Retour aux insights
ai-readiness-auditsecurityeu-ai-actmethodology

Dans les coulisses d'un AI Readiness Audit : ce que je cherche, et ce que je trouve souvent

Stéphane WillemsStéphane Willems8 min de lecture

De nombreuses entreprises belges ont désormais de l'IA en production. Un chatbot qui répond aux clients, un outil qui résume des documents, un modèle qui note des prospects, quelque chose qu'un fournisseur a installé l'an dernier. Ça fonctionne — la plupart du temps. Et personne n'a jamais vérifié si c'est réellement sûr.

C'est la lacune que comble l'AI Readiness Audit (audit de préparation à l'IA). C'est une revue à prix fixe, sur deux semaines, de l'IA que vous possédez déjà, et vous obtenez un verdict écrit honnête : ce qui va bien, ce qui est risqué, et ce qu'il faut corriger en premier. 5 500 €, sans compteur horaire ouvert.

Cet article est la version transparente de ce que ces deux semaines impliquent réellement. Pas une page de vente — la vraie liste de contrôle. Si vous décidez de le faire vous-même plutôt que de m'engager, tant mieux. L'essentiel, c'est que quelqu'un vérifie.

Pourquoi c'est nécessaire maintenant

La plupart de l'IA en production dans les PME belges n'a pas été construite par un spécialiste de l'IA. Elle a été ajoutée par une agence généraliste, greffée par un fournisseur SaaS, ou bricolée sous la pression d'une échéance par un développeur interne compétent. Aucun d'eux n'est une mauvaise personne. Mais « ça fait bonne impression en démo » et « c'est sûr à faire tourner deux ans en production » sont deux niveaux d'exigence très différents, et l'écart entre les deux est précisément là où les audits justifient leurs honoraires.

Ajoutez l'échéance du règlement IA en août 2026 et l'APD/GBA (l'autorité belge de protection des données) qui publie activement des orientations sur le RGPD et l'IA, et « nous avons de l'IA mais nous ne l'avons jamais examinée » cesse d'être un vague malaise pour devenir un risque réel et daté.

Les six choses que je vérifie réellement

Un audit n'est pas une intuition. Ce sont les six mêmes dimensions à chaque fois, évaluées honnêtement. Voici chacune d'elles et le problème que j'y trouve le plus souvent.

1. Sécurité

Où se trouve l'IA, et qu'est-ce qui peut l'atteindre ? J'examine la manière dont le système est exposé, comment les requêtes sont authentifiées, et — le point crucial — où se trouvent les identifiants.

Ce que je retrouve sans cesse : des clés d'API vers des fournisseurs de modèles coûteux qui traînent dans le bundle du navigateur ou un dépôt public, où n'importe qui peut les récupérer et faire grimper votre facture. Des voies d'injection de prompt où un utilisateur peut convaincre le système d'ignorer ses instructions. Un outil interne discrètement accessible depuis l'internet ouvert. Rien de tout cela n'apparaît dans une démo. Tout cela apparaît dans un audit.

2. Conformité au règlement IA

Je classe chaque système d'IA par niveau de risque et vérifie si les obligations qui en découlent sont réellement respectées. C'est la même logique de classification que celle dont j'ai parlé dans « Qu'est-ce que l'IA à haut risque ? » — appliquée à vos systèmes, par écrit.

Ce que je retrouve sans cesse : un outil de recrutement ou de gestion du personnel à haut risque au sens du règlement, fonctionnant sans aucune de la documentation, de la journalisation ou de la conception de supervision humaine requises. Ou l'inverse — une entreprise terrifiée à l'idée que son chatbot inoffensif nécessite un projet de conformité dont il n'a pas besoin. Les deux se règlent par une classification honnête sur papier.

3. Traitement des données

Quelles données entrent dans l'IA, où vont-elles, et qui a consenti à cela ? En particulier : des données personnelles sont-elles envoyées à un modèle tiers, et est-ce licite et documenté au titre du RGPD ?

Ce que je retrouve sans cesse : des données personnelles de clients ou d'employés acheminées vers un outil d'IA externe sans accord de traitement, sans aucune trace, et sans que personne n'ait vérifié si c'était permis. C'est la question qui préoccupe le plus l'APD/GBA, et celle dont les entreprises sont le plus surprises de découvrir qu'elle les concerne.

4. Préparation opérationnelle

Que se passe-t-il quand ça casse ? Je vérifie la surveillance, la journalisation, la gestion des erreurs, et si quelqu'un remarquerait seulement que l'IA s'est mise à produire n'importe quoi.

Ce que je retrouve sans cesse : aucune journalisation de ce que l'IA a réellement décidé, donc quand un client se plaint, impossible de reconstituer ce qui s'est passé. Aucune alerte quand le fournisseur du modèle subit une panne. Aucun humain dans la boucle pour les cas qui en ont besoin. Le système fonctionne très bien jusqu'au jour où il ne fonctionne plus, et alors il n'y a rien sur quoi se rabattre.

5. Qualité du code

Je lis le code d'intégration. Est-il maintenable, ou s'agit-il d'une seule fonction de 800 lignes qu'une seule personne comprend et que cette personne est partie ?

Ce que je retrouve sans cesse : la logique d'IA tellement imbriquée dans l'interface qu'on ne peut pas modifier un prompt sans risquer l'interface. Aucun test autour de la partie qui coûte de l'argent à chaque appel. Un parsing fragile de la sortie du modèle qui casse dès que le modèle formule les choses différemment. Ça marche aujourd'hui ; c'est un fardeau dès qu'il faut le changer.

6. Coûts et évolutivité

Combien cela coûte-t-il à faire tourner, et qu'arrive-t-il à ce chiffre si l'usage triple ? J'examine comment les appels sont regroupés, mis en cache, et si vous payez un modèle de pointe pour un travail qu'un modèle moins cher ferait très bien.

Ce que je retrouve sans cesse : chaque requête sollicitant le modèle le plus cher sans aucune mise en cache, de sorte que la même question est payée cent fois. Des coûts tolérables au volume d'aujourd'hui et alarmants à celui de l'an prochain. Des gains faciles valant un argent réel, le plus souvent.

Comment se déroulent les deux semaines

Pour que vous sachiez ce que vous achetez, voici la forme que cela prend :

  • Jours 1–2 : Lancement et accès. Je cartographie chaque système d'IA que vous faites tourner — y compris ceux que l'on a oublié de mentionner. L'IA fantôme est souvent là où se cache le risque.
  • Jours 3–8 : La revue approfondie. Je parcours les six dimensions ci-dessus pour chaque système, lis le code, retrace les flux de données, et classe chaque système au titre du règlement IA.
  • Jours 9–10 : La rédaction. Vous recevez un audit écrit — des constats classés par gravité — plus un plan de remédiation : quoi corriger, dans quel ordre, et une estimation approximative de l'effort pour chacun. Pas une présentation de 40 diapositives. Un document sur lequel vous pouvez agir.

Le livrable est volontairement direct. Vert là où c'est réellement en ordre, rouge là où ça ne l'est pas, et une liste priorisée pour que vous ne fixiez pas vingt problèmes en vous demandant lequel compte. Tout l'intérêt, c'est que vous terminiez en sachant exactement où vous en êtes.

Ce que vous faites du résultat

Trois issues honnêtes, et toutes les trois conviennent :

  1. « Majoritairement vert. » Bien — désormais vous savez que c'est sûr, par écrit, ce qui vaut la peine avant qu'un auditeur ou une plainte à l'APD/GBA ne le demande. La plupart des entreprises sont en partie ici.
  2. « Quelques points rouges, gérables. » Le cas courant. Le plan de remédiation vous dit quoi corriger en premier, et vous pouvez le faire en interne ou confier cela à WDC. Aucune obligation de m'utiliser pour les corrections — l'audit tient debout tout seul.
  3. « Cela demande un vrai travail. » Rare, mais cela arrive. Mieux vaut l'apprendre d'un audit de deux semaines que d'une violation ou d'un régulateur. Le plan transforme une inconnue inquiétante en une liste de tâches finie.

Pourquoi je le facture à prix fixe

Un prix fixe de deux semaines à 5 500 € existe pour une raison : la confiance. Un audit ouvert à l'heure incite l'auditeur à trouver davantage d'heures. Un prix fixe signifie que je suis motivé à être à la fois rigoureux et terminé — à vous dire la vérité efficacement et à passer à autre chose. Vous connaissez le coût avant de commencer, ce qui est précisément la certitude qu'un dirigeant de PME belge souhaite et obtient rarement pour ce genre de travail.

En résumé

Si vous avez de l'IA en production et que personne ne l'a jamais examinée, vous portez un risque que vous ne pouvez pas voir — en sécurité, en conformité, ou dans une ligne de coûts sur le point de croître. Un audit n'a pas à être une grosse mission intimidante. Deux semaines, un honoraire fixe et un document honnête suffisent généralement à transformer « je ne suis pas sûr que notre IA soit sûre » en « voici exactement où nous en sommes et ce que nous corrigeons en premier ».

J'écris une newsletter courte et pratique pour les entreprises belges — de la vraie ingénierie, le règlement IA, et l'intégration de l'IA, en langage clair et sans battage. Abonnez-vous ci-dessous si c'est utile.

Et si vous avez de l'IA en production et souhaitez un verdict honnête sur sa sûreté, c'est exactement à cela que sert l'AI Readiness Auditcommencez par une conversation.

Prêt à démarrer ?

Parlons de votre projet.

La plupart des missions commencent par une conversation de 30 minutes.

Réserver un appel

Abonnez-vous à notre newsletter

Inscrivez-vous pour recevoir des écrits occasionnels et pratiques sur l'intégration IA, le règlement IA européen et l'ingénierie senior pour les entreprises belges.