Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
Fondamentaux : Modélisation des menaces pour l'IA agentic
- Types de menaces agentic : abus, escalade, fuite de données et risques liés à la chaîne d'approvisionnement.
- Profils d'adversaires et capacités des attaquants spécifiques aux agents autonomes.
- Cartographie des actifs, des frontières de confiance et des points de contrôle critiques pour les agents.
Gouvernance, Politique et Gestion des Risques
- Cadres de gouvernance pour les systèmes agentic (rôles, responsabilités, portes de validation).
- Conception des politiques : utilisation acceptable, règles d'escalade, gestion des données et traçabilité.
- Considérations de conformité et collecte de preuves pour les audits.
Identité Non-Humaine et Authentification pour les Agents
- Conception des identités pour les agents : comptes de service, JWT et identifiants à durée de vie courte.
- Modèles d'accès au moindre privilège et fourniture d'identifiants à la demande (just-in-time).
- Cycle de vie des identités, rotation, délégation et stratégies de révocation.
Contrôles d'Accès, Secrets et Protection des Données
- Modèles de contrôle d'accès granulaires et patterns basés sur les capacités pour les agents.
- Gestion des secrets, chiffrement en transit et au repos, et minimisation des données.
- Protection des sources de connaissances sensibles et des données personnelles (PII) contre l'accès non autorisé des agents.
Observabilité, Audit et Réponse aux Incidents
- Conception de la télémétrie pour le comportement des agents : traçage des intentions, journaux de commandes et provenance.
- Intégration SIEM, seuils d'alerte et préparation aux investigations forensiques.
- Procédures opérationnelles (runbooks) et jeux de scénarios (playbooks) pour les incidents liés aux agents et le confinement.
Test d'Intrusion des Systèmes Agentic
- Planification des exercices de test d'intrusion : périmètre, règles d'engagement et basculement sécurisé.
- Techniques adversariales : injection de prompt, abus d'outils, manipulation de la chaîne de pensée et abus d'API.
- Menée d'attaques contrôlées et mesure de l'exposition et de l'impact.
Durcissement et Atténuation
- Contrôles techniques : limitation du débit de réponse, verrouillage des capacités et isolement (sandboxing).
- Contrôles de politique et d'orchestration : flux d'approbation, intervention humaine et hooks de gouvernance.
- Défenses au niveau du modèle et du prompt : validation des entrées, canonicalisation et filtres de sortie.
Industrialisation des Déploiements d'Agents Sécurisés
- Modèles de déploiement : environnement de staging, déploiement en canari et déploiement progressif pour les agents.
- Contrôle des changements, pipelines de test et vérifications de sécurité pré-déploiement.
- Gouvernance transversale : jeux de scénarios pour la sécurité, le juridique, le produit et les opérations.
Projet Final : Exercice Red-Team / Blue-Team
- Exécution d'une attaque red-team simulée contre un environnement d'agent isolé.
- Défense, détection et correction en tant que blue-team à l'aide de contrôles et de la télémétrie.
- Présentation des conclusions, du plan de correction et des mises à jour des politiques.
Résumé et Prochaines Étapes
Pré requis
- Solides connaissances en ingénierie de la sécurité, en administration système ou en opérations cloud.
- Familiarité avec les concepts de l'IA / ML et le comportement des modèles de langage larges (LLM).
- Expérience en gestion des identités et des accès (IAM) et en conception de systèmes sécurisés.
Public cible
- Ingénieurs de la sécurité et testeurs d'intrusion (red-teamers).
- Ingénieurs en opérations d'IA et ingénieurs de plateforme.
- Responsables de la conformité et gestionnaires des risques.
- Chefs de projet techniques responsables des déploiements d'agents.
21 Heures
