Assistants de code, agents, modèles tiers : l'IA s'invite partout dans le SDLC, et chaque usage est une nouvelle surface d'attaque. Le domaine IA dans le SDLC (IA) vise un usage maîtrisé : l'IA augmente la productivité sans affaiblir les garde-fous existants.
Le code généré par un assistant n'est pas plus sûr par nature : il peut introduire des vulnérabilités ou des dépendances inventées. Un agent qui exécute des outils élargit la surface (injection de prompt, actions non autorisées). Un modèle tiers peut être empoisonné. Le vrai risque n'est pas l'IA en soi, mais l'IA qui contourne les contrôles : un SAST sauté « parce que c'est l'IA qui l'a écrit », un agent doté d'un accès aux secrets. Le domaine pose donc cinq leviers : inventorier les usages, revoir et scanner les sorties comme tout autre code, maîtriser les risques LLM et agentiques (confinement, moindre privilège, validation humaine), tracer la chaîne ML (MLBOM, provenance des modèles) et maîtriser les données envoyées aux services d'IA.
Le principe directeur : tout ce qui entre dans la chaîne via l'IA passe les mêmes contrôles que le reste, plus des garde-fous spécifiques. Concrètement, ces exigences parent : le code généré vulnérable intégré sans revue, l'injection de prompt qui détourne un LLM, l'agent qui agit hors périmètre, le modèle empoisonné consommé sans vérification, et la fuite de données sensibles vers un service tiers. Cette page couvre les 19 exigences SOCLE du domaine, des fondamentales (R1) aux souveraines (R3).
L'IA dans le SDLC élargit la surface (injection, agents, modèles empoisonnés) sans devoir affaiblir les garde-fous.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Les exigences essentielles
Section intitulée « Les exigences essentielles »Cinq exigences forment la base : inventorier les usages, revoir les sorties, maîtriser les risques LLM/agentiques, préserver les garde-fous CI/CD, et au souverain, un serving self-hosté pour les données sensibles.
inventaire des usages d'IA dans le SDLC (assistants, agents, modèles).#
On n'encadre pas un usage d'IA qu'on ignore : assistants, agents et modèles se diffusent souvent sans visibilité. Un inventaire des usages d'IA dans le SDLC révèle où du code généré ou des décisions automatisées entrent dans la chaîne, préalable indispensable pour appliquer revue, garde-fous et politique.
- Preuve attendue
- Inventaire des usages d'IA dans le SDLC (assistants, agents, modèles).
- Outillage
- Semgrep OSV-Scanner
Correspondances & menaces parées 2 standards · 2 menaces
Une bibliothèque de l'écosystème IA (serving, orchestration, agents) est compromise comme n'importe quelle dépendance, mais avec un accès privilégié aux données et aux modèles. La surface supply chain classique appliquée à la pile IA OWASP A03. Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS) ATLAS (Publish Poisoned AI Agent Tool).
revue de sécurité des suggestions / sorties d'IA avant intégration.#
Le code suggéré par une IA peut contenir des failles, des dépendances inventées (hallucination) ou des secrets recopiés. Une revue de sécurité avant intégration traite ces sorties comme du code non fiable : on ne fusionne pas une suggestion sur sa seule plausibilité, on la vérifie comme toute contribution.
- Preuve attendue
- Procédure de revue de sécurité des sorties d'IA avant intégration.
- Outillage
- Semgrep OSV-Scanner
Correspondances & menaces parées 2 standards · 2 menaces
Un modèle ou artefact ML téléchargé contient une charge (poids piégés, code de désérialisation) exécutée au chargement ou produisant des sorties dangereuses. Le modèle est une dépendance à part entière, rarement vérifiée ATLAS CNCF. Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
maîtrise des risques LLM / agentiques (injection, exécution non sûre).#
Un LLM exposé à des entrées hostiles subit l'injection de prompt ; un agent qui exécute des outils peut agir hors périmètre. Maîtriser ces risques (injection, exécution non sûre) est nécessaire avant de confier à l'IA des actions réelles, faute de quoi une entrée piégée devient une action exécutée.
- Preuve attendue
- Mesures de maîtrise des risques LLM/agentiques (injection, exécution non sûre).
- Outillage
- Semgrep OSV-Scanner
Correspondances & menaces parées 3 standards · 2 menaces
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01. Une source indexée par un système RAG est empoisonnée pour injecter de fausses informations ou des instructions cachées dans le contexte du modèle. La base de connaissances de confiance devient un vecteur d'injection indirecte ATLAS.
l'augmentation par IA n'affaiblit pas les garde-fous CI/CD existants.#
Laisser une IA committer, fusionner ou déployer en contournant revue, signature et gates rouvre les portes que la chaîne avait fermées. Garantir que l'augmentation par IA respecte les garde-fous existants maintient le même niveau d'exigence : l'IA accélère le travail, elle ne dispense pas des contrôles.
- Preuve attendue
- Preuve que les garde-fous CI/CD restent effectifs avec l'augmentation par IA.
- Outillage
- Semgrep OSV-Scanner
Correspondances & menaces parées 2 standards · 1 menace
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
serving IA souverain (auto-hébergé) pour les données sensibles, sur infrastructure approuvée et listée au périmètre.#
Envoyer des données sensibles à un service d'IA tiers, c'est les exposer à une juridiction et un usage qu'on ne maîtrise pas. Un serving auto-hébergé sur infrastructure approuvée garde ces données sous contrôle : le modèle vient aux données, les données ne partent pas.
- Preuve attendue
- Configuration de serving souverain (self-hosté) pour données sensibles ; absence d'exfiltration.
Correspondances & menaces parées 1 standard · 2 menaces
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01. Un agent ou un système RAG est manipulé pour collecter et exfiltrer des secrets accessibles via son contexte, ses outils ou sa configuration. Les droits étendus de l'agent en font un collecteur de credentials ATLAS.
flux sortants du service d'inférence IA filtrés et journalisés (prévention d'exfiltration).#
Un service d'inférence compromis ou détourné peut exfiltrer données et secrets via ses connexions sortantes. Filtrer et journaliser ces flux (default-deny en sortie) coupe le canal d'exfiltration et fournit la trace pour détecter un comportement anormal, dernière barrière côté infrastructure d'IA.
- Preuve attendue
- Politique réseau egress du service d'inférence + journaux des flux sortants.
- Outillage
- Cilium
Correspondances & menaces parées 1 standard · 1 menace
Un agent ou un système RAG est manipulé pour collecter et exfiltrer des secrets accessibles via son contexte, ses outils ou sa configuration. Les droits étendus de l'agent en font un collecteur de credentials ATLAS.
Gouverner et inventorier les usages
Section intitulée « Gouverner et inventorier les usages »On commence par savoir où l'IA est utilisée : une politique d'usage (cas autorisés, données permises, responsabilités) et une évaluation des risques par usage selon sa criticité.
politique d'usage de l'IA (cas autorisés, données permises, responsabilités).#
Sans politique d'usage, chacun improvise quels outils d'IA utiliser et quelles données leur confier, avec des fuites à la clé. Définir les cas autorisés, les données permises et les responsabilités pose un cadre clair : les équipes savent ce qui est permis, plutôt que de deviner et de prendre des risques par défaut.
- Preuve attendue
- Politique d'usage de l'IA documentée (cas autorisés, données, responsabilités).
Correspondances & menaces parées 2 standards · 1 menace
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
évaluation des risques IA par usage (criticité, impact).#
Tous les usages d'IA n'ont pas le même enjeu : un assistant de complétion ne pèse pas comme un agent qui déploie. Évaluer le risque par usage (criticité, impact) calibre les contrôles à la hauteur réelle de chaque cas, au lieu d'appliquer une règle unique trop laxiste ici, trop bridante là.
- Preuve attendue
- Évaluation des risques IA par usage.
Correspondances & menaces parées 2 standards · 2 menaces
Un modèle ou artefact ML téléchargé contient une charge (poids piégés, code de désérialisation) exécutée au chargement ou produisant des sorties dangereuses. Le modèle est une dépendance à part entière, rarement vérifiée ATLAS CNCF. Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
Revoir et scanner les sorties
Section intitulée « Revoir et scanner les sorties »Le code généré par IA est tracé dans la provenance (origine, revue) et passe le SAST/SCA comme tout autre code. Aucun raccourci au prétexte que la suggestion vient d'un assistant.
traçabilité du code généré par IA (origine, revue) dans la provenance.#
Du code généré par IA dont on perd la trace brouille la provenance et les responsabilités. Tracer son origine et sa revue dans la provenance permet, en cas de faille, de savoir ce qui a été produit par une IA et qui l'a validé, condition d'une chaîne de confiance qui reste vérifiable.
- Preuve attendue
- Traçabilité du code généré par IA dans la provenance.
Correspondances & menaces parées 2 standards · 2 menaces
Une donnée contrôlée par l'attaquant (titre de PR, nom de branche, message de commit) est interpolée sans échappement dans un script de workflow, provoquant une exécution de commande dans le pipeline. C'est l'injection classique portée au CI CICD-SEC-4. Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
SAST/SCA appliqués au code généré par IA comme à tout autre code.#
Le code généré par IA n'est ni plus ni moins sûr par nature : il peut introduire des failles et des dépendances vulnérables. Lui appliquer SAST et SCA comme à tout autre code évite l'angle mort où l'on ferait confiance à la machine, et attrape les défauts avant la fusion.
- Preuve attendue
- SAST/SCA appliqués au code généré par IA.
Correspondances & menaces parées 2 standards · 2 menaces
Une donnée contrôlée par l'attaquant (titre de PR, nom de branche, message de commit) est interpolée sans échappement dans un script de workflow, provoquant une exécution de commande dans le pipeline. C'est l'injection classique portée au CI CICD-SEC-4. Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01.
Maîtriser les risques LLM et agentiques
Section intitulée « Maîtriser les risques LLM et agentiques »On maîtrise les risques LLM (injection de prompt, fuite de données, sorties non sûres) et agentiques (exécution d'outils, actions hors périmètre). Les agents sont confinés au moindre privilège (outils, secrets, réseau) et une validation humaine garde la main sur les actions sensibles.
maîtrise des risques LLM (injection de prompt, fuite de données, sorties non sûres).#
Une injection de prompt détourne un LLM via une entrée piégée, lui fait fuiter des données ou produire une sortie dangereuse. Maîtriser ces risques (validation des entrées/sorties, cloisonnement du contexte) empêche qu'un texte hostile prenne le contrôle du comportement du modèle dans la chaîne.
- Preuve attendue
- Mesures de maîtrise des risques LLM (injection, fuite, sorties).
Correspondances & menaces parées 2 standards · 2 menaces
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01. Une source indexée par un système RAG est empoisonnée pour injecter de fausses informations ou des instructions cachées dans le contexte du modèle. La base de connaissances de confiance devient un vecteur d'injection indirecte ATLAS.
maîtrise des risques agentiques (exécution d'outils, actions non autorisées, périmètre).#
Un agent IA qui exécute des outils peut, détourné, accomplir des actions non autorisées hors de son périmètre. Maîtriser le risque agentique (limiter les outils, borner le périmètre, valider les actions) empêche qu'une instruction piégée se traduise en opération réelle non voulue, du commit au déploiement.
- Preuve attendue
- Mesures de maîtrise des risques agentiques (outils, actions, périmètre).
Correspondances & menaces parées 2 standards · 1 menace
Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS) ATLAS (Publish Poisoned AI Agent Tool).
moindre privilège et confinement des agents IA (outils, secrets, réseau).#
Un agent doté de larges accès (secrets, réseau, outils) devient, s'il est détourné, un attaquant interne. Lui appliquer le moindre privilège et le confinement réduit ce qu'une compromission permet : l'agent n'atteint que les outils et données strictement nécessaires à sa tâche, pas l'ensemble du système.
- Preuve attendue
- Confinement des agents IA (outils, secrets, réseau) au moindre privilège.
Correspondances & menaces parées 2 standards · 3 menaces
Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS) ATLAS (Publish Poisoned AI Agent Tool). La configuration d'un agent IA est modifiée pour installer une instruction ou un outil persistant, réactivé à chaque exécution. La persistance s'installe dans la configuration plutôt que dans le code (ATLAS Modify AI Agent Configuration) ATLAS (Modify AI Agent Configuration). Un agent ou un système RAG est manipulé pour collecter et exfiltrer des secrets accessibles via son contexte, ses outils ou sa configuration. Les droits étendus de l'agent en font un collecteur de credentials ATLAS.
validation humaine des actions sensibles d'un agent (human-in-the-loop).#
Laisser un agent exécuter seul une action sensible (déploiement, suppression, paiement) transforme une erreur ou une injection en dommage immédiat. Une validation humaine (human-in-the-loop) sur ces actions ajoute un point de contrôle : l'IA propose, un humain décide là où l'enjeu le justifie.
- Preuve attendue
- Validation humaine des actions sensibles d'un agent.
Correspondances & menaces parées 2 standards · 2 menaces
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01. Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS) ATLAS (Publish Poisoned AI Agent Tool).
Tracer la chaîne ML (MLBOM)
Section intitulée « Tracer la chaîne ML (MLBOM) »Comme pour le code, on inventorie la chaîne ML : un MLBOM (modèles, jeux de données, dépendances), la provenance et l'intégrité des modèles consommés (signature, empreinte), l'évaluation des modèles tiers (licence, biais, empoisonnement), et au souverain, une provenance d'entraînement vérifiable.
inventaire des modèles, jeux de données et dépendances ML (MLBOM).#
Sans inventaire des modèles, jeux de données et dépendances ML, on ignore ce que la chaîne consomme et donc son exposition. Un MLBOM établit cette nomenclature, comme un SBOM pour le logiciel : condition pour évaluer la provenance, les licences et les vulnérabilités des composants d'IA utilisés.
- Preuve attendue
- MLBOM : inventaire des modèles, datasets et dépendances ML.
- Outillage
- cdxgen
Correspondances & menaces parées 2 standards · 1 menace
Des données d'entraînement sont manipulées pour induire un comportement malveillant ou biaisé dans le modèle résultant (ATLAS AML.T0020). La compromission est en amont, dans le jeu de données, invisible à l'inspection du modèle seul ATLAS AML.T0020.
provenance et intégrité des modèles consommés (origine, signature/empreinte).#
Un modèle téléchargé sans vérification peut avoir été substitué ou empoisonné en amont. Contrôler sa provenance et son intégrité (origine, signature/empreinte) avant usage garantit qu'on exécute bien le modèle attendu, et non une version altérée qui biaiserait ou compromettrait les décisions qu'il alimente.
- Preuve attendue
- Provenance et intégrité des modèles consommés (signature/empreinte).
- Outillage
- cdxgen
Correspondances & menaces parées 3 standards · 2 menaces
Un modèle ou artefact ML téléchargé contient une charge (poids piégés, code de désérialisation) exécutée au chargement ou produisant des sorties dangereuses. Le modèle est une dépendance à part entière, rarement vérifiée ATLAS CNCF. Une bibliothèque de l'écosystème IA (serving, orchestration, agents) est compromise comme n'importe quelle dépendance, mais avec un accès privilégié aux données et aux modèles. La surface supply chain classique appliquée à la pile IA OWASP A03.
évaluation des modèles / jeux de données tiers (licence, biais, empoisonnement).#
Un modèle ou un jeu de données tiers peut porter une licence incompatible, des biais ou un empoisonnement invisibles à l'usage. Les évaluer avant adoption révèle ces risques pendant qu'on peut encore renoncer, plutôt que de les hériter silencieusement dans un produit livré.
- Preuve attendue
- Évaluation des modèles/datasets tiers (licence, biais, empoisonnement).
- Outillage
- cdxgen
Correspondances & menaces parées 2 standards · 2 menaces
Des données d'entraînement sont manipulées pour induire un comportement malveillant ou biaisé dans le modèle résultant (ATLAS AML.T0020). La compromission est en amont, dans le jeu de données, invisible à l'inspection du modèle seul ATLAS AML.T0020. Un modèle ou artefact ML téléchargé contient une charge (poids piégés, code de désérialisation) exécutée au chargement ou produisant des sorties dangereuses. Le modèle est une dépendance à part entière, rarement vérifiée ATLAS CNCF.
provenance vérifiable de la chaîne d'entraînement pour les modèles sensibles.#
Pour un modèle sensible, faire confiance au binaire publié ne suffit pas : l'entraînement lui-même peut avoir été manipulé. Une provenance vérifiable de la chaîne d'entraînement (données, code, paramètres) permet de remonter à l'origine et de détecter une manipulation en amont du modèle livré.
- Preuve attendue
- Provenance vérifiable de la chaîne d'entraînement pour modèles sensibles.
- Outillage
- cdxgen
Correspondances & menaces parées 2 standards · 1 menace
Souveraineté et confidentialité
Section intitulée « Souveraineté et confidentialité »Enfin, on maîtrise les données envoyées aux services d'IA : aucune donnée sensible non autorisée ne quitte le périmètre, ce qui motive au souverain un serving self-hosté.
maîtrise des données envoyées aux services d'IA (pas de données sensibles non autorisées).#
Une donnée sensible envoyée à un service d'IA peut être conservée, ré-entraînée ou exposée hors de votre contrôle. Maîtriser ce qui est transmis (filtrage, classification, blocage des données non autorisées) évite la fuite la plus banale de l'usage d'IA : le secret recopié par mégarde dans une requête.
- Preuve attendue
- Contrôle des données envoyées aux services d'IA.
Correspondances & menaces parées 2 standards · 2 menaces
Une instruction malveillante, fournie directement ou cachée dans un contenu consommé par le modèle, détourne son comportement (exfiltration, actions non voulues). L'injection de prompt est la faille structurelle des systèmes à LLM (OWASP LLM01, ATLAS AML.T0051) ATLAS AML.T0051 OWASP LLM01. Un agent ou un système RAG est manipulé pour collecter et exfiltrer des secrets accessibles via son contexte, ses outils ou sa configuration. Les droits étendus de l'agent en font un collecteur de credentials ATLAS.
Pièges courants
Section intitulée « Pièges courants »- Code IA non scanné : sauter le SAST/SCA parce que « c'est l'IA » réintroduit des failles (IA-AI2-4).
- Agent sur-privilégié : un agent avec accès aux secrets et au réseau est une porte ouverte (IA-AI3-3).
- Modèle tiers non vérifié : un modèle empoisonné contamine la chaîne (IA-AI4-2).
- Données sensibles exfiltrées : envoyées à un service IA sans contrôle (IA-AI5-1).
- Usages non inventoriés : on ne maîtrise pas ce qu'on ne connaît pas (IA-0-1).
À retenir
Section intitulée « À retenir »- L'IA augmente la chaîne sans en affaiblir les garde-fous.
- Les essentielles : inventorier les usages, revoir les sorties, maîtriser LLM/agentique, préserver les contrôles CI/CD.
- Le code généré passe SAST/SCA comme tout autre code.
- Les agents sont confinés au moindre privilège, avec validation humaine sur le sensible.
- La chaîne ML se trace via un MLBOM et la provenance des modèles.