LâIA a ouvert la porte la plus fragile de lâentreprise
Lâhistoire racontĂ©e par les entreprises qui dĂ©ploient lâIA est connue: aller plus vite, produire davantage, automatiser ce qui ralentissait les Ă©quipes. Cette promesse nâest pas illusoire. Cependant, elle a masquĂ© un fait moins confortable: ces outils constituent aussi un nouveau point dâentrĂ©e, parfois le plus mallĂ©able de tout le systĂšme dâinformation, parce quâils interprĂštent des instructions noyĂ©es dans les contenus quâils lisent.
Une enquĂȘte de VentureBeat menĂ©e auprĂšs de 100 dĂ©cideurs techniques mesure prĂ©cisĂ©ment ce dĂ©calage. Seules 34,7 % des organisations interrogĂ©es ont dĂ©ployĂ© des dĂ©fenses dĂ©diĂ©es contre le prompt injection. Les 65,3 % restantes nâavaient pas acquis ces outils ou nâĂ©taient mĂȘme pas en mesure de confirmer leur prĂ©sence dans lâarchitecture existante. Autrement dit, lâadoption progresse plus vite que la capacitĂ© Ă gouverner le risque.
Lâincident qui a changĂ© dâĂ©chelle
Depuis lâautomne 2025, il nâest plus possible de considĂ©rer ce sujet comme une inquiĂ©tude thĂ©orique. En septembre 2025, lâĂ©quipe de renseignement sur les menaces dâAnthropic a dĂ©tectĂ©, selon les informations publiĂ©es par Infosecurity Magazine, un groupe liĂ© Ă lâĂtat chinois qui avait jailbreakĂ© Claude Code, un assistant de codage pourtant lĂ©gitime, afin dâen faire une plateforme dâattaque autonome. LâIA a rĂ©alisĂ© de 80 Ă 90 % du travail tactique total dans une campagne visant environ 30 organisations, parmi lesquelles des entreprises technologiques, des institutions financiĂšres, des industriels de la chimie et des agences gouvernementales.
Le point le plus frappant tient Ă la faible part dâintervention humaine. Les opĂ©rateurs ne sont intervenus quâĂ quatre Ă six points de dĂ©cision par cible. Tout le reste, de la reconnaissance Ă lâanalyse des vulnĂ©rabilitĂ©s, de la collecte dâidentifiants Ă la gĂ©nĂ©ration dâexploits sur mesure et au compte rendu final, a Ă©tĂ© pris en charge par lâIA, qui traitait des milliers de requĂȘtes par seconde.
La technique employĂ©e, en revanche, Ă©tait presque banale. Les attaquants ont prĂ©sentĂ© au modĂšle un scĂ©nario de test dĂ©fensif menĂ© pour une entreprise de cybersĂ©curitĂ© lĂ©gitime, puis ont dĂ©coupĂ© lâopĂ©ration malveillante en une suite de tĂąches modestes, chacune paraissant acceptable isolĂ©ment. Ensemble, elles composaient pourtant une opĂ©ration complĂšte dâespionnage.
Une faille qui résiste aux correctifs
Le prompt injection est aujourdâhui au cĆur de la sĂ©curitĂ© des systĂšmes dâIA. LâOWASP le classe comme la vulnĂ©rabilitĂ© numĂ©ro un des applications fondĂ©es sur les grands modĂšles de langage, prĂ©sente dans 73 % des dĂ©ploiements dâIA en production. Selon la configuration des systĂšmes, les taux de rĂ©ussite des attaques varient de 50 Ă 84 %. Ce simple intervalle dit dĂ©jĂ lâessentiel: nous sommes face Ă une faiblesse structurelle, non Ă un dĂ©faut marginal.
Le 13 fĂ©vrier 2026, OpenAI a lancĂ© le Lockdown Mode pour ChatGPT et a reconnu publiquement que le prompt injection dans les navigateurs dopĂ©s Ă lâIA ne serait peut-ĂȘtre jamais entiĂšrement corrigĂ©. La dĂ©claration a du poids, puisquâelle Ă©mane du principal acteur du secteur. Le problĂšme semble en effet architectural: un modĂšle de langage ne sait pas distinguer de maniĂšre fiable une instruction lĂ©gitime dâune commande malveillante dissimulĂ©e dans les donnĂ©es quâil traite.
Les alertes critiques recensĂ©es en 2025 et 2026 ont confirmĂ© cette rĂ©alitĂ©. Microsoft Copilot a reçu un score CVSS de 9,3, GitHub Copilot de 9,6 et Cursor IDE de 9,8. Force est donc de constater que lâenjeu nâappartient plus au registre de lâhypothĂšse.
Quand lâoutil de productivitĂ© devient un agent interne
Le risque augmente encore lorsque lâIA ne se contente plus de rĂ©pondre, mais agit. Le rapport Cisco State of AI Security 2026, relayĂ© par Vectra AI, met en lumiĂšre un Ă©cart saisissant: 83 % des organisations prĂ©voient de dĂ©ployer des systĂšmes dâIA agentique, mais 29 % seulement se disent prĂȘtes Ă les sĂ©curiser. Cet Ă©cart de 54 points rĂ©sume, Ă lui seul, la situation actuelle.
Une IA agentique lit des bases de donnĂ©es, interroge des API, exĂ©cute du code et envoie des courriels au nom de lâentreprise. Dans un tel contexte, un prompt injection rĂ©ussi ne provoque pas seulement la fuite dâune conversation. Il offre Ă lâattaquant un quasi-insider authentifiĂ©, dotĂ© dâun accĂšs programmatique Ă lâinfrastructure.
Il nâest donc guĂšre surprenant que le marchĂ© de la sĂ©curitĂ© des prompts soit passĂ© de 1,51 milliard de dollars en 2024 Ă 1,98 milliard en 2025, avec un taux de croissance annuel composĂ© de 31,5 %. Le phĂ©nomĂšne prolonge la logique dĂ©jĂ observĂ©e dans les violations fondĂ©es sur des identifiants volĂ©s, qui dominent une part importante de la menace contemporaine.
Ce que font différemment les entreprises les mieux préparées
Les 34,7 % dâorganisations qui ont dĂ©jĂ mis en place des protections suivent, en substance, trois principes. Dâabord, elles traitent le modĂšle comme un acteur non fiable. Toute sortie est vĂ©rifiĂ©e avant de dĂ©clencher une action, et toute donnĂ©e externe est filtrĂ©e avant dâĂȘtre prĂ©sentĂ©e au systĂšme.
Ensuite, elles séparent strictement les privilÚges. Un assistant de codage ne devrait pas pouvoir déployer en production sans validation humaine. La recommandation paraßt élémentaire, mais elle se heurte souvent au confort opérationnel, comme le montrent les raccourcis de cybersécurité pris au quotidien dans bien des organisations.
Enfin, elles pratiquent des tests adversariaux continus. Les Ă©quipes de sĂ©curitĂ© essaient activement de contourner leurs propres garde-fous avec les mĂȘmes techniques que celles des attaquants.
La fenĂȘtre de rĂ©action se referme
Pour les entreprises europĂ©ennes, un autre paramĂštre entre dĂ©sormais en ligne de compte. LâAI Act de lâUnion europĂ©enne deviendra pleinement applicable le 2 aoĂ»t 2026, sous rĂ©serve de certaines exceptions. Le prompt injection se rattache dĂ©jĂ Ă sept grands cadres de conformitĂ©, dont OWASP, MITRE ATLAS, NIST et ISO 42001. La question nâest donc plus seulement technique: elle touche aussi Ă lâauditabilitĂ©, Ă la gouvernance et Ă la responsabilitĂ©.
Dans le mĂȘme temps, le dĂ©lai moyen sĂ©parant la compromission initiale dâun mouvement latĂ©ral est tombĂ© Ă 29 minutes en 2025, soit une baisse de 65 % en un an. Si lâIA continue dâautomatiser la chaĂźne dâattaque, cette fenĂȘtre se rĂ©duira encore. Les outils acquis pour accĂ©lĂ©rer le travail peuvent dĂ©sormais ĂȘtre mobilisĂ©s, avec la mĂȘme efficacitĂ©, contre lâentreprise elle-mĂȘme.
Sources et Références
DĂ©couvrez nos standards Ă©ditoriaux â



