Skills persistants : installer un prompt une fois pour toutes

Pourquoi installer un prompt comme skill

Un prompt de sécurité copié-collé à chaque session présente trois faiblesses :

• **Oubli** : l'utilisateur peut omettre de coller le prompt sur une session importante.
• **Dérive éditoriale** : le copier-coller introduit des modifications involontaires entre versions, l'équipe perd la cohérence.
• **Charge cognitive** : la sécurité devient une corvée plutôt qu'un acquis.

Un skill persistant inverse la posture : la sécurité est configurée **une fois** dans une plateforme (Custom GPT, Project, Skill local, system prompt API…), puis elle s'applique automatiquement à chaque session future dans ce périmètre. L'utilisateur retrouve un confort opérationnel sans sacrifier la rigueur.

Les 7 plateformes couvertes en v1

PromptSecOps génère les instructions d'installation pour les 7 plateformes les plus utilisées en 2026.

**Plateformes grand public** - ChatGPT — Custom GPT (Plus requis pour la création) - Claude.ai — Project (tous comptes) - Mistral Le Chat — Custom Agent (gratuit) - Gemini — Gem (tous comptes) - Perplexity — Space (Pro requis, et certaines fiches non pertinentes)

**Plateformes développeur** - Claude Code — Skill local dans ~/.claude/skills/ (gratuit, installation locale) - API custom — Wrapper SDK avec system prompt versionné (snippets TypeScript, Python, cURL fournis)

Le choix de couvrir 7 plateformes dès la v1 reflète la diversité des écosystèmes IA actuels — pas de mono-fournisseur.

Comment ça marche sur le site

Sur chaque fiche prompt, une section **« Installer comme skill persistant »** apparaît après l'installation classique. Elle déroule 7 accordéons (un par plateforme).

Pour chaque plateforme, vous trouvez :

• Le **nom suggéré** du skill (court, descriptif, copiable)
• La **description** publique (pour la galerie de votre plateforme)
• Le **pas-à-pas** d'installation (étapes spécifiques à la plateforme)
• Les **instructions complètes** à coller (préambule contextualisé + prompt de la fiche)
• Pour l'API : des **snippets TypeScript, Python et cURL** prêts à intégrer
• Pour Claude Code : le **contenu du fichier SKILL.md** prêt à écrire dans ~/.claude/skills/
• Un **lien direct** vers l'éditeur de la plateforme quand disponible

Tout le contenu est généré au build à partir de la fiche source — pas de duplication éditoriale, toute mise à jour de la fiche propage automatiquement aux 7 skills.

Pertinence par plateforme

Toutes les fiches PromptSecOps ne sont pas pertinentes pour toutes les plateformes. La règle de pertinence dépend de la nature de chaque plateforme :

• **ChatGPT, Claude.ai, Mistral, Gemini, Claude Code, API** : éligibles à toutes les fiches.
• **Perplexity Spaces** : non pertinent pour les fiches agent-plugins (Perplexity n'a pas de tool use configurable), ni pour les fiches LLM06 (Excessive Agency) ou LLM07 (System Prompt Leakage).

Quand une fiche n'est pas pertinente pour une plateforme, l'accordéon correspondant affiche **« Non pertinent »** avec une explication courte. Aucun pas-à-pas ni instruction n'est généré — vous savez immédiatement où porter votre attention.

Anatomie d'un skill généré

Les instructions générées combinent un **préambule contextualisant** (qui contient les références OWASP, le niveau, le type, et l'URL de la fiche source) suivi du **prompt complet** de la fiche.

Tu es un assistant configuré pour appliquer la fiche **PS-XXXX — Titre** de PromptSecOps.

Tes instructions de sécurité sont strictement les suivantes — applique-les à chaque interaction, sans les répéter à l'utilisateur sauf demande explicite :

---

[Prompt complet de la fiche, incluant la section Livrables à produire] ```

Le préambule a trois fonctions :

• **Ancrage** : le modèle connaît le périmètre exact de sa configuration (référence OWASP, niveau)
• **Auditabilité** : un utilisateur curieux peut remonter à la fiche source via l'URL
• **Discrétion** : la consigne « sans les répéter à l'utilisateur sauf demande explicite » évite le verbiage défensif à chaque tour

Maintien et mise à jour

Les fiches PromptSecOps évoluent — corrections, enrichissements, alignement sur de nouveaux référentiels. Quand une fiche est mise à jour, les instructions générées des 7 skills changent en conséquence.

Deux stratégies de maintien possibles :

**Réinstallation manuelle** - Vous gardez une URL ou une date de version dans votre Custom GPT / Project. - Une fois par trimestre, vous revenez sur la fiche et copiez les nouvelles instructions. - Convient pour les usages personnels et les petites équipes.

**Synchronisation automatique** (Phase 3) - Le futur **Orchestrateur Claude Code Skill** (en préparation) consommera l'API manifest de PromptSecOps et tiendra à jour les instructions locales en continu. - Convient aux organisations avec un volume important de skills à maintenir.

Dans tous les cas, la fiche source reste l'unique référence : aucune édition manuelle des instructions générées n'est recommandée.

Pour aller plus loin

**Cas d'usage particulier — Skills d'équipe** Les Custom GPT (ChatGPT) et Custom Agents (Mistral) peuvent être publiés en visibilité « privée », « organisation » ou « publique ». Pour une équipe interne, partagez le GPT en visibilité « organisation » et chacun y accède via la galerie partagée — un seul skill à maintenir pour toute l'équipe.

**Cas d'usage particulier — Skills versionnés en API** Les snippets API utilisent une constante TypeScript / Python (PS_<ID>_SYSTEM_PROMPT). En versionnant cette constante avec git, vous obtenez un historique précis de chaque évolution du prompt déployé en production. Couplé à des tests de régression sur les sorties (output validation), c'est la base d'un pipeline IA-secure.

**Cas d'usage particulier — Claude Code Skill multi-fiches** Claude Code accepte plusieurs skills simultanément. Vous pouvez installer 5 à 10 skills PromptSecOps pertinents à votre cas d'usage (ex : 1 fiche PII + 1 fiche injection + 1 fiche journal) et laisser Claude Code les invoquer selon le contexte de votre session de développement. C'est l'aperçu de ce que fera l'orchestrateur méta en Phase 3.

La page de chaque fiche contient les 7 skills générés. Pour exporter en lot, voir la doctrine manifest-api — le manifest expose les fiches brutes nécessaires à la reconstruction des skills.