Field Guide · ProcurementGuide pratique · Procurement · July 2026

How to Answer the AI Section of an Enterprise Security Questionnaire — With Evidence, Not Assurances

Security and risk questions — not model quality — are where most AI deals stall in 2026. The vendors who move fastest aren't the ones with the best model. They're the ones who hand the committee a complete governance package.

Répondre au volet IA d'un questionnaire sécurité grands comptes — avec de la preuve, pas des assurances

Ce sont les questions sécurité et risque — pas la qualité du modèle — qui bloquent la majorité des deals IA en 2026. Les vendeurs qui avancent le plus vite ne sont pas ceux qui ont le meilleur modèle. Ce sont ceux qui tendent au comité un dossier de gouvernance complet.

The questionnaire changed this year

Enterprise vendor-risk assessments now carry a dedicated AI module. CAIQ, SIG, and most internal templates ask about model provenance, human oversight, audit trails, kill switches, subprocessor transparency, and alignment with the EU AI Act, ISO 42001 or NIST AI RMF. If you sell an AI system into enterprises, you have met these questions — usually late in the deal, from a risk committee you never talk to directly.

Why assertion-answers fail

Most vendors answer with policy statements: "human oversight is required," "all actions are logged," "we follow the EU AI Act." A risk committee discounts these on sight — not because it distrusts you, but because a vendor's statement about its own system is the weakest class of evidence there is. It is self-attested. The committee's job is precisely to ask: who, outside your system, can confirm any of this?

The question behind every question in the AI module is: can anyone independently verify what you just claimed?

What an evidence-answer looks like

An evidence-answer reconstructs, from your system's actual execution records plus independent channels, what a reviewer can establish:

Why the gaps are your strongest page

Counter-intuitive but true in practice: the NOT ASSESSABLE map is what converts a skeptical committee. Every vendor claims everything; almost none can show what they cannot yet prove and what they're instrumenting next. That map reads as an engineering roadmap, not a confession — and it preempts the committee's next three questions.

What this looks like on a real system

We publish worked examples on real, public AI-agent executions — including one where the agent's declared fix is contradicted by the repository's own published tests. Same grammar, same honesty, applied to a system anyone can check: the Governability Index.

Facing the questionnaire right now?

A governance profile of your system, from your traces — fixed price, delivered in 2 working days. Your data stays in your perimeter; your prospect's committee gets evidence instead of assurances.

How it works →

Related: AI Governance Is a Separation of Assertions · How to Collect Audit Evidence for AI Agents · How Do You Prove a Control Actually Ran?

Le questionnaire a changé cette année

Les évaluations de risque fournisseur des grands comptes comportent désormais un module IA dédié. CAIQ, SIG et la plupart des modèles internes interrogent la provenance des modèles, la supervision humaine, les pistes d'audit, les kill switches, la transparence des sous-traitants, et l'alignement AI Act / ISO 42001 / NIST AI RMF. Si vous vendez un système IA à des grands comptes, vous avez déjà rencontré ces questions — en général tard dans le deal, posées par un comité risque auquel vous ne parlez jamais directement.

Pourquoi les réponses-assertions échouent

La plupart des vendeurs répondent par des déclarations de politique : « la supervision humaine est obligatoire », « toutes les actions sont journalisées », « nous suivons l'AI Act ». Un comité risque les décote à vue — non par défiance, mais parce que la déclaration d'un vendeur sur son propre système est la classe de preuve la plus faible qui existe. Elle est auto-attestée. Le travail du comité est précisément de demander : qui, en dehors de votre système, peut confirmer quoi que ce soit ?

La question derrière chaque question du module IA est : quelqu'un peut-il vérifier indépendamment ce que vous venez d'affirmer ?

À quoi ressemble une réponse-preuve

Une réponse-preuve reconstruit, depuis les enregistrements d'exécution réels de votre système plus des canaux indépendants, ce qu'un reviewer peut établir :

Pourquoi vos lacunes sont votre meilleure page

Contre-intuitif mais vrai en pratique : la carte NON ÉVALUABLE est ce qui convainc un comité sceptique. Tous les vendeurs affirment tout ; presque aucun ne peut montrer ce qu'il ne peut pas encore prouver et ce qu'il instrumente ensuite. Cette carte se lit comme une feuille de route d'ingénierie, pas comme un aveu — et elle préempte les trois questions suivantes du comité.

Sur un système réel

Nous publions des exemples travaillés sur des exécutions réelles et publiques d'agents IA — dont une où le correctif déclaré par l'agent est contredit par les tests publiés du dépôt lui-même. Même grammaire, même honnêteté, sur un système que chacun peut vérifier : l'Index de gouvernabilité.

Le questionnaire est devant vous ?

Un profil de gouvernance de votre système, depuis vos traces — prix fixe, livré en 2 jours ouvrés. Vos données restent dans votre périmètre ; le comité de votre prospect reçoit de la preuve au lieu d'assurances.

Comment ça marche →

À lire aussi : La gouvernance IA est une séparation des assertions · Comment collecter la preuve d'audit pour les agents IA · Comment prouver qu'un contrôle a réellement tourné ?

© FactNotebook · factnotebook.com · Essays