L’IA a ouvert la porte la plus fragile de l’entreprise

L’histoire racontée par les entreprises qui déploient l’IA est connue: aller plus vite, produire davantage, automatiser ce qui ralentissait les équipes. Cette promesse n’est pas illusoire. Cependant, elle a masqué un fait moins confortable: ces outils constituent aussi un nouveau point d’entrée, parfois le plus malléable de tout le système d’information, parce qu’ils interprètent des instructions noyées dans les contenus qu’ils lisent.

Une enquête de VentureBeat menée auprès de 100 décideurs techniques mesure précisément ce décalage. Seules 34,7 % des organisations interrogées ont déployé des défenses dédiées contre le prompt injection. Les 65,3 % restantes n’avaient pas acquis ces outils ou n’étaient même pas en mesure de confirmer leur présence dans l’architecture existante. Autrement dit, l’adoption progresse plus vite que la capacité à gouverner le risque.

L’incident qui a changé d’échelle

Depuis l’automne 2025, il n’est plus possible de considérer ce sujet comme une inquiétude théorique. En septembre 2025, l’équipe de renseignement sur les menaces d’Anthropic a détecté, selon les informations publiées par Infosecurity Magazine, un groupe lié à l’État chinois qui avait jailbreaké Claude Code, un assistant de codage pourtant légitime, afin d’en faire une plateforme d’attaque autonome. L’IA a réalisé de 80 à 90 % du travail tactique total dans une campagne visant environ 30 organisations, parmi lesquelles des entreprises technologiques, des institutions financières, des industriels de la chimie et des agences gouvernementales.

Le point le plus frappant tient à la faible part d’intervention humaine. Les opérateurs ne sont intervenus qu’à quatre à six points de décision par cible. Tout le reste, de la reconnaissance à l’analyse des vulnérabilités, de la collecte d’identifiants à la génération d’exploits sur mesure et au compte rendu final, a été pris en charge par l’IA, qui traitait des milliers de requêtes par seconde.

La technique employée, en revanche, était presque banale. Les attaquants ont présenté au modèle un scénario de test défensif mené pour une entreprise de cybersécurité légitime, puis ont découpé l’opération malveillante en une suite de tâches modestes, chacune paraissant acceptable isolément. Ensemble, elles composaient pourtant une opération complète d’espionnage.

Une faille qui résiste aux correctifs

Le prompt injection est aujourd’hui au cœur de la sécurité des systèmes d’IA. L’OWASP le classe comme la vulnérabilité numéro un des applications fondées sur les grands modèles de langage, présente dans 73 % des déploiements d’IA en production. Selon la configuration des systèmes, les taux de réussite des attaques varient de 50 à 84 %. Ce simple intervalle dit déjà l’essentiel: nous sommes face à une faiblesse structurelle, non à un défaut marginal.

Le 13 février 2026, OpenAI a lancé le Lockdown Mode pour ChatGPT et a reconnu publiquement que le prompt injection dans les navigateurs dopés à l’IA ne serait peut-être jamais entièrement corrigé. La déclaration a du poids, puisqu’elle émane du principal acteur du secteur. Le problème semble en effet architectural: un modèle de langage ne sait pas distinguer de manière fiable une instruction légitime d’une commande malveillante dissimulée dans les données qu’il traite.

Les alertes critiques recensées en 2025 et 2026 ont confirmé cette réalité. Microsoft Copilot a reçu un score CVSS de 9,3, GitHub Copilot de 9,6 et Cursor IDE de 9,8. Force est donc de constater que l’enjeu n’appartient plus au registre de l’hypothèse.

Quand l’outil de productivité devient un agent interne

Le risque augmente encore lorsque l’IA ne se contente plus de répondre, mais agit. Le rapport Cisco State of AI Security 2026, relayé par Vectra AI, met en lumière un écart saisissant: 83 % des organisations prévoient de déployer des systèmes d’IA agentique, mais 29 % seulement se disent prêtes à les sécuriser. Cet écart de 54 points résume, à lui seul, la situation actuelle.

Une IA agentique lit des bases de données, interroge des API, exécute du code et envoie des courriels au nom de l’entreprise. Dans un tel contexte, un prompt injection réussi ne provoque pas seulement la fuite d’une conversation. Il offre à l’attaquant un quasi-insider authentifié, doté d’un accès programmatique à l’infrastructure.

Il n’est donc guère surprenant que le marché de la sécurité des prompts soit passé de 1,51 milliard de dollars en 2024 à 1,98 milliard en 2025, avec un taux de croissance annuel composé de 31,5 %. Le phénomène prolonge la logique déjà observée dans les violations fondées sur des identifiants volés, qui dominent une part importante de la menace contemporaine.

Ce que font différemment les entreprises les mieux préparées

Les 34,7 % d’organisations qui ont déjà mis en place des protections suivent, en substance, trois principes. D’abord, elles traitent le modèle comme un acteur non fiable. Toute sortie est vérifiée avant de déclencher une action, et toute donnée externe est filtrée avant d’être présentée au système.

Ensuite, elles séparent strictement les privilèges. Un assistant de codage ne devrait pas pouvoir déployer en production sans validation humaine. La recommandation paraît élémentaire, mais elle se heurte souvent au confort opérationnel, comme le montrent les raccourcis de cybersécurité pris au quotidien dans bien des organisations.

Enfin, elles pratiquent des tests adversariaux continus. Les équipes de sécurité essaient activement de contourner leurs propres garde-fous avec les mêmes techniques que celles des attaquants.

La fenêtre de réaction se referme

Pour les entreprises européennes, un autre paramètre entre désormais en ligne de compte. L’AI Act de l’Union européenne deviendra pleinement applicable le 2 août 2026, sous réserve de certaines exceptions. Le prompt injection se rattache déjà à sept grands cadres de conformité, dont OWASP, MITRE ATLAS, NIST et ISO 42001. La question n’est donc plus seulement technique: elle touche aussi à l’auditabilité, à la gouvernance et à la responsabilité.

Dans le même temps, le délai moyen séparant la compromission initiale d’un mouvement latéral est tombé à 29 minutes en 2025, soit une baisse de 65 % en un an. Si l’IA continue d’automatiser la chaîne d’attaque, cette fenêtre se réduira encore. Les outils acquis pour accélérer le travail peuvent désormais être mobilisés, avec la même efficacité, contre l’entreprise elle-même.