Sécurité des assistants IA internes : prompt injection, data leakage, RAG et contrôle des accès

Actualité Cybersécurité

L’intégration d’assistants IA internes — copilotes métiers, agents conversationnels, outils d’aide à la décision — s’accélère dans les banques et assurances. Ces systèmes, souvent connectés à des bases documentaires internes via des architectures de type RAG (Retrieval-Augmented Generation), offrent des gains de productivité significatifs.

Mais cette évolution introduit une nouvelle surface d’attaque, distincte des systèmes applicatifs traditionnels. Les modèles de langage ne se comportent pas comme des logiciels classiques : ils interprètent du texte, manipulent du contexte et peuvent être influencés par des entrées malveillantes. Les travaux de l’OWASP Top 10 for LLM Applications et du NIST AI Risk Management Framework ont précisément formalisé ces nouveaux risques, en mettant l’accent sur la gouvernance, la sécurité des données et les usages contrôlés des modèles.

Dans ce contexte, la question n’est plus seulement “comment utiliser l’IA”, mais comment la sécuriser dans un environnement sensible.

Une nouvelle surface d’attaque : du code vers le langage

Contrairement aux applications traditionnelles, les assistants IA reposent sur des interactions en langage naturel. Cela modifie profondément les modes d’attaque.

L’OWASP identifie notamment la prompt injection comme un risque majeur. Elle consiste à manipuler le modèle via des instructions malveillantes dissimulées dans une requête ou dans un document source. Dans un environnement RAG, cette injection peut provenir non seulement de l’utilisateur, mais aussi des données elles-mêmes (documents internes, bases de connaissances, contenus externes intégrés).

Un exemple classique consiste à intégrer dans un document une instruction cachée demandant au modèle d’ignorer ses règles ou de révéler des informations sensibles. Le modèle, n’ayant pas de distinction native entre données et instructions, peut exécuter cette logique sans mécanisme de contrôle explicite.

Ce type de vulnérabilité est structurel : il ne relève pas d’un bug logiciel, mais du fonctionnement même des modèles.

Data leakage : un risque amplifié par le contexte

Les assistants IA internes manipulent du contexte étendu : documents, bases internes, historiques de conversation. Cela crée un risque accru de divulgation d’informations sensibles.

Le NIST AI Risk Management Framework souligne que les systèmes IA doivent être conçus pour limiter les expositions involontaires de données. Dans un contexte financier, cela concerne notamment :

données clients,
informations financières,
documents internes stratégiques,
données réglementaires ou confidentielles.

Le risque ne vient pas uniquement d’une attaque externe. Il peut aussi résulter d’un usage légitime mal encadré, par exemple lorsqu’un utilisateur accède à des informations au-delà de son périmètre habituel via un assistant mal configuré.

RAG et connecteurs : des points d’entrée critiques

Les architectures RAG reposent sur la connexion du modèle à des sources de données internes ou externes. Ces connecteurs deviennent des points critiques :

accès à des bases documentaires internes,
connexion à des outils métiers,
interfaçage avec des systèmes tiers.

Si ces accès ne sont pas correctement contrôlés, le modèle peut devenir un point de pivot permettant d’exfiltrer des données ou de contourner les contrôles applicatifs classiques.

Dans plusieurs retours d’expérience partagés dans l’industrie, les failles ne proviennent pas du modèle lui-même, mais de la mauvaise configuration des accès aux données.

Sur-permissionnement : un risque souvent sous-estimé

L’un des risques les plus fréquents dans les déploiements d’assistants IA est le sur-permissionnement.

Dans un souci de simplicité, les assistants sont parfois connectés à des sources de données larges, sans granularité fine des droits. Cela crée une situation où :

le modèle a accès à plus de données que nécessaire,
les contrôles d’accès existants ne sont pas correctement appliqués,
les utilisateurs peuvent obtenir indirectement des informations auxquelles ils n’auraient pas accès via les applications classiques.

Le NIST insiste sur la nécessité d’intégrer les principes de least privilege et de segmentation des accès dans les systèmes IA, au même titre que dans les systèmes IT traditionnels.

Journalisation et auditabilité : un enjeu clé pour la conformité

Dans un environnement réglementé, la capacité à tracer les actions est essentielle.

Les assistants IA posent des défis spécifiques :

difficulté à tracer précisément quelles données ont été utilisées pour générer une réponse,
complexité à reconstituer le raisonnement du modèle,
absence de journalisation fine dans certains outils.

Pour répondre aux exigences de gouvernance et d’audit, il est nécessaire de mettre en place :

une journalisation des requêtes et des réponses,
une traçabilité des sources utilisées (RAG),
des mécanismes de conservation des logs conformes aux politiques internes.

Ces éléments deviennent essentiels pour démontrer la maîtrise des risques en cas d’audit ou d’incident.

Sécuriser les assistants IA “by design”

La sécurisation des assistants IA ne peut pas être ajoutée a posteriori. Elle doit être intégrée dès la conception.

Les bonnes pratiques émergentes incluent :

séparation stricte entre données et instructions dans les pipelines RAG,
filtrage et validation des entrées utilisateur,
contrôle granulaire des accès aux sources de données,
limitation du contexte accessible au modèle,
mécanismes de détection des comportements anormaux,
intégration des assistants IA dans les dispositifs IAM existants.

Les travaux de l’OWASP et du NIST convergent sur un point : la sécurité des systèmes IA repose autant sur la gouvernance des données et des accès que sur la technologie elle-même.

Conclusion

L’adoption des assistants IA internes marque une nouvelle étape dans la transformation des systèmes d’information financiers. Mais elle impose également une évolution des pratiques de cybersécurité.

Les risques associés — prompt injection, data leakage, sur-permissionnement — ne remplacent pas les risques traditionnels, ils s’y ajoutent. Ils nécessitent une lecture spécifique, adaptée aux caractéristiques des modèles de langage.

Pour le Forum des Compétences, l’enjeu est de structurer une approche commune permettant d’intégrer ces nouveaux usages dans les dispositifs existants de sécurité, de gouvernance et de gestion des risques.

La question n’est plus de savoir si ces assistants seront déployés, mais dans quelles conditions ils pourront être utilisés de manière maîtrisée, auditable et résiliente.

1. Comment définir le périmètre de sécurité d’un assistant IA interne ?

Le périmètre doit inclure l’ensemble de la chaîne :

modèle (LLM interne ou externe),
couche d’orchestration (API, middleware),
sources de données (RAG),
connecteurs (SI, SaaS, bases documentaires),
utilisateurs et interfaces (chat, API, outils métiers).

Les travaux du NIST AI Risk Management Framework recommandent une approche systémique couvrant :

données,
modèles,
usages,
acteurs.

Un assistant IA doit être considéré comme un système composite, et non comme un simple outil applicatif.

2. Qu’est-ce qu’une prompt injection et comment la détecter ?

3. Comment sécuriser une architecture RAG ?

NOS ACTUALITÉS

Actualité Cybersécurité

Risque de concentration et “exit plan” : exigences réelles de réversibilité cloud/SaaS et tests associés

19/03/2026

Table des matières La généralisation du cloud et des services SaaS dans le secteur...

Actualité Cybersécurité

DORA en pratique : classification d’incident, preuves, reporting et coordination inter-fonctions

12/03/2026

Table des matières Depuis son entrée en application le 17 janvier 2025, DORA a...

Actualité Cybersécurité

Fraude aux paiements “APP” et Verification of Payee : implications cyber, processus et contrôle

05/03/2026

Table des matières La fraude APP, un risque en forte visibilité en Europe La...

Actualité Cybersécurité

Ransomware, sauvegardes hors ligne et résilience : enseignements des attaques 2025 – début 2026

19/02/2026

Table des matières Les rapports publiés fin 2025 par l’ENISA dans son Threat Landscape,...

Actualité Cybersécurité

Phishing augmenté par l’IA : vers une nouvelle génération de campagnes BEC ciblant la place financière

11/02/2026

Table des matières Le Business Email Compromise (BEC) demeure, selon le FBI Internet Crime...

Actualité Cybersécurité

Benchmarks LLM type CyberSecEval et CyberSOCEval : comment les utiliser (et ne pas les sur-interpréter) dans la finance

29/01/2026

Table des matières Depuis 2024 et particulièrement en 2026, les modèles de langage (LLM)...

Actualité Cybersécurité

Cloud banking et pannes massives : tirer les leçons des incidents AWS, Azure, Google Cloud et Cloudflare

21/01/2026

Table des matières Les années 2024 et 2025 ont été marquées par une série...

Actualité Cybersécurité

Attaques de supply chain logicielle : un angle mort critique pour les SI bancaires et assurantiels

14/01/2026

Table des matières Une menace désormais documentée par les autorités cyberLes attaques de supply...

Actualité Cybersécurité

Tokenisation, MiCA et DLT Pilot Regime : nouveaux risques cyber pour les actifs financiers numériques

07/01/2026

Table des matières Une transformation réglementée des marchés financiers européens La tokenisation des actifs...

Actualité Cybersécurité

Touch ID vs Face ID : quelles limites face aux nouvelles fraudes bancaires ?

03/01/2026

Table des matières Une biométrie devenue centrale dans les parcours bancairesDepuis plusieurs années, les...

Actualité Cybersécurité

Comment fonctionne un deepfake vocal sur le plan technique ?

24/12/2025

Table des matières Les deepfakes vocaux sont devenus en quelques années l’un des outils...

Actualité Cybersécurité

Qu’est-ce que l’usurpation faciale dans les processus KYC ?

17/12/2025

Table des matières L’usurpation faciale dans un parcours KYC (Know Your Customer) désigne l’ensemble...