Les principaux modèles d’IA sont nettement plus vulnérables
Les normes de sécurité en matière d’IA doivent être soumises à un examen approfondi à la lumière de la réalité. Les chercheurs de Cisco, Nicholas Conley et Amy Chang, ont découvert que la plupart des principaux modèles d’IA, qu’ils proviennent d’OpenAI, d’Anthropic, de Google, d’Amazon ou de xAI, sont bien plus exposés aux attaques en plusieurs étapes que ne l’admettent leurs développeurs. Le terme « multi-turn » signifie que les attaquants s’adaptent à chaque réponse. Lorsque cela se produit, même les meilleurs modèles peuvent être amenés à enfreindre leurs propres mesures de sécurité.
Lors des tests, le taux de réussite des attaques en plusieurs étapes a varié entre 8 % et 88 %. À titre de comparaison, les attaques en une seule étape, c’est-à-dire les tentatives ponctuelles, ont affiché des taux compris entre 2 % et 65 %. Cet écart considérable met en évidence la fragilité des systèmes de sécurité face à des adversaires capables de s’adapter. De nombreux modèles qui semblent sûrs lors d’un test ponctuel auraient du mal à résister si un attaquant avait le temps de s’adapter.
Les dirigeants qui s’appuient sur ces systèmes doivent voir au-delà des indicateurs marketing. Un modèle qui satisfait à un test de conformité de base peut tout de même échouer lorsqu’il est confronté à une menace persistante dans le monde réel. Les chiffres de sécurité issus d’un seul cycle de test peuvent à eux seuls créer un faux sentiment de sécurité. Pour les entreprises qui déploient l’IA dans des domaines sensibles tels que la finance, la sécurité ou la santé, des tests réguliers en plusieurs cycles devraient constituer la norme. Négliger ces risques a un coût tant sur le plan opérationnel que sur celui de la réputation.
Les mêmes schémas de vulnérabilité que ceux observés dans les modèles à poids ouvert
L’idée selon laquelle les systèmes d’IA fermés ou propriétaires seraient plus sûrs que les modèles ouverts ne tient pas la route. Les recherches antérieures de Conley et Chang, menées en novembre 2025, avaient montré que les modèles à paramètres ouverts étaient deux à dix fois plus susceptibles d’être compromis lors d’attaques en plusieurs étapes que lors d’attaques en une seule étape. Leur étude complémentaire révèle que ce même comportement existe dans les systèmes fermés. En bref, restreindre l’accès aux paramètres du modèle ne met pas fin aux vulnérabilités.
Cette conclusion remet en cause l’une des principales idées reçues du secteur, selon laquelle la sécurité découle du secret. Ce n’est pas le cas. Qu’un système soit ouvert ou fermé, s’il interagit avec les utilisateurs, il existe toujours un vecteur de manipulation. Tous les modèles testés par Cisco ont révélé un certain degré de vulnérabilité lorsqu’ils ont été soumis à des tests adaptatifs en plusieurs étapes.
Pour les dirigeants d’entreprise, le message clé est simple : ne laissez pas l’opacité des modèles influencer votre sentiment de sécurité. Les systèmes propriétaires des grands fournisseurs restent exposés à des risques de sécurité importants. Avant d’intégrer de tels modèles, demandez des résultats détaillés concernant les tests à un seul tour et à plusieurs tours. Exigez des fournisseurs qu’ils prouvent que leurs mesures de protection résistent aux attaques adaptatives. La sécurité par l’obscurité est une stratégie à court terme.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
Les priorités affichées par les entreprises spécialisées dans l’IA influencent considérablement le profil de sécurité de leurs modèles
Ce qu’une entreprise choisit de mettre en avant publiquement révèle souvent son orientation interne. Les chercheurs de Cisco, Nicholas Conley et Amy Chang, ont constaté que les développeurs qui s’attachaient à promouvoir la puissance et les performances de leurs modèles produisaient généralement des systèmes moins résilients. Ces modèles présentaient des écarts plus importants entre les vulnérabilités à un seul tour et celles à plusieurs tours, ce qui signifie qu’ils étaient nettement moins sûrs face à des attaques adaptatives. À l’inverse, les entreprises qui mettaient l’accent sur la sécurité dans leurs communications produisaient des modèles présentant des écarts de vulnérabilité plus faibles, ce qui reflétait un effort organisationnel visant à atténuer les risques.
Le lien entre le message véhiculé par l’entreprise et les résultats techniques est crucial. Il suggère que la philosophie du produit, c’est-à-dire la manière dont la direction aborde la technologie, se répercute directement sur les priorités de l’ingénierie. Les dirigeants chargés de décider où investir ou acquérir des licences pour des modèles d’IA devraient examiner les arguments marketing avancés et la manière dont le fournisseur accorde la priorité à la recherche en matière de sécurité et à la gouvernance interne. Une culture de développement axée sur la concurrence pour atteindre des benchmarks de performance sacrifie souvent la robustesse. Dans le contexte actuel, ce déséquilibre comporte un risque mesurable.
Cela a également des implications en matière de gouvernance. À mesure que les entreprises renforcent leur dépendance vis-à-vis des grands systèmes d’IA, elles ont besoin d’être assurées que leurs fournisseurs accordent autant d’importance à la sécurité qu’aux performances. La transparence des fournisseurs quant à leurs priorités en matière de sécurité n’est plus une option, mais un critère de confiance. Ceux qui placent la sécurité au premier plan en tant qu’objectif mesurable bénéficieront d’un avantage en termes d’adoption par les entreprises, de confiance des autorités réglementaires et de résilience à long terme de leurs déploiements.
Diverses stratégies adversaires mettent en évidence des faiblesses spécifiques dans les mécanismes de sécurité des modèles actuels
Dans l’analyse de Cisco, l’équipe de recherche a testé cinq types d’attaques : le jeu de rôle, la diversion, la décomposition de l’information, le recadrage des refus et l’escalade progressive. Chacune était conçue pour pousser les modèles au-delà de leurs mécanismes de refus intégrés. Le résultat était sans appel : aucun modèle n’était à l’abri, et l’écart de performances était considérable. Le modèle « Grok 4.1 Fast Non-Reasoning » de xAI a enregistré les résultats les plus faibles, les chercheurs ayant atteint un taux de réussite de 88 % lors d’attaques à plusieurs échanges. Le modèle « Nova 2 Lite » d’Amazon s’est le mieux comporté, mais a tout de même échoué dans 8 % des tentatives. Ces deux résultats soulignent que des failles persistent, même dans les configurations les plus contrôlées.
Une prise de conscience décisive s’est produite lorsque Grok 4.1 a affiché des performances nettement supérieures lorsque les fonctionnalités de raisonnement étaient activées. Cela montre que les configurations internes, telles que les capacités de raisonnement, les consignes de saisie ou le réglage du mode de sécurité, peuvent modifier radicalement les résultats. Pour les dirigeants, cela signifie que les performances en matière de sécurité dépendent de la manière dont un modèle est déployé, de l’environnement dans lequel il fonctionne et de sa configuration interne.
Pour gérer efficacement leur exposition aux risques, les organisations doivent aller au-delà des références publiques. Les tests de sécurité doivent prendre en compte différentes méthodes d’attaque et différents paramètres de configuration. Comprendre comment des paramètres spécifiques influent sur la vulnérabilité permettra de choisir et de déployer des modèles de manière plus judicieuse. Le modèle le plus performant aujourd’hui pourrait encore présenter des failles exploitables demain si les configurations système ne sont pas correctement entretenues et surveillées.
Les entreprises et les fournisseurs de solutions d’IA devraient mettre à jour leurs normes d’évaluation de la sécurité
Les cadres d’évaluation de l’IA doivent être améliorés. Les chercheurs de Cisco, Nicholas Conley et Amy Chang, ont clairement démontré que le recours systématique du secteur à des indicateurs « à tour unique » masque des lacunes majeures en matière de performances de sécurité dans le monde réel. Les tests à « tour unique », dans lesquels un modèle répond à une seule requête malveillante isolée, ne reflètent pas le comportement réel des attaquants. En réalité, ceux-ci s’adaptent, réessaient et affinent leurs requêtes jusqu’à ce que le modèle fournisse une réponse qui enfreigne la politique de sécurité. Lorsque ce comportement itératif est testé, même les modèles de premier plan présentent une vulnérabilité nettement plus élevée.
Pour les dirigeants d’entreprise, cette différence est bien plus qu’un simple détail technique : il s’agit d’un enjeu de gouvernance et de risque. Si les équipes chargées des achats ou de la stratégie fondent leurs décisions sur des données de sécurité issues d’un seul cycle de test, elles risquent d’approuver des modèles bien moins sûrs qu’ils ne le paraissent. Un modèle présentant un faible taux de défaillance dans des scénarios à cycle unique pourrait néanmoins s’effondrer lors de tests à cycles multiples, ce qui pourrait entraîner des failles de sécurité, des utilisations abusives ou des violations de conformité. L’écart entre ces deux régimes représente un risque caché qui doit être mesuré et divulgué.
Les organisations ont besoin que les fournisseurs publient des données de sécurité en régime mixte, c’est-à-dire des indicateurs montrant les performances des modèles dans des conditions à tour unique et à tours multiples. Cette transparence aiderait les entreprises à faire des choix de déploiement éclairés, à évaluer leur niveau de sécurité réel et à respecter leurs obligations réglementaires. Les fournisseurs qui communiquent des indicateurs de sécurité complets établiront une norme plus élevée en matière de confiance et de responsabilité, ce qui leur permettra de mieux se positionner sur un marché de plus en plus sensible à la gouvernance de l’IA.
Principaux faits marquants
- Les modèles d’IA présentent d’importantes lacunes en matière de sécurité : une étude de Cisco montre que les principaux systèmes d’IA sont bien plus exposés aux attaques adaptatives en plusieurs étapes que ne l’indiquent les fournisseurs. Les dirigeants devraient exiger des fournisseurs qu’ils leur fournissent des données de sécurité relatives à ces attaques en plusieurs étapes avant d’intégrer l’IA dans leurs opérations critiques.
- Les systèmes fermés ne sont pas plus sûrs que les systèmes ouverts : les modèles d’IA propriétaires présentent les mêmes vulnérabilités à plusieurs niveaux que les modèles ouverts. Les dirigeants ne doivent pas considérer la confidentialité comme un rempart de sécurité et doivent exiger des tests de sécurité transparents réalisés par des tiers.
- Les priorités des entreprises déterminent les résultats en matière de sécurité de l’IA : les entreprises qui privilégient la performance au détriment de la sécurité ont tendance à produire des modèles moins sûrs. Les dirigeants devraient évaluer la culture des fournisseurs et leurs engagements en matière de sécurité publique comme des indicateurs clés de la robustesse réelle des modèles.
- La diversité des attaques met en évidence les faiblesses des modèles : des tests portant sur plusieurs stratégies de manipulation ont révélé d’importantes lacunes en matière de sécurité entre les différents fournisseurs. Les équipes métier et techniques devraient examiner les configurations des modèles, telles que les modes de raisonnement, afin de comprendre en quoi ces paramètres influent sur la résilience.
- Les normes d’évaluation doivent évoluer : les tests actuels à un seul passage ne reflètent pas fidèlement les risques réels. Les dirigeants devraient exiger des fournisseurs qu’ils publient des résultats comparatifs entre les tests à un seul passage et ceux à plusieurs passages, afin de prendre des décisions précises en matière d’adoption de l’IA, conformes aux principes de gouvernance.
Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.
Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.
