On ne peut pas améliorer ce qu’on ne peut pas mesurer. C’est pourquoi JieGou a introduit le GovernanceScore — un nombre unique de 0 à 100 qui vous indique exactement le degré de maturité de votre posture de gouvernance IA, et précisément ce qu’il faut faire ensuite pour l’améliorer.
Le GovernanceScore n’est pas une métrique de vanité. C’est une évaluation quantitative sur huit facteurs importants pour la sécurité IA, la conformité et l’excellence opérationnelle. Chaque facteur contribue au score total et peut être amélioré indépendamment.
Voici comment cela fonctionne.
Les 8 facteurs
1. Couverture RBAC (0–15 points)
Mesure la rigueur avec laquelle vous avez implémenté le contrôle d’accès basé sur les rôles dans votre organisation. Tous les membres de l’équipe ont-ils des rôles appropriés ? Les permissions sont-elles alignées avec les fonctions réelles ? Avez-vous une couverture de rôles dans tous les départements utilisant JieGou ?
Comment améliorer : Assurez-vous que chaque membre de l’équipe a un rôle attribué. Révisez les permissions trimestriellement. Utilisez le rôle Manager pour les responsables de département plutôt que de donner l’accès Admin à tout le monde.
2. Adoption des portes d’approbation (0–15 points)
Les portes d’approbation empêchent les actions IA non révisées d’atteindre la production. Ce facteur mesure le pourcentage de vos workflows sensibles qui incluent des étapes d’approbation, et si les approbateurs examinent activement (pas seulement en auto-approbation).
Comment améliorer : Identifiez les workflows qui touchent des systèmes externes, des données financières ou des communications clients. Ajoutez des étapes d’approbation avant ces actions critiques. Visez des portes d’approbation sur au moins 80 % des workflows classés comme sensibles.
3. Complétude du journal d’audit (0–10 points)
Avoir la journalisation d’audit activée est la base. Ce facteur évalue si vos journaux sont complets — couvrant toutes les actions, tous les utilisateurs, toutes les exécutions de workflow — et s’ils sont conservés pendant une durée adéquate.
Comment améliorer : JieGou active la journalisation d’audit par défaut, donc la plupart des organisations commencent avec un bon score ici. Assurez-vous que vous n’avez pas désactivé la journalisation sur aucun workflow et que vos paramètres de rétention répondent à vos exigences de conformité.
4. Chiffrement BYOK (0–15 points)
Bring Your Own Key (BYOK) signifie que vos clés API LLM sont chiffrées avec des clés que vous contrôlez, pas stockées en texte clair ou chiffrées avec des clés gérées par la plateforme. Ce facteur mesure si vous utilisez BYOK et si les clés sont régulièrement renouvelées.
Comment améliorer : Activez BYOK pour tous les fournisseurs LLM. Mettez en place un calendrier de rotation des clés trimestriel. Utilisez des clés API séparées pour différents départements si votre organisation exige l’isolation des données.
5. Certification MCP (0–10 points)
Les intégrations MCP (Model Context Protocol) connectent vos workflows IA aux services externes. Ce facteur évalue si vous utilisez des intégrations certifiées basées sur OAuth plutôt que des connexions non certifiées ou manuelles.
Comment améliorer : Privilégiez les intégrations OAuth intégrées de JieGou par rapport aux connexions manuelles par clé API. Examinez votre inventaire d’intégrations et migrez les connexions non certifiées vers des alternatives certifiées.
6. Diversité des modèles (0–10 points)
Dépendre d’un seul modèle IA crée un risque de concentration. Ce facteur mesure si vous utilisez des modèles de plusieurs fournisseurs (Anthropic, OpenAI, Google) et si vous avez des configurations de repli.
Comment améliorer : Configurez au moins deux fournisseurs LLM. Mettez en place des modèles de repli pour que les workflows continuent si un fournisseur subit une panne. Utilisez différents modèles pour différents cas d’usage selon leurs forces.
7. Transparence des coûts (0–10 points)
Les coûts IA peuvent exploser sans visibilité. Ce facteur évalue si vous avez configuré le suivi des coûts, les budgets et les alertes — et si les membres de l’équipe peuvent voir l’impact financier de leurs workflows.
Comment améliorer : Activez le suivi des coûts par workflow. Définissez des budgets par département avec des alertes aux seuils de 80 % et 100 %. Examinez les rapports de coûts mensuellement et optimisez les workflows coûteux.
8. Gouvernance de la mémoire (0–15 points)
La mémoire IA — le contexte et les données conservés entre les sessions — nécessite aussi de la gouvernance. Ce facteur mesure si vous avez des politiques sur les données stockées, leur durée de rétention et qui peut accéder au contexte historique.
Comment améliorer : Configurez des politiques de rétention de mémoire par département. Définissez des TTL appropriés pour différents niveaux de sensibilité des données. Assurez-vous que le traitement des PII respecte les politiques de gouvernance des données de votre organisation.
De 40 à 80+ : Un parcours d’amélioration pratique
Une organisation typique qui s’inscrit et commence à utiliser JieGou obtient immédiatement environ 35–45 points. La journalisation d’audit est activée par défaut, le RBAC de base est en place grâce au flux d’invitation, et certaines intégrations sont certifiées. C’est un bon départ.
Voici le chemin le plus rapide vers 80+ :
Semaine 1 (40 → 55) : Activez le chiffrement BYOK pour votre fournisseur LLM principal. Cela seul ajoute jusqu’à 15 points et prend environ cinq minutes.
Semaine 2 (55 → 65) : Ajoutez des portes d’approbation à vos 5 workflows les plus sensibles. Révisez vos attributions RBAC et assurez-vous que chaque membre a le bon rôle — pas « Admin pour tout le monde ».
Semaine 3 (65 → 75) : Configurez un deuxième fournisseur LLM comme repli. Mettez en place le suivi des coûts et les budgets par département. Migrez les intégrations manuelles vers des alternatives certifiées OAuth.
Semaine 4 (75 → 80+) : Configurez les politiques de rétention de mémoire. Révisez les paramètres de rétention du journal d’audit. Faites une revue RBAC finale pour vous assurer que l’isolation des départements est correctement configurée.
Pourquoi le GovernanceScore est important
Le GovernanceScore vous donne trois choses :
Une base de référence. Avant de pouvoir améliorer la gouvernance, vous devez savoir où vous en êtes. Un nombre unique facilite la communication avec la direction et le suivi dans le temps.
Une feuille de route. Chaque facteur vous indique exactement sur quoi travailler ensuite. Au lieu de recommandations vagues, vous obtenez des améliorations spécifiques et actionnables classées par impact.
Une preuve de progrès. Quand votre RSSI demande « comment va notre gouvernance IA ? », vous pouvez répondre avec un chiffre, une courbe de tendance et une ventilation par facteur. C’est une conversation de deux minutes au lieu de deux heures.
La gouvernance IA n’est pas une destination — c’est une pratique. Le GovernanceScore rend cette pratique mesurable.