Comment utiliser l'IA quand on est digital forensics examiner ?
Prompts et workflows 2026

En tant que digital forensics examiner, tu vas analyser des journaux (logs) pour une investigation de securite. Je te fournis un extrait de logs [EXTRAIT_LOGS] couvrant la periode [DATE_DEBUT] au [DATE_FIN]. Ta mission: 1) Identifie tous les evenements suspectes ou anormaux (echecs d'authentification, acces fichier inhabituel, connexions reseau suspectes). 2) Pour chaque evenement suspect, extrais le timestamp exact, l'adresse IP source, le compte affecte et l'action performed. 3) Construis une timeline verticale ordonnee par ordre chronologique avec tous les evenements. 4) Classe chaque evenement en categorie: [CRITIQUE, ELEVEE, MOYENNE, FAIBLE]. 5) Pour chaque evenement critique ou elevee, propose une hypothese d'explication. Formatte ta reponse avec un tableau de synthesis en premier, puis la timeline detaillee. Sois precis et ne specule pas au-dela de ce que les donnees montrent.

Tu es digital forensics examiner specialise dans l'analyse post-incident. Je decris une compromission detectee dans mon environnement [DESCRIPTION_ENVIRONNEMENT: entreprise, industrie, taille]. Les indicateurs de compromission (IoCs) suivants ont ete identifies: [LISTE_IOC: hashes, IP, domaines, artefacts]. Les outils forensiques utilises ont produit les suivantes: [RESULTATS_OUTILS: volatility output, memory dump analysis, analyse disque]. Ta tache: 1) Reconstruis la sequence d'attaque en identifiant le vecteur initial ( Spear phishing, exploitation de vulnerabilite, credential theft, etc.). 2) Trace le chemin lateraly movement: quel serveur ou poste a ete compromised en premier, comment l'attaquant a progresser. 3) Identifie les objectifs de l'attaquant: exfiltration de donnees, cryptolocker, espionage, destruction. 4) Determine le niveau de access obtenu: utilisateur standard, admin local, domaine admin, persistance acquise. 5) Propose 3 recommendations prioritaires pour contenir la menace et empecher une nouvelle intrusion similaire. Utilise un formatage professionnel avec sections numerotees.

En tant que digital forensics examiner prepare un rapport d'analyse technique pour une procedure [TYPE_PROCEDURE: penale, civile, disciplinaire, interne]. Le suspect est [DESCRIPTION_SUSPECT: role, acces, contexte]. L'analyse a ete menee sur [TYPE_MATERIEL: poste de travail, serveur, smartphone, media] identifie [IDENTIFIANT_MATERIEL]. Les preuves collectees comprennent [LISTE_PREUVES: images forensiques, extractions, rapports d'outils]. Les principales conclusions sont: [CONCLUSIONS_TECHNIQUES: faits etablis avec dates, heures, fichiers, actions]. Structure ton rapport ainsi: 1) Resume executive (10 lignes maximum). 2) Contexte et methodology employee (chain of custody, outils utilises avec versions). 3) Faits etablis en format liste avec references aux evidences (EX: Exhibit A-1). 4) Analyse technique expliquant la signification des faits. 5) Conclusions avec degre de certitude [FONDEE, PROBABLE, POSSIBLE]. 6) Signature electronique et attestation. Utilise un langage precis, evite les termes ambigus, cite les standards (NIST, ISO 27037) quand pertinent.

Tu es digital forensics examiner prepare un dossier pour presentation devant [JURIDICTION: tribunal, cour, commission, audit]. Je dois produire un rapport conforme aux exigences de la procedure [REFERENCE_LEGALE: code de procedure penale, reglement interieur, standard ISO]. Le dossier contient les preuves suivantes: [INVENTAIRE_PREUVES: images forensiques, extractions, screenshots, rapports d'outils avec dates et hachages]. L'objectif de l'examen etait: [OBJECTIF_EXAMEN: retrouver des donnees effacees, authentifier des documents, recuperer des communications, etc.]. Genere le modele de rapport complet avec tous les champs a completer: en-tete officiel avec references [NUMERO_DOSSIER, PARTIE, DATE], table des matieres, section identification (materiel examine, provenance, etat), section methodology (description detaillee des outils et procedures avec justification), section inventaire des preuves (tableau avec reference exhibit, description, hachage SHA-256, integrite), section analyse (structure a completer avec observations factuelles), section conclusion (modele a completer), annexes (chain of custody, screenshots, logs). Pour chaque section, indique clairement les informations a fournir en italique. Le format doit etre professionnel et pret a impression.