À retenir

  • Les LLM sont déjà intégrés à des décisions opérationnelles dans la défense, l’énergie, la logistique et l’administration publique et constituent désormais des « acteurs opérationnels » au sein des infrastructures d’IA [2][4][5].
  • Les infrastructures critiques observent une hausse annuelle à deux chiffres des attaques et certains secteurs subissent plus de 1 000 tentatives hebdomadaires, l’introduction d’IA générative augmentant mécaniquement la surface d’attaque [5].
  • Quatre classes d’attaques — requêtes « éponge », trojans neuronaux, planification de charge adversariale et vecteurs « prompt‑vers‑physique » — sont identifiées comme particulièrement préoccupantes pour 2026 [2][3].
  • Plusieurs rapports classent l’infrastructure d’IA (modèles, données, matériel spécialisé) comme « infrastructure stratégique » au même niveau que le réseau électrique ou les télécoms [2][5].

Les grands modèles de langage (LLM), forme centrale d’IA générative, dépassent le rôle d’assistants : ils pilotent déjà des décisions opérationnelles dans la défense, l’énergie, la logistique et l’administration publique [2][4].

Nous connectons désormais :

  • des systèmes probabilistes issus du Machine Learning ;
  • à des couches de commande historiquement protégées par des règles déterministes et des processus humains rigides [3].

Un capitaine de base logistique militaire rapportait qu’un assistant LLM « propose automatiquement des réaffectations de convois en temps réel » : une défaillance ou une compromission pourrait bloquer toute une chaîne d’approvisionnement [2].

💡 À retenir
Les LLM deviennent des « acteurs opérationnels » au cœur des infrastructures et systèmes IA, ouvrant une surface d’attaque inédite dans l’histoire des systèmes d’information [2][5].


Pourquoi les LLM deviennent une menace pour l’infrastructure d’IA

La sécurité classique repose sur des périmètres nets :

  • réseaux, applications, bases de données, postes de travail ;
  • pare‑feu, zéro confiance, SOC adaptés à ce modèle [1][4].

Les LLM déplacent ce cadre, car ils :

  • interprètent du langage naturel et des entrées peu structurées ;
  • sont couplés à des outils capables d’agir (tickets, scripts, API, OT) ;
  • servent de « cerveau partagé » entre équipes et systèmes [2][3].

Chaque intégration de LLM ou modèle de fondation devient ainsi un point d’entrée potentiel vers :

  • modèles, pipelines de données, ordonnanceurs, grappes de calcul ;
  • et, en bout de chaîne, systèmes physiques [2][6].

📊 Donnée structurante
Les infrastructures critiques (énergie, eau, transports, télécoms, santé) subissent déjà :

  • une hausse annuelle à deux chiffres des attaques ;
  • plus de mille tentatives hebdomadaires pour certains secteurs [5].
    L’introduction d’IA générative y accroît mécaniquement surface d’attaque et possibilités d’attaques adversariales ciblant ces briques [4].

Dans les villes intelligentes et environnements industriels, la convergence IT/OT/IA permet à un même LLM, au sein de systèmes IA intégrés, de :

  • analyser des journaux de sécurité ;
  • ouvrir un ticket IT ;
  • modifier une consigne sur un automatisme via une passerelle OT/IoT [3][6].

⚠️ Point critique
Les référentiels actuels de cybersécurité n’anticipent pas :

  • des LLM agissant directement sur l’infrastructure ;
  • des vecteurs basés sur des manipulations linguistiques (Prompt Injection, consignes ambiguës) plutôt que sur paquets réseau ou code malveillant [2][4].

Plusieurs rapports classent désormais l’infrastructure d’IA — modèles, données, matériel spécialisé — comme « infrastructure stratégique », au même niveau que réseaux électriques ou télécoms [2][5]. Sa compromission peut dégrader simultanément :

  • détection d’intrusion, pilotage de charge, gestion de flotte, réponse à incident ;
  • provoquant des effets dominos transversaux [5][6].

Vecteurs d’attaque émergents contre les systèmes critiques dopés aux LLM

Les travaux récents identifient quatre classes d’attaques particulièrement préoccupantes pour 2026 [2][3], en plus des cyberattaques automatisées déjà observées contre l’IA et les infrastructures critiques [5].

Avant de les détailler, il est utile de visualiser la chaîne d’attaque typique, depuis un simple prompt jusqu’à l’impact physique sur un système industriel.

flowchart LR
    title Chaîne d’attaque LLM vers systèmes critiques
    A[Prompt malveillant] --> B[LLM intégré]
    B --> C[Orchestrateur [MLOps](/fr/entities/695e947319d266277e14dfba-mlops)]
    C --> D[APIs & scripts]
    D --> E[Systèmes OT/IoT]
    E --> F[Impact physique]
    classDef danger fill:#ef4444,color:#fff;
    classDef warning fill:#f59e0b,color:#000;
    classDef info fill:#3b82f6,color:#fff;
    class A,B info;
    class C,D warning;
    class E,F danger;

1. Requêtes « éponge » et épuisement de ressources

Les « exemples éponge » sont des entrées conçues pour maximiser le temps de calcul en forçant les chemins internes les plus coûteux [2]. Sur une plateforme partagée, une campagne coordonnée peut :

  • saturer les grappes GPU ;
  • allonger les délais de réponse d’outils critiques ;
  • provoquer des indisponibilités en chaîne [2][5].

💡 À retenir
Un simple texte peut déclencher un déni de service discret, sans signature réseau classique, en poussant le modèle dans des régimes de calcul extrêmes [2].

2. Trojans neuronaux et portes dérobées

L’empoisonnement de données ou le fine‑tuning malveillant implantent des « trojans neuronaux » :

  • comportements dormants, activés par des invites spécifiques, typiques des attaques adversariales contre modèles comportementaux [2][3] ;
  • un motif de phrase peut déclencher une consigne anormale tout en contournant les règles métier explicites [3].

Ces portes dérobées peuvent rester invisibles aux tests standards si les déclencheurs sont rares et soigneusement choisis [2][3].

3. Planification de charge adversariale

Les plateformes de MLOps orchestrent de nombreux modèles sur des ressources limitées. Un adversaire, en observant ordonnancement et capacité GPU, peut :

  • injecter des charges au moment critique ;
  • asphyxier les modèles de détection d’anomalies ou de surveillance réseau ;
  • ouvrir une fenêtre pour d’autres attaques [2][5].

⚠️ Exemple concret
L’attaque de 2022 contre l’infrastructure électrique ukrainienne, attribuée à Sandworm (GRU Unit 74455), a montré comment la compréhension fine de la logique de décision permet de désactiver silencieusement des fonctions critiques au moment d’une offensive physique [2]. La même approche est applicable aux piles d’IA défensives.

4. Modèle d’attaque « prompt‑vers‑physique »

Dans les systèmes industriels ou IoT, un LLM peut générer des commandes envoyées directement à des automates ou actionneurs [3][6]. Une consigne ambiguë dans un canal de support peut suffire à produire une séquence dangereuse.

La nature probabiliste des sorties signifie que :

  • des invites proches peuvent produire, rarement mais possible, une suggestion catastrophique [3] ;
  • ce vecteur « prompt‑vers‑physique » est propre aux architectures cyber‑physiques intégrant des LLM [3][6].

Cadre de défense : traiter l’IA comme une infrastructure critique

Face à ces risques, il faut adapter les pratiques de sécurité à l’IA, plutôt que réutiliser les cadres existants sans ajustement [2][4].

1. Inventaire dédié de l’infrastructure d’IA

Les opérateurs doivent établir un inventaire spécifique :

  • modèles (fournisseurs, versions, données d’entraînement) ;
  • pipelines de données, pré/post‑traitements ;
  • matériel de calcul (GPU, accélérateurs) ;
  • agents et intégrations avec systèmes OT, IoT et métiers [4][6].

💼 Bon réflexe
Plusieurs rapports recommandent d’intégrer ces

Questions fréquentes

Pourquoi les LLM représentent-ils un nouveau vecteur de menace pour les systèmes critiques ?
Les LLM constituent un nouveau vecteur de menace parce qu’ils déplacent le périmètre de sécurité vers des couches interprétant du langage naturel et des entrées peu structurées, couplées à des outils capables d’agir sur l’infrastructure. En pratique, un même modèle peut analyser des journaux de sécurité, ouvrir des tickets, exécuter des scripts ou envoyer des consignes vers des automates via des passerelles OT/IoT, transformant chaque intégration en point d’entrée potentiel vers modèles, pipelines de données, ordonnanceurs et systèmes physiques. Cette convergence IT/OT/IA permet des attaques sans signature réseau classique (par ex. prompt injection ou manipulations linguistiques) et rend inefficaces de nombreuses pratiques de cybersécurité conçues pour des périmètres stricts.
Comment détecter et prévenir les trojans neuronaux et les manipulations par prompt ?
La détection et la prévention exigent un inventaire rigoureux et des contrôles spécifiques sur les modèles, les jeux de données et les processus de fine‑tuning. Il faut surveiller les canaux d’ingestion de données, appliquer des contrôles d’intégrité sur les checkpoints de modèles, réaliser des tests adversariaux ciblés avec déclencheurs rares, et limiter les capacités d’action automatique des assistants en imposant des passerelles de validation humaine pour toute commande critique. La gouvernance doit inclure traçabilité des versions, restrictions d’accès aux pipelines de MLOps, et mécanismes de bowl‑out/kill switches pour isoler rapidement un modèle compromis afin d’éviter des effets dominos sur la chaîne d’approvisionnement et les systèmes physiques.
Quelles mesures opérationnelles immédiates les opérateurs d’infrastructures critiques doivent-ils prendre ?
Les opérateurs doivent traiter l’IA comme une infrastructure critique et commencer par établir un inventaire dédié des modèles, pipelines, jeux de données et matériel de calcul, ainsi que des intégrations OT/IoT, puis appliquer des contrôles de sécurité adaptés. Ils doivent segmenter les environnements de développement et de production, limiter l’accès aux GPU et orchestrateurs par des politiques d’accès strictes, surveiller l’usage des prompts et mettre en place des quotas pour prévenir l’épuisement de ressources, et exiger validation humaine pour toute action automatisée susceptible d’impacter des systèmes physiques. Enfin, il faut intégrer la surveillance des comportements probabilistes des modèles dans les SOC et adapter les plans d’incident pour inclure compromission de modèles et manipulations linguistiques.

Sources & Références (7)

Entités clés

💡
Prompt Injection
Concept
💡
WikipediaConcept
💡
Machine Learning
Concept
💡
infrastructures critiques
Concept
💡
OT/IoT
Concept
💡
trojans neuronaux
Concept
💡
Grand modèles de langage (LLM)
WikipediaConcept
💡
couches de commande déterministes
Concept
💡
prompt‑vers‑physique
Concept
💡
planification de charge adversariale
Concept
💡
APIs & scripts
Concept
💡
exemples éponge
Concept

Généré par CoreProse in 6m 19s

7 sources vérifiées et recoupées 986 mots 0 fausse citation

Partager cet article

X LinkedIn
Généré en 6m 19s

Quel sujet voulez-vous couvrir ?

Obtenez la même qualité avec sources vérifiées sur n'importe quel sujet.