Les professionnels de la cybersécurité utilisent de plus en plus l’IA comme assistant d’analyse. Ces dix prompts couvrent les tâches quotidiennes d’un analyste SOC ou d’un pentester.
- Audit de code et vulnérabilités
- Analyse de menaces
- Réponse aux incidents
- Politique et conformité
- Pentest et red team
- Rappel déontologique
- Questions fréquentes
- Ces prompts fonctionnent-ils avec tous les modèles d'IA ?
- L'IA peut-elle remplacer un audit de cybersécurité professionnel ?
- Les entreprises peuvent-elles utiliser ces prompts dans un cadre réglementaire ?
Audit de code et vulnérabilités
Prompt 1 : « Analyse ce code source pour les vulnérabilités OWASP Top 10. Pour chaque vulnérabilité trouvée : type (injection SQL, XSS, etc.), ligne concernée, niveau de criticité (CVSS), correctif recommandé avec code. »
Prompt 2 : « Revois cette configuration [nginx/Apache/Docker/Kubernetes]. Identifie les paramètres de sécurité manquants ou mal configurés selon les benchmarks CIS. Propose les corrections ligne par ligne. »
Analyse de menaces
Prompt 3 : « Analyse ces logs d’accès. Identifie les patterns suspects : brute force, scanning, exfiltration de données, mouvement latéral. Classe par criticité et propose des règles de détection SIEM. »
Prompt 4 : « Modélise les menaces (STRIDE) pour [application/système]. Pour chaque composant de l’architecture : menaces potentielles, probabilité, impact, contre-mesures existantes et recommandées. »
Réponse aux incidents
Prompt 5 : « Un ransomware a été détecté sur [description du système]. Rédige un playbook de réponse : étapes de containment, éradication, recovery. Timeline réaliste. Communication interne et externe. Obligations légales (CNIL, 72h). »
Prompt 6 : « Analyse cet IOC (Indicator of Compromise) : [hash/IP/domaine]. Contexte connu, campagnes associées, TTP MITRE ATT&CK, recommandations de blocage et de hunting. »
Politique et conformité
Prompt 7 : « Rédige une politique de sécurité [mots de passe/accès/BYOD] conforme au RGPD et à la norme ISO 27001. Format : objectif, périmètre, règles, exceptions, sanctions, révision. »
Prompt 8 : « Crée un plan de sensibilisation cybersécurité pour [taille d’entreprise]. 12 mois, un thème par mois. Format pour chaque mois : sujet, support (email/vidéo/quiz), message clé, métrique de succès. »
Pentest et red team
Prompt 9 : « Pour ce périmètre de test [description], propose une méthodologie de pentest. Phases : reconnaissance, scanning, exploitation, post-exploitation, reporting. Outils recommandés pour chaque phase. Scope et limites éthiques. »
Prompt 10 : « Rédige un rapport de pentest professionnel à partir de ces findings : [liste]. Pour chaque vulnérabilité : description technique, preuve de concept, impact business, recommandation priorisée, effort de remédiation estimé. Executive summary pour la direction. »
Rappel déontologique
Ces prompts sont destinés à un usage défensif et autorisé. Tout audit de sécurité doit être réalisé avec l’accord écrit du propriétaire du système.
Questions fréquentes
Ces prompts fonctionnent-ils avec tous les modèles d’IA ?
La plupart de ces prompts sont optimisés pour des modèles avancés comme GPT-4, Claude ou Gemini, capables d’analyser du code et de produire des recommandations structurées. Les modèles plus anciens ou plus légers peuvent produire des résultats moins détaillés, notamment sur l’analyse de vulnérabilités OWASP et la modélisation de menaces STRIDE. Pour un usage professionnel en cybersécurité, privilégiez systématiquement les modèles de dernière génération.
L’IA peut-elle remplacer un audit de cybersécurité professionnel ?
Non, et ce serait dangereux de le croire. Ces prompts sont des outils de pré-audit, de sensibilisation et de documentation. Un audit professionnel implique des tests d’intrusion physiques et logiques sur l’infrastructure réelle, une analyse de surface d’attaque complète et une expertise humaine certifiée (OSCP, CEH, PASSI). L’IA accélère le travail de l’analyste SOC, mais elle ne remplace ni son jugement ni sa responsabilité légale.
Les entreprises peuvent-elles utiliser ces prompts dans un cadre réglementaire ?
Oui, à condition de respecter le cadre légal en vigueur. Pour un audit interne, les prompts de conformité ISO 27001 et RGPD constituent un excellent point de départ pour structurer sa démarche. En revanche, pour les audits réglementaires opposables au titre de NIS2 ou DORA, seul un prestataire certifié par l’ANSSI peut délivrer les attestations reconnues par les autorités de contrôle. Ces prompts restent utiles pour préparer et documenter la démarche en amont.
À lire aussi
→ Comprendre ce terme dans notre glossaire IA
