Ikasia Logo
Retour au blog

Sécuriser vos LLMs : Top 5 des vulnérabilités (OWASP Top 10 for LLMs)

Sécuriser vos LLMs : Top 5 des vulnérabilités (OWASP Top 10 for LLMs)
Guillaume Hochard
2025-06-20
5 min

L'insécurité par design ?

Les Large Language Models (LLMs) sont par nature non déterministes et difficiles à contrôler. Lorsqu'on les connecte à des systèmes critiques ou à des données sensibles, on expose l'entreprise à des risques nouveaux. L'OWASP a publié un Top 10 spécifique aux LLMs. Voici les 5 plus critiques.

1. Prompt Injection

C'est la faille reine. Un attaquant manipule les instructions du modèle pour lui faire contourner ses garde-fous.

  • Risque : Exécution de code arbitraire, vol de données, génération de contenu haineux.
  • Parade : Séparer strictement les instructions système des données utilisateur, utiliser des délimiteurs clairs, et valider les inputs.

2. Insecure Output Handling

Faire confiance aveuglément à la sortie d'un LLM est dangereux. Si le LLM génère du JavaScript qui est exécuté directement dans le navigateur d'un utilisateur, c'est une faille XSS (Cross-Site Scripting).

  • Parade : Traiter les outputs de LLM comme des données non fiables. Encoder, assainir et valider avant toute utilisation.

3. Training Data Poisoning

Si vous fine-tunez un modèle sur des données externes, un attaquant peut "empoisonner" ces données pour introduire des biais ou des backdoors.

  • Parade : Vérifier rigoureusement la provenance et l'intégrité des datasets d'entraînement (Supply Chain Security).

4. Model Denial of Service (DoS)

Les LLMs sont coûteux en ressources. Un attaquant peut envoyer des requêtes complexes conçues pour surcharger le serveur et faire exploser la facture.

  • Parade : Rate limiting strict, plafonnement des coûts, et timeouts sur les requêtes.

5. Sensitive Information Disclosure

Le modèle peut révéler des secrets (clés API, données personnelles) présents dans ses données d'entraînement ou dans le contexte de la conversation.

  • Parade : Nettoyage des données (Data Sanitization) et mise en place de filtres de sortie pour détecter les patterns sensibles (emails, numéros de carte bleue).

Conclusion

La sécurité des LLMs est un champ de bataille en évolution rapide. Ne déployez jamais un modèle en production sans une stratégie de défense en profondeur.

Tags

Sécurité LLM Cybersécurité