Cartographie de la surface d'attaque
Nous identifions quel modèle vous utilisez, quels outils et données l'agent peut toucher, et qui peut lui parler.
Nous soumettons votre LLM ou vos agents à des attaques contrôlées —injection de prompts, jailbreak, fuite de données, manipulation d'outils— avant que quelqu'un aux intentions moins bonnes ne le fasse. Vous savez ainsi où votre système échoue et dans quel ordre il vaut mieux corriger.
Un chatbot ou un agent connecté à vos données et à vos outils ne casse pas comme une application traditionnelle. Il casse avec le langage : un utilisateur lui demande d'« ignorer les instructions précédentes », lui fait croire qu'il est un autre système, ou le mène pas à pas jusqu'à ce qu'il livre une information qu'il ne devrait pas. Un pentest d'infrastructure ne détecte pas ces failles parce qu'il ne regarde pas au bon endroit. Notre red teaming attaque précisément là : injection de prompts directe et indirecte (via un document, une page web ou un e-mail), jailbreak, extraction de contexte ou de données d'entraînement, et manipulation d'agents pour leur faire exécuter des actions non autorisées sur vos systèmes connectés.
Ce n'est plus seulement une question de prudence technique. Le règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act) impose aux fournisseurs de modèles à usage général présentant un risque systémique de réaliser et de documenter des tests adverses du modèle afin de détecter et d'atténuer les risques systémiques (article 55, paragraphe 1, point a). Il exige aussi que les systèmes à haut risque soient résilients face aux tentatives de tiers non autorisés d'altérer leur utilisation, leurs résultats ou leurs performances en exploitant des vulnérabilités, avec des mesures contre l'« empoisonnement des données », l'« empoisonnement des modèles », les « exemples adverses » et les attaques contre la confidentialité (article 15, sur l'exactitude, la robustesse et la cybersécurité, paragraphe 5).
Le Code de bonnes pratiques pour l'IA à usage général, porté par le Bureau européen de l'IA, traduit cette évaluation adverse en exercices de red teaming avant le déploiement, à chaque mise à jour importante et de façon périodique.
Nous travaillons en quatre étapes. D'abord, nous cartographions la surface d'attaque réelle : quel modèle vous utilisez, quels outils et quelles données l'agent peut toucher, et qui peut lui parler (utilisateur final, document externe, autre système). Ensuite, nous exécutons les tests ciblés sur cette surface —pas une batterie générique— et nous documentons chaque tentative, réussie ou non, avec des preuves reproductibles. Troisièmement, nous remettons un rapport dont les constats sont priorisés par gravité et par impact réel sur votre activité, pas seulement par gravité technique abstraite. Quatrièmement, nous accompagnons la remédiation des points prioritaires et, le cas échéant, nous rejouons les tests restés ouverts.
Ce service ne remplace pas un conseil juridique de conformité et ne certifie rien : c'est la partie laboratoire, celle qui produit une preuve technique réelle du comportement de votre système sous attaque. Nous aidons à réduire le risque d'un incident —fuite de données, action non autorisée d'un agent, réputation abîmée par un jailbreak viral— et nous vous donnons quelque chose de tangible à montrer si l'on vous demande comment vous évaluez la sécurité de votre IA.
Nous identifions quel modèle vous utilisez, quels outils et données l'agent peut toucher, et qui peut lui parler.
Nous exécutons les attaques visant cette surface précise —pas une batterie générique— et documentons chaque tentative avec des preuves reproductibles.
Nous remettons les constats classés par gravité et par impact réel sur votre activité, pas seulement par gravité technique abstraite.
Nous soutenons la correction des points prioritaires et rejouons les tests restés ouverts.
Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.
Cartographie de la surface d'attaque
Inventaire du modèle, des outils, des données et des canaux d'entrée du système évalué.
Tests d'injection de prompts
Attaques directes et indirectes —via un document, une page web ou un e-mail— pour forcer des comportements imprévus.
Tests de jailbreak et de manipulation conversationnelle
Tentatives de contourner les instructions ou les limites établies du système.
Tests d'extraction de données
Vérification de la fuite éventuelle de données de contexte, d'entraînement ou d'autres utilisateurs.
Tests de manipulation d'agents
Vérification de la possibilité d'induire l'agent à exécuter des actions non autorisées sur des systèmes connectés.
Rapport de preuve technique
Document reproductible avec chaque tentative, son résultat et la gravité attribuée, utile comme preuve d'évaluation adverse.
Non. Nous vous aidons à générer la preuve technique d'évaluation adverse que le règlement exige pour certains systèmes, mais la conformité réglementaire complète comprend des volets de gouvernance et de documentation qu'un exercice de red teaming seul ne couvre pas.
Cela dépend de ce que vous construisez par-dessus. Si vous utilisez l'interface telle quelle, une grande partie du risque est gérée par le fournisseur. Si vous connectez le modèle à vos données, à vos e-mails ou à vos systèmes via votre propre agent, c'est cette nouvelle couche qu'il faut auditer.
Un pentest attaque l'infrastructure, les réseaux et les applications. Le red teaming d'IA attaque le modèle lui-même et son raisonnement : instructions cachées dans un document, manipulation conversationnelle, extraction de contexte ou abus des outils que l'agent est autorisé à exécuter.
Avant de mettre en production un agent ou un chatbot ayant accès à des données ou à des outils sensibles, après tout changement important de modèle ou de permissions, et de façon périodique si le système continue d'évoluer.
Nous la priorisons immédiatement, nous vous expliquons l'impact réel en termes d'activité et nous vous accompagnons dans la correction. Nous ne bloquons pas le projet : l'objectif est de réduire le risque avec le système en marche, pas de l'arrêter.