OWASP LLM Top 10

Fonctionnement technique

L'OWASP Top 10 for Large Language Model Applications est un classement des risques de sécurité spécifiques aux applications intégrant des LLM (chatbots, assistants, agents IA). Publié en 2023 et mis à jour en 2025, il identifie les vulnérabilités uniques liées à l'utilisation de modèles de langage : LLM01 Prompt Injection, LLM02 Insecure Output Handling, LLM03 Training Data Poisoning, LLM04 Model Denial of Service, LLM05 Supply Chain Vulnerabilities.

Les risques suivants complètent le classement : LLM06 Sensitive Information Disclosure (le modèle révèle des données sensibles de son entraînement ou de son contexte), LLM07 Insecure Plugin Design (les plugins/outils accordent des permissions excessives), LLM08 Excessive Agency (le modèle prend des actions non autorisées via ses outils), LLM09 Overreliance (confiance excessive dans les sorties du LLM), LLM10 Model Theft (extraction ou vol du modèle).

Ces risques sont spécifiques à l'architecture LLM : la nature probabiliste des modèles, leur capacité à exécuter des instructions en langage naturel, et l'accès aux outils et données créent une surface d'attaque fondamentalement différente des applications web classiques. Les attaques exploitent la frontière floue entre données et instructions dans le traitement du langage naturel.

Cas d'usage

Les entreprises déployant des chatbots clients alimentés par RAG sur leurs données internes font face aux risques LLM01 (prompt injection pour extraire le system prompt ou les données du contexte) et LLM06 (fuite d'informations sensibles si les documents indexés contiennent des données confidentielles accessibles à tous les utilisateurs).

Les agents IA avec accès à des outils (exécution de code, API, bases de données) sont vulnérables à LLM07 et LLM08 : une prompt injection indirect via un document ou une page web peut manipuler l'agent pour exécuter des actions non prévues. Des démonstrations ont montré l'exfiltration de données via des agents ayant accès à des outils d'envoi d'email.

Outils et implémentation

Garak (NVIDIA) est un framework de red teaming pour LLM testant les vulnérabilités du Top 10 : injection, hallucination, fuite de données. Rebuff détecte les tentatives de prompt injection en analysant les entrées utilisateur. LLM Guard (Protect AI) fournit des guardrails input/output pour les applications LLM.

NeMo Guardrails (NVIDIA) implémente des garde-fous conversationnels programmables. Lakera Guard détecte les prompt injections en temps réel. Promptfoo automatise les tests de sécurité et de qualité des prompts. OWASP AI Exchange fournit des ressources et des guides de mise en conformité pour les risques IA.

Défense / Bonnes pratiques

Pour LLM01 (Prompt Injection), séparez strictement les instructions système des données utilisateur. Implémentez un filtrage des entrées détectant les patterns d'injection et validez les sorties du modèle avant de les traiter. Utilisez des modèles de détection d'injection (Lakera, Rebuff) comme couche de défense supplémentaire.

Pour LLM06 (Sensitive Information Disclosure), implémentez un contrôle d'accès au niveau des documents dans votre pipeline RAG : chaque utilisateur ne doit accéder qu'aux documents auxquels il est autorisé. Filtrez les sorties pour détecter et masquer les PII (données personnelles), secrets et informations confidentielles avant de les retourner à l'utilisateur.

Pour LLM08 (Excessive Agency), appliquez le principe du moindre privilège aux outils accessibles par le LLM. Implémentez une validation humaine (human-in-the-loop) pour les actions à impact élevé. Limitez le nombre d'actions par session et surveillez les comportements anormaux. Journalisez toutes les invocations d'outils pour l'audit et la détection d'anomalies.

Articles associés

Voir nos articles détaillés sur ce sujet.