Les équipes TI des gouvernements fédéral, provinciaux et municipaux au Canada font face à une « tempête parfaite » : des systèmes patrimoniaux critiques arrivant en fin de vie, des cybermenaces étatiques de plus en plus sophistiquées et des budgets souvent stagnants.

Alors que la Directive sur la prise de décision automatisée (DPDA) encadre l'utilisation de l'intelligence artificielle (IA), il existe un besoin pressant d'outils tactiques respectant ces garde-fous. Ce guide présente des scénarios clés où les Grands Modèles de Langage (LLM) peuvent agir comme multiplicateurs de force, tout en intégrant les mesures de protection nécessaires pour les environnements de données de niveau Protégé B.

1. Gestion de la sécurité des systèmes et des vulnérabilités

Le défi : Gérer l'afflux constant de données de balayage de vulnérabilités et signaler les exceptions aux conseils de surveillance.

Prompts tactiques

  • Priorisation de la remédiation : « Analyse ces résultats hebdomadaires de balayage de vulnérabilités pour [Nom du système] et regroupe les conclusions par gravité et par composant affecté. Recommande des étapes de remédiation classées par réduction de risque, en te basant sur les 10 meilleures mesures de sécurité du Centre de la sécurité des télécommunications (CST). »
  • Rapport de conformité : « Rédige un résumé d'une page de toutes les exceptions de sécurité applicative accordées au cours du dernier trimestre et associe chacune au contrôle pertinent dans notre [ITSG-33 / Référentiel de cybersécurité]. »

Mesures de protection (Safeguards)

  • Masquage des actifs : Assurez-vous que les noms d'hôtes ou les adresses IP internes sont remplacés par des identifiants génériques (ex: Prod-Web-01) avant de téléverser les rapports.
  • Alignement sur les politiques : Vérifiez que les « étapes recommandées » s'alignent sur la politique de correction (patching) spécifique de votre ministère (ex: 48 heures pour les vulnérabilités critiques).

2. DevOps et gestion des mises en production

Le défi : Charge de travail manuelle élevée pour la documentation et l'analyse de performance avant les étapes d'approbation de Bibliothèque pour l'infrastructure des technologies de l'information(ITIL).

Prompts tactiques

  • Analyse de couverture : « Fusionne ces rapports de couverture de code des trois dernières versions. Calcule le pourcentage de couverture de test pour chaque module, souligne tout module inférieur à 75 % et rédige un court récit expliquant les lacunes les plus importantes. »
  • Vérification des accords sur le niveau de service (SLA) : « Résume les données de test de performance et souligne les points de terminaison dépassant notre accord de niveau de service (SLA) de [Valeur] ms. Présente les conclusions sous forme de tableau. »

Mesures de protection (Safeguards)

  • Données d'environnement : N'incluez pas de chaînes de connexion de production ou de clés secrètes dans les plans de déploiement ou les extraits d'Infrastructure-as-Code (IaC).
  • Surveillance humaine : Un développeur principal doit approuver le plan de retour en arrière (rollback) généré par l'IA avant qu'il ne soit soumis pour approbation à la gestion des changements.

3. Infrastructure et opérations infonuagiques

Le défi : S'assurer que l'infrastructure en tant que code (IaC) respecte les mandats stricts de résidence des données et de chiffrement.

Prompts tactiques

  • Audit de conformité IaC : « Compare ces définitions YAML/JSON pour le cluster de base de données de secours avec nos exigences [Nom de la politique] (IaC) (chiffrement des données au repos, isolation réseau, ancrage dans la région canadienne). Produis un tableau des éléments non conformes avec des suggestions de corrections. »
  • Prévision de capacité : « Génère un rapport de capacité hebdomadaire pour les machines virtuelles hébergeant [Nom du système]. Inclue des prévisions à 30 jours basées sur l'utilisation historique. Identifie toute contrainte projetée. »

Mesures de protection (Safeguards)

  • Ancrage régional : Instruisez explicitement le LLM de vérifier que les balises region ou location sont définies sur des centres de données canadiens.
  • Identifiants de compte : Nettoyez les identifiants de compte de fournisseur infonuagique ou les ID d'abonnement des manifestes avant l'analyse.

4. Qualité et analyse des données

Le défi : Nettoyer les ensembles de données hérités et les préparer pour les processus Extraction, Transformation, Chargement (ETL).

Prompts tactiques

  • Dédoublonnage : « Dédoublonne cet ensemble de données de [Nom/Type de données] par numéro d'identité et par date, en signalant les entrées conflictuelles pour examen. Fournis un résumé des doublons supprimés. »
  • Normalisation des données : « Combine ces trois exportations délimitées par des tabulations en un seul tableau normalisé, ajoute un horodatage "last_updated" et sors le résultat au format JSON. »

Mesures de protection (Safeguards)

  • Nettoyage des renseignements personnels (RP) : Si l'ensemble de données contient des RP, utilisez un script local pour hacher les identifiants sensibles (comme les numéros d'assurance sociale (NAS)) avant de transmettre les données au LLM.
  • Validation de schéma : Vérifiez manuellement la structure JSON de sortie par rapport au schéma de votre base de données de destination.

5. Centre de services et soutien aux utilisateurs

Le défi : Réduire le volume de tickets pour les demandes courantes et améliorer la cohérence du tri.

Prompts tactiques

  • Génération de base de connaissances : « Génère un article de base de connaissances sur l'enrôlement des appareils dans notre solution gestion des appareils mobiles (MDM), en utilisant ces captures de console comme guide. Fournis des instructions étape par étape en langage clair. »
  • Analyse des tendances : « Analyse les journaux de tickets du dernier trimestre et fais ressortir les cinq problèmes récurrents par département. Suggère des ressources de libre-service pour chacun. »

Mesures de protection (Safeguards)

  • Simplicité : Assurez-vous que les instructions évitent le jargon technique qui pourrait entraîner d'autres appels au soutien.
  • Confidentialité : Assurez-vous que les journaux de tickets utilisés pour l'analyse ne contiennent pas de mots de passe d'utilisateurs ou de notes de cas sensibles.

6. Approvisionnement et surveillance des fournisseurs

Le défi : Évaluer des propositions Software as a service (SaaS) complexes par rapport aux exigences canadiennes de souveraineté et de sécurité.

Prompts tactiques

  • Comparaison de SLA : « Compare les SLA dans ces trois propositions d'hébergement infonuagique et souligne les lacunes par rapport à notre exigence de disponibilité de 99,99 % et au mandat de résidence des données au Canada. »
  • Rédaction de demande de propositions (DP) : « Génère un modèle d'ébauche de DP pour une plateforme Security Information and Event Management (SIEM), en te référant aux règles d'approvisionnement de notre juridiction et aux contrôles de cybersécurité obligatoires. »

Mesures de protection (Safeguards)

  • Exactitude des clauses : Demandez toujours au modèle de citer le numéro de page ou de section de la proposition pour une vérification manuelle.
  • Conflit d'intérêts : Assurez-vous que la DP générée ne favorise pas par inadvertance les noms de technologies propriétaires d'un fournisseur spécifique.

7. Intervention en cas d'incident et continuité

Le défi : Maintenir une communication claire et cohérente lors de pannes majeures ou d'événements de sécurité.

Prompts tactiques

  • Comms de crise : « Rédige un ticket d'incident initial, une déclaration publique et une mise à jour pour la direction interne concernant un événement de rançongiciel suspecté affectant les serveurs de messagerie de [Agence]. »
  • Examen après action : « Génère un plan de rapport après incident pour la panne de réseau de la semaine dernière, incluant les sections sur la cause profonde, l'atténuation et les leçons apprises, en te basant sur ces extraits de journaux système. »

Mesures de protection (Safeguards)

  • Pré-approbation : Les modèles générés par l'IA doivent être pré-approuvés par les équipes de communications et juridiques avant qu'un incident réel ne se produise.
  • Calendrier : Utilisez l'IA pour accélérer la rédaction, mais n'automatisez jamais la diffusion des déclarations publiques.

8. Collaboration interorganisationnelle

Le défi : Aligner les normes et la formation entre les différents paliers de gouvernement (fédéral, provincial, municipal).

Prompts tactiques

  • Cartographie des politiques : « Répertorie les exigences de formation en cybersécurité qui se chevauchent dans ces politiques du Revenu, du Commerce et de l'Agriculture. Propose un curriculum consolidé avec des modules partagés. »
  • Alignement des normes : « Résume les normes techniques citées dans ces trois cadres d'approvisionnement et présente un tableau comparatif montrant où ils s'alignent sur les exigences de rétention des données. »

Mesures de protection (Safeguards)

  • Vérification de la juridiction : Assurez-vous que le LLM comprend la différence entre la législation fédérale (Loi sur la protection des renseignements personnels (LPRPDE)) et la législation provinciale (ex: la FIPPA de l'Ontario).

🚀 Au-delà du prompt : Du clavardage manuel aux flux automatisés

Les prompts énumérés ci-dessus sont plus que de simples instructions de « clavardage » — ils représentent la base logique métier pour construire des outils d'IA gouvernementaux internes.

Pour aller au-delà du prompt manuel, les équipes TI peuvent intégrer ces instructions dans des applications personnalisées où les mesures de protection peuvent évoluer vers des scripts automatisés :

  • Prétraitement : Des scripts automatisés peuvent nettoyer les RP ou masquer les adresses IP avant même que les données n'atteignent le LLM.
  • Post-traitement : Des expressions régulières (regex) ou des LLM « juges » secondaires peuvent vérifier que la sortie ne contient aucun contenu interdit et respecte les schémas techniques requis.
  • Automatisation des flux de travail : Ces unités « Prompt + Script » peuvent être intégrées dans les pipelines CI/CD existants, les systèmes de tickets (Jira/ServiceNow) ou les plateformes d'orchestration de la sécurité (SOAR) pour automatiser des cycles de vie TI entiers.

Conclusion : L'approche « Copilote »

L'utilisation de l'IA dans les TI gouvernementales ne vise pas à remplacer l'ingénieur ; il s'agit d'éliminer la « corvée cognitive » des tâches répétitives. En utilisant ces prompts comme fondation pour des flux de travail TI automatisés au sein d'un environnement souverain et privé, les équipes TI peuvent passer d'un mode réactif à l'innovation proactive.

Évaluation de l'exactitude : 98/100

  • Note : Ces prompts et stratégies d'automatisation sont conçus pour être compatibles avec les directives actuelles du Secrétariat du Conseil du Trésor. Le score reflète le fait que la mise en œuvre réelle nécessite une intégration avec les points de terminaison d'API et les configurations de sécurité spécifiques à l'organisation.