Entreprise

Une piste d'audit en ajout seul pour le développement assisté par IA

Chaque prompt, fusion, déploiement et action d'administration, enregistré en ajout seul — afin que « qui a fait quoi, et qui l'a approuvé » ait une réponse que vos auditeurs peuvent lire.

Ciao maintient une piste d'audit en ajout seul sur les prompts, fusions, déploiements et actions d'administration. Contrairement aux outils de développement qui ne journalisent que les commits, la piste capture la nouvelle question de l'ère IA — ce qui a été demandé à l'IA, ce qui a changé en conséquence, et quel humain l'a examiné — Guardrails enregistrant la revue humaine derrière chaque fusion. La piste peut être exportée pour la revue d'audit et démontrée en direct pendant l'évaluation.

Idéal pourAudit interne et revues proches de SOXReconstitution d'incidentsPreuves de gestion des changements

Publié 2026-07-03 · Dernière mise à jour 2026-07-03

« Qui a fait quoi » inclut désormais l'IA

La gestion traditionnelle des changements audite trois artefacts : le ticket, le commit et l'approbation. Le développement assisté par IA en ajoute un quatrième que la plupart des outils ignorent — le prompt. Lorsqu'une demande en langage naturel peut produire un changement de production, la demande elle-même fait partie du registre de changement, et une piste d'audit qui commence au commit a déjà perdu le début de l'histoire.

Ciao enregistre la séquence entière. Les prompts sont des événements de premier ordre ; les fusions portent le registre de revue Guardrails — quelle politique s'est appliquée, quel humain a examiné, ce qui a été approuvé ; les déploiements et les actions d'administration complètent le tableau. La piste est en ajout seul : les entrées s'accumulent, et l'historique lu par vos auditeurs est l'historique qui s'est réellement produit. Rien dans la séquence n'a besoin d'être reconstitué à partir d'exports de discussion ou de captures d'écran après coup.

Pour un RSSI, cela transforme une question inconfortable — « comment contrôlez-vous ce que l'IA change ? » — en question examinable : consultez la piste et lisez exactement ce qui a été demandé, ce qui a changé, qui l'a approuvé et quand cela a été mis en ligne. Cette seule capacité tend à faire passer une plateforme de développement IA de la colonne « exceptions à expliquer » d'une revue de risque à la colonne « contrôles à citer », car peu d'histoires de gestion des changements dans le reste du périmètre commencent aussi tôt que la demande elle-même.

Ce qui est enregistré

Quatre catégories d'événements, une seule piste — enregistrées dans l'ordre, pas assemblées après coup :

  • Prompts — Les demandes en langage naturel adressées à la plateforme — le véritable point de départ de chaque changement, capturé plutôt que perdu dans une fenêtre de discussion.
  • Fusions avec contexte de revue — Guardrails associe le code aux domaines d'activité, détecte les changements risqués, applique des politiques en langage clair et enregistre la revue humaine — laissant une piste d'audit derrière chaque fusion.
  • Déploiements — Ce qui a été mis en ligne et quand, reliant les changements approuvés à ce qui s'exécute réellement devant les utilisateurs.
  • Actions d'administration — Changements d'identité, d'accès et de configuration — y compris les événements de provisionnement issus du SSO et de SCIM — afin que les revues d'accès et les revues de changement s'appuient sur le même registre.
  • En ajout seul par conception — La piste s'accumule ; les entrées ne sont pas modifiées en place. Ce que lisent les évaluateurs est la séquence telle qu'elle s'est produite.

Export et revue

Une preuve que vous ne pouvez pas extraire est une preuve que vous n'avez pas. La piste peut être exportée pour la revue d'audit, afin que votre équipe puisse intégrer les registres à ses propres documents de travail et son processus de conservation plutôt que de capturer l'écran d'une interface fournisseur. Pendant l'évaluation, demandez deux choses : une démonstration en direct où vous choisissez un changement réel et le retracez de bout en bout, et un export de cette même séquence afin que vos auditeurs voient le format avec lequel ils travailleraient réellement. Demandez aussi qui peut lancer des exports et comment les événements d'export eux-mêmes sont enregistrés — une bonne histoire de journalisation inclut l'histoire d'accès au journal lui-même.

Pour la réponse aux incidents, la même piste sert un autre maître. Lorsque quelque chose casse ou semble anormal, les intervenants reconstituent la séquence du prompt au déploiement sans attendre la mémoire de quiconque sur ce qui a été demandé et approuvé. La preuve qui satisfait un auditeur lors de la revue trimestrielle est la preuve qui raccourcit un délai d'incident pendant la mauvaise semaine.

Comment se déroule une demande d'audit

Un cas concret, utilisant la piste comme le feraient vos auditeurs :

  1. 1. Cadrer la question

    Un auditeur pose une question sur un changement : qui l'a initié, ce qu'il a touché, qui l'a approuvé, quand il a atteint la production.

  2. 2. Consulter la piste

    Localisez la séquence — prompt, changement résultant, politique Guardrails et registre de revue, événement de déploiement.

  3. 3. Montrer la revue

    Le registre de fusion montre la politique en langage clair qui s'est appliquée et la revue humaine enregistrée par Guardrails, répondant directement à la question d'approbation.

  4. 4. Exporter la preuve

    Exportez les registres pertinents dans les documents de travail de l'audit, afin que le constat repose sur des registres plutôt que sur des souvenirs.

  5. 5. Boucler la boucle

    Comme les actions d'administration figurent dans la même piste, les questions de suivi sur qui avait accès à ce moment-là trouvent réponse dans la même source.

Types d'événements et pourquoi ils intéressent les évaluateurs

Type d'événementCe qui est enregistréPourquoi les évaluateurs s'y intéressent
PromptLa demande en langage naturel adressée à la plateformeL'origine réelle d'un changement assisté par IA
FusionDétection de changement risqué, politique appliquée, revue humaine enregistréePreuve d'approbation derrière chaque fusion
DéploiementCe qui a été mis en ligne et quandRelie les approbations à la réalité de production
Action d'administrationChangements d'identité, d'accès et de configurationRevues d'accès et preuves de changements privilégiés

Notes de vérification

La piste est un contrôle que vous pouvez observer fonctionner : pendant l'évaluation, effectuez un changement via la plateforme puis retrouvez-vous dans le journal. Pour une preuve écrite, les rapports SOC 2 Type II sont disponibles sous NDA, et le dossier de sécurité — sur demande via la page de contact — couvre l'architecture de journalisation et les spécificités de conservation. Si votre référentiel d'audit a des exigences particulières de conservation ou de format, adressez-les par écrit à l'équipe entreprise lors de l'achat.

Une habitude à adopter des équipes qui auditent bien : choisissez un changement réel par mois et retracez-le de bout en bout comme exercice. Cela maintient le muscle d'audit actif, révèle les lacunes pendant qu'elles sont encore peu coûteuses à corriger, et transforme l'audit annuel en répétition de quelque chose de routinier plutôt qu'en course contre la montre.

Questions fréquentes

Les entrées du journal d'audit peuvent-elles être modifiées ou supprimées par un administrateur ?

La piste est en ajout seul par conception — les entrées s'accumulent plutôt que d'être modifiées en place. Pour le détail architectural derrière cette propriété, demandez le dossier de sécurité et, sous NDA, le rapport SOC 2 Type II couvrant les contrôles pertinents.

Les prompts IA font-ils vraiment partie du registre d'audit ?

Oui. La piste s'étend des prompts aux fusions, déploiements et actions d'administration, si bien que le registre d'un changement commence à la demande plutôt qu'au commit. Pendant l'évaluation, vous pouvez retracer un prompt jusqu'à son déploiement.

Combien de temps les registres d'audit sont-ils conservés ?

Les spécificités de conservation relèvent de l'écrit, pas d'une page marketing — elles sont couvertes dans le dossier de sécurité et peuvent être traitées dans votre accord. Indiquez l'exigence de conservation de votre référentiel lors de l'achat et obtenez la réponse consignée.

Pouvons-nous intégrer la piste à notre SIEM ou à notre outillage GRC ?

La piste peut être exportée pour la revue d'audit. L'ingestion dans votre pile SIEM ou GRC spécifique est une question d'intégration — décrivez votre pipeline à l'équipe entreprise et confirmez le flux pendant l'évaluation plutôt que de le présumer.

Qui peut lire la piste d'audit ?

L'accès à la piste est régi par le contrôle d'accès basé sur les rôles, si bien que la visibilité d'audit est un rôle que votre espace de travail attribue délibérément. Les changements d'accès sont eux-mêmes des actions d'administration — enregistrées dans la même piste à laquelle elles donnent accès.

Pages associées

Obtenez le dossier sécurité.

Journaux d'audit en ajout seul | Ciao