IA - Sécurité applicative

Chercher les risques avant qu'ils ne deviennent des incidents

L'IA aide bien à faire une première passe de revue sécurité si on lui demande des choses concrètes : validations d'entrée, injections, authentification, sessions, secrets, données sensibles, fichiers uploadés, contrôles d'accès et messages d'erreur. Elle ne remplace pas un audit complet, mais elle accélère beaucoup la qualification des risques visibles.

1. Prompt de revue sécurité

Analyse ce code comme un auditeur sécurité applicative.

Recherche en priorité :
- injections ;
- validations insuffisantes ;
- secrets exposés ;
- contrôles d'accès absents ;
- fuites d'informations.

Format :
1) Risques critiques
2) Risques modérés
3) Corrections recommandées
4) Vérifications restantes

2. Prompt API et authentification

Analyse cette API sous l'angle sécurité.

Vérifier :
- authentification ;
- autorisation ;
- gestion des tokens ou sessions ;
- exposition des erreurs ;
- validation des entrées ;
- données sensibles en sortie.

3. Prompt formulaire ou upload

Revois ce formulaire ou ce module d'upload.

Attendu :
- contrôles d'entrée ;
- types et tailles autorisés ;
- risques de fichier malveillant ;
- stockage ;
- erreurs exposées à l'utilisateur.

4. Prompt de synthèse de risque

Rédige une synthèse sécurité pour ce module.

Format :
1) Surface d'attaque
2) Risques visibles
3) Priorités de correction
4) Recommandations de validation

Workflows utiles

Workflow revue rapide : lire le code, classer les risques, proposer des corrections et lister les validations manuelles restantes.
Workflow API : vérifier entrée, auth, droits, erreurs, sorties et journalisation.
Workflow remédiation : isoler le risque, corriger sans casser le fonctionnel, puis documenter les contrôles à rejouer.

Checklists rapides

Les entrées sont-elles contrôlées et normalisées ?
Les erreurs techniques sont-elles masquées côté utilisateur ?
Les secrets et credentials sont-ils absents du code et des sorties ?
Les droits sont-ils vérifiés au bon niveau ?
Les données sensibles sont-elles limitées en lecture, écriture et export ?

Cas du site

Cette page est directement utile pour relire les points d'entrée PHP de get-fiche.php, save-fiche.php, get-sujet.php et save-sujet.php avec un angle validation, contrôle d'accès, messages d'erreur et exposition de données.

Elle fait aussi un bon tandem avec REST / JWT partie 1, partie 2 et partie 3 pour croiser sécurité d'API, authentification et bonnes pratiques de revue.

Cas ultra-concrets du site

Validation d'entrée : "Analyse save-fiche.php et save-sujet.php sous l'angle validation, erreurs exposées et données sensibles."
Lecture de données : "Relis get-fiche.php et get-sujet.php, puis classe les risques visibles par criticité."
JWT : "Croise REST / JWT partie 1 et partie 2 pour produire une synthèse courte des points de vigilance API."

Pages voisines utiles

Pour les prompts de revue générale, voir les prompts développement. Pour les sujets Oracle et accès aux données, voir la page Oracle. Pour les APIs et choix techniques plus larges, voir les prompts architecture. Pour débuter avec des demandes courtes, voir les prompts pour débutants. Pour mieux reformuler un besoin de revue, voir les exemples avant / après. Pour les cadres de départ rapides, voir les squelettes de prompts.

Sécurité applicative avec l'IA

Workflows utiles

Checklists rapides

Cas du site

Cas ultra-concrets du site

Pages voisines utiles