90 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Security

Qu'est-ce que Modélisation des menaces de l’IA ?

Un processus structuré d’identification, de catégorisation et de hiérarchisation des menaces de sécurité potentielles propres aux systèmes d’IA et à leurs environnements de déploiement.

La modélisation des menaces de l’IA est la pratique systématique consistant à analyser les systèmes d’IA afin d’identifier les vecteurs d’attaque, vulnérabilités et menaces potentiels avant qu’ils ne puissent être exploités. Elle étend des méthodologies traditionnelles de modélisation des menaces telles que STRIDE et PASTA pour répondre à des risques propres à l’IA, comme les attaques adverses, l’empoisonnement des données, le vol de modèle et l’injection de requête.

Le processus de modélisation des menaces de l’IA comprend généralement : la définition du périmètre du système d’IA (modèles, pipelines de données, API, intégrations), l’identification des actifs (données d’entraînement, poids du modèle, données utilisateurs, propriété intellectuelle), la cartographie des flux de données (comment l’information circule dans le système d’IA), l’identification des menaces à l’aide de taxonomies propres à l’IA (OWASP Top 10 pour les LLM, MITRE ATLAS), l’évaluation de la probabilité et de l’impact de chaque menace, et la hiérarchisation des stratégies d’atténuation.

Les catégories de menaces propres à l’IA comprennent : les attaques par entrées adverses (entrées conçues pour provoquer une mauvaise classification), l’extraction de modèle (vol des fonctionnalités du modèle par des requêtes d’API), l’empoisonnement des données d’entraînement (corruption des données pour manipuler le comportement du modèle), l’inférence d’appartenance (déterminer si des données spécifiques ont servi à l’entraînement), l’injection de requête et le jailbreaking, la compromission de la chaîne d’approvisionnement des dépendances du modèle, et les attaques de confidentialité qui extraient des données d’entraînement sensibles.

Les organisations devraient mener une modélisation des menaces de l’IA avant de déployer tout système d’IA, lors des mises à jour majeures et périodiquement à mesure que le paysage des menaces évolue. Les résultats devraient alimenter les processus de gestion des risques liés à l’IA et orienter la mise en place des contrôles de sécurité.

Termes associés

Sécurité de l’IA

La pratique consistant à protéger les systèmes, modèles et données d’IA contre les menaces, vulnérabilités et attaques tout au long du cycle de vie de l’IA.

Gestion des risques liés à l’IA

Le processus systématique d’identification, d’évaluation, d’atténuation et de surveillance des risques associés au développement, au déploiement et à l’utilisation des systèmes d’IA.

Red teaming de l’IA

Une pratique structurée de test adverse dans laquelle des experts en sécurité simulent des attaques contre les systèmes d’IA afin de mettre au jour les vulnérabilités, les biais et les modes de défaillance avant le déploiement.

Tests d’intrusion de l’IA

La pratique consistant à simuler des attaques réelles contre les systèmes d’IA afin d’identifier les vulnérabilités exploitables des modèles, des API et des pipelines de données.

Découvrez comment Aona gère Modélisation des menaces de l’IA

Découvrez comment Aona AI aide les entreprises à gérer ce risque en pratique.

Voir comment ça marche

Protégez votre organisation contre les risques liés à l'IA

Aona AI offre une découverte automatisée du Shadow AI, l'application des politiques en temps réel et une gouvernance complète de l'IA pour les entreprises.

Demander une démo← Retour au glossaire