OWASP Top 10 LLM 2025 : les 10 failles critiques des API IA que votre entreprise doit connaître
L’injection de prompt n’est plus une curiosité de chercheur : c’est la faille numéro un des applications IA en production, présente dans 73 % des déploiements d’IA audités selon l’OWASP. En 2025-2026, des systèmes IA de Microsoft, Google, GitHub et OpenAI ont été exploités en environnement réel, avec des scores de criticité CVSS dépassant 9.0. Le référentiel OWASP Top 10 for LLM Applications 2025 est devenu la référence incontournable pour comprendre et contrer ces menaces. Ce guide vulgarise les 10 failles critiques pour les dirigeants, DSI et responsables sécurité, avec des exemples concrets et des recommandations actionnables pour les PME qui intègrent des LLM dans leurs processus.
Pourquoi l’OWASP Top 10 LLM est devenu incontournable en 2026
Le paysage de la sécurité des applications IA a radicalement changé entre 2023 et 2026. Ce qui relevait de la recherche académique est devenu un enjeu opérationnel pour toute organisation utilisant des modèles de langage. Comprendre le référentiel OWASP est désormais une compétence stratégique, pas seulement technique.
L’OWASP (Open Worldwide Application Security Project) est une fondation à but non lucratif reconnue mondialement depuis 2001 pour ses référentiels de sécurité. Le Top 10 for LLM Applications, lancé en 2023, a été mis à jour en 2025 par plus de 500 experts internationaux et 150 contributeurs actifs issus d’entreprises IA, de fournisseurs hardware et du monde académique. L’édition 2025 intègre de nouvelles catégories de risques qui reflètent l’évolution rapide des déploiements : systèmes RAG, agents IA autonomes et méthodes d’attaque sophistiquées.
Les chiffres justifient cette urgence. Selon le rapport Cisco State of AI Security 2026, 83 % des organisations prévoient de déployer des agents IA, mais seulement 29 % se sentent prêtes à les sécuriser. Le marché de la sécurité des prompts IA a atteint 1,98 milliard de dollars en 2025, en croissance de 31,5 % par an, et devrait atteindre 5,87 milliards d’ici 2029. L’EU AI Act, dont les principales dispositions entrent en vigueur en août 2026, rend la conformité sécuritaire IA obligatoire pour les systèmes à haut risque.
L’édition 2025 marque des évolutions significatives par rapport à 2023. La fuite d’informations sensibles passe de la 6e à la 2e position. Le supply chain monte du 5e au 3e rang. Cinq nouvelles entrées apparaissent : autonomie excessive, fuite de prompt système, faiblesses des vecteurs et embeddings, désinformation et consommation non bornée. Pour les entreprises qui souhaitent évaluer leur exposition avant de plonger dans le détail technique, notre Diagnostic IA gratuit constitue un point d’entrée rapide.
LLM01 à LLM02 : prompt injection et fuite de données sensibles
Les deux premières positions du classement OWASP concentrent les risques les plus immédiats et les plus fréquemment exploités en production. Leur compréhension est indispensable pour tout décideur supervisant des applications IA.
LLM01 : Prompt Injection — la faille architecturale fondamentale
L’injection de prompt est classée numéro un depuis la création du référentiel en 2023, et pour cause : elle exploite une faiblesse architecturale fondamentale des LLM — leur incapacité à distinguer de manière fiable les instructions de confiance des données non fiables. L’International AI Safety Report 2026 a établi qu’un attaquant sophistiqué contourne les meilleures défenses environ 50 % du temps en seulement 10 tentatives.
L’injection directe consiste à manipuler l’input utilisateur pour que le modèle ignore ses instructions d’origine. L’injection indirecte est plus insidieuse : des instructions malveillantes sont cachées dans des contenus externes (documents, emails, pages web) que l’IA traite. Quand un agent IA résume une page web contenant un prompt caché, il peut exfiltrer des données de la conversation sans que l’utilisateur ne s’en aperçoive.
| Type d’injection | Mécanisme | Exemple réel 2025-2026 |
|---|---|---|
| Injection directe | L’utilisateur manipule directement le prompt | Bing Chat/Copilot : exposition des prompts internes de ranking |
| Injection indirecte (IDPI) | Instructions cachées dans du contenu externe traité par l’IA | Slack AI : exfiltration de données privées via prompt caché dans un canal public |
| Injection multimodale | Instructions adverses intégrées dans des images | Attaques typographiques sur des objets physiques lus par des agents vision |
| Injection cross-agent | Un agent manipulé demande à un autre agent d’exécuter une action privilégiée | ServiceNow Now Assist : escalade de privilèges inter-agents |
Les CVE récentes confirment la gravité : GitHub Copilot (CVE-2025-53773, CVSS 9.6), Cursor IDE (CVSS 9.8), et l’attaque ZombieAgent contre ChatGPT qui a exploité les intégrations de connecteurs et la mémoire à long terme pour réaliser une injection indirecte persistante entre les sessions. OpenAI a lancé un « Lockdown Mode » pour ChatGPT en février 2026 et a publiquement reconnu que l’injection de prompt dans les navigateurs IA pourrait ne jamais être complètement corrigée.
LLM02 : Sensitive Information Disclosure — la fuite silencieuse
La fuite d’informations sensibles est passée de la 6e à la 2e position, reflétant la multiplication des incidents en production. Les LLM peuvent involontairement révéler des données personnelles, des secrets commerciaux, du code source propriétaire ou des identifiants d’accès contenus dans leurs données d’entraînement ou dans les documents traités. Le cas Samsung reste emblématique : des ingénieurs ont collé du code source propriétaire dans ChatGPT, exposant des secrets industriels à un système externe. Depuis, 77 % des employés collent régulièrement des données dans des prompts IA, dont 82 % via des comptes non gérés par l’entreprise. Notre analyse des enjeux de confidentialité et IA détaille les solutions pour les professions réglementées.
LLM03 à LLM05 : supply chain, empoisonnement et gestion des sorties
Les positions 3 à 5 couvrent les risques liés à la chaîne d’approvisionnement des composants IA, à l’intégrité des données d’entraînement et à la confiance excessive accordée aux sorties des modèles. Ces failles sont souvent invisibles jusqu’à ce qu’elles causent des dégâts majeurs.
LLM03 : Supply Chain — quand vos dépendances IA deviennent des vecteurs d’attaque
Le supply chain a bondi de la 5e à la 3e position. Les modèles pré-entraînés, les bibliothèques, les données de fine-tuning et les plugins tiers constituent autant de vecteurs d’attaque. La crise OpenClaw et son marketplace ClawHub en est l’illustration parfaite : plus de 820 skills malveillantes sur 10 700, installant des keyloggers et des malwares sous couvert d’extensions légitimes. La recherche montre que 53 % des entreprises ne font pas de fine-tuning et s’appuient sur des pipelines RAG et agentiques, héritant des vulnérabilités de composants qu’elles ne contrôlent pas.
LLM04 : Data and Model Poisoning — l’empoisonnement invisible
L’empoisonnement des données d’entraînement ou de fine-tuning permet d’introduire des vulnérabilités, des biais ou des portes dérobées dans les modèles. Une étude académique a démontré que 5 documents empoisonnés suffisent à manipuler les réponses d’un système RAG dans 90 % des cas. L’attaquant peut dégrader la performance du modèle, produire des sorties nuisibles ou trompeuses, ou activer des comportements cachés déclenchés par des inputs spécifiques. Ce risque est amplifié par le fait que les données d’entraînement sont rarement auditées avec la même rigueur que le code source.
LLM05 : Improper Output Handling — la confiance mal placée
Ce risque concerne les applications qui consomment les sorties d’un LLM sans validation adéquate. Quand la sortie d’un modèle est directement injectée dans une base de données, un système d’exploitation ou une API en aval, elle peut provoquer des injections SQL, des XSS ou de l’exécution de code arbitraire. Le principe fondamental : ne jamais traiter la sortie d’un LLM comme du contenu de confiance.
| Faille OWASP | Évolution 2023→2025 | Risque principal | Mitigation prioritaire |
|---|---|---|---|
| LLM01 Prompt Injection | #1 → #1 (stable) | Détournement des instructions du modèle | Validation d’entrée, isolation des prompts, monitoring |
| LLM02 Sensitive Info Disclosure | #6 → #2 (↑↑) | Fuite de données personnelles ou propriétaires | Filtrage DLP, classification des données |
| LLM03 Supply Chain | #5 → #3 (↑) | Composants tiers compromis | SBOM, vérification de provenance |
| LLM04 Data & Model Poisoning | #3 → #4 (élargi) | Manipulation des données d’entraînement | Audit des données, détection d’anomalies |
| LLM05 Improper Output Handling | #2 → #5 (↓) | Exploitation des sorties non validées | Sandboxing, validation des sorties |
Pour évaluer votre exposition à ces risques sur vos outils IA existants, notre audit en 10 points constitue une première étape structurée.
LLM06 à LLM08 : autonomie excessive, fuite de prompts système et faiblesses RAG
Les positions 6 à 8 sont des nouveautés de l’édition 2025. Elles reflètent la montée en puissance des agents IA autonomes, la découverte que les prompts système ne sont pas aussi protégés qu’on le pensait, et les vulnérabilités spécifiques des architectures RAG devenues omniprésentes.
LLM06 : Excessive Agency — quand l’IA a trop de pouvoir
L’autonomie excessive survient lorsque des LLM sont autorisés à exécuter des actions à haut risque — commandes système, accès à des bases de données sensibles, envoi d’emails — sans garde-fous suffisants. Avec l’émergence des agents IA autonomes, cette catégorie est devenue critique. Un agent qui peut lire, écrire et exécuter sans validation humaine est un multiplicateur de risque pour toute faille dans les catégories précédentes. La mitigation repose sur le principe du moindre privilège, une validation humaine pour les actions critiques, et un logging exhaustif des actions de l’agent.
LLM07 : System Prompt Leakage — vos secrets dans le prompt
La fuite de prompt système est une entrée entièrement nouvelle en 2025. Beaucoup d’applications supposaient que les prompts système étaient isolés en toute sécurité. Les exploits récents ont prouvé le contraire : les instructions, credentials, clés API, endpoints et logiques de décision intégrées dans les prompts système peuvent être extraites par des attaquants. Cela expose les mécanismes de sécurité internes, les configurations d’accès et les règles métier sensibles. Les développeurs doivent concevoir les prompts système en partant du principe qu’ils seront lus par des adversaires.
LLM08 : Vector and Embedding Weaknesses — le talon d’Achille du RAG
Avec 53 % des entreprises qui s’appuient sur des pipelines RAG plutôt que sur le fine-tuning, les vulnérabilités des bases vectorielles et des embeddings ont mérité une place dans le Top 10. Les vecteurs d’attaque incluent l’empoisonnement d’embeddings (injection de vecteurs malveillants qui influencent la récupération), les attaques par similarité (requêtes conçues pour récupérer du contenu non prévu), l’accès non autorisé aux bases vectorielles, et l’inversion d’embeddings pour reconstruire le texte source. La sécurité des systèmes RAG est indissociable de la sécurité de leur base de connaissances. Pour comprendre comment sécuriser vos pipelines tout en optimisant votre visibilité, consultez notre guide des cas d’usage des agents IA en entreprise.
LLM09 à LLM10 : désinformation et consommation non bornée
Les deux dernières positions du classement couvrent des risques opérationnels et réputationnels souvent sous-estimés par les organisations, mais dont l’impact peut être considérable.
LLM09 : Misinformation — quand l’IA ment avec assurance
La désinformation générée par les LLM représente une vulnérabilité fondamentale pour les applications qui s’appuient sur la fiabilité des réponses. Les hallucinations — informations présentées avec assurance mais factuellement fausses — peuvent conduire à des décisions commerciales erronées, des conseils juridiques ou médicaux dangereux, et des dommages réputationnels. Le risque est amplifié quand les employés traitent les sorties de l’IA comme des vérités vérifiées sans contrôle humain. Les organisations doivent implémenter des mécanismes de vérification factuelle et former les utilisateurs à l’évaluation critique des sorties IA.
LLM10 : Unbounded Consumption — l’attaque par les ressources
La consommation non bornée désigne les situations où des requêtes malveillantes ou mal conçues consomment des ressources excessives — tokens, temps de calcul, appels API — entraînant des interruptions de service ou des coûts financiers incontrôlés. Un attaquant peut provoquer un déni de service en soumettant des requêtes complexes qui épuisent les quotas de tokens, ou exploiter des boucles récursives dans les agents IA. La mitigation passe par des limites de débit, des plafonds de consommation, et une surveillance en temps réel des patterns d’utilisation anormaux.
| Faille OWASP | Statut 2025 | Risque principal | Mitigation prioritaire |
|---|---|---|---|
| LLM06 Excessive Agency | Nouveau | Actions non autorisées par l’agent IA | Moindre privilège, human-in-the-loop |
| LLM07 System Prompt Leakage | Nouveau | Exposition de secrets, clés API, logique interne | Isolation des prompts, pas de secrets dans les prompts |
| LLM08 Vector & Embedding Weaknesses | Nouveau | Corruption des bases vectorielles RAG | Contrôle d’accès, validation de la base de connaissances |
| LLM09 Misinformation | Nouveau | Décisions basées sur des hallucinations | Vérification factuelle, feedback humain |
| LLM10 Unbounded Consumption | Nouveau | Déni de service, coûts financiers incontrôlés | Rate limiting, plafonds de tokens, monitoring |
Ces risques ne sont pas théoriques. Notre benchmark des outils IA 2026 intègre des critères de sécurité pour aider les entreprises à choisir des solutions avec des garde-fous robustes.
Plan d’action cybersécurité IA pour les PME en 2026
Sécuriser ses applications IA ne nécessite pas un budget de multinationale. Un plan d’action structuré, priorisé par niveau de risque, permet aux PME de couvrir les failles les plus critiques avec des ressources limitées.
Étape 1 — Inventorier et cartographier. Listez tous les systèmes IA en production et en test. Identifiez pour chacun les données qu’il traite, les actions qu’il peut exécuter, les composants tiers dont il dépend et les utilisateurs qui y accèdent. Cet inventaire est la base de toute gouvernance. Seules 37 % des organisations disposent aujourd’hui de politiques de gouvernance IA.
Étape 2 — Sécuriser les entrées et les sorties. Implémentez une validation systématique des inputs utilisateur avant leur traitement par le LLM. Appliquez des filtres sémantiques pour détecter les tentatives d’injection de prompt. Côté sorties, ne faites jamais confiance aux réponses du modèle : validez, sanitisez et sandboxez avant toute action en aval. Séparez et identifiez clairement le contenu non fiable pour limiter son influence sur les prompts utilisateur.
Étape 3 — Appliquer le moindre privilège à toute l’architecture. Chaque composant IA ne devrait accéder qu’aux ressources strictement nécessaires. Sécurisez les API, les conteneurs et les pipelines CI/CD. Gérez les secrets avec un vault dédié — jamais de clés API, de mots de passe ou d’endpoints dans les prompts système. L’OWASP recommande explicitement de concevoir les prompts système en partant du principe qu’ils seront exposés.
Étape 4 — Auditer la chaîne d’approvisionnement IA. Maintenez un Software Bill of Materials (SBOM) pour tous les composants IA. Vérifiez la provenance des modèles, des données et des plugins. Testez les modèles tiers avec des évaluations personnalisées — ne vous fiez pas uniquement aux benchmarks publics. Surveillez les anomalies dans les comportements des composants.
Étape 5 — Monitorer, tester et itérer. Déployez un monitoring continu des applications IA en production. Mettez en place des programmes de red teaming réguliers spécifiquement ciblés sur la sécurité IA. Testez les sorties sous des scénarios diversifiés. Mettez à jour vos défenses en continu — les techniques d’attaque évoluent rapidement. L’OWASP, le MITRE ATLAS, le NIST AI RMF et l’ISO 42001 fournissent des cadres complémentaires pour structurer cette démarche.
| Framework | Focus | Pertinence PME |
|---|---|---|
| OWASP Top 10 LLM 2025 | Vulnérabilités spécifiques des applications LLM | Élevée — guide opérationnel gratuit |
| NIST AI RMF | Gestion des risques IA globale | Moyenne — cadre stratégique |
| EU AI Act | Conformité réglementaire européenne | Élevée — obligatoire dès août 2026 |
| MITRE ATLAS | Tactiques et techniques d’attaque IA | Moyenne — pour les équipes techniques |
| ISO 42001 | Système de management de l’IA | Moyenne — certification volontaire |
La cybersécurité IA n’est plus optionnelle — c’est un prérequis de survie pour toute organisation qui intègre des LLM dans ses processus. Les entreprises qui traitent la sécurité IA avec la même rigueur que la sécurité applicative traditionnelle sont celles qui prospéreront dans l’ère des agents autonomes. Pour structurer votre approche et identifier vos priorités, notre équipe accompagne les PME dans leur transformation IA sécurisée. Et pour les secteurs réglementés comme le juridique ou la santé, des précautions supplémentaires s’imposent — contactez Eric au 06 25 34 34 25 pour en discuter.
Questions fréquentes sur l’OWASP Top 10 LLM et la sécurité IA
Qu’est-ce que l’OWASP Top 10 for LLM Applications ?
C’est un référentiel de sécurité publié par la fondation OWASP qui identifie les 10 vulnérabilités les plus critiques des applications basées sur des modèles de langage (LLM). L’édition 2025, élaborée par plus de 500 experts, couvre les risques spécifiques de l’IA : injection de prompt, fuite de données, empoisonnement de modèles, autonomie excessive des agents et vulnérabilités des systèmes RAG. C’est la référence mondiale pour sécuriser les applications IA.
Qu’est-ce que l’injection de prompt et pourquoi est-ce si grave ?
L’injection de prompt est une technique d’attaque qui manipule les entrées d’un LLM pour lui faire ignorer ses instructions d’origine et exécuter des actions non prévues. Elle exploite une faiblesse architecturale fondamentale : les LLM ne peuvent pas distinguer de manière fiable les instructions de confiance des données non fiables. En 2025-2026, des systèmes de Microsoft, Google et GitHub ont été compromis avec des scores CVSS supérieurs à 9.0. L’injection est présente dans 73 % des déploiements IA audités.
Quelles sont les nouvelles entrées du Top 10 LLM en 2025 ?
L’édition 2025 introduit cinq nouvelles catégories : Excessive Agency (autonomie excessive des agents IA), System Prompt Leakage (fuite des instructions système contenant des secrets), Vector and Embedding Weaknesses (vulnérabilités des systèmes RAG), Misinformation (hallucinations et désinformation) et Unbounded Consumption (consommation de ressources non bornée pouvant mener à un déni de service).
Comment les systèmes RAG sont-ils vulnérables ?
Les systèmes RAG (Retrieval-Augmented Generation) s’appuient sur des bases vectorielles pour enrichir les réponses du LLM avec des données contextuelles. Les attaquants peuvent empoisonner ces bases en injectant des vecteurs malveillants, réaliser des attaques par similarité pour récupérer du contenu non prévu, accéder sans autorisation aux bases d’embeddings, ou inverser les vecteurs pour reconstruire les textes sources. Cinq documents empoisonnés suffisent à manipuler les réponses dans 90 % des cas.
L’EU AI Act impose-t-il des obligations de sécurité IA ?
Oui. Les principales dispositions de l’EU AI Act entrent en vigueur en août 2026. Les systèmes IA à haut risque doivent respecter des exigences strictes de sécurité, de transparence et de gouvernance. Le non-respect peut entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial. L’OWASP Top 10 LLM est compatible avec les exigences de l’EU AI Act et constitue un cadre opérationnel pour atteindre la conformité.
Quel budget une PME doit-elle prévoir pour sécuriser ses applications IA ?
Le référentiel OWASP est gratuit et open source. Les premières mesures — validation des entrées/sorties, moindre privilège, pas de secrets dans les prompts — sont essentiellement des pratiques de développement qui ne coûtent rien en outil supplémentaire. Pour un monitoring et un red teaming plus avancés, des solutions spécialisées existent à partir de quelques centaines d’euros par mois. Le véritable investissement est humain : formation des développeurs, sensibilisation des équipes et gouvernance. Gartner prévoit 492 millions de dollars de dépenses mondiales en gouvernance IA en 2026.
Diag IA gratuit
Nous contacter
Parler à Eric
