Avec des gains de productivité évidents à la clé, de plus en plus d’entreprises et de professionnels adoptent l’intelligence artificielle générative. Si les équipes marketing, financières et commerciales se tournent désormais vers ces plateformes pour gagner en efficacité opérationnelle, il en est de même pour les responsables de la sécurité des systèmes d’information (RSSI). Avec ChatGPT, ils disposent désormais d’un assistant virtuel pouvant les aider dans leurs tâches quotidiennes.
Quels sont les cas d’usages applicables au métier de RSSI ? Comment rédiger des prompts efficaces ?
Pour le découvrir, retrouvez dans cet article 12 prompts ChatGPT dédiés à cet effet.
Note : Ne partagez pas de données confidentielles ou sensibles dans votre utilisation des plateformes d’intelligence générative.
Définissez le contexte dans lequel vous collaborez avec l’IA
Avant de rédiger vos premiers prompts, il est important de délimiter le contexte de votre demande en définissant qui vous êtes, dans quel environnement vous évoluez et quel est le rôle tenu par ChatGPT.
« Je suis responsable de la sécurité des systèmes d’information (RSSI) d’une entreprise de 120 salariés dans l’industrie de l’énergie en France. Tu es un assistant RSSI avec 5 années d’expérience. Tes réponses doivent être concises, utiliser un champ lexical compréhensible par des personnes ayant peu de compétences dans la cybersécurité et ne doivent pas intégrer d’emphase. Remplace les termes “piratage” par “compromission” et “pirate” par “cybercriminel”. »
Gardez à l’esprit que plus le contexte sera détaillé, plus les réponses à vos prompts seront proches de vos attentes.
Appliquez l’IA sur les questions de gouvernance
Assurer une gouvernance efficace de la cybersécurité s’avère souvent compliqué pour les RSSI. Entre des sources données souvent éparpillées au sein de l’entreprise, des outils de pilotage parfois peu adaptés, un RSSI peut vite se retrouver débordé. Voici donc 5 prompts pour améliorer la gouvernance cyber dans l’entreprise.
1. Analyser un texte de loi ou une directive
À l’heure de l’émergence de NIS 2 et de DORA , anticiper les nouvelles obligations réglementaires est un prérequis pour le RSSI.
Pour vous aider dans l’analyse de ces textes, vous pouvez demander à ChatGPT d’analyser un référentiel dans son ensemble ou un article spécifique d’un texte de loi dans le but de vous fournir une synthèse adaptée au niveau de compréhension de votre auditoire.
« Agis comme un expert de la cybersécurité avec 10 années d’expérience. Dans ce cadre, analyse le référentiel XXXX dans l’objectif de pouvoir en résumer les enjeux et nouveautés à [ma direction / un interlocuteur métier] ayant un niveau de maturité cyber [élevé / faible]. Je dois être notamment capable d’expliquer les nouveautés et les impacts en matière d’investissement dans de nouveaux produits de cybersécurité. »
Pour accéder à plus de précisions dans les réponses, enrichissez le prompt avec les informations suivantes :
- demandez d’estimer les efforts de mise en conformité suivant le référentiel choisi ;
- précisez votre secteur d’activité ;
- indiquez votre niveau de maturité cyber estimé ;
- listez les conformités que vous suivez déjà.
2. Identifier une solution technologique sur la base d’une liste de critères
Après avoir identifié les briques technologiques que vous devez implémenter dans votre système d’information, il est temps de faire votre veille technologique. Ici encore, ChatGPT s’avère être d’une aide précieuse en vous apportant la définition de critères d’évaluation sur laquelle baser votre recherche.
« Identifie-moi les critères à évaluer dans le cadre du choix d’une solution de type [IAM / EDR / XDR…] pour une entreprise dans le secteur de [secteur] ayant des contraintes de [listes des contraintes]. Ces critères doivent cibler les aspects de protection, de faisabilité du projet, d’adhérence avec le SI. Chaque critère doit être évalué entre 0 et 4 et accompagné d’une description. Pour cela, intègre les contraintes de notre SI qui sont : [Listez sans rentrer dans le détail les contraintes techniques de votre SI]. »
3. Rédiger une procédure
Si ChatGPT ne rédige jamais du premier coup une version finalisée d’une procédure, l’intelligence artificielle générative peut néanmoins vous aider à en rédiger les contours.
« Rédige-moi une procédure détaillant les actions qu’un administrateur système doit effectuer le jour du départ d’un salarié de l’entreprise. Cette procédure doit intégrer l’ensemble des risques en matière de confidentialité et de conformité liés à ce type de situation. La procédure doit ainsi détailler les opérations à faire, mais également les étapes de contrôle en définissant pour chacune les critères de succès / échec du contrôle. »
Pour aller plus loin, n’hésitez pas à intégrer dans votre prompt les risques que vous aurez préalablement identifiés (Shadow IT, BYOD…).
4. Rédiger un template mail
Un salarié viole l’une des règles de la charte informatique de l’entreprise ? Utilisez ChatGPT pour rédiger un template d’email de notification.
« Un salarié viole la charte informatique de l’entreprise en imprimant des documents à des fins de coloriage pour ses enfants. Dans le but de lui notifier son infraction, rédige-moi un template mail sur un ton neutre et non agressif rappelant les règles de la charte informatique qui sont [intégrer la ou les règles].»
5. Rédiger une fiche de poste
Rédiger une fiche de poste n’est pas chose facile. Elle doit être à la fois concise et attractive pour le candidat. Pour ce faire, vous pouvez utiliser le prompt suivant :
« Rédige-moi une fiche de poste pour un poste d’adjoint RSSI. Détaille les missions types et les compétences attendues. La fiche de poste doit permettre à un candidat de découvrir les missions, mais également attiser son envie d’en savoir plus. ».
Pour aller plus loin :
- fournissez à ChatGPT les fiches de postes existantes ou similaires de votre entreprise ;
- détaillez les missions que vous souhaitez confier à ce profil.
Utilisez l’intelligence artificielle générative pour vous aider dans vos prises de décisions
ChatGPT est souvent vu comme un simple exécutant : ous lui demandez de produire et il produit. Une vision très limitée, car dans les faits ce modèle peut vous aider dans vos prises de décisions, élargir votre vision et vous faire bénéficier d’angles et de compétences que vous n’avez peut-être pas. Voici comment.
6. Construire un programme de sensibilisation à la cybersécurité
Pour permettre à ChatGPT d’élargir votre vision, collaborez avec lui comme vous collaboreriez avec un membre de votre équipe.
« Je dois construire un programme de sensibilisation à la cybersécurité. Je cherche un angle de communication qui parle à l’ensemble des salariés de l’entreprise. As-tu des exemples de stratégies de communication à me présenter ? Sois libre, tu peux par exemple me proposer des angles humoristiques comme le fait qu’un mot de passe est comme un slip, il ne se prête pas. Je souhaite communiquer par mail à l’ensemble des utilisateurs de mon organisation sur les bonnes pratiques en termes de cybersécurité. Chaque mail doit avoir un objet percutant pour faciliter la lecture et doit présenter une bonne pratique, une justification, une liste de questions-réponses (format FAQ). »
Pour améliorer votre prompt, vous pouvez préciser la fréquence des campagnes ou les thèmes abordés.
Si vous testez ce prompt, vous réaliserez que ChatGPT intègre parfaitement la notion d’humour dans ces résultats avec des titres de campagnes plutôt bien choisis comme « Phishing : ne mordez pas à l’hameçon ! », « Mise à jour logicielle : l’antidote contre les virus informatiques ! » ou encore « Votre assistant vocal : un mouchard dans le salon ? ».
7. Construire un plan de formation
Plutôt que de demander à ChatGPT de rédiger bêtement, proposez-lui de vous poser des questions comme dans cet exemple.
« Je tente de construire un programme de formation à la norme ISO 27001. L’objectif est de pouvoir former les équipes internes à un programme de certification. La formation doit tenir en 3 séances de 1 h et doit permettre à un utilisateur n’ayant aucune connaissance de maîtriser les fondements de la norme et son application dans une entreprise. As-tu des conseils à me donner pour me permettre de construire un programme de formation qui ne soit pas rébarbatif ? Pour affiner ta réponse, pose-moi des questions. Commence par une première question. ».
8. Générer des templates de mails de phishing
En tant qu’assistant RSSI, ChatGPT s’avère être le parfait collaborateur pour brainstormer. Dans cet exemple, nous demandons à ChatGPT d’identifier des scénarios de phishing.
« Je cherche à rédiger des mails de phishing dans un but de sensibilisation interne auprès de mes collaborateurs. As-tu des idées de scénarios d’email de phishing qui pourraient être applicables à ce projet ? »
Pour vous assurer de la qualité de la réponse, n’hésitez pas à définir qui sera le type de collaborateur recevant cette campagne. Il adaptera ainsi les scénarios en fonction du niveau de maturité de votre cible.
9. Évaluer les compétences
L’évaluation des compétences se doit d’être adaptée au rôle et à l’environnement de travail de l’employé. Pour ce faire, voici un prompt permettant à ChatGPT de vous inspirer dans la manière de rédiger ce questionnaire.
« Je travaille à la création d’un questionnaire d’évaluation des bonnes pratiques en cybersécurité à destination des employés de l’entreprise. J’ai pour projet de concevoir un quiz en 10 questions dont le but est de mesurer si les collaborateurs maîtrisent les bonnes pratiques. J’aimerais que tu me conseilles sur les thématiques à aborder. Penses-tu qu’intégrer une augmentation de la difficulté soit une bonne pratique dans ce type de quiz ? Si oui sur quels critères penses-tu pouvoir augmenter la difficulté des questions ? Propose-moi 3 exemples de questionnaires en fonction des différents postes dans l’entreprise (CEO, responsable d’équipe, collaborateur). ».
Automatisez vos analyses techniques
ChatGPT ne sert pas uniquement à la rédaction de contenu, mais peut également vous aider dans des tâches opérationnelles comme l’analyse technique d’un code source ou dans votre veille hebdomadaire. Sachez que ces tâches peuvent être automatisées à l’aide d’outils comme Zapier ou Make. Il vous faudra cependant payer l’accès à l’API d’Open AI pour pouvoir exécuter des prompts.
10. Auditer un code source pour en comprendre le fonctionnement
Vous êtes face à un code source dont vous ne comprenez pas le fonctionnement ? Pour sortir de cette situation, utilisez ce prompt.
« Voici un code source dont je ne maîtrise pas la structure, peux-tu m’indiquer son fonctionnement et les actions qu’il génère ? »
Note : bien que ChatGPT ne puisse pas déterminer si un code est malveillant, il peut fournir les informations requises pour vous aider dans cette évaluation.
11. Faire une veille des dernières vulnérabilités publiées autour d’un produit
Vous souhaitez être notifié des dernières vulnérabilités des équipements présents dans votre entreprise ? ChatGPT peut vous aider dans cette tâche.
« Je suis propriétaire d’un firewall [modèle] de la marque [marque]. En recherchant sur internet, liste-moi les vulnérabilités des 30 derniers jours. »
12. Suivre les dernières CVE publiées
Comme pour le prompt précédent, ChatGPT peut automatiser la recherche des dernières CVE et vous en résumer le fonctionnement.
« Liste-moi, en cherchant sur Internet, les dernières CVE de la semaine. »
Il est important de garder à l’esprit que ChatGPT doit être intégré dans vos outils de veille comme une source d’information imparfaite. La taille des réponses étant limitée, ChatGPT tronque la réponse.
Aller plus loin avec les GPTs
Le 6 novembre 2023, Open AI a lancé la fonctionnalité d’assistant dans ChatGPT sous la dénomination de GPTs.
Comme pour l’Apple store, Open AI propose à l’ensemble de ses utilisateurs de pouvoir créer des assistants spécialisés autour d’une thématique.
Pour que ces assistants soient pertinents, les utilisateurs doivent leur fournir un grand volume de données à analyser, ce qui leur permet d’acquérir une expertise dans le domaine concerné et de formuler leurs réponses en se fondant sur cette base de connaissances.
Depuis quelques mois, plusieurs GPTs sont disponibles pour les professionnels de la cybersécurité.
Voici quelques GPTs :
Notez que ces GPTs sont publiés par des sociétés privées ou des utilisateurs inconnus. Il faut donc garder un esprit critique vis-à-vis des réponses générées.