30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Modèle gratuit · Sécurité des LLM

Checklist de sécurité OWASP LLM Top 10Une seule revue pour chaque système LLM que vous développez ou achetez

L'OWASP Top 10 for LLM Applications (édition 2025) définit les risques de sécurité les plus critiques des systèmes basés sur les LLM. Cette checklist transforme les dix risques en une revue pratique : descriptions en langage clair, 66 points de contrôle concrets, preuves à collecter pour chaque risque et tableau de bord récapitulatif. Chaque point est étiqueté pour les équipes qui développent des fonctionnalités LLM et celles qui évaluent des produits d'IA de fournisseurs.

Les dix risques en un coup d'œil

La checklist consacre une section complète à chaque risque OWASP : une description en langage clair, 5 à 8 points de contrôle avec cases à cocher, une liste de preuves et un champ de sévérité et de statut.

LLM01
Prompt InjectionInjection de prompt
Des instructions forgées ou dissimulées amènent le modèle à ignorer ses règles et à agir contre vos intentions.
LLM02
Sensitive Information DisclosureDivulgation d'informations sensibles
Le modèle révèle des données personnelles, des secrets ou le contenu d'autres utilisateurs via ses sorties, ses journaux ou ses données d'entraînement.
LLM03
Supply ChainChaîne d'approvisionnement
Des modèles, jeux de données ou dépendances compromis sapent tous les contrôles construits par-dessus.
LLM04
Data and Model PoisoningEmpoisonnement des données et des modèles
Des données d'entraînement ou d'embedding falsifiées introduisent des portes dérobées, des biais ou des déclencheurs cachés dans le comportement du modèle.
LLM05
Improper Output HandlingTraitement incorrect des sorties
Une sortie de modèle acceptée aveuglément devient un vecteur d'injection : XSS, injection SQL, exécution de code.
LLM06
Excessive AgencyAutonomie excessive
Une IA qui peut faire plus que nécessaire transforme une mauvaise décision en dommage réel.
LLM07
System Prompt LeakageFuite du prompt système
Des prompts système extraits exposent des secrets et des règles métier, et neutralisent les garde-fous qui ne vivent que dans le prompt.
LLM08
Vector and Embedding WeaknessesVulnérabilités des vecteurs et des embeddings
Des contrôles faibles dans la couche de récupération RAG permettent aux attaquants de lire ou d'influencer ce que voit le modèle.
LLM09
MisinformationDésinformation
Des sorties assurées mais fausses alimentent des décisions et des publications sans relecture.
LLM10
Unbounded ConsumptionConsommation illimitée
Un usage sans plafond entraîne des coûts incontrôlés, un service dégradé et l'extraction du modèle.

Conçue pour les développeurs et les acheteurs

La plupart des organisations développent des fonctionnalités LLM et achètent aussi des produits avec IA intégrée. Chaque point de contrôle est étiqueté Build, Buy ou Both, pour couvrir tout votre parc en une seule passe.

Si vous développez des fonctionnalités LLM

Équipes d'ingénierie et de sécurité qui livrent des chatbots, des copilotes, des pipelines RAG ou des agents.

  • Points de revue de conception : frontières de confiance, traitement des sorties, moindre privilège
  • Contrôles de tests adverses pour l'injection de prompt directe et indirecte
  • Contrôles de pipeline : provenance des données d'entraînement et évaluation des modèles
  • Limites opérationnelles : quotas, budgets, coupe-circuits et journalisation

Si vous évaluez des produits d'IA de fournisseurs

Équipes sécurité, GRC et achats qui examinent des outils SaaS dotés de capacités LLM intégrées.

  • Questions à poser aux fournisseurs sur les défenses anti-injection, l'usage des données et la rétention
  • Vérifications contractuelles : pas d'entraînement sur vos données, droits de suppression, plafonds de consommation
  • Diligence raisonnable sur les sous-traitants et les fournisseurs de modèles en amont
  • Contrôles configurables : permissions, approbations et journaux d'audit

Comment mener la revue

Une passe structurée prend quelques heures par système à une équipe concentrée. La checklist vous guide étape par étape.

1
Délimitez votre parc LLM
Listez chaque système où un LLM traite des entrées non fiables, touche des données sensibles ou exécute des actions : développé, acheté ou fonctionnalité d'IA intégrée.
2
Parcourez les dix risques
Marquez chaque point de contrôle Conforme, Non conforme ou N/A, en sautant les points qui ne correspondent pas à votre relation Build ou Buy avec le système.
3
Collectez les preuves au fil de l'eau
Chaque section liste les éléments qui transforment un Conforme en constat défendable : rapports de tests, configurations, contrats et journaux.
4
Notez et assignez des responsables
Consignez la sévérité et le statut de chaque risque dans le tableau de bord, et créez une action avec responsable et échéance pour chaque Non conforme.
5
Répétez à chaque changement
Relancez la revue après remédiation, lors de tout changement matériel d'un système et au moins une fois par an. Surveillez les produits fournisseurs qui gagnent discrètement des fonctionnalités d'IA.
Pour commencer

Connaissez chaque système LLM avant de le sécuriser

Une checklist ne couvre que les systèmes que vous connaissez. Aona AI découvre chaque outil d'IA utilisé dans votre organisation, surveille les données qui y circulent et garde votre périmètre de revue complet.