Blog

LLM05 : les sorties IA non filtrées, danger pour votre PME.

Article

Publié le, 28 juin 2026 par Core Security
LLM05 : les sorties IA non filtrées, danger pour votre PME

Description

LLM05 : les réponses non contrôlées de votre IA peuvent injecter du code dans votre site, vos emails ou vos données. Risques et guide concret pour les PME.

⏱ Temps de lecture estimé : ~13 minutes

📑 Sommaire

LLM05:2025 Improper Output Handling : quand les réponses de votre IA deviennent une faille de sécurité

Votre PME utilise un chatbot IA sur son site web ? Un outil qui génère des requêtes vers votre base de données ? Un assistant qui rédige vos campagnes d'emailing ? Ces usages sont légitimes et souvent très utiles. Mais ils cachent un risque méconnu, classé 5e menace mondiale sur les applications IA par l'OWASP : le traitement inadéquat des sorties des modèles de langage, connu sous le nom de LLM05:2025 Improper Output Handling.

En clair : ce que votre IA produit peut contenir du code malveillant, des commandes dangereuses ou des données volées — et si personne ne contrôle ces réponses avant qu'elles ne soient utilisées, votre système d'information est exposé. Ce guide vous explique pourquoi c'est un problème concret pour les PME françaises, et comment s'en protéger sans jargon technique.

Cet article fait partie de notre série consacrée au Top 10 OWASP des risques IA (LLM Top 10 2025). Nous avons déjà couvert LLM01 – Prompt Injection, LLM02 – Fuite de données sensibles, LLM03 – Supply Chain IA et LLM04 – Data Poisoning. Voici LLM05.

Ce que vous devez savoir en 30 secondes

Qu'est-ce que le risque LLM05 – Improper Output Handling ?
C'est la situation où une application utilise directement les réponses générées par une IA sans les vérifier ni les filtrer. Résultat : un attaquant peut manipuler l'IA pour qu'elle produise du code malveillant, des requêtes destructrices ou du contenu piégé — qui sera exécuté automatiquement par votre système.

Cela concerne-t-il ma PME ?
Oui, dès lors que votre entreprise utilise un outil IA connecté à un site web, une base de données, une messagerie ou un outil interne. Ce n'est pas une menace théorique réservée aux grands groupes tech.

Quel est le risque principal ?
Que votre propre outil exécute des actions non autorisées à votre insu : supprimer des données, envoyer des emails frauduleux à vos clients, ou ouvrir une porte d'entrée à des attaquants dans votre réseau.

Qu'est-ce que le risque LLM05 : Improper Output Handling ?

Lorsque vous intégrez un modèle d'IA dans votre système d'information, votre application reçoit des réponses textuelles ou structurées générées par l'IA, puis les utilise : pour afficher du contenu sur un site, construire une requête vers une base de données, générer un email, ou déclencher une action automatique.

Le problème survient quand ces réponses sont utilisées telles quelles, sans contrôle intermédiaire. L'IA ne distingue pas le contenu utile du code potentiellement dangereux. Elle produit ce qu'elle a été amenée à produire — notamment si un attaquant a réussi à manipuler ses entrées (via une injection de prompt, voir notre article dédié).

Ce risque est fondamentalement différent de la prompt injection (LLM01). La prompt injection concerne ce qui entre dans l'IA ; l'Improper Output Handling concerne ce qui sort de l'IA et comment c'est traité ensuite. Les deux peuvent se combiner pour former une attaque en deux temps particulièrement efficace.

Dans ses guides de sécurité applicative, l'ANSSI rappelle que la validation des données échangées entre composants applicatifs constitue un prérequis fondamental à toute architecture sécurisée — et les systèmes intégrant de l'IA ne font pas exception à cette exigence.

Pourquoi les PME sont particulièrement exposées

La plupart des PME qui intègrent de l'IA dans leurs outils le font via des solutions clés en main ou des connecteurs simplifiés. C'est une bonne chose pour la productivité, mais cela crée un angle mort critique : la gestion des sorties est rarement configurée par défaut.

Plusieurs facteurs aggravent l'exposition des PME :

  • Les intégrations sont souvent réalisées par des développeurs ou des prestataires qui ne sont pas spécialistes en cybersécurité IA,
  • Les tests de sécurité portent généralement sur les entrées (ce que l'utilisateur saisit), mais pas sur les sorties (ce que l'IA renvoie),
  • Les outils IA grand public (ChatGPT via API, Claude, Mistral) n'appliquent aucun filtre de sortie automatique côté client,
  • Les PME utilisent souvent les mêmes outils pour des fonctions très différentes : marketing, facturation, support client — augmentant la surface d'impact,
  • La chaîne IA → application → base de données ou site web est rarement auditée dans son ensemble.

Pour comprendre l'ensemble du paysage des menaces liées à l'IA générative en entreprise, notre article sur l'explosion des cyberattaques utilisant l'IA générative vous donnera une vue d'ensemble indispensable.

5 scénarios d'attaque concrets qui menacent votre PME

Scénario 1 — Le chatbot qui injecte du code dans votre site web

Ce qui se passe : Votre PME propose un chatbot IA sur son site e-commerce. Un attaquant soumet un prompt conçu pour forcer l'IA à produire une réponse contenant du code JavaScript malveillant. Si votre site affiche la réponse de l'IA sans l'encoder, ce code s'exécute dans le navigateur de vos visiteurs.

Conséquence : C'est une attaque de type XSS (Cross-Site Scripting). Vos clients peuvent se faire voler leurs sessions de connexion ou leurs données de paiement sans qu'ils aient rien fait de suspect. Vous êtes responsable.

Scénario 2 — L'assistant IA qui détruit votre base de données

Ce qui se passe : Vous avez intégré un assistant IA qui permet à vos collaborateurs d'interroger votre base de données client en langage naturel. L'IA traduit leurs questions en requêtes SQL. Un utilisateur — ou un attaquant — pose une question ambiguë qui amène l'IA à générer une requête destructrice. Sans filtre, elle s'exécute.

Conséquence : Suppression de tables entières, corruption de données, paralysie de votre activité. C'est une injection SQL via sortie IA — une variante d'une attaque classique, amplifiée par l'automatisation de l'IA.

Scénario 3 — La campagne email qui phishe vos propres clients

Ce qui se passe : Votre équipe marketing utilise une IA pour générer des templates d'emails promotionnels. Un attaquant qui a compromis votre environnement manipule discrètement l'outil pour que l'IA intègre des liens ou du JavaScript dans les emails générés. Ces emails sont envoyés à toute votre base client.

Conséquence : Vos clients reçoivent des emails frauduleux en votre nom. Atteinte grave à votre réputation, risque de litige, notification RGPD obligatoire à la CNIL.

Remarque : La plupart des clients de messagerie modernes (Outlook, Gmail) bloquent nativement l'exécution du JavaScript dans les emails pour des raisons de sécurité.

Scénario 4 — L'outil interne qui ouvre un accès distant

Ce qui se passe : Votre DSI utilise un assistant IA pour générer des scripts d'administration système (PowerShell, Bash). Le contenu généré par l'IA est copié-collé et exécuté sans relecture approfondie. Un attaquant qui a manipulé l'IA en amont y a glissé une commande de backdoor.

Conséquence : Exécution de code à distance (RCE) sur votre infrastructure. C'est l'une des compromissions les plus graves : l'attaquant obtient un accès persistant à votre réseau.

Scénario 5 — L'IA qui exfiltre en se faisant confiance à elle-même

Ce qui se passe : Votre application utilise deux agents IA qui communiquent entre eux. Le premier, à faibles privilèges, transmet ses sorties au second, qui dispose de droits d'administration. Si le premier agent a été manipulé, ses sorties malveillantes seront exécutées par le second sans méfiance.

Conséquence : Escalade de privilèges. L'attaquant accède à des fonctions réservées aux administrateurs en contournant toute authentification. Ce risque est amplifié par les architectures multi-agents, en plein essor en 2026. Ce phénomène rejoint directement les risques documentés dans notre article sur la chaîne d'approvisionnement IA (LLM03).

Les usages IA de votre PME face au risque LLM05

Usage IA courant en PME Risque si la sortie n'est pas filtrée Niveau de risque
Chatbot sur site web XSS, vol de session visiteur Élevé
Requêtes BDD en langage naturel Injection SQL, destruction de données Critique
Génération d'emails marketing Phishing clients, atteinte à la réputation Élevé
Génération de scripts IT Exécution de code distant (RCE) Critique
Résumé automatique de documents Exfiltration de données via prompt injection indirecte Moyen à élevé
Agents IA autonomes multi-fonctions Escalade de privilèges, actions non autorisées Critique
Génération de rapports clients Injection de contenu frauduleux dans des livrables officiels Moyen

La corrélation entre ce risque et la fuite de données sensibles via les LLM (LLM02) est directe : une sortie non filtrée peut devenir le vecteur d'exfiltration de vos données les plus confidentielles.

Plan d'action : 7 mesures pour sécuriser les sorties de votre IA

Il n'existe pas de solution magique, mais un ensemble de mesures complémentaires permet de réduire drastiquement ce risque. Voici les 7 priorités recommandées, en ordre de mise en œuvre.

  1. Traitez l'IA comme un utilisateur non fiable. Toute sortie d'un modèle de langage doit être considérée comme une entrée non vérifiée — exactement comme un formulaire web soumis par un inconnu. Appliquez les mêmes contrôles de validation et d'assainissement. C'est la règle fondamentale du principe Zero Trust appliqué à l'IA.
  2. Encodez les sorties selon leur contexte d'utilisation. Le contenu que l'IA produit pour être affiché dans un navigateur web ne doit pas être traité de la même façon que ce qui alimente une base de données. Pour le web, encodez en HTML. Pour les bases de données, utilisez des requêtes paramétrées — jamais la concaténation directe de la sortie IA dans une requête SQL.
  3. Interdisez l'exécution automatique de code généré par l'IA. Aucun script, aucune commande, aucune requête produite par un modèle de langage ne doit être exécutée sans validation humaine intermédiaire. Cette mesure s'inscrit dans le principe de séparation des tâches : distinguer la phase de proposition (l'IA suggère) de la phase d'exécution (un humain valide).
  4. Limitez les droits des composants qui utilisent les sorties IA. Appliquez le principe du moindre privilège : l'application qui reçoit la sortie de l'IA ne doit avoir accès qu'aux ressources strictement nécessaires à sa fonction. Un chatbot qui répond à des questions de support n'a aucune raison d'avoir accès à votre base comptable.
  5. Mettez en place une Content Security Policy (CSP) stricte. Pour tous les sites et applications web intégrant de l'IA, une CSP correctement configurée bloque l'exécution de scripts non autorisés — même si une sortie IA malveillante en contient. C'est un filet de sécurité technique essentiel, recommandé par Cybermalveillance.gouv.fr dans le cadre de la sécurisation des applications web.
  6. Activez la journalisation des sorties IA. Conservez une trace de ce que l'IA produit, et pas seulement de ce que les utilisateurs lui demandent. Des logs de sorties permettent de détecter des patterns inhabituels (sorties anormalement longues, contenant des mots-clés suspects, ciblant des ressources non prévues) et de mener une investigation en cas d'incident. C'est un rôle clé des services MDR (Managed Detection and Response).
  7. Auditez vos intégrations IA existantes. Si vous avez déjà déployé des outils IA connectés à votre SI, faites réaliser un audit de conformité et de sécurité applicative pour identifier les points où les sorties ne sont pas correctement filtrées. Mieux vaut découvrir ces failles avant les attaquants.

LLM05 et réglementation : RGPD, NIS2 et EU AI Act

Quelle est ma responsabilité légale en cas d'incident lié aux sorties IA ?
En tant que responsable de traitement, vous êtes juridiquement responsable des données traitées par votre système, y compris si c'est un modèle d'IA tiers qui en est à l'origine. Une sortie IA non filtrée qui entraîne une fuite de données personnelles déclenche les mêmes obligations qu'une cyberattaque classique.

RGPD

Si une sortie IA non contrôlée provoque la divulgation de données personnelles de vos clients, collaborateurs ou fournisseurs, vous avez 72 heures pour notifier la CNIL. En cas de manquement avéré, les sanctions peuvent atteindre 4 % de votre chiffre d'affaires mondial annuel. La CNIL a précisé que les outils d'IA utilisés en entreprise entrent pleinement dans le périmètre des traitements à risque soumis à analyse d'impact (AIPD).

Directive NIS2

La transposition française de NIS2 va élargir considérablement le périmètre des PME soumises à des obligations de sécurité. La gestion des risques liés aux composants tiers — dont les API et les modèles d'IA — y est explicitement encadrée. Ne pas filtrer les sorties d'un modèle utilisé dans votre chaîne applicative constitue un manquement à cette obligation.

EU AI Act

Le règlement européen sur l'intelligence artificielle (EU AI Act) impose des exigences de robustesse, de transparence et de sécurité aux systèmes classés à risque. Les systèmes d'IA utilisés pour des processus métier (relation client, RH, finance) entrent dans cette catégorie. L'absence de contrôle des sorties constitue une non-conformité susceptible d'être sanctionnée dès 2026 dans le cadre des premières vagues d'application du règlement.

Points clés à retenir

  • LLM05 désigne le risque lié aux sorties d'IA non vérifiées avant d'être utilisées par votre système ou vos applications,
  • Ce risque peut conduire à du code malveillant exécuté sur votre site, des bases de données détruites, des emails frauduleux envoyés à vos clients ou un accès distant ouvert sur votre réseau,
  • Les PME sont exposées dès lors qu'elles utilisent un outil IA connecté à un composant actif : site web, BDD, messagerie, outil interne,
  • La protection passe par la validation systématique des sorties IA, l'application du moindre privilège et la journalisation des réponses,
  • Le cadre légal (RGPD, NIS2, EU AI Act) impose de sécuriser ces flux — et vous engage personnellement en cas d'incident,
  • LLM05 se combine souvent avec LLM01 (prompt injection) : ensemble, ils forment un vecteur d'attaque en deux temps particulièrement redoutable.

Conclusion : ne faites pas aveuglément confiance aux réponses de votre IA

L'intégration de l'IA dans les outils de votre PME est une opportunité réelle. Mais comme toute technologie connectée à votre système d'information, elle impose une approche de sécurité rigoureuse. Les modèles de langage produisent ce qu'on leur fait produire — et si un attaquant prend la main sur ce mécanisme, votre propre outil devient son complice.

La bonne nouvelle : les parades existent. Elles ne nécessitent pas de budget colossal, mais elles demandent une analyse sérieuse de vos intégrations IA actuelles et à venir. C'est précisément le travail que nos experts réalisent avec les PME qui nous font confiance.

Vous utilisez un ou plusieurs outils IA connectés à vos systèmes et souhaitez évaluer votre niveau d'exposition au risque LLM05 ? Contactez notre équipe pour un premier échange technique gratuit.

FAQ - LLM05:2025 et gestion des sorties IA en PME

Oui. Ces éditeurs sécurisent leurs modèles, mais la responsabilité du traitement des sorties incombe à votre application — c'est-à-dire à vous ou à votre prestataire. Si votre site ou votre outil interne n'encode pas correctement la réponse reçue, le risque LLM05 existe, quelle que soit la qualité du modèle sous-jacent.

La prompt injection manipule ce qui entre dans l'IA pour lui faire produire quelque chose de malveillant. LLM05 concerne ce qui sort de l'IA et comment votre système le traite. Les deux se combinent souvent : une injection de prompt (LLM01) crée une sortie dangereuse, et LLM05 fait que cette sortie est exécutée sans contrôle.

C'est quand votre application utilise la réponse de l'IA pour construire une requête vers votre base de données sans la sécuriser. Si l'IA a été amenée à inclure du code SQL dans sa réponse, cette requête peut modifier, supprimer ou exfiltrer des données. La parade : utiliser systématiquement des requêtes préparées (parameterized queries), jamais de concaténation directe.

Demandez à votre prestataire technique si les réponses de votre IA sont encodées en HTML avant d'être affichées dans le navigateur. Si la réponse est "je ne sais pas" ou "non", vous êtes exposé. Un test de sécurité applicatif (analyse des vulnérabilités) permettra de le vérifier formellement.

Oui, et souvent davantage que les intégrations sur mesure, car les connecteurs no-code transmettent généralement les sorties IA directement aux étapes suivantes du workflow, sans filtrage intermédiaire. Si votre automatisation envoie des emails ou modifie des données en se basant sur une réponse IA, le risque LLM05 est présent.

Cela dépend du nombre d'intégrations et de leur complexité. Une PME avec un chatbot sur son site et quelques automatisations peut régler l'essentiel en quelques jours de travail technique ciblé, après un audit de l'existant. L'objectif n'est pas la perfection immédiate, mais d'éliminer les risques les plus critiques en priorité.

Isolez l'outil concerné, conservez les journaux d'activité (logs) sans les modifier, vérifiez si des données personnelles ont pu être exposées (ce qui déclencherait une obligation de notification à la CNIL sous 72 heures), et faites appel à un expert en réponse à incident. Ne relancez l'outil qu'après analyse et correction des vecteurs identifiés.

Description

LLM05 : les réponses non contrôlées de votre IA peuvent injecter du code dans votre site, vos emails ou vos données. Risques et guide concret pour les PME.

⏱ Temps de lecture estimé : ~13 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique