Comment utiliser l'IA quand on est automotive security engineer ?
Prompts et workflows 2026

Tu es automotive security engineer, tu analyses un rapport de scan de vulnerabilites pour un ECU automobile. Tu dois structurer les resultats par niveau de criticite et proposer un plan d'action. Voici les donnees brutes: [NOMBRE_DE_VULNERABILITES] vulnerabilites detectees, dont [NOMBRE_CRITIQUES] critique(s), [NOMBRE_HAUTES] haute(s), [NOMBRE_MOYENNES] moyenne(s), [NOMBRE_FAIBLES] faible(s). L'ECU concerne est [MODELE_ECU] sur le reseau [TYPE_RESEAU: CAN/Ethernet/FlexRay]. L'environnement vehicule est [TYPE_VEHICULE: VPC/Serie/Prototype]. Identifie d'abord les 5 vulnerabilites les plus critiques en termes d'impact sur la securite fonctionnelle et la vie du conducteur. Pour chaque vulnerabilite, evalue: la probabilite d'exploitation (1-5), l'impact potentiel (confidentialite/integrite/disponibilite), et la faisabilite d'attaque (connaissances requise, acces necessaire). Classe ensuite les resultats selon la matrice CVSS adapte automotive. Propose un plan d'action avec: priorite, responsabilite (equipe hardening/equipe software/equipe test), delai cible, et contre-mesure temporaire si applicable. Termine par un resume executif de 3 paragraphes destine au comite securite. Sois precis et technique, cite les references [CVE_XXXX_XXXX] si pertinentes.

Tu es automotive security engineer, tu dois synthesizer les exigences de securite cyber de la regulation UNECE R155 et ses amendments pour un projet automobile donne. Le projet concerne: [TYPE_PROJET: VPC/Modification majeure/Nouvelle plateforme] pour un vehicule [CATEGORIE_VEHICULE: M1/N1/L6/L7] destine aux marches [LISTE_PAYS: FR/DE/JP/etc]. Identifie les phases obligatoires du cycle de developpement securise: conception, developpement, production, operation, decommissioning. Pour chaque phase, liste les livrables securite requis selon l'ISO 21434 et les TARA associees. Extrais les exigences specifiques concernant: le management de vulnerabilites, les tests de penetration, la gestion des incidents cyber, et la mise a jour securite apres-vente. Etablis une matrice de conformite avec: exigence, reference reglementaire, statut actuel du projet (Conforme/Partiellement conforme/Non conforme/NA), actions requises. Propose un planning de mise en conformite si des ecarts sont identifies. Prends en compte les deadlines reglementaires [DATE_CIBLE] pour le marche principal [PAYS_PRINCIPAL]. Sois exhaustif mais synthetique, chaque exigence doit tenir en une phrase.

Tu es automotive security engineer, tu rediges un document d'analyse de menaces TARA pour le sous-systeme [NOM_SOUS_SYSTEME: gateway/infotainment/TMU/etc] d'un vehicule. Le document doit suivre la methodology STRIDE adaptee automotive selon ISO 21434. Decris d'abord l'architecture du sous-systeme: composants materiels [LISTE_COMPOSANTS], flux de donnees critiques [FLUX_1/FLUX_2], interfaces externes [INTERFACES], et limites de confiance [TRUST_BOUNDARIES]. Pour chaque composant ou interface, applique les 6 categories STRIDE: Spoofing (usurpation d'identite), Tampering (falsification), Repudiation (deni), Information disclosure (divulgation), Denial of service (deni de service), Elevation of privilege (elevation de privileges). Pour chaque menace identifiee, documente: l'actif associe, la methode d'attaque, le scenario d'exploitation probable, le niveau de severite (Catastrophic/Hazardous/Serious/Minor), et les contre-mesures existantes ou recommandees. Classe les menaces selon l'ISO 26262 pour evaluer l'impact sur la securite fonctionnelle. Evalue la faisabilite des attaques restantes selon le modele [MODEL_EVALUATION: HEAVM/EAAT/etc]. Termine par une matrice de risques residuels et des recommandations de securite prioritaires pour la phase de developpement. Format standardise pour integration dans le dossier de securite cyber.

Tu es automotive security engineer, tu generes un reporting hebdomadaire de securite cyber pour le projet [NOM_PROJET] en phase [PHASE: Concept/Development/Production/Post-production]. Compile les informations suivantes pour la periode du [DATE_DEBUT] au [DATE_FIN]: avancement des activites securite completes [LISTE_TACHES], statut des vulnerabilites en cours de traitement [LISTE_VULNERABILITES], incidents securite survenus [LISTE_INCIDENTS], resultats des revue de securite [LISTE_REVUES], blockers ou dependances critiques [LISTE_BLOCKERS]. Structure le reporting en 4 parties: (1) Resume executif de 5 points cles destine a la direction, (2) Tableau de bord avec indicateurs KPI: nombre de tests de securite realises, taux de couverture des exigences, nombre de defects securite ouverts/fermes, dette securite identifiee, (3) Points d'attention avec impact et plan d'action proposes, (4) Planning previsionnel pour la semaine suivante avec jalons securite. Pour les indicateurs, compare aux semaines precedentes ([VALEUR_SEMAINE_1], [VALEUR_SEMAINE_2]) et au target projet [TARGET]. Mets en evidence les variations significatives et explique les ecarts. Format professionnel destine a diffusion via [CANAL: email/page Confluence/outil projet]. Sois concis mais complet, chaque section doit tenir sur une page maximum.