ANSSI : premières recommandations techniques pour la sécurisation des systèmes IA

L'ANSSI vient de publier son premier guide technique dédié à la sécurisation des systèmes d'intelligence artificielle. Ce document de 47 pages, disponible en téléchargement sur ssi.gouv.fr, est le premier cadre de référence officiel français sur le sujet.

Les quatre axes du guide

• Architecture : cloisonnement des environnements d'entraînement, d'évaluation et d'inférence ; interdiction de connexion directe entre LLM et systèmes critiques sans couche de validation
• Gestion des prompts : recommandations contre les attaques par injection de prompt, validation des entrées utilisateurs, filtrage des sorties avant intégration dans d'autres systèmes
• Fournisseurs tiers : grille d'évaluation des API IA externes (conformité RGPD, localisation des données, conditions d'entraînement), liste de critères minimaux pour un DPA acceptable
• Supervision : journalisation des requêtes et réponses, détection d'anomalies comportementales, procédures d'escalade en cas de comportement inattendu du modèle

Ce qui est nouveau par rapport aux guides existants

L'ANSSI va plus loin que les recommandations génériques de l'ENISA en proposant des mesures concrètes adaptées au contexte réglementaire français. Le guide intègre notamment les exigences de l'EU AI Act pour les systèmes à haut risque et articule les obligations NIS2 avec les risques spécifiques aux pipelines IA. Une section dédiée aux petites structures (moins de 250 salariés) propose un sous-ensemble de 12 mesures prioritaires pour les organisations aux ressources limitées.

L'ANSSI prévoit une mise à jour du guide tous les 12 mois pour suivre l'évolution des menaces.