Générateur de modèle de menaces LLM
Dites-lui ce que fait votre fonctionnalité LLM, quelles données elle touche et quels outils elle peut appeler. Il renvoie un premier modèle de menaces structuré : actifs, points d'entrée, attaques les plus probables et estimation du rayon d'action que vous pouvez emmener en revue.
Ce qu'il vérifie
- Cartographie les actifs, les frontières de confiance et les points d'entrée
- Liste les attaques les plus probables pour votre configuration précise
- Estime le rayon d'action si le modèle est totalement compromis
- Exporte un modèle de menaces en Markdown à déposer dans un dépôt
À propos de cet outil
La modélisation des menaces classique suppose un système dont vous maîtrisez le flux de contrôle. Une fonctionnalité LLM ne marche pas ainsi : c'est le contenu — vos données, celles de l'utilisateur, un document récupéré — qui décide à l'exécution de ce que fait le système. Le générateur de modèle de menaces part de cette réalité. Vous décrivez la fonctionnalité, les données qu'elle touche et les outils qu'elle peut appeler ; il renvoie un premier modèle structuré : actifs, frontières de confiance, points d'entrée, attaques les plus probables et estimation du rayon d'action.
Ce n'est pas un audit. C'est le brouillon que vous emmenez en revue d'équipe — celui qui évite la page blanche et garantit que les questions qui comptent (qui peut faire faire quoi à ce modèle ? que se passe-t-il s'il est totalement compromis ?) sont posées avant le lancement, pas après l'incident.
Le résultat s'exporte en Markdown, prêt à être déposé dans un dépôt à côté du code qu'il décrit, et à vivre comme un document versionné plutôt qu'un PDF oublié.
Exemples
- Fonctionnalité : « Un agent support qui lit les tickets et peut émettre des remboursements jusqu'à 500 $. » Accès : API Stripe, base clients, docs internes.
- Actifs : fonds, PII clients. Point d'entrée à risque : le corps du ticket (entrée non fiable). Attaque probable : injection indirecte via un ticket piégé déclenchant un remboursement. Rayon d'action : mouvement d'argent. Contrôle prioritaire : plafond + validation humaine au-dessus d'un seuil, hors du prompt.
- Fonctionnalité : « Un chatbot qui répond à partir de nos documents Confluence. » Accès : index vectoriel, lecture seule.
- Frontière de confiance : les documents indexés sont une entrée, pas une autorité. Attaque probable : confused deputy — un document empoisonné fait dire au modèle ce que l'attaquant veut. Contrôle : cloisonner par permission de l'utilisateur qui interroge, pas seulement par celle de l'index.
Le rayon d'action d'un système RAG suit ce qu'il peut lire, pas seulement ce qu'il peut écrire.
Sources
- OWASP — Top 10 pour les applications LLM
- NIST — AI Risk Management Framework
- MITRE ATLAS — base de connaissances des menaces IA