ISMS Copilot
Bibliothèque de prompts ISO 27001

Prompts pour l'évaluation des risques ISO 27001

Présentation

Vous découvrirez des modèles de prompts à copier-coller pour mener des évaluations de risques ISO 27001 complètes à l'aide d'ISMS Copilot, de la création d'inventaires d'actifs au calcul des scores de risque et au développement de plans de traitement alignés sur les mesures de l'Annexe A.

À qui s'adresse ce guide

Ces prompts sont conçus pour :

  • Les professionnels de la sécurité réalisant des évaluations de risques ISO 27001

  • Les gestionnaires de risques mettant en œuvre la sélection de contrôles basés sur les risques

  • Les consultants effectuant des évaluations de risques pour plusieurs clients

  • Les organisations se préparant aux audits de certification ISO 27001

Avant de commencer

Ces prompts fonctionnent de manière optimale lorsqu'ils sont utilisés dans votre espace de travail ISO 27001 dédié. Créez un espace de travail spécifiquement pour votre évaluation des risques afin de conserver le contexte et de tirer parti des conversations précédentes.

Conseil de pro : Pour chaque prompt, personnalisez les espaces entre crochets [comme ceci] avec vos détails spécifiques — secteur d'activité, taille de l'entreprise, stack technologique ou détails des actifs. Plus votre entrée est précise, plus le résultat est exploitable.

Prompts pour l'identification des actifs

Générer un inventaire complet des actifs

"Créez un modèle d'inventaire des actifs informationnels pour une entreprise du secteur [secteur] comptant [nombre] employés et dont l'activité est [description de l'entreprise]. Incluez des catégories pour : les actifs de données, les systèmes applicatifs, l'infrastructure, les services tiers et le personnel. Pour chaque catégorie, fournissez 10 à 15 exemples pertinents spécifiques à notre secteur et à nos opérations."

Exemple : "Créez un modèle d'inventaire des actifs informationnels pour une société SaaS du secteur de la santé comptant 75 employés et fournissant des plateformes d'engagement des patients aux cabinets médicaux. Incluez des catégories pour : les actifs de données, les systèmes applicatifs, l'infrastructure, les services tiers et le personnel. Pour chaque catégorie, fournissez 10 à 15 exemples pertinents spécifiques à notre secteur et à nos opérations."

Analyser l'architecture pour la découverte d'actifs

"Analysez ce [schéma d'architecture/carte réseau/documentation système] et identifiez tous les actifs informationnels qui devraient être inclus dans notre inventaire ISO 27001. Pour chaque actif, suggérez un propriétaire approprié en fonction de la fonction métier et de la responsabilité en matière de sécurité."

Téléchargez vos schémas réseau existants, vos cartes de flux de données ou vos documents d'architecture système avant d'utiliser ce prompt pour obtenir l'identification la plus précise possible.

Définir les critères de classification des actifs

"Définissez les niveaux de classification des informations (Public, Interne, Confidentiel, Restreint) pour l'ISO 27001:2022. Pour chaque niveau, fournissez : une définition claire, 5 exemples spécifiques pertinents pour [votre secteur], les exigences de manipulation, les exigences de stockage, les contrôles d'accès et les conséquences d'une divulgation non autorisée."

Identifier les propriétaires d'actifs et leurs responsabilités

"Pour chaque type d'actif dans une organisation de [taille et description de l'entreprise], qui devrait être le propriétaire de l'actif ? Définissez les critères d'attribution de la propriété en fonction de la fonction métier, de la responsabilité technique, de la redevabilité en matière de sécurité et du pouvoir de décision."

Créer une cartographie des actifs basée sur les processus

"Pour le processus métier '[nom du processus, ex: intégration client]', identifiez tous les actifs informationnels impliqués, y compris : les données créées/traitées, les systèmes utilisés, les dépendances d'infrastructure, les services tiers et les rôles du personnel. Présentez le tout sous forme de flux de processus avec les actifs cartographiés à chaque étape."

Prompts pour l'analyse des menaces et des vulnérabilités

Générer des scénarios de menaces spécifiques aux actifs

"Pour [nom et type de l'actif] contenant [description des données] dans un [environnement d'hébergement], identifiez des menaces réalistes en tenant compte : des cyberattaques (ransomware, phishing, DDoS), des menaces internes (employés malveillants, abus de privilèges), des pannes de système (matériel, logiciel, réseau), des risques tiers (violations de fournisseurs, attaques de la chaîne d'approvisionnement) et des menaces physiques (vol, catastrophes). Pour chaque menace, décrivez le scénario d'attaque et l'impact commercial potentiel."

Exemple : "Pour notre base de données clients contenant des PII et des données de cartes de paiement dans un environnement PostgreSQL hébergé sur AWS, identifiez des menaces réalistes en tenant compte des cyberattaques, des menaces internes, des pannes de système, des risques tiers et des menaces physiques. Pour chaque menace, décrivez le scénario d'attaque et l'impact commercial potentiel."

Identifier les vulnérabilités technologiques spécifiques

"Quelles sont les vulnérabilités courantes dans [votre stack technologique] qui pourraient être exploitées par des attaquants ? Incluez : les faiblesses de configuration (paramètres par défaut, lacunes de durcissement), les lacunes du contrôle d'accès (authentification, autorisation), les problèmes de chiffrement (données au repos, en transit), les défis de gestion des correctifs et les intégrations non sécurisées."

Analyser le paysage des menaces du secteur

"Quelles menaces à la sécurité de l'information sont les plus pertinentes pour les entreprises de [votre secteur] dans la région [région] ? Incluez : les risques réglementaires et de conformité, la collecte de renseignements par les concurrents, les schémas d'attaque spécifiques au secteur, les vulnérabilités de la chaîne d'approvisionnement et les menaces émergentes basées sur des incidents récents du secteur."

Évaluer les risques liés aux fournisseurs tiers

"Créez une évaluation des risques tiers pour nos principaux fournisseurs : [liste des noms de fournisseurs et services fournis]. Pour chaque fournisseur, identifiez les risques liés à : l'accès et au traitement des données, à la disponibilité et à la continuité du service, aux incidents de sécurité et à la notification des violations, aux manquements à la conformité (RGPD, SOC 2) et aux scénarios de résiliation de contrat."

Évaluer les vulnérabilités liées au facteur humain

"Identifiez les vulnérabilités liées au facteur humain dans notre organisation en tenant compte : du niveau de sensibilisation à la sécurité des employés ([état actuel]), des modalités de télétravail ([pourcentage de télétravail]), de l'accès aux données sensibles ([nombre d'utilisateurs]), de la fréquence des formations de sécurité ([fréquence actuelle]) et de la vulnérabilité au phishing. Suggérez des scénarios de vulnérabilité spécifiques qui pourraient être exploités."

Prompts pour le calcul des risques

Évaluer la probabilité des menaces

"Pour la menace '[menace spécifique]' exploitant '[vulnérabilité spécifique]' dans notre [description de l'actif], évaluez la probabilité sur une échelle de 1 à 5 où 1=rare, 2=peu probable, 3=possible, 4=probable, 5=presque certain. Tenez compte de : nos contrôles existants ([liste des contrôles actuels]), des capacités et de la motivation de l'attaquant, des incidents historiques dans notre secteur, de l'état actuel de la sécurité et de tout facteur compensatoire. Détaillez votre raisonnement pour le score."

Exemple : "Pour la menace 'attaque par ransomware via un e-mail de phishing' exploitant une 'formation insuffisante à la sensibilisation à la sécurité des employés' dans notre entreprise SaaS de 50 personnes, évaluez la probabilité sur une échelle de 1 à 5. Considérez que : nous avons un filtrage d'e-mails de base mais pas de protection avancée, aucun programme de formation, 80 % de télétravail, et que le secteur de la santé a vu une augmentation de 40 % des attaques par ransomware d'une année sur l'autre. Détaillez votre raisonnement."

Évaluer l'impact sur l'entreprise

"Pour le risque '[menace] sur [actif]', évaluez l'impact sur une échelle de 1 à 5 où 1=négligeable, 2=mineur, 3=modéré, 4=majeur, 5=grave. Tenez compte de : la perte financière (impact sur les revenus, amendes réglementaires, coûts de récupération), l'interruption opérationnelle (durée d'indisponibilité, dégradation du service, perte de productivité), les conséquences réglementaires (pénalités RGPD, violations de conformité, exigences de rapport), les dommages à la réputation (confiance des clients, couverture médiatique, position sur le marché) et la responsabilité juridique. Détaillez votre raisonnement pour le score."

Générer une matrice de risques et des seuils

"Créez une matrice de risques 5x5 pour l'ISO 27001 où la Probabilité (1-5) et l'Impact (1-5) produisent des scores de risque. Définissez les niveaux de risque : Faible (scores 1-6, vert), Moyen (scores 8-12, jaune), Élevé (scores 15-20, orange), Critique (scores 25, rouge). Pour chaque niveau, précisez : le délai de traitement requis, l'autorité d'approbation, la plage de risque résiduel acceptable et la fréquence de surveillance."

Calculer le risque résiduel après contrôles

"Pour le risque '[description du risque]' avec un score initial [X], si nous mettons en œuvre les contrôles '[liste des contrôles]', quel serait le score de risque résiduel ? Expliquez comment chaque contrôle réduit la probabilité ou l'impact, estimez les nouveaux scores de probabilité et d'impact, calculez le risque résiduel et confirmez si celui-ci se situe dans les limites acceptables."

Prompts pour le traitement des risques

Générer des recommandations de contrôles

"Pour le risque '[description du risque]' avec le score [X], suggérez des contrôles de l'Annexe A de l'ISO 27001:2022 qui atténueraient efficacement ce risque. Pour chaque contrôle recommandé : citez le numéro et le nom du contrôle, expliquez comment il réduit la probabilité ou l'impact, décrivez l'approche de mise en œuvre, estimez le coût et l'effort (faible/moyen/élevé), fournissez le score de risque résiduel attendu et listez les preuves nécessaires pour démontrer l'efficacité."

Comparer les options de traitement de manière rentable

"Comparez les options de traitement pour le risque '[description du risque]' avec le score actuel [X] : Option A - [approche de contrôle avec coût estimé], Option B - [alternative avec coût estimé], Option C - [troisième option avec coût estimé]. Pour chaque option, évaluez : l'efficacité de la réduction du risque, la complexité de mise en œuvre, la charge de maintenance continue, la compatibilité avec les contrôles existants et le retour sur investissement sécurité. Recommandez l'approche la plus rentable sachant que notre appétence au risque est [énoncé de l'appétence au risque]."

Exemple : "Comparez les options de traitement pour 'accès non autorisé à la base de données clients' avec un score actuel de 20 : Option A - MFA, RBAC et surveillance SIEM (50 k€), Option B - chiffrement amélioré de la base de données et journalisation des accès (25 k€), Option C - passage à un service de base de données géré avec sécurité intégrée (30 k€/an). Recommandez l'approche la plus rentable sachant que notre appétence est 'aucun risque résiduel supérieur à 12 pour les actifs critiques'."

Créer un plan de traitement complet

"Générez un plan de traitement des risques pour le risque '[description du risque]'. Incluez : ID et description du risque, score de risque actuel (probabilité × impact), option de traitement sélectionnée (atténuer/éviter/transférer/accepter), contrôles spécifiques à mettre en œuvre avec références à l'Annexe A, propriétaire de la mise en œuvre et responsable exécutif, date d'achèvement cible, budget et ressources requis, score de risque résiduel attendu, approche de surveillance et de vérification, et statut d'approbation. Formatez le tout comme un plan de traitement prêt pour un audit."

Développer une justification d'acceptation du risque

"Créez une justification d'acceptation de risque pour '[description du risque]' avec le score [X] que nous prévoyons d'accepter plutôt que de traiter. Incluez : la justification commerciale de l'acceptation (analyse coûts-avantages), la confirmation que le score est dans notre appétence au risque de [seuil d'appétence], les contrôles compensatoires ou la surveillance en place, les conditions qui déclencheraient une réévaluation, les exigences d'approbation (quels cadres doivent signer) et la documentation pour la piste d'audit."

Prompts pour la cartographie des contrôles

Mapper les risques aux contrôles de l'Annexe A

"Quels contrôles de l'Annexe A de l'ISO 27001:2022 traitent le risque '[description du risque]' ? Pour chaque contrôle pertinent : citez le numéro et le nom du contrôle, expliquez l'objectif spécifique du contrôle, décrivez comment il atténue ce risque particulier (réduit la probabilité ou l'impact), décrivez les exigences de mise en œuvre, énumérez les preuves nécessaires pour démontrer la conformité et notez toute dépendance vis-à-vis d'autres contrôles."

Créer une matrice de sélection des contrôles

"Générez une matrice de sélection des contrôles montrant quels contrôles de l'Annexe A répondent à quels risques dans notre registre des risques. Structurez-la sous forme de tableau avec les colonnes : ID du risque, Description du risque, Score de risque, Contrôles sélectionnés (avec numéros), État de mise en œuvre, Justification de la sélection. Affichez les relations pour nos 15 principaux risques organisés par score (le plus élevé en premier)."

Justifier l'exclusion de contrôles

"Pour le contrôle de l'Annexe A [numéro et nom du contrôle], expliquez pourquoi nous pourrions l'exclure de notre Déclaration d'Applicabilité. Considérez : le contrôle est-il pertinent pour les risques identifiés ? Notre modèle d'affaires ou notre technologie le rend-il inapplicable ? Existe-t-il des contrôles alternatifs qui atteignent le même objectif ? Fournissez une justification prête pour l'audit si l'exclusion est recommandée."

Prompts pour la documentation

Générer un résumé des risques pour la direction

"Créez un résumé exécutif de notre évaluation des risques ISO 27001 pour présentation à la direction. Incluez : le nombre total d'actifs évalués par catégorie, le nombre de risques identifiés organisés par niveau de gravité (critique/élevé/moyen/faible), la répartition des scores de risque par unité commerciale, les conclusions clés et vulnérabilités critiques, les 5 risques prioritaires nécessitant une action immédiate, l'approche de traitement recommandée et les besoins budgétaires, le calendrier d'atténuation et l'état de conformité attendu après traitement. Public cible : cadres non techniques. Format : note de synthèse de 2 pages."

Documenter la méthodologie d'évaluation des risques

"Rédigez un document complet de méthodologie d'évaluation des risques pour la conformité ISO 27001:2022. Incluez des sections pour : la portée et les objectifs, le processus d'identification des actifs, l'approche d'analyse des menaces et vulnérabilités, l'échelle de probabilité avec définitions et exemples, l'échelle d'impact (financier, opérationnel, réglementaire, réputationnel), la formule et matrice de calcul, les critères d'acceptation, les rôles et responsabilités, la fréquence des évaluations et les exigences de documentation. Formatez pour soumission d'audit avec les références aux clauses ISO appropriées."

Créer un registre des risques prêt pour l'audit

"Générez un modèle de registre des risques complet conforme aux exigences de la clause 6.1.2 de l'ISO 27001:2022. Incluez les colonnes : ID du risque, Actif concerné, Description de la menace, Vulnérabilité exploitée, Contrôles existants, Score de probabilité (1-5 avec justification), Score d'impact (1-5 avec justification), Score de risque inhérent (P×I), Option de traitement, Contrôles sélectionnés (Annexe A), État de mise en œuvre, Risque résiduel, Propriétaire du risque, Date de révision et Statut d'approbation. Fournissez 10 exemples d'entrées pour une organisation du secteur [votre secteur]."

Bâtir la base de la Déclaration d'Applicabilité (SoA)

"En utilisant nos résultats d'évaluation des risques, créez un projet de Déclaration d'Applicabilité (SoA) pour l'ISO 27001:2022. Pour chacun des 93 contrôles de l'Annexe A : listez le numéro et le nom, indiquez l'applicabilité (Oui/Non/Partiel), référencez les risques spécifiques justifiant le choix, décrivez notre approche de mise en œuvre, notez l'état d'avancement et identifiez les lacunes ou justifications d'exclusion. Organisez par thèmes de l'Annexe A (Organisationnel, Personnes, Physique, Technologique)."

Prompts pour la validation des parties prenantes

Préparer les supports de réunion de revue

"Créez une présentation pour une réunion de revue de l'évaluation des risques avec les chefs de service. Incluez des diapositives pour : l'aperçu de la méthodologie, le résumé des risques identifiés dans leur département, les plans de traitement proposés affectant leur équipe, les actions requises et engagements de ressources, les implications budgétaires, le calendrier et les exigences d'approbation. Visez une présentation de 30 minutes avec temps d'échange."

Générer des questions de validation

"Créez une liste de questions de validation à poser aux chefs de service lors de la révision des évaluations de risques de leurs domaines. Organisez par thèmes : Exhaustivité des actifs (Avons-nous identifié tous les actifs critiques ?), Réalisme des menaces (Sont-elles réalistes dans notre environnement ?), Précision des vulnérabilités (Existent-elles réellement ?), Évaluation de l'impact, Faisabilité des contrôles, Disponibilité des ressources et Caractère raisonnable du calendrier."

Prompts pour la gestion continue des risques

Définir les déclencheurs de réévaluation

"Définissez des déclencheurs spécifiques nécessitant une réévaluation des risques de sécurité selon la clause 6.1.3 de l'ISO 27001:2022. Incluez : les changements technologiques (nouveaux systèmes, migrations cloud), les changements commerciaux (expansion, nouveaux produits, fusions-acquisitions), les mises à jour réglementaires, les incidents de sécurité, les changements du paysage des menaces, les changements organisationnels et les changements d'efficacité des contrôles (résultats d'audit). Pour chaque déclencheur, précisez qui initie la réévaluation, les délais et la portée de la revue."

Créer un processus de revue trimestrielle des risques

"Concevez un processus de revue trimestrielle des risques ISO 27001 comprenant : les indicateurs de risques clés (KRI) à suivre, les mises à jour du registre requises, les changements de menaces à considérer, la validation de l'efficacité des contrôles, les nouveaux risques à évaluer, l'ordre du jour de la réunion, les modèles de rapport pour la direction et les critères d'escalade."

Bâtir un flux de réévaluation basé sur les changements

"Concevez un workflow pour mettre à jour l'évaluation des risques ISO 27001 lorsque [un changement spécifique se produit, ex: 'lancement d'une nouvelle application client']. Incluez : le processus de notification et d'approbation du changement, les rôles responsables de l'évaluation, les actifs et risques spécifiques à revoir, les exigences d'analyse, les décisions de traitement, les mises à jour du registre et de la SoA, ainsi que la documentation à conserver comme preuve d'audit."

Prompts pour l'assurance qualité

Réviser l'évaluation des risques pour l'exhaustivité

"Révisez cette évaluation des risques au regard des exigences de la clause 6.1.2 de l'ISO 27001:2022. Vérifiez : Tous les actifs du périmètre sont-ils identifiés ? Les menaces et vulnérabilités sont-elles complètes et réalistes ? La méthodologie de scoring est-elle appliquée de manière cohérente ? Tous les risques élevés/critiques ont-ils un plan de traitement ? La sélection des contrôles est-elle justifiée ? Les acceptations sont-elles approuvées ? Identifiez les lacunes ou les points à renforcer."

Téléchargez votre document d'évaluation des risques complété avant d'utiliser ce prompt pour obtenir un contrôle qualité complet avant la soumission pour audit.

Valider la cohérence entre les évaluations

"Comparez ces deux évaluations de risques [pour des actifs ou scénarios similaires] et vérifiez la cohérence : notation de la probabilité, évaluation de l'impact, sélection des contrôles et décisions d'acceptation du risque. Identifiez les incohérences à résoudre avant l'audit."

Conseils pour utiliser ces prompts efficacement

Approfondissez les réponses précédentes : Après avoir reçu un inventaire ou une liste de risques générés par l'IA, posez des questions de suivi comme "Ajoute 5 actifs supplémentaires spécifiques au [département]" ou "Identifie d'autres menaces liées à [technologie spécifique]" pour enrichir les résultats.

Demandez le raisonnement : Ajoutez "Détaille ton raisonnement" ou "Explique ton évaluation" à n'importe quel prompt. Cela crée une documentation montrant comment les scores ont été déterminés — exactement ce que les auditeurs veulent voir.

Itérez selon votre contexte : Commencez par des prompts génériques, puis affinez-les avec des détails sur votre secteur, votre taille, votre technologie et votre appétence au risque. L'IA apprend votre contexte au fil de la conversation dans l'espace de travail.

Validez les résultats de l'IA : Révisez toujours les évaluations générées par l'IA avec vos experts internes. L'IA fournit des cadres et des suggestions — c'est à vous d'apporter le contexte métier et de prendre les décisions finales.

Bibliothèques de prompts associées

Étendez votre mise en œuvre de l'ISO 27001 avec ces collections de prompts connexes :

Obtenir de l'aide

Pour obtenir de l'aide avec les prompts d'évaluation des risques :

Prêt à commencer votre évaluation des risques ? Ouvrez votre espace de travail ISO 27001 sur chat.ismscopilot.com et copiez votre premier prompt pour commencer à identifier vos actifs informationnels.

Cela vous a-t-il été utile ?