ERP avec IA : cas d'usage et contrôles

·

L'IA au sein d'un ERP crée de la valeur lorsqu'elle réduit le travail de classement, de recherche et de préparation des décisions, mais elle ne doit jamais obtenir des permissions équivalentes à celles d'un administrateur. Les fonctions à faible impact peuvent être automatisées par échantillonnage ; les paiements, les clôtures, la création de fournisseurs, les changements fiscaux et les décisions concernant les personnes exigent des règles déterministes, une validation et une approbation.

Cas d'usage par niveau de risque

Cas Bénéfice Contrôle
Classer des documents Moins de travail manuel Échantillonnage
Extraire des champs Saisie plus rapide Validation par champ
Prévoir la demande Meilleure planification Comparaison avec la référence
Détecter des anomalies Alerte précoce Investigation humaine
Préparer une écriture Gain de temps Approbation comptable
Créer un paiement Fort impact Double approbation
Modifier une fiche maître Effet transversal Circuit contrôlé

L'autonomie n'augmente qu'avec des preuves.

Architecture

L'IA ne doit jamais écrire directement dans les tables de l'ERP. Le système expose des outils délimités via des API ou des services qui valident le schéma, l'identité, la permission, la règle et le contexte avant d'exécuter toute action.

Les couches de cette architecture sont :

Données et fiches maîtres

Un modèle qui travaille sur des données dupliquées ou incomplètes accélère les erreurs au lieu de les réduire. Avant de déployer toute fonctionnalité, il faut revoir les clients, les produits, les taxes, les fournisseurs, les unités et les statuts.

Les sorties déduites sont signalées comme des propositions, jamais comme des faits. Le système conserve la source, le niveau de confiance et la personne qui a validé chaque donnée.

Extraction documentaire

Pour les factures, les commandes ou les contrats, l'exactitude est mesurée champ par champ. Le numéro fiscal (NIF), le montant, la date, l'IBAN et la taxe n'ont pas le même impact en cas d'erreur. Les champs critiques exigent des validations mathématiques et un recoupement avec les fiches maîtres.

L'IA ne décide pas seule si un document est légitime.

Prévision

La prévision de la demande ou de la trésorerie doit toujours être comparée à des méthodes simples. Les métriques de référence sont :

Si le modèle ne surpasse pas une référence simple, il ne justifie pas la complexité ajoutée.

Agents avec outils

Un agent peut consulter le stock et créer un brouillon de commande, mais il ne doit pas approuver l'achat sans limites. Chaque outil sépare la lecture de l'écriture et définit un montant maximal, des fournisseurs autorisés et l'idempotence.

L'OWASP identifie l'agentivité excessive comme un risque propre à ces systèmes. Les contrôles doivent se situer en dehors du prompt, pas à l'intérieur.

Supervision humaine

L'écran d'approbation doit toujours afficher :

Approuver les yeux fermés n'est pas de la supervision.

Permissions

L'agent utilise une identité propre, jamais celle d'un administrateur. Les permissions sont restreintes par :

Le départ ou le changement de rôle d'une personne doit révoquer automatiquement les permissions de l'agent associé.

Sécurité

Les principales menaces à surveiller sont :

Des listes d'autorisation, une ségrégation, une authentification multifacteur, une validation et des alertes sont appliquées. Un texte contenu dans un document ne peut pas modifier les instructions du système.

Traçabilité

Chaque exécution doit enregistrer :

Les journaux sont minimisés et protégés.

Qualité et régression

Le jeu de tests doit inclure les clôtures, les taxes, les retours, les doublons, les données incomplètes et les attaques. Il s'exécute à chaque changement de modèle, de prompt, de connecteur ou de version de l'ERP.

Les classes critiques ont une tolérance zéro.

Coût et retour sur investissement

Le coût par tâche valide se calcule en additionnant le modèle, l'infrastructure, l'intégration, la revue, le support et les incidents. Une économie théorique ne compte pas si elle finit par augmenter le retravail.

Plan sur 90 jours

Jours 1-30

Cas cadré, ligne de base, données et permissions.

Jours 31-60

Intégration, tests, journaux et supervision.

Jours 61-90

Pilote, métriques, risque et décision.

Erreurs fréquentes

  1. Activer des fonctions sans propriétaire.
  2. Donner des permissions d'administrateur à l'agent.
  3. Se fier à des fiches maîtres de mauvaise qualité.
  4. Ne mesurer que la vitesse.
  5. Autoriser l'écriture directe dans l'ERP.
  6. Ne pas valider l'IBAN et les taxes.
  7. Approuver par défaut.
  8. Ne pas versionner les prompts.
  9. Mélanger les données entre entreprises.
  10. Passer à l'échelle sans tests de régression.

Checklist

Questions fréquentes

L'IA peut-elle comptabiliser automatiquement ?

Elle peut préparer des propositions d'écriture. L'automatisation finale dépend du risque, des règles, des preuves accumulées et de l'approbation humaine.

L'IA peut-elle effectuer des paiements ?

Elle ne devrait pas le faire sans contrôles stricts, limites de montant et double approbation en dehors du modèle lui-même.

L'IA remplace-t-elle le BI ?

Non. Le BI décrit et surveille ; l'IA peut prévoir ou assister, mais elle a besoin de données de qualité et de métriques pour le faire de façon fiable.

Chez Summum Sistemas, nous aidons à intégrer l'IA dans l'ERP avec des permissions, des tests et une supervision adaptés à chaque niveau de risque.