Sécurisation des Applications IA et OWASP Top 10 pour LLM

Réf. : DN-39218
Durée : 2 jours
Tarif : 1890,00  HT

Introduction à la formation

sécurité applicative des LLM

L’intégration massive des Large Language Models (LLM) dans les applications d’entreprise (chatbots internes, agents autonomes, outils de traitement de données) ouvre une nouvelle surface d’attaque critique. Les pare-feu et mécanismes de sécurité traditionnels sont totalement aveugles face aux menaces propres aux intelligences artificielles.

Cette formation de 2 jours est entièrement dédiée à la sécurité applicative de l’IA. Basée sur le référentiel officiel OWASP Top 10 for LLM Applications, elle adopte une approche résolument offensive et défensive (Red Team / Blue Team)

Objectifs

A l’issue de la formation, vous serez capable de :

  1. Identifier et classifier les 10 vulnérabilités critiques du framework OWASP pour LLM.
  2. Auditer une application intégrant un LLM pour détecter les failles d’implémentation.
  3. Exploiter de manière contrôlée des vulnérabilités de type Prompt Injection avancées.
  4. Mettre en œuvre des architectures de défense robustes (Guardrails, filtres d’entrée/sortie).
  5. Sécuriser la chaîne d’approvisionnement (Supply Chain) des modèles et des données d’entraînement.

Contenu de la formation

Jour 1 : Anatomie des attaques et OWASP Top 10 LLM (Partie 1)
Module 1 : La nouvelle surface d’attaque des LLM
  • Différence entre la sécurité des modèles (Deep Learning) et la sécurité applicative (LLM).
  • Le cycle de vie d’une requête et les points d’interception des attaquants.
Module 2 : Plongée au cœur de l’OWASP Top 10 for LLM (Failles 1 à 5)
  • LLM01: Direct & Indirect Prompt Injection (L’art de manipuler le modèle).
  • LLM02: Insecure Output Handling (Quand le LLM exécute du code malveillant côté utilisateur).
  • LLM03: Training Data Poisoning (Altération des données d’apprentissage).
  • LLM04: Model Denial of Service (Saturer les ressources et faire exploser les coûts de l’API).
  • LLM05: Insecure Plugin Design (L’exploitation des agents autonomes).
  • TP Pratique : Exploitation d’une faille d’Indirect Prompt Injection permettant d’exfiltrer les données d’un utilisateur tiers.
Jour 2 : Vulnérabilités avancées, Audit et Durcissement (Partie 2)
Module 3 : Fuites de données et menaces systémiques (Failles 6 à 10)
  • LLM06: Sensitive Information Disclosure (Empêcher le LLM de révéler des secrets système).
  • LLM07: Insecure Agency (Les risques liés à l’autonomie d’action accordée aux LLM).
  • LLM08: Excessive Overreliance (Risques juridiques et de sécurité liés à la confiance aveugle).
  • LLM09: Model Theft (Vol de propriété intellectuelle par extraction de modèle).
Module 4 : Stratégies de Défense et Guardrails
  • Conception de prompts défensifs (System Prompts résilients).
  • Implémentation de barrières de sécurité logicielles (NeMo Guardrails, Llama Guard).
  • Assainissement (Sanitization) des entrées et des sorties applicatives.
  • TP Pratique : Mise en place d’un middleware de sécurité (Guardrail) pour bloquer les injections et les fuites de clés API en temps réel.
Evalution de fin de formation
  • Le QCM de Validation Final: Un questionnaire à choix multiples de 20 questions permettant de mesurer l’assimilation des concepts clés du programme.
  • Sanction de la formation : L’obtention d’une note minimale de 70% aux évaluations donne droit à la délivrance de l’Attestation Officielle de Fin de Formation et du badge de compétences numérique Dndagency.
Profil intervenant  :

Esteban F. – Consultant Senior en Cybersécurité & Spécialiste de la Sécurité des Systèmes d’IA

  • Expertise Terrain : Plus de 4 ans d’expérience en audit de sécurité, tests d’intrusion  et sécurisation des infrastructures critiques. Il s’est spécialisé très tôt dans l’analyse des vulnérabilités propres aux algorithmes d’apprentissage automatique et au durcissement des applications connectées aux LLM.

Suites de parcours recommandées

Public

  • Ingénieurs Sécurité,
  • Analystes SOC Senior
  • Développeurs Senior, Consultants Cyber / DevSecOps.

Pré-requis

  • Maîtrise des concepts fondamentaux de la sécurité des applications Web (OWASP).
  • Disposer de connaissances de base sur les API et le fonctionnement des LLM.

Méthodes pédagogiques

  • 60% Pratique / 40% Théorique : Les concepts complexes sont systématiquement illustrés par des démonstrations et immédiatement appliqués lors d’ateliers sur machines virtuelles.
  • Laboratoire Virtuel Dédié : Chaque apprenant dispose d’un environnement de test isolé et sécurisé (Sandbox) fourni par DNDAgency pour manipuler des scripts, analyser des logs et simuler des incidents sans aucun risque.

Toutes nos formations sont disponibles en présentiel ou en distanciel.

Réf. : DN-39218
Durée : 2 jours
Tarif : 1890,00  HT
Partager cette formation
Facebook
Twitter
LinkedIn

Demande de devis

*Sous réserve de maintien de la session
Session ouverte à partir de 3 participants

Prochaines sessions

Format Dans vos locaux ou à distance
Durée 2 jours
Prix Nous contacter
Demande de devis

Vous souhaitez une formation sur-mesure ou vous disposez d’un cahier des charges ?



Nous contacter

06/10/2026
19/11/2026
28/01/2027
08/03/2027

*Sous réserve de maintien de la session
Sessions inter entreprises ouvertes à partir de 3 participants
Intra : base tarifaire pour un groupe de 3 personnes

LinkedIn
Email
Print

Nouvelles formations

Dernières actualités

Nous contacter

Par Téléphone : 01 85 09 69 75
(Du lundi au vendredi, 9h-18h)

Par Email 

Nous suivre