Sécurité IA
Votre IA peut être détournée. Autant le découvrir avant les autres.
Un agent IA en production lit des messages, appelle des outils, accède à vos données. Chaque capacité est une porte d’entrée. Je cherche les failles, je les prouve, et je vous donne le chemin pour les fermer.
Le constat
On sécurise un site depuis vingt ans. Un système IA, presque personne ne le teste.
Pourtant il prend des décisions, exécute des actions et manipule des données sensibles, souvent sans garde-fou pensé pour ça. Les attaques sur les systèmes IA ne ressemblent pas aux attaques web classiques : il faut les chercher avec le bon angle.
Ce que je traque
Les failles que je vais chercher chez vous.
- Injection de prompt : un message piégé détourne le comportement de votre agent.
- Exfiltration de données : l’agent est manipulé pour révéler des données clients ou des secrets.
- Abus d’outils et de MCP : l’agent exécute des actions non prévues via ses intégrations.
- Secrets exposés : clés d’API ou identifiants accessibles dans le code ou les journaux.
- Endpoints non protégés : des portes d’entrée internes laissées ouvertes.
La méthode
Je teste votre système comme le ferait un attaquant.
Chaque faille est documentée avec sa preuve, sa criticité et l’effort de correction. Vous repartez avec un rapport priorisé et les correctifs, pas une liste de peurs. L’objectif n’est pas de vous inquiéter, c’est de rendre votre IA défendable.
En pratique
J’ai red-teamé mon propre agent IA en production : 14 vulnérabilités documentées, dont une exécution de code à distance corrigée et redéployée en moins de 24 heures.