Nouveau système de notation des vulnérabilités IA pour combler les lacunes du CVSS
Séraphine Clairlune
Nouveau système de notation des vulnérabilités IA pour combler les lacunes du CVSS
Alors que les systèmes d’intelligence artificielle agentic et autonome prolifèrent dans notre paysage numérique, une lacune critique dans l’évaluation de leurs vulnérabilités a été identifiée. Un nouveau système de notation des vulnérabilités IA vient d’être annoncé par OWASP, l’Open Worldwide Application Security Project, pour répondre à ce défi. L’initiative, appelée AI Vulnerability Scoring System (AIVSS), a été conçue spécifiquement pour adresser les limites des modèles traditionnels comme le Common Vulnerability Scoring System (CVSS), qui ne sont pas adaptés à la complexe nature non-déterministe des technologies modernes d’IA.
Selon une étude récente publiée par l’ANSSI, plus de 78% des organisations françaises déploient désormais des solutions d’IA dans leurs opérations, créant un besoin urgent de cadres d’évaluation de sécurité spécialisés. Face à cette adoption massive, le système de notation des vulnérabilités IA représente une avancée significative pour les professionnels de la cybersécurité confrontés aux défis uniques posés par les systèmes agentic.
Les limites du CVSS face aux systèmes d’IA modernes
Le défi de l’IA agentic
Le Common Vulnerability Scoring System (CVSS), longtemps considéré comme la référence mondiale pour l’évaluation des vulnérabilités logicielles, montre aujourd’hui ses limites lorsqu’il s’agit de systèmes d’intelligence artificielle agentic. Comme l’a souligné Ken Huang, expert en sécurité IA, auteur et professeur adjoint : « Les cadres de vulnérabilité logicielle traditionnels comme le CVSS supposent un codage déterministe traditionnel. Nous devons traiter de la nature non-déterministe de l’IA agentic. »
Cette distinction fondamentale réside dans le concept même d’autonomie. Alors que les logiciels traditionnels suivent des instructions préprogrammées de manière prévisible, les systèmes d’IA agentic prennent des décisions indépendantes, s’adaptent dynamiquement à leur environnement et interagissent avec divers outils de manière qui défie les modèles d’évaluation existants. « L’autonomie en soi n’est pas une vulnérabilité, mais elle élève le risque », a précisé Huang lors de l’annonce du nouveau système.
Dans la pratique, cette autonomie se traduit par des comportements imprévisibles qui peuvent être exploités par des acteurs malveillants. Par exemple, un système d’IA agentic pourrait choisir d’utiliser un outil de manière inattendue, créer des connexions non autorisées avec des systèmes critiques ou modifier ses propres paramètres en réponse à des stimuli externes – des scénarios difficiles à évaluer avec les méthodes traditionnelles.
La nature non-déterministe des systèmes d’IA
La non-déterminisme représente l’un des défis les plus importants pour l’évaluation de sécurité des systèmes d’IA. Contrairement aux logiciels traditionnels dont le comportement reste cohérent à travers les exécutions, les systèmes d’IA, en particulier ceux utilisant des approches d’apprentissage automatique profond, peuvent produire des résultats différents pour des entrées identiques en fonction de facteurs subtils comme l’état interne ou les conditions d’exécution.
Cette caractéristique fondamentale rend l’application des méthodes traditionnelles de gestion des vulnérabilitées particulièrement complexe. Les équipes de sécurité ne peuvent plus s’appuyer sur des analyses statiques ou des tests de pénétration conventionnels pour identifier et évaluer les risques potentiels. À la place, elles doivent développer de nouvelles approches capables de capturer la nature dynamique et évolutive des systèmes d’IA.
« Les vulnérabilités dans les systèmes d’IA ne ressemblent pas aux vulnérabilités logicielles traditionnelles. Elles émergent de l’interaction complexe entre les données, les algorithmes et les environnements d’exécution, créant un paysage de risques qui évolue constamment », explique Michael Bargury, co-fondateur et CTO de Zenity, membre du groupe de travail de l’AIVSS.
Cette réalité oblige les professionnels de la sécurité à repenser complètement leur approche de l’évaluation des risques. Plutôt que de se concentrer sur des vulnérabilités statiques identifiables, ils doivent désormais considérer les systèmes d’IA comme des organismes vivants dont le comportement évolue et dont les risques potentiels nécessitent une surveillance continue et une évaluation adaptative.
Présentation de l’AIVSS : une approche innovante
Méthodologie de notation
L’AI Vulnerability Scoring System (AIVSS) introduit une approche révolutionnaire pour l’évaluation de la sécurité des systèmes d’IA, en s’appuyant sur une méthodologie conçue spécifiquement pour capturer les complexités uniques de ces technologies. Contrairement au CVSS qui se concentre sur des caractéristiques statiques des vulnérabilités, l’AIVSS intègre une évaluation dynamique des capacités agentic qui peuvent amplifier les risques dans les systèmes pilotés par l’IA.
La méthodologie de notation de l’AIVSS commence avec un score de base CVSS pour établir un point de départ. Ce score de base est ensuite enrichi par une évaluation des capacités agentic qui prend en compte trois facteurs essentiels : l’autonomie, le non-déterminisme et l’utilisation d’outils. Cette couche supplémentaire permet de quantifier les facteurs de risque émergents lorsque les systèmes d’IA prennent des décisions indépendantes, interagissent dynamiquement avec des outils ou s’adaptent de manières que les logiciels traditionnels ne peuvent pas.
Le score combiné est ensuite divisé par deux et multiplié par un facteur de contexte environnemental pour produire un score de vulnérabilité final. Cette approche mathématique reflète la nature complexe des risques associés aux systèmes d’IA, où l’impact potentiel peut être amplifié ou atténué par les conditions spécifiques de déploiement.
Voici un tableau comparatif résumant les différences clés entre le CVSS et l’AIVSS :
| Caractéristique | CVSS | AIVSS |
|---|---|---|
| Cible principale | Logiciels traditionnels | Systèmes d’IA agentic et autonomes |
| Approche | Statique, basée sur les caractéristiques de la vulnérabilité | Dynamique, intègre les comportements et capacités du système |
| Facteurs clés | Impact, exploitabilité, complexité | Autonomie, non-déterminisme, utilisation d’outils, contexte environnemental |
| Score de départ | Base CVSS (0-10) | Base CVSS (0-10) + évaluation agentic |
| Calcul final | Score direct | (Score combiné ÷ 2) × facteur de contexte |
Portail de ressources et outils
Pour faciliter l’adoption pratique de ce nouveau système de notation, un portail dédié a été développé à l’adresse aivss.owasp.org. Cette plateforme centralisée offre une documentation complète, des guides structurés pour l’évaluation des risques liés à l’IA et un outil de calcul permettant aux praticiens de déterminer leurs propres scores de vulnérabilité d’IA.
Le portail représente une ressource précieuse pour les professionnels de la sécurité cherchant à mettre en œuvre l’AIVSS dans leurs organisations. Il inclut des documents techniques détaillés, des exemples de cas d’application et des modèles d’évaluation qui peuvent être adaptés aux contextes spécifiques de différentes industries. La mise à disposition de ces ressources vise à accélérer l’adoption du nouveau système et à établir des pratiques cohérentes à travers le secteur.
« Nous avons conçu le portail non seulement comme un outil de calcul, mais comme un écosystème complet soutenant l’évaluation de sécurité des systèmes d’IA », a déclaré Bhavya Gupta, responsable de la sécurité de l’information à l’Université de Stanford et membre du groupe de travail de l’AIVSS. « Notre objectif est de fournir aux professionnels de la sécurité les ressources nécessaires pour comprendre, appliquer et améliorer continuellement leurs pratiques d’évaluation des risques liés à l’IA. »
Dans la pratique, le portail permet aux équipes de sécurité de suivre une approche structurée de l’évaluation des risques des systèmes d’IA, en s’appuyant sur des cadres éprouvés et des méthodes normalisées. Cette standardisation représente un pas en avant significatif pour un domaine qui, jusqu’à récemment, manquait de lignes directrices claires et de consensus sur les meilleures pratiques.
Les risques critiques des systèmes d’IA agentic
Les dix principaux risques identifiés
Dans le cadre du développement de l’AIVSS, le projet a identifié dix risques critiques spécifiques aux systèmes d’IA agentic, représentant les menaces les plus graves auxquelles ces technologies sont confrontées. Bien que l’équipe ait évité de qualifier cette liste d’« officielle Top 10 », ces risques sont considérés comme les plus significatifs dans le paysage actuel de la sécurité des systèmes d’IA.
Usage abusif des outils d’IA agentic : L’utilisation inappropriée ou malveillante des outils par les systèmes d’IA peut conduire à des actions non autorisées ou dangereuses.
Violation du contrôle d’accès des agents : Les systèmes d’IA peuvent contourner les mécanismes de sécurité traditionnels pour accéder à des ressources ou des données auxquelles ils ne devraient pas avoir accès.
Défaillances en cascade des agents : Une défaillance dans un composant d’un système d’IA peut provoquer des effets de dominos affectant d’autres parties du système ou même des systèmes connexes.
Orchestration des agents et exploitation multi-agents : La coordination de plusieurs systèmes d’IA peut être exploitée pour exécuter des attaques complexes qui dépasseraient les capacités d’un système isolé.
Usurpation d’identité des agents : Les systèmes d’IA peuvent adopter l’identité d’autres entités pour tromper les mécanismes de sécurité ou les utilisateurs.
Manipulation de la mémoire et du contexte des agents : L’altération des données ou du contexte internes d’un système d’IA peut le conduire à prendre des décisions erronées ou dangereuses.
Interaction non sécurisée avec les systèmes critiques : Les systèmes d’IA peuvent établir des connexions ou interagir avec des infrastructures critiques sans les contrôles de sécurité appropriés.
Attaques de la chaîne d’approvisionnement et des dépendances des agents : Les vulnérabilités dans les composants ou les services dont dépend un système d’IA peuvent être exploitées pour compromettre l’ensemble du système.
Non-traçabilité des agents : L’incapacité à suivre les actions ou les décisions d’un système d’IA complique la détection des activités malveillantes et l’attribution des responsabilités.
Manipulation des objectifs et des instructions des agents : La modification des objectifs ou des instructions d’un système d’IA peut le conduire à agir de manière contraire à ses intentions originelles.
Interconnexion des risques dans les systèmes d’IA
L’une des caractéristiques distinctives de ces risques réside dans leur interconnexion naturelle. Contrairement aux vulnérabilités logicielles traditionnelles qui sont souvent isolées, les risques dans les systèmes d’IA agentic tendent à se chevaucher et à se renforcer mutuellement, créant des scénarios de risques complexes difficiles à anticiper et à gérer.
Comme le note le document de l’AIVSS : « Certaines répétitions dans les entrées sont intentionnelles. Les systèmes agentic sont compositionnels et interconnectés par conception. À ce jour, les risques les plus courants comme l’usage abusif d’outils, la manipulation des objectifs ou les violations du contrôle d’accès se chevauchent souvent ou se renforcent mutuellement de manière en cascade. »
Cette interconnexion signifie qu’une vulnérabilité unique peut avoir des répercussions systémiques étendues, affectant plusieurs aspects du fonctionnement et de la sécurité du système. Par exemple, une violation du contrôle d’accès pourrait permettre à un attaquant de manipuler la mémoire du système, qui à son tour pourrait altérer les objectifs de l’IA, créant une boucle de rétroaction positive qui amplifie l’impact initial.
Dans la pratique, cette réalité oblige les équipes de sécurité à adopter une approche holistique de la gestion des risques, plutôt que de traiter chaque menace de manière isolée. Il devient essentiel de comprendre les relations entre les différents risques et d’anticiper comment une vulnérabilité unique pourrait se propager à travers le système pour causer des dommages étendus.
« Considérez le cas de l’usage abusif d’outils : il ne devrait pas y avoir de risque inhérent à la sélection d’un outil. Cependant, dans les systèmes MCP (Model Context Protocol), il y a usurpation d’outils ainsi qu’une utilisation non sécurisée des outils », a illustré Ken Huang par un exemple concret. « Cette distinction subtile mais cruciale est exactement ce que l’AIVSS permet de capturer et d’évaluer de manière quantitative. »
Mise en pratique de l’AIVSS
Étapes pour évaluer les vulnérabilités des systèmes d’IA
L’implémentation pratique de l’AIVSS dans une organisation nécessite une approche structurée qui intègre ce nouveau cadre d’évaluation dans les processus existants de gestion des risques et de sécurité des systèmes d’IA. Voici les étapes essentielles pour mettre en œuvre efficacement l’AIVSS :
Compréhension initiale du système d’IA : La première étape consiste à documenter de manière exhaustive le système d’IA évalué, y compris ses objectifs, ses capacités, ses dépendances et son contexte d’utilisation. Cette compréhension fondamentale servira de base pour l’évaluation ultérieure.
Évaluation du score de base CVSS : Pour chaque vulnérabilité identifiée dans le système d’IA, commencer par évaluer un score de base CVSS selon les méthodologies établies. Cette étape fournit un point de référence quantitatif pour les risques traditionnels.
Évaluation des capacités agentic : Ajouter une couche d’évaluation spécifique aux caractéristiques agentic du système, en examinant son niveau d’autonomie, son degré de non-déterminisme et sa capacité à interagir avec des outils externes. Cette évaluation doit être basée sur des observations empiriques et des tests concrets.
Application du facteur de contexte environnemental : Considérer les conditions spécifiques de déploiement du système, y compris les exigences de sécurité, les sensibilités des données traitées et les limitations opérationnelles. Ces éléments influencent directement l’impact potentiel des vulnérabilités identifiées.
Calcul du score AIVSS final : Appliquer la formule mathématique de l’AIVSS pour calculer le score final de vulnérabilité, qui reflète mieux les risques spécifiques aux systèmes d’IA que le score CVSS traditionnel.
Prioritisation des risques et plan d’action : Utiliser les scores AIVSS pour prioriser les risques et élaborer un plan d’action adapté, qui peut inclure des mesures de mitigation, des modifications de conception ou des restrictions fonctionnelles.
Surveillance continue et réévaluation : Étant donné la nature dynamique des systèmes d’IA, mettre en place un processus de surveillance continue et de réévaluation périodique pour détecter l’émergence de nouveaux risques ou des changements dans l’impact des vulnérabilités existantes.
Cette approche systématique permet aux organisations d’intégrer progressivement l’AIVSS dans leurs cadres de sécurité existants, tout en tirant parti des méthodologies établies pour les risques traditionnels. Le processus doit être adapté aux spécificités de chaque organisation et aux caractéristiques uniques des systèmes d’IA qu’elle déploie.
Cas pratiques d’application
Pour illustrer comment l’AIVSS peut être appliqué dans des scénarios réels, examinons deux cas concrets d’utilisation de ce système de notation dans des contextes opérationnels :
Cas 1 : Système d’IA client pour une banque française
Une grande banque française a récemment déployé un système d’IA agentic pour gérer les interactions clients et fournir des conseils financiers personnalisés. L’équipe de sécurité de la banque a utilisé l’AIVSS pour évaluer les risques associés à ce système.
L’évaluation a révélé un score de base CVSS de 7.2 pour une vulnérabilité liée à l’accès aux données clients. Cependant, grâce à l’évaluation des capacités agentic, l’équipe a identifié un facteur d’amplification significatif : le système pouvait autonomement choisir quels outils utiliser pour accéder aux informations, y compris des API tierces avec des contrôles de sécurité variables. L’ajout de ce facteur a presque doublé le score de risque, reflétant plus précisément le danger potentiel.
Cette découverte a conduit la banque à imposer des restrictions supplémentaires sur les choix d’outils du système et à mettre en place des contrôles d’accès plus stricts, réduisant ainsi considérablement le risque réel sans compromettre la fonctionnalité nécessaire pour servir efficacement les clients.
Cas 2 : Plateforme de maintenance prédictive pour un manufacturier
Un fabricant français d’équipements industriels a déployé un système d’IA agentic pour prédire les pannes de machinery et optimiser la maintenance. L’équipe de sécurité a appliqué l’AIVSS pour évaluer les risques liés à l’interaction du système avec les équipements critiques.
L’évaluation a identifié un risque de « Interaction non sécurisée avec les systèmes critiques » avec un score CVSS modéré de 5.8. Cependant, en considérant la capacité du système à orchestrer des actions sur plusieurs machines simultanément et sa nature non-déterministe dans l’optimisation des ressources, l’AIVSS a relevé le score à 8.7, reflétant le risque de défaillances en cascade potentielles.
Ce score plus élevé a motivé l’implémentation de mesures de sécurité supplémentaires, y compris des mécanismes de secours automatiques et des restrictions sur les actions que le système peut entreprendre sans validation humaine, améliorant ainsi la résilience globale de l’infrastructure critique du manufacturier.
Dans les deux cas, l’AIVSS a permis aux organisations de capturer des risques que les méthodes traditionnelles auraient sous-estimés, conduisant à des décisions de sécurité plus éclairées et mieux adaptées aux défis uniques des systèmes d’IA agentic.
Conclusion : vers une évaluation complète de la sécurité des systèmes d’IA
L’introduction du système de notation des vulnérabilités IA par OWASP représente une avancée significative pour le domaine de la cybersécurne, répondant à un besoin pressant dans un contexte d’adoption massive des technologies d’intelligence artificielle. En reconnaissant les limites des cadres traditionnels comme le CVSS et en développant une méthodologie spécifiquement conçue pour les systèmes agentic et autonomes, l’AIVSS offre aux professionnels de la sécurité un outil puissant pour évaluer et gérer les risques associés à ces technologies émergentes.
Alors que nous nous dirigeons vers un avenir de plus en plus dépendant des systèmes d’IA dans des domaines critiques comme la santé, les transports, la finance et l’énergie, la nécessité d’approches d’évaluation de sécurité spécialisée devient de plus en plus pressante. L’AIVSS, avec son approche quantitative et contextuelle, fournit un cadre essentiel pour naviguer dans ce paysage complexe.
Pour les organisations françaises particulièrement, face aux exigences réglementaires croissantes et aux défis de souveraineté numérique, l’adoption de cadres d’évaluation comme l’AIVSS représente non seulement une meilleure pratique de sécurité, mais aussi un impératif stratégique. En intégrant ces approches dans leurs processus de gestion des risques, elles peuvent mieux protéger leurs systèmes critiques et renforcer leur résilience face aux menaces émergentes.
L’avenir de la sécurité des systèmes d’IA dépendra de notre capacité à développer des méthodes qui évoluent aussi rapidement que les technologies elles-mêmes. Avec l’AIVSS, OWASP a fourni une base solide pour cette évolution, invitant la communauté à contribuer à son amélioration continue et à son adaptation aux nouveaux défis qui apparaîtront inévitablement.
En tant que professionnel de la sécurité engagé dans l’écosystème numérique français, vous êtes maintenant invité à explorer ce nouveau système de notation des vulnérabilités IA, à l’appliquer dans vos contextes opérationnels et à contribuer à sa maturation collective. En travaillant ensemble, nous pouvons bâtir un avenir numérique plus sûr et plus résilient pour tous.