ISO27001-Expert : LLM conformité et audit ISO 27001

ISO27001-Expert est un assistant de langage spécialisé dans la norme ISO 27001 version 2022, publié sur le portfolio huggingface de Ayi Nedjimi. Il a été fine-tuné sur un corpus dédié à la norme : clauses 4 à 10 du système de management de la sécurité de l'information, ensemble des 93 contrôles de l'Annexe A regroupés en quatre thèmes organisationnel, humain, physique et technologique, retours d'expérience d'audits de certification, jurisprudence des organismes de certification accrédités. L'objectif est de fournir aux RSSI, aux consultants gouvernance et aux auditeurs internes un copilote capable de répondre précisément à une question de revue, de générer une trame de gap analysis adaptée à un secteur, de rédiger un fragment de Statement of Applicability et de proposer des objectifs SMART pour chaque contrôle. Tout reste local : la confidentialité du projet de certification est préservée, ce qui en fait un outil compatible avec les exigences les plus strictes de souveraineté.

Pourquoi un LLM dédié à ISO 27001

La version 2022 de la norme ISO 27001 a remanié l'Annexe A. Les 114 contrôles de la version 2013 sont devenus 93 contrôles répartis en quatre thèmes. Cinq attributs nouveaux ont été ajoutés pour cartographier les contrôles selon leur type, leur propriété, leur catégorie de cybersécurité, leur capacité opérationnelle et leur domaine de sécurité. Cette refonte rend les modèles généralistes peu fiables : ils mélangent encore l'ancienne et la nouvelle numérotation, confondent les attributs et omettent fréquemment les références à la norme ISO 27002 qui sert de guide d'implémentation.

ISO27001-Expert a été entraîné spécifiquement sur la version 2022 et sa correspondance avec la version 2013, ce qui permet d'accompagner les organisations en cours de transition. Le modèle distingue clairement les obligations du SMSI clauses 4 à 10 et les bonnes pratiques de l'Annexe A. Il connaît également les attentes des organismes de certification accrédités COFRAC ou équivalent et les non conformités majeures les plus fréquemment relevées.

À quoi sert ISO27001-Expert

Le modèle est conçu pour quatre profils. Le RSSI préparant la première certification y trouve un assistant pour rédiger ses politiques, structurer son SMSI et préparer la déclaration d'applicabilité. Le consultant gouvernance accélère ses missions d'audit blanc en posant directement les bonnes questions et en couvrant méthodiquement les 93 contrôles. L'auditeur interne planifie son cycle de revue, prépare ses interviews et formalise ses constats. Le directeur juridique ou conformité confronte les exigences ISO aux autres référentiels comme NIS 2, DORA ou RGPD afin d'identifier les recouvrements et les opportunités de mutualisation.

Méthodologie d'entraînement

Le corpus de fine-tuning a été assemblé en trois couches. Première couche, les exigences normatives. Chaque clause de la norme et chaque contrôle de l'Annexe A a été reformulé en plusieurs paires question-réponse couvrant la définition, l'objectif, les preuves attendues lors d'un audit et les pièges classiques.

Deuxième couche, les retours d'expérience. Un corpus interne anonymisé d'environ 15 000 fiches d'audit, de constats et de plans d'action a été utilisé pour ancrer les réponses dans la réalité opérationnelle. Les noms d'organisations et les éléments personnels ont été retirés systématiquement.

Troisième couche, les correspondances inter-référentielles. Le modèle a été entraîné à mapper chaque contrôle ISO 27001:2022 vers les exigences de NIS 2, du RGPD, de DORA, du HDS pour le secteur santé et du PCI DSS pour les opérateurs de paiement. Cette couche est précieuse pour les organisations multi-régulées qui veulent mutualiser leurs contrôles.

Le fine-tuning a combiné SFT puis DPO. Les évaluations internes mesurent un taux de réponse exacte sur 200 questions de revue de 87 pour cent, contre 64 pour cent pour un modèle généraliste 7B et 78 pour cent pour un modèle généraliste 70B accessible uniquement en cloud.

Cas d'usage concrets

Un éditeur SaaS en croissance se prépare à sa première certification. Il utilise ISO27001-Expert pour générer une trame de Statement of Applicability personnalisée. Le modèle prend en entrée la description du périmètre, la liste des actifs critiques et la cartographie des traitements. Il produit en sortie un projet de SoA contrôle par contrôle, en justifiant les inclusions et exclusions par les risques pertinents.

Un cabinet d'audit utilise le modèle pour préparer ses interviews. Avant chaque visite client, le consultant lance une session focalisée sur le secteur du client industriel, services financiers, santé. Le modèle propose une liste de 80 à 120 questions priorisées par criticité.

Un opérateur d'importance vitale soumis à la fois à NIS 2 et à ISO 27001 utilise le modèle pour identifier les contrôles partagés. La synthèse produite sert de base à une matrice de mutualisation qui réduit le nombre de preuves à collecter de 30 pour cent.

Une équipe juridique interne s'appuie sur le modèle pour vulgariser les exigences à destination des managers métiers. Le modèle reformule les clauses normatives en plan d'action concret, ce qui facilite l'adhésion des opérationnels.

Un consultant RSSI temps partagé utilise le modèle comme assistant de rédaction : politiques de classification, procédures de gestion des incidents, plan de continuité. Les livrables sont relus et adaptés à chaque client mais le temps gagné en première rédaction est de l'ordre de 40 pour cent.

Installation rapide

Le modèle est livré en formats SafeTensors et GGUF, comme les autres modèles du portfolio. Pour un usage chat local, Ollama reste le moyen le plus simple.

# Ollama
ollama pull iso27001-expert:q4
ollama run iso27001-expert:q4 "Genere une trame de SoA pour un editeur SaaS B2B 80 personnes."

# vLLM serveur (8B equivalent ressource)
python -m vllm.entrypoints.openai.api_server \
  --model ayinedjimi/ISO27001-Expert \
  --max-model-len 8192 \
  --quantization awq

Une intégration RAG est fournie via une recette LlamaIndex : l'utilisateur charge le texte de la norme dans une base vectorielle locale et le modèle interroge la base pour ancrer ses réponses. Cette architecture est recommandée pour les usages d'audit avancés où la traçabilité des sources est essentielle.

Couverture des 93 contrôles

Le modèle couvre les quatre thèmes de l'Annexe A. Thème organisationnel A.5 avec 37 contrôles autour des politiques, des rôles et des relations avec les fournisseurs. Thème humain A.6 avec 8 contrôles sur les ressources humaines, la sensibilisation et les responsabilités. Thème physique A.7 avec 14 contrôles sur les zones sécurisées, les équipements et la maintenance. Thème technologique A.8 avec 34 contrôles sur la cryptographie, le développement sécurisé, le monitoring et la continuité.

Pour chaque contrôle, le modèle sait répondre à cinq questions standardisées : que demande la norme exactement, quelle preuve attendre, quel risque sous-jacent, quels outils ou pratiques recommandées, quels indicateurs mesurer dans un tableau de bord SMSI. Cette discipline pédagogique rend les réponses comparables et facilite l'industrialisation des audits.

Articulation SMSI clauses 4 à 10 et plan d'amélioration continue

Au-delà des contrôles de l'Annexe A, le modèle accompagne le déploiement du SMSI proprement dit. Clause 4 contexte de l'organisation et compréhension des besoins des parties intéressées, clause 5 leadership et engagement de la direction, clause 6 planification incluant l'analyse des risques et la déclaration d'applicabilité, clause 7 support avec ressources, compétences, sensibilisation et communication, clause 8 fonctionnement, clause 9 évaluation des performances dont l'audit interne et la revue de direction, clause 10 amélioration continue. Le modèle aide à structurer chaque délivrable : politique générale de sécurité, méthodologie d'analyse de risques alignée sur ISO 27005, plan de traitement des risques, indicateurs de performance, ordre du jour de revue de direction.

Sur l'amélioration continue, le modèle propose un plan PDCA opérationnel adapté au cycle de certification triennal : l'année 1 est centrée sur la maturité initiale, l'année 2 sur l'industrialisation des preuves et la chasse aux non-conformités mineures, l'année 3 sur l'optimisation des contrôles, la consolidation des métriques et la préparation du renouvellement. Cette approche structurée évite l'effet tunnel et préserve la dynamique du SMSI dans la durée.

Intégration avec les outils GRC du marché

ISO27001-Expert ne remplace pas un outil GRC dédié : il s'y articule. Pour les organisations équipées d'Eramba, le modèle aide à structurer les fiches contrôle avant import. Pour celles qui utilisent ServiceNow GRC, le modèle pré-rédige les libellés et les commentaires de chaque contrôle. Pour les plus petites structures qui s'appuient sur des tableurs Excel, un modèle exportable au format CSV est fourni. La logique reste la même : le LLM accélère la rédaction et la cohérence, l'outil GRC porte le référentiel et la traçabilité.

Limites et garde-fous

ISO27001-Expert n'est pas un certificateur. Aucune réponse du modèle ne se substitue à l'avis d'un organisme accrédité ni à l'examen par un auditeur certifié IRCA ou équivalent. Le modèle peut commettre des erreurs sur des cas atypiques : secteurs très spécifiques type infrastructures spatiales, juridictions extra-européennes, hybridations avec des normes verticales. Une revue humaine systématique est exigée pour les livrables destinés à un audit officiel.

La norme ISO 27001 est un document protégé par copyright. Le corpus d'entraînement utilise uniquement des reformulations et des extraits courts acceptables au titre du droit de courte citation. Le modèle ne reproduit pas le texte intégral. Les organisations qui veulent une référence intégrale doivent acquérir la norme auprès de l'ISO ou de l'AFNOR.

Roadmap

Trois axes principaux pour la suite. Premier axe, ajout d'un module dédié aux normes verticales sectorielles ISO 27017 cloud, ISO 27018 données personnelles dans le cloud et ISO 27701 vie privée. Deuxième axe, support natif d'une bibliothèque de modèles de preuves prêts à l'emploi : extraits de politiques, procédures, registres types. Troisième axe, intégration avec les plateformes GRC populaires Eramba, Cyberseed et BlueVoyant pour faciliter l'export des constats.

FAQ

Le modèle peut-il rédiger seul ma déclaration d'applicabilité ?

Il peut produire une première trame adaptée à votre périmètre et à vos risques mais une revue par un consultant ou un auditeur reste indispensable. La SoA est un document engageant : chaque exclusion doit être justifiable lors de l'audit. Le modèle facilite la rédaction, il ne se substitue pas à la responsabilité du RSSI.

Quelle différence avec un LLM généraliste sur ISO 27001 ?

Le modèle généraliste connaît la norme dans les grandes lignes mais commet régulièrement des erreurs sur la numérotation 2022, sur les attributs et sur les preuves attendues. ISO27001-Expert a été entraîné spécifiquement sur ces points et bénéficie d'un corpus d'audits réels anonymisés.

Peut-on mutualiser ISO 27001 et NIS 2 avec le modèle ?

Oui. Le modèle inclut une couche de correspondance entre contrôles ISO 27001:2022, exigences NIS 2 et obligations DORA pour le secteur financier. Cela permet de mutualiser les preuves et de réduire l'effort de conformité dans les organisations multi-régulées.

Le modèle est-il adapté aux PME ?

Oui. La taille du modèle a été calibrée pour tourner sur un poste standard, ce qui permet à une PME sans infrastructure GPU dédiée d'accéder à un assistant spécialisé. Le coût d'entrée est limité à l'investissement RAM et CPU.

Pour aller plus loin

La fiche modèle complète et les exemples d'usage sont sur le portfolio /huggingface du compte Ayi Nedjimi. Pour contextualiser la conformité, consultez le guide complet ISO 27001, l'article développement sécurisé et ISO 27001, l'analyse RGPD 2026 et sécurité CNIL et l'étude gouvernance LLM et conformité.