Les grands modèles de langage (LLM) sont à la base de nombreux systèmes d’IA générative, alimentant les chatbots, les copilotes de codage, les agents autonomes et d’autres applications qui interagissent directement avec les utilisateurs et les données de l’entreprise. Contrairement aux systèmes logiciels traditionnels, les LLM ne fonctionnent pas sur la base de chemins logiques fixes ou d’entrées statiques. Ils génèrent des résultats de manière probabiliste, en s’appuyant sur des prompts, des données récupérées et des appels d’outils, et interagissent souvent avec des systèmes externes en temps réel. C’est cette flexibilité qui les rend précieux, mais c’est aussi elle qui introduit de nouveaux risques de sécurité.
À l’heure où les organisations adoptent de plus en plus les LLM, la protection de ces systèmes dépasse la simple question de l’IA pour devenir une préoccupation centrale de l’entreprise. La sécurité traditionnelle des applications se concentre sur la protection du code et de l’infrastructure avec des interfaces bien définies. La sécurité des LLM, elle, doit tenir compte de menaces supplémentaires, y compris l’injection de prompts, l’exposition des données d’entraînement, les entrées et sorties de modèles non sécurisés et la propagation involontaire d’informations sensibles.
Pour compliquer un peu plus l’équation, le comportement des LLM est déterminé par les données, le contexte et les interactions à l’exécution (runtime), de sorte que la sécurisation des systèmes d’IA générative nécessite des contrôles qui dépassent largement le cadre des pratiques de sécurité logicielle conventionnelles. Comment les équipes de sécurité peuvent-elles activer le potentiel des LLM sans exposer leur entreprise à de nouveaux risques ?
Pourquoi la sécurité des LLM est-elle si importante dans les environnements d’entreprise actuels ?
Les LLM sont de plus en plus souvent intégrés dans des applications d’entreprise qui traitent des données sensibles (documents internes, interactions clients, code source, contexte opérationnel, etc.). Pour rendre ces systèmes utiles, les organisations les connectent souvent directement aux data stores et aux workflows de l’entreprise. Or, ce choix architectural crée des risques uniques. En effet, les LLM ne séparent pas clairement les instructions, les données et les sorties, et ils génèrent des réponses de manière dynamique plutôt que de suivre des chemins d’exécution fixes. Par conséquent, des informations sensibles peuvent être exposées ou utilisées à mauvais escient, sans que les contrôles traditionnels de sécurité des applications ne puissent les bloquer.
Des incidents récents illustrent l’impact réel de tels risques. Plus les modèles sont performants, plus le risque de cybersécurité est élevé car ils gagnent en autonomie et accèdent aux outils et aux systèmes, ce qui accroît le risque d’utilisation abusive et d’exposition involontaire des données. Les vulnérabilités de certains copilotes d’entreprise ont ainsi révélé ces risques au grand jour : une vulnérabilité de type "zéro-clic" dans Microsoft 365 Copilot ("EchoLeak", CVE-2025-32711) nous montre comment un e-mail habilement tourné peut permettre d’exposer des données sensibles sans interaction de la part de l’utilisateur.
Des travaux universitaires ont également montré que la la prompt injection indirecte, où des instructions cachées dans le contenu sont ensuite récupérées ou traitées par le modèle, peut manipuler le comportement de ce dernier et ouvrir la voie à des actions ou des divulgations involontaires – en particulier pour les agents qui utilisent des outils ou naviguent sur le web.
Sécurité des LLM : les principaux risques à connaître
Les LLM présentent des risques de sécurité qui vont au-delà des menaces applicatives traditionnelles, et ce en raison de la manière dont les modèles interprètent les entrées, conservent le contexte et interagissent avec les données et les outils. Le tableau 1 présente les principaux risques de sécurité LLM que les entreprises doivent maîtriser lorsqu’elles déploient des systèmes d’IA générative.
Tableau 1. Principaux risques de sécurité des LLM
Type de risque | Descriptif | Exemple |
|---|---|---|
Prompt injection | Manipulation des données de l’utilisateur pour modifier le comportement d’un modèle ou d’un agent IA | Un attaquant crée un prompt qui contourne les contrôles de sécurité, amenant le modèle à ignorer les filtres de contenu ou les instructions du système. |
Prompt injection indirecte | Cacher des instructions dans un contenu que le modèle traite par la suite | Un document ou une page web contient des instructions cachées qui incitent un LLM à révéler des données sensibles de l’entreprise. |
Empoisonnement des données | Corrompre les données d’entraînement ou les soumettre à un fine-tuning visant à biaiser les résultats | Les acteurs malveillants introduisent des contenus nuisibles ou trompeurs dans les jeux de données utilisés pour entraîner ou adapter un modèle d’entreprise. |
Empoisonnement mémoire | Injecter de fausses données dans la mémoire d’un agent IA pour influencer son comportement futur | Un acteur malveillant manipule un agent au fil du temps pour qu’il "se souvienne" de chemins de routage d’informations bancaires et qu’il les répète ultérieurement. |
Vol de modèle | Rétro-ingénierie ou extraction des pondérations ou du comportement du modèle | Un attaquant sonde une API de manière répétée pour reconstruire un modèle propriétaire. |
Saturation des ressources | Surcharge des ressources du modèle ou de l’agent pour provoquer un déni de service (DoS) | Des demandes automatisées inondent un système de support client piloté par IA, le rendant indisponible pour les utilisateurs réels. |
Accès non autorisé | Accès au modèle, aux données sous-jacentes ou aux privilèges des agents | Un attaquant exploite les autorisations de l’agent pour récupérer les dossiers des clients internes ou les données du système. |
Exécution de code | Utilisation des sorties produites par le modèle pour déclencher un code malveillant | Les scripts ou commandes générés sont exécutés automatiquement, ce qui entraîne l’exécution de code non sécurisé dans les systèmes en aval. |
Applications LLM : les bonnes pratiques de sécurité
La sécurisation des applications LLM nécessite une approche multiniveau qui tient compte des modes d’accès aux modèles, de la manière dont les données y entrent et en sortent, et du suivi de leur comportement au fil du temps. Plutôt que de traiter les LLM comme des composants logiciels conventionnels, les organisations ont besoin de contrôles de sécurité qui reflètent la nature dynamique et data-driven des systèmes d’IA générative. Parmi ces mesures :
Contrôles d’accès : appliquez l’accès basé sur les rôles, l’authentification forte et la gouvernance des utilisateurs pour limiter le nombre de personnes pouvant interagir avec les modèles et les données sous-jacentes, et pour contrôler rigoureusement les autorisations dont disposent les agents d’IA eux-mêmes, afin de réduire le risque d’accès non autorisé.
Filtrage et assainissement des entrées : inspectez et assainissez les prompts, le contenu récupéré et les entrées d’outils afin de réduire l’exposition aux attaques par prompt injection directe ou indirecte.
Modération des résultats : examinez les sorties produites par le modèle pour y détecter d’éventuelles informations sensibles, des violations de politiques ou des contenus malveillants avant que les résultats ne soient renvoyés aux utilisateurs ou à des systèmes en aval.
Hébergement sécurisé des modèles : exécutez les modèles et l’infrastructure sous-jacentes dans des environnements fiables et renforcés, avec segmentation du réseau et configurations des accès au moindre privilège.
Audit et surveillance : tenez des registres journaux (logs) des interactions entre les modèles, des appels d’outils et des accès aux données afin de détecter les comportements anormaux et de faciliter les investigations.
Gouvernance du fine-tuning des modèles : contrôlez les jeux de données et les processus de fine-tuning pour valider la qualité, la provenance et la sécurité des données, limitant ainsi l’impact de données d’entraînement empoisonnées ou inappropriées.
Surveillance des risques : identifiez et quantifiez en permanence les activités risquées des modèles ou des agents d’IA, en signalant les violations de politiques ou les schémas anormaux avant qu’ils n’exposent des données ou n’impactent les opérations.
La gestion des données d’entraînement au service de la réduction des risques
L’intégrité des données d’entraînement a un impact direct sur la sécurité des modèles. Des données compromises, sensibles ou mal gouvernées peuvent conduire à des résultats biaisés, à des violations de la vie privée ou à des backdoors qui déclenchent des comportements nuisibles. En l’absence de contrôles rigoureux des données d’entraînement et des sources de fine-tuning, les organisations risquent d’amplifier les vulnérabilités déjà présentes dans les LLM.
Voici quelques conseils pour gérer les données d’entraînement afin de limiter les risques :
Ne pas inclure de données sensibles ou confidentielles dans les jeux de données d’entraînement : l’exposition d’informations internes ou réglementées au cours de l’entraînement augmente le risque que les modèles mémorisent ces données et les divulguent par la suite. Par exemple, de nombreux acteurs de l’IA ont exposé par inadvertance des clés d’API, des jetons d’accès à des modèles et des données d’entraînement internes lorsque des identifiants de connexion sont apparus dans des dépôts de code publics, mettant en évidence les risques d’une gestion non sécurisée des données dès le début du processus de développement.
Prévenir l’empoisonnement des données : la corruption volontaire ou accidentelle des jeux de données d’entraînement peut générer des comportements nuisibles ou intégrer des backdoors dans les modèles. Il suffit aux attaquants de glisser un petit nombre de documents malveillants dans les données d’entraînement pour modifier de manière significative le comportement du modèle.
Classifier et gouverner les sources de données : utilisez des outils de découverte et de classification de données structurées pour inventorier les informations sensibles et les empêcher d’entrer dans les pipelines d’entraînement. La classification aide les équipes à comprendre les types de données dont elles disposent, où elles se trouvent et comment elles doivent être traitées dans le cadre des politiques de sécurité.
Anonymiser et assainir les données avant l’entraînement : appliquez des techniques d’anonymisation et supprimez les identifiants directs des jeux de données afin de réduire les risques d’atteinte à la vie privée, tout en conservant des schémas utiles pour l’entraînement des modèles.
Contrôler la qualité et l’historique des données : vérifiez la provenance et l’historique de transformation des données d’entraînement pour détecter les problèmes (doublons, erreurs d’étiquetage, contenus non autorisés, etc.) avant qu’ils ne soient utilisés pour le fine-tuning ou l’adaptation du modèle.
Construire des fondations sûres pour l’IA générative d’entreprise
À mesure que les entreprises étendent leur utilisation de l’IA générative, la sécurité des LLM devient une condition préalable à la mise à l’échelle de ces outils. Les modèles qui interagissent avec les systèmes d’entreprise et les données sensibles introduisent de nouveaux risques – de la fuite et de l’utilisation abusive de données à l’abus de privilèges par des agents. Il appartient aux organisations d’aborder tous ces problèmes de front.
Les capacités de Rubrik en matière de sécurité des données et de gestion de la posture aident les organisations à réduire cette exposition en apportant visibilité et contrôle sur les données qui alimentent les LLM. Les entreprises doivent disposer du contexte nécessaire pour détecter les menaces, appliquer des politiques et limiter le périmètre d’impact d’une attaque lorsque les LLM sont intégrés aux environnements de production. Pour ce faire, il convient d’identifier les données sensibles, de savoir où elles se trouvent et de contrôler la manière d’y accéder.
Rubrik Agent Cloud étend cette approche aux agents d’IA eux-mêmes, en fournissant une supervision centralisée du comportement des agents, de l’utilisation des outils et de l’accès aux données. Cette visibilité aide les équipes à identifier les activités risquées des agents, à repérer les schémas anormaux et à régir la manière dont les agents interagissent avec les systèmes de l’entreprise, adressant en cela l’un des domaines de risque à plus forte croissance dans l’adoption des LLM.
Alors que l’IA générative continue d’évoluer, les organisations auront besoin de stratégies de sécurité qui évoluent avec elle. Les capacités de Rubrik dans le domaine de l’IA peuvent aider les équipes à construire des systèmes LLM qui créent de la valeur tout en maintenant une sécurité des données, une gouvernance et une résilience opérationnelle solides.