale en matière de Gouvernance IA : Risk élevé

OASAT de NordTel Communications a mis en évidence d'importantes Gouvernance IA dans les six domaines de contrôle. L'adoption de l'IA a pris le pas sur la gouvernance : 23 outils d'IA non approuvés ont été identifiés comme étant activement utilisés dans les différentes unités opérationnelles, sans aucun contrôle d'exécution, sans audit et présentant un risque réglementaire significatif au regard de la loi européenne sur l'IA, de NIS2 et du RGPD. Des mesures correctives immédiates s'imposent dans trois domaines critiques avant l'expiration des délais réglementaires.

Risk globaleRisk en matière de Gouvernance IA
FaibleModéréÉlevéCritique
72 / 100 — Risk élevé. Mesures de gouvernance immédiates requises.
3
Constatations critiques nécessitant une intervention immédiate
7
risk nécessitant une intervention dans les 30 jours
23
AI non approuvés identifiés comme étant actuellement utilisés
4
Cadres réglementaires présentant des lacunes importantes en matière d'exposition
Risk liés au domaine

Notes Risk de maturité pour l'ensemble OASF six OASF .

Chaque domaine a été évalué au regard du cadre OASF et noté en fonction de risk et de la maturité de sa gouvernance. La maturité est notée sur une échelle de 1 à 5 : 1 = ponctuel, 2 = en développement, 3 = défini, 4 = géré, 5 = optimisé.

Domaine Risk Échéance Écart clé
Gouvernance des donnéesOASF Critique 1,4 / 5 Absence policy de classification des données relatives à l'IA. PII des clients PII à des modèles de langage grand public (LLM) externes sans être vérifiées ni anonymisées.
Gouvernance du modèleOASF Critique 1,2 / 5 Il n'existe aucun registre des modèles approuvés. 23 AI non approuvés sont actuellement utilisés dans 8 unités opérationnelles.
Accès et identitéAI Élevé 2.1 / 5 Les interactions avec l'IA ne sont pas liées à l'identité. Aucune intégration SSO avec les outils d'IA. Aucune audit reliant l'utilisation de l'IA à des individus.
Sécurité opérationnelleOASF Élevé 1,8 / 5 Pas de mécanismes de défense contre l'injection de commandes. Pas de surveillance des entrées malveillantes. Pas de modèle de menace AI.
Audit conformitéOASF Critique 1,0 / 5 Aucune journalisation des interactions avec l'IA. Aucune audit . Impossible de démontrer la conformité à l'article 12 de la loi européenne sur l'IA ou à l'article 30 du RGPD.
Réponse aux incidentsOASF Modéré 2,4 / 5 Un processus général de gestion des incidents existe, mais il ne comporte pas de catégories d'incidents, de guides d'intervention ni de procédures d'escalade AI.
Principales conclusions

risk critiques etrisk nécessitant une prise en charge immédiate.

OASAT · Critique
PII des clients PII à des modèles d'IA externes sans être vérifiées
Critique

Les agents du service client utilisent ChatGPT d’autres outils d’IA grand public pour rédiger des réponses et résumer les réclamations, y compris les noms complets des clients, leurs coordonnées, leurs numéros de compte et le contenu des communications. Aucun contrôle n’est mis en place en matière d’inspection des données, de masquage des informations sensibles ou de gouvernance. Cela constitue une violation flagrante du RGPD et un non-respect de la loi européenne sur l’IA.

Article 5 du RGPD — Limitation des données Article 32 du RGPD — Sécurité du traitement Loi européenne sur l’IA, art. 10 NIS2 21 de la directiveNIS2
OASAT · Critique
Absence totale de audit de l'IA — impossibilité de fournir des preuves à des fins réglementaires
Critique

Il n'existe aucun registre des AI au sein de l'organisation. Si une autorité de régulation l'exigeait ou en cas d'enquête sur une violation de données, NordTel ne serait pas en mesure de démontrer quelles données ont été traitées par quel AI , à quel moment ni par qui. Il s'agit là d'une violation directe des exigences en matière de tenue de registres prévues à l'article 12 AI européenne AI , ainsi que des obligations relatives aux registres de traitement prévues à l'article 30 du RGPD.

Loi européenne sur l'IA, art. 12 Article 30 du RGPD DirectiveNIS2 . 23 — Notification des incidents
OASAT · Critique
23 AI non approuvés actuellement utilisés par des entreprises
Critique

L'évaluation a permis d'identifier 23 AI distincts actuellement utilisés au sein de 8 unités opérationnelles — aucun d'entre eux n'ayant été approuvé, évalué ou enregistré. Parmi ces outils figurent des modèles de langage grand public (LLM), des assistants de génération de code, des services de synthèse de documents et des modules complémentaires de productivité AI. AI « fantôme » AI est généralisée à l'échelle de l'organisation, sans visibilité, contrôle ni gouvernance centralisés.

Loi européenne sur l’IA, art. 9 — Risk OASF — IA fantôme NIS2 21 de la directiveNIS2
OASAT · Élevé
Données de configuration réseau partagées avec les assistants AI
Élevé

Les membres de l'équipe d'ingénierie réseau utilisent des assistants de codage basés sur l'IA (GitHub Copilot, ChatGPT) pour faciliter la création de scripts d'automatisation du réseau. Une évaluation a confirmé que les détails de la topologie du réseau, les paramètres de configuration et les schémas d'adressage IP sont inclus dans les invites. Cela engendre à la fois un risk pour la sécurité risk un risque potentiel de non-conformité en matière d'interception légale.

NIS2 21 de la directiveNIS2 — Sécurité des réseaux RGPD, art. 32 OASF
OASAT · Élevé
Absence de capacité de réponse aux incidents AI
Élevé

Le processus actuel de gestion des incidents de NordTel ne prévoit pas de catégories d'incidents ni de procédures d'intervention AI. En cas de violation de données AI, de manipulation de modèles ou de défaillance en matière de gouvernance, l'organisation ne dispose d'aucune procédure d'intervention définie, d'aucune procédure d'escalade, ni de dispositif permettant de respecter le délai de notification de 72 heures prévu par le RGPD.

RGPD, art. 33 — Notification au titre de l'article 72h NIS2 23 de la directiveNIS2 OASF
OASAT · Haut
Lacune dansrisk de la loi européenne sur l'IA — deux cas d'utilisation non pris en compte
Élevé

Deux cas d'utilisation de l'IA identifiés dans l'évaluation sont susceptibles d'être classés commerisk l'annexe III de la loi européenne sur l'IA : la notation de crédit assistée par l'IA pour les décisions relatives aux contrats de téléphonie mobile avec abonnement, et la gestion de réseau assistée par l'IA pour les infrastructures critiques. Aucun de ces deux cas n'a fait l'objet de l'évaluation de conformité ni du cadre de contrôle humain requis par la loi européenne sur l'IA.

Annexe III de AI européenne sur AI AI européenne AI , art. 14 — Contrôle humain AI européenne AI , art. 17
Analyse des lacunes réglementaires

État actuel de la conformité aux référentiels applicables.

L'évaluation a permis de comparer Gouvernance IA actuels de NordTel en matière de Gouvernance IA à quatre cadres réglementaires applicables. Les écarts identifiés correspondent à des exigences qui ne sont pas satisfaites à l'heure actuelle et qui exposent l'entreprise à des risques réglementaires.

AI européenne AI

Art. 9 — Absence de système risk liés à l'IA
Art. 10 — Absence de gouvernance des données pour AI
Art. 12 — Absence de conservation des données / audit
Art. 14 — Absence de cadre de contrôle humain
~
Art. 13 — Mesures de transparence partielle

NIST AI RMF

GOUVERNANCE — Absence de Gouvernance IA et de responsabilité
~
MAP — risk partielle risk liés à l'IA (la présente évaluation)
MESURE — Absence de risk ou de suivi risk liés à l'IA
GESTION — Absence de risk liés à l'IA ou de contrôles

NIS2

Art. 21 — Sécurité IA non mises en œuvre
Art. 21 — Chaîne d'approvisionnement : la question de Sécurité IA abordée
Art. 23 — Absence de procédure de signalement AI
~
Mesures générales de sécurité partiellement applicables

RGPD + AI

Art. 5 — Le principe de minimisation des données n'est pas appliqué dans le domaine de AI
Art. 30 — Absence de registres relatifs aux activités AI
Art. 32 — Absence de mesures techniques pour Sécurité IA
~
Art. 33 — Obligation générale de notification des violations
Feuille de route pour la remise en état

Programme de gouvernance prioritaire — trois phases.

L'évaluation recommande un programme de mise en conformité structuré en trois phases, aligné sur les échéances réglementaires et risk opérationnels. La phase 1 porte sur les risques critiques immédiats. La phase 2 consiste à mettre en place l'architecture de gouvernance. La phase 3 vise à rendre opérationnelle la mise en œuvre en temps réel.

Phase 1
Risk immédiate Risk
Semaines 1 à 6
Mettre en place policy provisoire d'utilisation de l'IA policy bloquer LLM grand public pour les postes impliquant des données sensibles
Mettre en place un système de journalisation AI basées sur AI pour les services en contact avec la clientèle
Réaliserrisk au titre de la loi européenne sur l'IA pour les IA utilisées dans la notation de crédit et la gestion des réseaux
Organiser une formation OASAP à l'intention des équipes du service client et de l'ingénierie réseau
Mettre en place une procédure de contact et de notification en cas AI
Phase 2
Architecture de gouvernance
Semaines 7 à 16
Déployer le cadre OASF dans les six domaines de contrôle
Créer et publier un registre AI approuvés
Mettre en œuvre policy de classification des données par IA policy des règles de traitement
Élaborer des guides d'intervention en cas d'incident AI pour toutes les catégories critiques
Programme complet de sensibilisation OASAP
Phase 3
Application lors de l'exécution
Semaines 17 à 26
Déployer gateway IA Aegis gateway point d'accès à l'IA d'entreprise
Intégrerpolicy OASF aux contrôles Aegis
Activer audit complète audit d'IA et les rapports de gouvernance
Connecteraudit Aegis au SIEM pour une surveillance continue
Premier bilan de maturité en matière de gouvernance — objectif de maturité : 3,5+ dans tous les domaines

Prêt à évaluer votre Gouvernance IA ?

Il s'agit d'un exemple d'évaluation fourni à titre illustratif. Une véritable OASAT est adaptée à votre organisation — votre secteur d'activité, votre AI , vos obligations réglementaires — et définit la gouvernance Aegis met Aegis en œuvre en production. Prix fixe. Livraison en quelques semaines.

Demandez votre évaluation Consultez les tarifs des évaluations