Data Poisoning IA (LLM04) : la menace invisible pour les PME.

Data poisoning : de quoi parle-t-on exactement ?

Le data poisoning (empoisonnement des données) désigne la manipulation volontaire des données utilisées pour entraîner, affiner ou alimenter une intelligence artificielle. L'objectif d'un attaquant est d'introduire des biais, des failles cachées ou de véritables portes dérobées dans le modèle, sans que cela soit visible au premier abord.

Ce risque est référencé sous le code LLM04:2025 dans le classement OWASP Top 10 des risques liés aux LLM, une référence internationale en matière de sécurité des intelligences artificielles génératives. Après le prompt injection, la fuite de données sensibles et les risques de supply chain, voici le quatrième volet de notre série consacrée aux risques IA pour les PME.

Concrètement, si votre entreprise utilise une IA pour rédiger des documents, répondre à des clients ou analyser des données, cette IA s'appuie sur des données d'apprentissage. Si ces données ont été altérées en amont, par vous-même sans le savoir, par un prestataire ou par l'éditeur du modèle, les conséquences peuvent se manifester bien plus tard, au pire moment.

Pourquoi ce risque concerne aussi votre PME ?

Une PME peut-elle être touchée par le data poisoning même sans entraîner sa propre IA ?
Oui. La majorité des PME utilisent des modèles d'IA développés par des tiers (ChatGPT, Copilot, modèles open source) ou les personnalisent via du fine-tuning sur leurs propres documents internes. Dans les deux cas, la porte est ouverte à un empoisonnement, soit en amont par le fournisseur, soit directement dans vos propres données.

Mon entreprise alimente-t-elle un risque sans le savoir ?
Probablement, si vos collaborateurs partagent des documents internes, des emails ou des bases de connaissances avec un outil d'IA pour l'entraîner ou l'enrichir (fine-tuning, RAG). Toute donnée non vérifiée injectée dans ce processus peut potentiellement contaminer les réponses futures du système.

Trois moments du cycle de vie d'une IA sont concernés par ce risque : le pré-entraînement (apprentissage sur des données générales, souvent issues du web), le fine-tuning (adaptation du modèle à un usage métier précis) et le RAG / l'indexation vectorielle (alimentation dynamique de l'IA avec vos propres bases de connaissances). Comprendre ces trois étapes permet d'identifier où votre entreprise est réellement exposée.

Comment fonctionne une attaque par empoisonnement de données ?

Le data poisoning est considéré comme une attaque d'intégrité : elle ne vole pas de données, elle altère la capacité du modèle à produire des résultats fiables. Le risque est particulièrement élevé lorsque le modèle s'appuie sur des sources externes non vérifiées, ce qui est le cas de la majorité des IA génératives grand public.

Les techniques d'empoisonnement ciblé des données

Deux techniques sont régulièrement citées par les chercheurs en sécurité IA :

• Le Split-View Data Poisoning, qui consiste à modifier le contenu d'une page web après son indexation par le robot d'entraînement, de sorte que le modèle apprenne une version différente de celle visible par les humains,
• Le Frontrunning Poisoning, qui exploite les délais entre la collecte des données et leur utilisation réelle pour y injecter du contenu malveillant au bon moment.

Le risque spécifique des modèles open source

Au-delà de la corruption des données elles-mêmes, un modèle distribué via une plateforme de partage (comme un dépôt de modèles open source) peut aussi embarquer du code malveillant dissimulé dans son fichier, une technique connue sous le nom de pickling malveillant, qui s'exécute automatiquement au chargement du modèle. Note : Pour parer ce risque, privilégiez systématiquement l'usage de formats sécurisés comme le Safetensors au détriment des fichiers .pkl traditionnels.

La porte dérobée (backdoor) : la menace la plus difficile à détecter

Le scénario le plus préoccupant reste celui de la porte dérobée (backdoor) : un modèle empoisonné peut se comporter normalement pendant des mois, puis basculer brutalement vers un comportement malveillant dès qu'un déclencheur précis apparaît dans une requête. Ce type de manipulation, parfois qualifié de "sleeper agent", est extrêmement difficile à détecter par des tests classiques.

Les vecteurs d'empoisonnement les plus courants

Quelles conséquences concrètes pour votre entreprise ?

Une IA empoisonnée ne produit pas forcément une erreur visible. C'est justement ce qui rend ce risque dangereux pour une PME peu équipée pour le détecter. Les conséquences typiques incluent :

• Des réponses biaisées ou erronées diffusées à vos clients sans que personne ne s'en aperçoive,
• Une dégradation progressive de la qualité des résultats, difficile à distinguer d'un simple bug,
• La diffusion de contenus toxiques ou inappropriés portant atteinte à votre image de marque,
• L'exploitation d'une porte dérobée pour contourner une authentification, exfiltrer des données ou déclencher une action non autorisée.

Un cas concret d'école : Le cas documenté par les chercheurs de Mithril Security, baptisé PoisonGPT, a démontré qu'il était possible de dissimuler un modèle manipulé sur une plateforme publique pour diffuser de fausses informations de façon totalement indétectable à l'usage.

Pour une PME, l'enjeu n'est pas seulement technique : c'est la confiance accordée à l'outil IA par vos équipes, vos clients et vos partenaires qui est en jeu.

Comment se protéger : le plan d'action pour votre PME

La bonne nouvelle, c'est que des mesures concrètes existent, même sans équipe technique dédiée à l'IA. Voici les étapes à suivre par ordre de priorité :

Sécuriser vos données en amont

1. Recensez tous les outils d'IA utilisés dans votre entreprise et identifiez ceux qui sont personnalisés avec vos propres documents (fine-tuning, RAG),
2. Vérifiez l'origine et la fiabilité des données injectées dans vos outils d'IA internes, en particulier les documents partagés par des tiers,
3. Limitez l'accès aux sources de données utilisées par vos IA via des contrôles d'accès stricts, dans la continuité d'une approche de moindre privilège,
4. Privilégiez le stockage des informations sensibles dans une base vectorielle externe plutôt que dans le modèle lui-même, pour pouvoir les corriger sans tout réentraîner.

Surveiller et auditer en continu

1. Valisez régulièrement les réponses produites par vos outils d'IA par rapport à des sources fiables et documentées,
2. Sensibilisez vos équipes aux risques liés au partage de documents internes avec des IA non maîtrisées,
3. Faites auditer la chaîne d'approvisionnement de vos outils IA, des données jusqu'au modèle final, dans le cadre d'un audit de conformité cybersécurité.

Ces réflexes rejoignent ceux déjà recommandés contre les infostealers et les attaques visant la chaîne de sous-traitance, illustrées récemment par la cyberattaque de l'ANTS : la sécurité de l'IA ne se résume jamais à un seul maillon de la chaîne.

Points clés à retenir

• Le data poisoning consiste à manipuler les données d'entraînement, de fine-tuning ou d'embedding d'une IA,
• Ce risque touche aussi bien les grands modèles que les IA personnalisées par votre PME,
• Les conséquences vont du simple biais à la porte dérobée exploitable par un attaquant,
• La traçabilité des données et la vérification des sources sont vos meilleures défenses,
• Un audit régulier de votre chaîne d'approvisionnement IA permet de détecter les signaux faibles avant qu'il ne soit trop tard.

Conclusion : sécuriser l'IA dès la donnée

Le data poisoning illustre une réalité simple : la sécurité de votre IA commence par la sécurité de ses données. Une PME qui adopte l'intelligence artificielle sans contrôler ses sources s'expose à des risques difficiles à détecter et coûteux à corriger une fois découverts.

Chez Core Security, nous accompagnons les TPE, PME et ETI françaises dans la sécurisation de leurs usages IA, de l'audit de vos outils à la mise en place de contrôles adaptés. Contactez nos experts pour évaluer l'exposition de votre entreprise aux risques liés à l'IA.