Essais sur l'OWASP Top 10 LLM
L'OWASP Top 10 pour les applications LLM 2025 est devenu l'autorité de référence pour cadrer la conversation sécurité IA — et la base sur laquelle tout audit sérieux se construit. Sa version 2025 v2.0 réorganise les dix catégories par fréquence d'incidents observés, place la prompt injection en première position pour la deuxième édition consécutive, et ajoute deux catégories entièrement nouvelles : la fuite de prompt système (LLM07) et les faiblesses des vecteurs et embeddings (LLM08). Ces essais détaillent chaque catégorie avec exemples concrets et parades opérationnelles, et critiquent ce que la liste rate — l'agence excessive sous-cadrée, le traitement des sorties qui devrait être un symptôme plutôt qu'une catégorie, et l'absence d'une colonne explicite pour le confused deputy. À lire en regard du AI RMF du NIST et de MITRE ATLAS pour relier chaque menace à un contrôle technique.
Sécurité du vibe coding : la checklist de trente minutes qui sépare une app lancée d'un data leak
Sécurité du vibe coding : la checklist de trente minutes qui sépare une app lancée d'un data leak. RGPD, RLS Supabase, prompts d'audit IA, rate limits.
Ce que l'OWASP rate à propos des agents LLM
Le Top 10 OWASP est une checklist pour apps web. Les agents ne sont pas des apps web. Voici la colonne que j'ajouterais, et celle que je retirerais.