Points clés
- Les TI évaluent les risques, et tout ce qui est inconnu est considéré comme à haut risque par défaut — réduisez les inconnues en rassemblant la documentation de sécurité (SOC 2, DPA) avant votre première conversation
- Formulez les demandes autour du problème d'affaires, pas de l'outil — « Nous passons 30 heures par semaine sur X » est plus convaincant que « Nous avons trouvé un outil d'IA intéressant »
- Proposez un projet pilote limité avec des critères de sortie clairs pour contenir les risques et faciliter l'approbation
Vous avez trouvé un outil d'IA qui pourrait faire économiser des heures à votre équipe chaque semaine. Vous êtes enthousiaste. Vous en parlez aux TI.
Trois semaines plus tard, vous attendez encore une réponse. Ou vous avez reçu un questionnaire de sécurité avec 47 questions, dont la moitié vous échappent. Ou quelqu'un a mentionné le « comité d'approvisionnement », et votre cœur s'est serré parce que vous savez que ça signifie des mois.
Pendant ce temps, vous êtes à peu près certain que quelques personnes de votre équipe utilisent déjà ChatGPT sur leurs téléphones pour faire avancer le travail, parce que la voie officielle est trop lente.
Voici la réalité : les TI ne sont pas votre ennemi. Ils n'essaient pas de bloquer le progrès. Ils font face à un vrai problème — chaque nouvel outil qui touche aux données de l'entreprise crée un risque, et ce sont eux qui sont blâmés quand quelque chose tourne mal.
Le questionnaire de sécurité n'est pas de la bureaucratie pour le plaisir. C'est parce qu'ils ont vu ce qui se passe quand quelqu'un introduit un outil qui laisse fuir des données ou crée un cauchemar de conformité.
L'astuce n'est pas de combattre les TI ni de les contourner. C'est de leur faciliter la tâche.
Réduire les inconnues
La première chose à réaliser est que les TI évaluent les risques, et tout ce qui est inconnu est considéré comme à haut risque par défaut.
Quand vous arrivez avec un outil dont ils n'ont jamais entendu parler, d'un fournisseur qu'ils ne connaissent pas, demandant l'accès à des systèmes qu'ils sont responsables de protéger — vous leur demandez essentiellement d'assumer des risques pour que votre équipe soit plus productive. Ce n'est pas un échange qui les enthousiasme.
Mais si vous pouvez réduire les inconnues avant même d'avoir la conversation, tout change.
Avant de planifier une réunion, faites vos devoirs. Allez sur le site Web du fournisseur et trouvez leur page de sécurité. Téléchargez leur rapport SOC 2 s'ils en ont un. Obtenez l'accord de traitement des données. Lisez leur politique de confidentialité — lisez-la vraiment, ne la parcourez pas seulement.
Découvrez où vont les données quand quelqu'un utilise l'outil. Vérifiez si elles sont utilisées pour entraîner leur modèle d'IA (gros signal d'alarme pour la plupart des équipes TI) ou si les données clients restent isolées.
Quand vous arrivez à la conversation en connaissant déjà tout ça, vous venez de faire économiser des heures de recherche aux TI. Vous avez aussi signalé que vous prenez la sécurité au sérieux, ce qui compte plus que vous ne le pensez.
Formuler la demande
La façon dont vous formulez la demande fait une énorme différence.
Ne commencez pas par l'outil. Commencez par le problème.
« Notre équipe passe 30 heures par semaine à répondre aux mêmes questions sur les avantages sociaux encore et encore. J'ai cherché des moyens de résoudre ce problème, et j'ai trouvé quelque chose qui pourrait fonctionner. »
Maintenant les TI comprennent pourquoi vous demandez. Ce n'est pas « les RH ont trouvé un jouet brillant et veulent jouer avec ». C'est « les RH ont un vrai problème d'affaires et ont trouvé une solution potentielle ».
Ensuite, avant qu'ils puissent poser des questions sur la sécurité, adressez-la vous-même. « Je sais que la sécurité des données est la première question, alors j'ai rassemblé leur documentation. Ils ont SOC 2 Type II, ils n'entraînent pas leurs modèles sur les données clients, et ils peuvent faire la résidence des données au Canada. Puis-je vous envoyer ce que j'ai trouvé? »
Vous venez de sauter trois semaines d'allers-retours.
Commencer petit pour gagner gros
L'autre chose qui aide est de faire une petite demande.
« Je veux faire un pilote avec 10 personnes pendant 60 jours » est un oui beaucoup plus facile que « Je veux déployer ça dans toute l'entreprise ».
Un pilote limité contient le risque. Si quelque chose tourne mal, les dégâts sont limités. Et si le pilote fonctionne, vous avez des preuves pour le déploiement plus large.
Définir la stratégie de sortie : Offrez de gérer les aspects administratifs pendant le pilote. « Je gérerai les accès et serai la personne de référence si quelque chose survient — vous n'aurez pas à supporter ça directement. » Les équipes TI sont débordées. Tout ce que vous pouvez leur enlever rend l'approbation plus probable.
Assurez-vous qu'il y a une sortie claire. « Si ça ne fonctionne pas ou s'il y a des problèmes, nous pouvons tout arrêter immédiatement. Pas de contrat à long terme, pas de données verrouillées. » Savoir qu'ils peuvent annuler la décision rend les TI beaucoup plus à l'aise pour la prendre.
Ce que les TI recherchent vraiment
Certains outils sont simplement plus faciles à approuver que d'autres, et il vaut la peine de savoir ce que les TI recherchent.
Isolation du contenu : Ils sont plus à l'aise avec des outils qui répondent uniquement à partir de votre propre contenu — vos politiques, vos documents, votre base de connaissances — que des outils qui puisent dans l'internet ouvert ou les données d'entraînement générales de l'IA. S'ils savent exactement quelles informations l'IA peut accéder, le profil de risque est plus clair.
Engagements explicites sur les données : Ils aiment les engagements explicites sur les données. « Vos données ne sont jamais utilisées pour l'entraînement » est facile à évaluer. Les déclarations vagues sur « prendre la confidentialité au sérieux » ne le sont pas.
Contrôles administratifs : Ils veulent des contrôles administratifs — la capacité de voir qui utilise l'outil, ce qu'ils en font, et de révoquer l'accès si nécessaire. Les journaux d'audit comptent. Les permissions basées sur les rôles comptent. Si le fournisseur ne peut pas montrer ces fonctionnalités, les TI deviennent nerveux.
Stabilité du fournisseur : Ils se soucient aussi de la stabilité du fournisseur. Un outil d'une entreprise établie avec de vrais clients et un historique est plus facile à approuver que quelque chose d'une startup qui pourrait ne plus exister l'année prochaine. Ce n'est peut-être pas juste pour les startups audacieuses, mais les TI pensent à ce qui arrive à vos données si le fournisseur disparaît.
Si vous êtes encore en train d'évaluer les options, pesez ces facteurs. Choisir un outil qui coche les cases des TI dès le départ économise des semaines d'allers-retours.
Ce qu'il faut éviter
Quelques choses qui ne fonctionnent pas, au cas où vous seriez tenté :
Contourner les TI. Faire inscrire les gens avec des courriels personnels, le facturer sur une carte d'entreprise sans approbation, l'utiliser discrètement en espérant que personne ne remarque. Les TI finissent toujours par le découvrir, et quand ils le font, vous avez détruit votre crédibilité. L'outil est fermé, et chaque demande future part dans un trou.
Fabriquer de l'urgence. « Nous avons besoin de cette approbation d'ici vendredi, sinon nous manquerons une énorme opportunité. » Les TI ont déjà entendu ça. C'est presque jamais vraiment vrai. La fausse urgence les rend moins confiants.
Minimiser les préoccupations de sécurité. « Oh, c'est totalement correct, ne vous inquiétez pas. » Vous n'êtes pas l'expert ici. Quand vous rejetez leurs préoccupations, ils supposent que vous n'avez pas fait vos devoirs.
Escalader pour forcer le passage. Faire pression sur les TI par un VP pour forcer l'approbation pourrait fonctionner une fois. Mais vous vous êtes fait un ennemi, et votre prochaine demande — et celle d'après — sera plus difficile.
Le jeu à long terme
Voici ce que personne ne vous dit : le vrai objectif n'est pas de faire approuver cet outil unique. C'est de construire une relation avec les TI pour que les demandes futures soient plus faciles.
Quand votre pilote réussit, dites-le leur. Partagez les résultats. Remerciez-les d'avoir travaillé avec vous. Quand vous remarquez quelque chose de préoccupant — un problème de sécurité, un comportement inattendu — apportez-le aux TI de manière proactive au lieu de le cacher. Soyez la personne qui prend ces choses au sérieux.
Avec le temps, vous devenez quelqu'un en qui les TI ont confiance. Vos demandes avancent plus vite. Votre jugement a du poids. Vous devenez la personne vers qui les autres équipes viennent quand elles veulent introduire quelque chose de nouveau.
Cette réputation vaut plus que n'importe quelle approbation unique.
Choisir des outils conçus pour l'entreprise
Une dernière chose. Le chemin le plus rapide à travers tout cela est de choisir des outils qui ont été conçus pour l'entreprise dès le départ.
Les fournisseurs qui comprennent les ventes en entreprise ont déjà fait le travail de sécurité. Ils ont le rapport SOC 2 prêt à envoyer. Ils ont construit les contrôles administratifs dont les TI ont besoin. Ils savent comment mener un pilote qui facilite l'approbation. Ils ont eu cette conversation des centaines de fois.
Quand vous apportez aux TI un outil comme celui-là, tout est plus fluide. La documentation existe. Les réponses sont claires. Le fournisseur sait comment travailler avec les TI plutôt que contre eux.
Ce qui signifie que vous passez moins de temps dans les limbes de l'approvisionnement et plus de temps à résoudre le problème qui vous importait en premier lieu.
JoySuite est conçu exactement pour cette situation. Certifié SOC 2 Type II. Vos données ne sont jamais utilisées pour l'entraînement. Journaux d'audit complets et contrôles administratifs que les TI apprécieront vraiment. Et nous sommes heureux de faire un appel avec votre équipe de sécurité — nous en avons fait des centaines. Obtenez la documentation de sécurité dont votre équipe TI a besoin.
