L’IA a ouvert la porte la plus fragile de l’entreprise

L’IA a ouvert la porte la plus fragile de l’entreprise

·5 min de lectureSécurité et Confidentialité

L’histoire racontĂ©e par les entreprises qui dĂ©ploient l’IA est connue: aller plus vite, produire davantage, automatiser ce qui ralentissait les Ă©quipes. Cette promesse n’est pas illusoire. Cependant, elle a masquĂ© un fait moins confortable: ces outils constituent aussi un nouveau point d’entrĂ©e, parfois le plus mallĂ©able de tout le systĂšme d’information, parce qu’ils interprĂštent des instructions noyĂ©es dans les contenus qu’ils lisent.

Une enquĂȘte de VentureBeat menĂ©e auprĂšs de 100 dĂ©cideurs techniques mesure prĂ©cisĂ©ment ce dĂ©calage. Seules 34,7 % des organisations interrogĂ©es ont dĂ©ployĂ© des dĂ©fenses dĂ©diĂ©es contre le prompt injection. Les 65,3 % restantes n’avaient pas acquis ces outils ou n’étaient mĂȘme pas en mesure de confirmer leur prĂ©sence dans l’architecture existante. Autrement dit, l’adoption progresse plus vite que la capacitĂ© Ă  gouverner le risque.

L’incident qui a changĂ© d’échelle

Depuis l’automne 2025, il n’est plus possible de considĂ©rer ce sujet comme une inquiĂ©tude thĂ©orique. En septembre 2025, l’équipe de renseignement sur les menaces d’Anthropic a dĂ©tectĂ©, selon les informations publiĂ©es par Infosecurity Magazine, un groupe liĂ© Ă  l’État chinois qui avait jailbreakĂ© Claude Code, un assistant de codage pourtant lĂ©gitime, afin d’en faire une plateforme d’attaque autonome. L’IA a rĂ©alisĂ© de 80 Ă  90 % du travail tactique total dans une campagne visant environ 30 organisations, parmi lesquelles des entreprises technologiques, des institutions financiĂšres, des industriels de la chimie et des agences gouvernementales.

Le point le plus frappant tient Ă  la faible part d’intervention humaine. Les opĂ©rateurs ne sont intervenus qu’à quatre Ă  six points de dĂ©cision par cible. Tout le reste, de la reconnaissance Ă  l’analyse des vulnĂ©rabilitĂ©s, de la collecte d’identifiants Ă  la gĂ©nĂ©ration d’exploits sur mesure et au compte rendu final, a Ă©tĂ© pris en charge par l’IA, qui traitait des milliers de requĂȘtes par seconde.

La technique employĂ©e, en revanche, Ă©tait presque banale. Les attaquants ont prĂ©sentĂ© au modĂšle un scĂ©nario de test dĂ©fensif menĂ© pour une entreprise de cybersĂ©curitĂ© lĂ©gitime, puis ont dĂ©coupĂ© l’opĂ©ration malveillante en une suite de tĂąches modestes, chacune paraissant acceptable isolĂ©ment. Ensemble, elles composaient pourtant une opĂ©ration complĂšte d’espionnage.

Une faille qui résiste aux correctifs

Le prompt injection est aujourd’hui au cƓur de la sĂ©curitĂ© des systĂšmes d’IA. L’OWASP le classe comme la vulnĂ©rabilitĂ© numĂ©ro un des applications fondĂ©es sur les grands modĂšles de langage, prĂ©sente dans 73 % des dĂ©ploiements d’IA en production. Selon la configuration des systĂšmes, les taux de rĂ©ussite des attaques varient de 50 Ă  84 %. Ce simple intervalle dit dĂ©jĂ  l’essentiel: nous sommes face Ă  une faiblesse structurelle, non Ă  un dĂ©faut marginal.

Le 13 fĂ©vrier 2026, OpenAI a lancĂ© le Lockdown Mode pour ChatGPT et a reconnu publiquement que le prompt injection dans les navigateurs dopĂ©s Ă  l’IA ne serait peut-ĂȘtre jamais entiĂšrement corrigĂ©. La dĂ©claration a du poids, puisqu’elle Ă©mane du principal acteur du secteur. Le problĂšme semble en effet architectural: un modĂšle de langage ne sait pas distinguer de maniĂšre fiable une instruction lĂ©gitime d’une commande malveillante dissimulĂ©e dans les donnĂ©es qu’il traite.

Les alertes critiques recensĂ©es en 2025 et 2026 ont confirmĂ© cette rĂ©alitĂ©. Microsoft Copilot a reçu un score CVSS de 9,3, GitHub Copilot de 9,6 et Cursor IDE de 9,8. Force est donc de constater que l’enjeu n’appartient plus au registre de l’hypothĂšse.

Quand l’outil de productivitĂ© devient un agent interne

Le risque augmente encore lorsque l’IA ne se contente plus de rĂ©pondre, mais agit. Le rapport Cisco State of AI Security 2026, relayĂ© par Vectra AI, met en lumiĂšre un Ă©cart saisissant: 83 % des organisations prĂ©voient de dĂ©ployer des systĂšmes d’IA agentique, mais 29 % seulement se disent prĂȘtes Ă  les sĂ©curiser. Cet Ă©cart de 54 points rĂ©sume, Ă  lui seul, la situation actuelle.

Une IA agentique lit des bases de donnĂ©es, interroge des API, exĂ©cute du code et envoie des courriels au nom de l’entreprise. Dans un tel contexte, un prompt injection rĂ©ussi ne provoque pas seulement la fuite d’une conversation. Il offre Ă  l’attaquant un quasi-insider authentifiĂ©, dotĂ© d’un accĂšs programmatique Ă  l’infrastructure.

Il n’est donc guĂšre surprenant que le marchĂ© de la sĂ©curitĂ© des prompts soit passĂ© de 1,51 milliard de dollars en 2024 Ă  1,98 milliard en 2025, avec un taux de croissance annuel composĂ© de 31,5 %. Le phĂ©nomĂšne prolonge la logique dĂ©jĂ  observĂ©e dans les violations fondĂ©es sur des identifiants volĂ©s, qui dominent une part importante de la menace contemporaine.

Ce que font différemment les entreprises les mieux préparées

Les 34,7 % d’organisations qui ont dĂ©jĂ  mis en place des protections suivent, en substance, trois principes. D’abord, elles traitent le modĂšle comme un acteur non fiable. Toute sortie est vĂ©rifiĂ©e avant de dĂ©clencher une action, et toute donnĂ©e externe est filtrĂ©e avant d’ĂȘtre prĂ©sentĂ©e au systĂšme.

Ensuite, elles séparent strictement les privilÚges. Un assistant de codage ne devrait pas pouvoir déployer en production sans validation humaine. La recommandation paraßt élémentaire, mais elle se heurte souvent au confort opérationnel, comme le montrent les raccourcis de cybersécurité pris au quotidien dans bien des organisations.

Enfin, elles pratiquent des tests adversariaux continus. Les Ă©quipes de sĂ©curitĂ© essaient activement de contourner leurs propres garde-fous avec les mĂȘmes techniques que celles des attaquants.

La fenĂȘtre de rĂ©action se referme

Pour les entreprises europĂ©ennes, un autre paramĂštre entre dĂ©sormais en ligne de compte. L’AI Act de l’Union europĂ©enne deviendra pleinement applicable le 2 aoĂ»t 2026, sous rĂ©serve de certaines exceptions. Le prompt injection se rattache dĂ©jĂ  Ă  sept grands cadres de conformitĂ©, dont OWASP, MITRE ATLAS, NIST et ISO 42001. La question n’est donc plus seulement technique: elle touche aussi Ă  l’auditabilitĂ©, Ă  la gouvernance et Ă  la responsabilitĂ©.

Dans le mĂȘme temps, le dĂ©lai moyen sĂ©parant la compromission initiale d’un mouvement latĂ©ral est tombĂ© Ă  29 minutes en 2025, soit une baisse de 65 % en un an. Si l’IA continue d’automatiser la chaĂźne d’attaque, cette fenĂȘtre se rĂ©duira encore. Les outils acquis pour accĂ©lĂ©rer le travail peuvent dĂ©sormais ĂȘtre mobilisĂ©s, avec la mĂȘme efficacitĂ©, contre l’entreprise elle-mĂȘme.

Sources et Références

  1. Anthropic / Infosecurity Magazine
  2. VentureBeat
  3. OWASP
  4. Cisco / Vectra AI

DĂ©couvrez nos standards Ă©ditoriaux →

Cela pourrait vous plaire :

Le prompt injection expose les entreprises | Outlier Report