search close

Plateforme
- Plateforme Trend Vision One
  - Trend Vision One
    
    Notre plateforme unifiée
    
    Faites le lien entre protection contre les menaces et gestion des cyber-risques
    En savoir plus
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    Le leader en gestion de l'exposition – transformer la visibilité sur les cyber-risques en une sécurité décisive et proactive.
    En savoir plus
- Security Operations (SecOps)
  - Security Operations (SecOps)
    
    Arrêtez les adversaires avec une visibilité inégalée, optimisée par la veille de XDR, le SIEM agentique et le SOAR agentique, pour que les assaillants n'aient plus la moindre cachette.
    En savoir plus
- Sécurité du cloud
  - Sécurité du cloud
    - Trend Vision One™
      
      Présentation de Cloud Security
      
      La plateforme de sécurité du cloud la plus fiable pour les développeurs, les équipes de sécurité et les entreprises
      En savoir plus
  - XDR pour le cloud
    - XDR pour le cloud
      
      Étendre la visibilité au cloud et simplifier les investigations dans le SOC
      En savoir plus
  - Container Security
    - Container Security
      
      Simplifiez la sécurité pour vos applications natives du cloud avec une analyse avancée des images de conteneur, un contrôle d'entrée basé sur politique et une protection pour l'exécution de conteneur.
      En savoir plus
  - File Security
    - File Security
      
      Protégez le flux de travail des applications et le stockage cloud contre les menaces avancées
      En savoir plus
  - Cloud Risk Management
    - Cloud Risk Management
      
      Unifiez la visibilité multi-cloud, éliminez les expositions qui passent inaperçues et sécurisez votre avenir.
      En savoir plus
- Endpoint Security
  - Endpoint Security
    - Présentation d’Endpoint Security
      
      Protéger les endpoints à chaque étape d’une attaque
      En savoir plus
  - XDR for Endpoint
    - XDR for Endpoint
      
      Barrez plus rapidement la route aux adversaires grâce à une perspective plus étendue et à un meilleur contexte pour identifier, détecter, mener une investigation et répondre aux menaces depuis une seule plateforme
      En savoir plus
  - Workload Security
    - Workload Security
      
      Prévention, détection et réponse optimisées pour les endpoints, les serveurs et les charges de travail cloud
      En savoir plus
- Network Security
  - Network Security
    - Présentation de Network Security
      
      Dopez la puissance de XDR avec une fonction de détection et de réponse aux menaces sur le réseau
      En savoir plus
  - XDR for Network (NDR)
    - XDR for Network (NDR)
      
      Barrez plus rapidement la route aux adversaires grâce à une perspective plus étendue et à un meilleur contexte pour identifier et détecter les menaces, mener une investigation et répondre aux menaces depuis une seule plateforme
      En savoir plus
  - Network Intrusion Prevention (IPS)
    - Network Intrusion Prevention (IPS)
      
      Protégez-vous contre les vulnérabilités connues, inconnues et non divulguées ciblant votre réseau.
      En savoir plus
  - 5G Network Security
    - 5G Network Security
      En savoir plus
  - Industrial Network Security
    - Industrial Network Security
      En savoir plus
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Zero Trust Secure Access (ZTSA)
        
        Repensez le concept de confiance et sécurisez votre transformation digitale à l’aide d’une évaluation permanente des risques
        En savoir plus
    - AI Secure Access
      - AI Secure Access
        
        Assurez une visibilité et un contrôle unifiés pour tous les services d'IA générative, utilisateurs et interactions
        En savoir plus
- Email and Collaboration Security
  - Trend Vision One™
    
    Email and Collaboration Security
    
    Gardez une longueur d'avance sur le phishing, le BEC, les ransomware et les arnaques grâce à la sécurité des emails optimisée par l'IA, qui arrête les menaces avec rapidité, facilité et précision..
    En savoir plus
- Veille sur les menaces
  - Trend Micro™
    
    Veille sur les menaces
    
    Repérez les menaces de loin
    En savoir plus
- Identity Security
  - Trend Vision One™
    
    Identity Security
    
    Une sécurité des identités de bout en bout, de la gestion de la posture d’identité à la détection et à la réponse aux menaces
    En savoir plus
- Sécurité avec l’IA
  - Sécurité avec l’IA
    - L'IA chez Trend
      
      Découvrez des solutions d'IA conçues pour protéger votre entreprise, soutenir la conformité et favoriser l'innovation responsable
      En savoir plus
  - Sécurité de l'IA proactive
    - Sécurité de l'IA proactive
      
      Renforcez vos défenses grâce à la première IA de cybersécurité proactive du secteur, sans zones d'ombre ni surprises
      Sécurité de l'IA proactive
  - Trend Cybertron
    - Trend Cybertron
      
      La première IA de cybersécurité proactive du secteur
      Trend Cybertron
  - Trend Companion
    - Trend Companion
      
      Exploitez une étendue et une profondeur inégalées des données, une analyse de haute qualité, une sélection et un étiquetage pour accéder à des informations pertinentes et exploitables
      En savoir plus
  - Sécurité pour les piles d'IA
    - Sécurité pour les piles d'IA
      
      Sécurisez votre parcours avec l'IA et éliminez les vulnérabilités avant que les attaques ne se produisent, afin de pouvoir innover en toute confiance
      En savoir plus
  - Écosystème d’IA
    - Écosystème d’IA
      
      Façonner l'avenir de la cybersécurité grâce à l'innovation IA, au leadership réglementaire et à des normes fiables
      En savoir plus
  - AI Factory
    - AI Factory
      
      Accélérez le déploiement de l'IA en entreprise avec sécurité, conformité et confiance
      En savoir plus
  - Jumeau numérique
    - Jumeau numérique
      
      Les jumeaux numériques haute fidélité soutiennent la planification prédictive, les investissements stratégiques et l'optimisation de la résilience
      En savoir plus
- On-Premises Data Sovereignty
  - Souveraineté des données sur site
    
    Prévenez, détectez, répondez et protégez sans compromettre la souveraineté des données
    En savoir plus
- Tous les produits, services et évaluations
  - Tous les produits, services et évaluations
    En savoir plus
- Data Security
  - Trend Vision One™
    
    Data Security
    
    Prévenez les fuites de données grâce à une visibilité centralisée, à la hiérarchisation intelligente des risques et à des capacités de réponse rapide
    En savoir plus
Solutions
- Par secteur
  - Par secteur
    - Par secteur
      En savoir plus
  - Santé
    - Santé
      
      Protégez les données des patients, les équipements et les réseaux, tout en respectant les réglementations
      En savoir plus
  - Automobile
    - Automobile
      En savoir plus
  - 5G Networks
    - 5G Networks
      En savoir plus
  - Secteurs Financiers
    - Secteurs Financiers
      
      L’IA pour gérer les risques, protéger vos données clients, favoriser la confiance et faciliter la conformité
      En savoir plus
  - Secteurs d’activité critiques
    - Secteurs d’activité critiques
      
      Une protection souveraine pour défendre ce qui compte pour vous
      En savoir plus
- Sécurité des petites et moyennes entreprises
  - Sécurité des petites et moyennes entreprises
    
    Arrêtez les menaces grâce à des solutions simples d’utilisation, conçues pour votre entreprise en développement
    En savoir plus
Recherche
- Recherche
  - Recherche
    - Recherche
      En savoir plus
  - Recherche, nouvelles et perspectives
    - Recherche, nouvelles et perspectives
      En savoir plus
  - Recherche et analyse
    - Recherche et analyse
      En savoir plus
  - Nouvelles relatives à la sécurité
    - Nouvelles relatives à la sécurité
      En savoir plus
  - Programme Zero Day Initiative (ZDI)
    - Programme Zero Day Initiative (ZDI)
      En savoir plus
Services
- Nos services
  - Nos services
    - Nos services
      
      Complétez votre équipe avec des experts en cybersécurité de confiance, 24 h/24 et 7 j/7, pour prédire, prévenir et gérer les violations.
      En savoir plus
  - Packages de services
    - Packages de services
      
      Aidez les équipes de sécurité grâce à une détection, une réponse et un support managés 24 h/24, 7 j/7 et 365 j/365
      En savoir plus
  - Cyber Risk Advisory
    - Cyber Risk Advisory
      
      Évaluez, comprenez et atténuez les cyber-risques grâce à des conseils stratégiques
      En savoir plus
  - Managed Detection and Response (MDR)
    - Managed Detection and Response (MDR)
      
      Affinez la détection des menaces avec un service managé de détection et de réponse (Managed Detection and Response, MDR) pour les emails, les endpoints, les serveurs, les instances cloud et les réseaux
      En savoir plus
  - Réponse aux incidents
    - Réponse aux incidents
      - Réponse aux incidents
        
        Nos experts de confiance sont disponibles, que vous subissiez une violation ou cherchiez à améliorer proactivement vos plans IR.
        En savoir plus
    - Compagnies d'assurance et cabinets d'avocats
      - Compagnies d'assurance et cabinets d'avocats
        
        Stoppez les violations grâce à la meilleure technologie de réponse et de détection sur le marché, réduisez les temps d'arrêt pour les clients et récupérez des coûts
        En savoir plus
  - Équipes rouges et violettes
    - Équipes rouges et violettes
      
      Exécutez des scénarios d'attaque en temps réel pour vous préparer et renforcer vos défenses
      En savoir plus
  - Services de support
    - Services de support
      En savoir plus
Partenaires
- Programme de partenariat
  - Programme de partenariat
    - Vue d’ensemble du programme de partenariat
      
      Développez votre activité et protégez vos clients grâce à une sécurité intégrale et en profondeur
      En savoir plus
  - Compétences des partenaires
    - Compétences des partenaires
      
      Démarquez-vous auprès des clients grâce à des validations de compétence qui mettent en avant votre expertise
      En savoir plus
  - Réussite des partenaires
    - Réussite des partenaires
      En savoir plus
  - Fournisseurs de services (xSP)
    - Fournisseurs de services (xSP)
      
      Fournissez des services de sécurité proactifs avec une plateforme de sécurité unique axée sur les partenaires, conçue pour les MSP, les MSSP et les équipes DFIR
      En savoir plus
- Partenaires d'alliance
  - Partenaires d'alliance
    - Partenaires d'alliance
      
      Nous travaillons avec les meilleurs pour vous aider à optimiser vos performances et votre création de valeur
      En savoir plus
  - Partenaires technologiques
    - Partenaires technologiques
      En savoir plus
  - Trouver des partenaires d'alliance
    - Trouver des partenaires d'alliance
      En savoir plus
- Ressources des partenaires
  - Ressources des partenaires
    - Ressources des partenaires
      
      Découvrez les ressources conçues pour accélérer la croissance de votre entreprise et améliorer vos capacités en tant que partenaire Trend Micro
      En savoir plus
  - Connexion au portail des partenaires
    - Connexion au portail des partenaires
      Connexion
  - Campus Trend
    - Campus Trend
      
      Accélérez votre apprentissage avec le Campus Trend, une plateforme éducative simple d’utilisation qui propose des conseils techniques personnalisés
      En savoir plus
  - Co-vente
    - Co-vente
      
      Accédez à des services collaboratifs conçus pour vous aider à démontrer la valeur de Trend Vision One™ et à développer votre activité
      En savoir plus
  - Devenir partenaire
    - Devenir partenaire
      En savoir plus
- Trouver des partenaires
  - Trouver des partenaires
    
    Localiser un partenaire auprès duquel vous pouvez acheter des solutions Trend Micro
    En savoir plus
Entreprise
- Pourquoi choisir Trend Micro
  - Pourquoi choisir Trend Micro
    - Pourquoi choisir Trend Micro
      En savoir plus
  - Récompenses de l'industrie
    - Récompenses de l'industrie
      En savoir plus
  - Alliances stratégiques
    - Alliances stratégiques
      En savoir plus
- Témoignages
  - Témoignages
    - Témoignages
      
      Des témoignages concrets sur la manière dont les clients du monde entier utilisent Trend pour prédire, prévenir, détecter et traiter les menaces.
      En savoir plus
  - Impact de l'ESG sur l'entreprise
    - Impact de l'ESG sur l'entreprise
      
      Découvrez comment la cyber-résilience a mené à un impact mesurable, à une défense plus intelligente et à des performances durables.
      En savoir plus
  - Relations humaines
    - Relations humaines
      
      Découvrez les personnes en charge de la protection : notre équipe, nos clients et le bien-être numérique amélioré.
      En savoir plus
  - Voix du client
    - Voix du client
      
      Découvrez les témoignages directs de nos utilisateurs. Leurs informations façonnent nos solutions et favorisent l'amélioration continue.
      En savoir plus
- Comparez Trend Micro
  - Comparez Trend Micro
    - Comparez Trend Micro
      
      Découvrez comment Trend dépasse la concurrence
      Allons-y
  - par rapport à CrowdStrike
    - Trend Micro par rapport à CrowdStrike
      
      Crowdstrike fournit une cybersécurité efficace via sa plateforme native du cloud, mais ses tarifs peuvent mettre les budgets à rude épreuve, en particulier pour les organisations qui recherchent une évolutivité économique sur une seule plateforme.
      Allons-y
  - par rapport à Microsoft
    - Trend Micro par rapport à Microsoft
      
      Microsoft offre une couche de protection de base, mais nécessite souvent l’ajout d'autres solutions pour traiter entièrement les problèmes de sécurité des clients
      Allons-y
  - par rapport à Palo Alto Networks
    - Trend Micro par rapport à Palo Alto Networks
      
      Palo Alto Networks fournit des solutions de cybersécurité avancées, mais il peut être difficile de parcourir sa suite complète et l’exploitation de toutes ses fonctionnalités requiert un investissement important.
      Allons-y
  - Comparaison avec SentinelOne
    - Comparaison entre Trend Micro et SentinelOne
      Allons-y
- À propos
  - À propos
    - À propos
      En savoir plus
  - Trust Center
    - Trust Center
      En savoir plus
  - Historique
    - Historique
      En savoir plus
  - Diversité équité et inclusion
    - Diversité équité et inclusion
      En savoir plus
  - Responsabilité sociale d’entreprise
    - Responsabilité sociale d’entreprise
      En savoir plus
  - Leadership
    - Leadership
      En savoir plus
  - Experts en sécurité
    - Experts en sécurité
      En savoir plus
  - Sensibilisation à la sécurité sur Internet et à la cybersécurité
    - Sensibilisation à la sécurité sur Internet et à la cybersécurité
      En savoir plus
  - Mentions légales
    - Mentions légales
      En savoir plus
  - Partenariat Formule 1
    - Partenariat Formule 1
      
      Partenaire officiel de l’écurie McLaren Formula 1 Team
      En savoir plus
- Communiquez avec nous
  - Communiquez avec nous
    - Communiquez avec nous
      En savoir plus
  - Salle de presse
    - Salle de presse
      En savoir plus
  - Événements
    - Événements
      En savoir plus
  - Carrières
    - Carrières
      En savoir plus
  - Webinaires
    - Webinaires
      En savoir plus

Vous recherchez des solutions domestiques ?

Vous subissez une attaque ?

Support

Ressources

Connexion

arrow_back

search close

Qu'est-ce que l'OWASP ? Qu’est-ce que le top 10 de l’OWASP ?

Personnel de Trend Micro

- Dernière mise à jour Dec 05, 2025

L’Open Worldwide Application Security Project (OWASP) est une organisation à but non lucratif qui, depuis plus de 20 ans, promeut la formation et les bonnes pratiques en matière de sécurité logicielle.

Table des matières

keyboard_arrow_down

Qu’est-ce qu’OWASP ?

L’initiative phare d’OWASP, OWASP Top 10, est une liste régulièrement mise à jour des risques de sécurité les plus critiques pour les applications web.

En mai 2023, OWASP a lancé le Generative AI Security Project pour traiter les risques émergents liés aux grands modèles de langage (LLM) et à l’IA générative. Avec l’adoption rapide de ces technologies par les entreprises, les préoccupations concernant l’injection de prompts, les fuites de données et les risques de gouvernance se sont accrues. L’absence d’un cadre de sécurité systématique pour l’IA a conduit OWASP à créer ce projet, qui classe les risques et propose des stratégies d’atténuation.

Trend Micro soutient fièrement le projet OWASP Generative AI Security en tant que sponsor Gold. Forts de près de deux décennies de recherche et de développement dans les technologies IA, nous restons fidèles à notre mission : « créer un monde où les informations numériques peuvent être échangées en toute sécurité » en identifiant et en réduisant les risques liés à l’IA.

«La sécurité n’est pas une fonctionnalité, c’est une base. OWASP nous rappelle que protéger les applications est essentiel pour la confiance à l’ère numérique.»

Source : https://www.trendmicro.com/

OWASP Top 10 pour les applications LLM – 2025

Dans le cadre de ce projet, OWASP a publié plusieurs versions de sa liste axée sur l’IA :

Version 0.5 (mai 2023)
Version 1.1 (octobre 2023)
Version 2025 (novembre 2024)

La dernière version, OWASP Top 10 pour les applications LLM & IA générative, présente les risques les plus critiques, les mesures recommandées et des exemples de scénarios d’attaque. Voici un aperçu des 10 principaux risques pour 2025 :

Injection de prompts

L’injection de prompts se produit lorsque les entrées utilisateur modifient involontairement le comportement ou la sortie d’un LLM. Cela peut entraîner des violations de règles, la génération de contenu nuisible, un accès non autorisé ou influencer des décisions critiques. Les techniques comme la génération augmentée par récupération (RAG) et le fine-tuning améliorent la qualité des sorties mais n’éliminent pas complètement cette vulnérabilité.

Le fine-tuning consiste à entraîner un modèle généraliste pré-entraîné sur un jeu de données spécifique pour lui ajouter des connaissances spécialisées.

Injection de prompts et jailbreaking sont des concepts liés :

Injection de prompts : manipulation des réponses via des entrées ciblées.
Jailbreaking : forme d’injection de prompts permettant de contourner les protocoles de sécurité.

Des garde-fous dans les prompts système peuvent aider, mais un entraînement continu et des mécanismes de sécurité mis à jour sont plus efficaces.

Divulgation d’informations sensibles

Les LLM peuvent divulguer des données confidentielles, des algorithmes propriétaires ou d’autres informations sensibles. Les sorties peuvent entraîner un accès non autorisé, des violations de confidentialité ou des atteintes à la propriété intellectuelle. Les utilisateurs doivent éviter d’entrer des données sensibles, car elles pourraient être révélées ultérieurement.

Mesures d’atténuation :

Nettoyer les données et exclure les informations sensibles des ensembles d’entraînement.
Fournir des conditions d’utilisation claires et des mécanismes d’opt-out.
Ajouter des restrictions dans les prompts système (bien qu’elles puissent être contournées).

Vulnérabilités de la chaîne d’approvisionnement

La chaîne d’approvisionnement des LLM est exposée à des risques affectant les données d’entraînement, les modèles et les plateformes de déploiement. Ces risques peuvent entraîner des biais, des violations de sécurité ou des défaillances. Contrairement aux logiciels classiques, les risques LLM concernent aussi les modèles pré-entraînés tiers et les jeux de données.

Les modèles en accès libre et les méthodes de fine-tuning (ex. Hugging Face) augmentent l’exposition. Les LLM embarqués élargissent encore la surface d’attaque.

Empoisonnement des données d’entraînement

L’empoisonnement des données consiste à manipuler le pré-entraînement, le fine-tuning ou l’intégration pour introduire des vulnérabilités ou des biais. Cela peut nuire à la performance, à l’éthique et à la sécurité.

Risques :

Contenu malveillant dans les sources externes
Malware intégré dans des modèles partagés ou open source
Backdoors agissant comme des « agents dormants » activés par des déclencheurs spécifiques

Gestion incorrecte des sorties

Lorsque les sorties des LLM ne sont pas validées ou nettoyées avant d’être transmises à des systèmes en aval, des attaques peuvent survenir :

Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Server-Side Request Forgery (SSRF)
Escalade de privilèges et exécution de code à distance

Le risque augmente avec des privilèges excessifs ou des extensions tierces non sécurisées.

Agency excessive

Les systèmes basés sur LLM disposent souvent d’une « agency » – la capacité d’invoquer des fonctions ou des extensions dynamiquement. Une fonctionnalité, des permissions ou une autonomie excessives peuvent compromettre la confidentialité, l’intégrité et la disponibilité.

Fuite des prompts système

Les prompts système orientent le comportement du modèle mais peuvent contenir des données sensibles comme des identifiants. Leur fuite permet des attaques telles que le contournement des garde-fous ou l’escalade de privilèges. Même sans divulgation complète, les attaquants peuvent déduire des restrictions via les interactions.

Conception de plugins non sécurisée

Dans les systèmes RAG, des failles dans la génération, le stockage ou la récupération des vecteurs et embeddings peuvent permettre l’injection de contenu malveillant, la manipulation des sorties ou un accès non autorisé.

Surconfiance

Les LLM peuvent générer des contenus faux ou trompeurs (hallucinations) qui semblent crédibles, entraînant des dommages réputationnels ou des risques juridiques. Causes :

Remplissage statistique sans compréhension réelle
Biais ou données d’entraînement incomplètes
Confiance excessive dans des sorties non vérifiées

Vol de modèle

Des requêtes incontrôlées peuvent provoquer des attaques par déni de service (DoS), des pertes financières, le vol de modèle ou une dégradation du service. Les environnements cloud sont particulièrement vulnérables en raison des fortes exigences de calcul.

Comment les organisations peuvent sécuriser les LLM ?

La sécurisation des LLM est essentielle car ils deviennent incontournables dans les processus d’entreprise. Les organisations doivent agir de manière proactive avec des mesures techniques, de gouvernance et de surveillance.

«Sécuriser les modèles de langage avancés n’est pas facultatif : c’est une étape essentielle pour garantir que l’innovation ne se fasse pas au détriment de l’intégrité et de la confidentialité.»

Source: https://owasp.org/

Étapes clés :

Mettre en place des contrôles d’accès stricts
Valider et nettoyer les entrées
Surveiller les sorties pour détecter les données sensibles
Appliquer des limites de requêtes et détecter les abus
Établir une gouvernance et un journal des interactions
Mettre à jour et corriger régulièrement les modèles
Former le personnel aux bonnes pratiques

Renforcer la sécurité des LLM avec Trend Micro

Les OWASP Top 10 pour LLM mettent en garde contre des risques tels que l’injection de prompts, les fuites de données et les plugins non sécurisés. Trend Vision One™ propose :

AI Application Security – Bloque les prompts malveillants et les exploits de plugins
Zero Trust Access – Applique des contrôles stricts d’identité et d’autorisations
AI Security Posture Management – Détecte les mauvaises configurations et vulnérabilités
Threat Intelligence – Identifie les attaques émergentes liées à l’IA
Gouvernance centralisée – Surveille l’utilisation et applique les politiques

Avec Trend Vision One™, les entreprises peuvent déployer des LLM en toute sécurité et conformité.

Foire aux questions (FAQ)

Expand all Hide all

Qu’est-ce qu’OWASP en cybersécurité ?

add

OWASP est un projet open-source fournissant ressources, outils et directives pour améliorer la sécurité des applications web mondialement.

Qu’est-ce que l’OWASP Top 10 ?

add

OWASP Top 10 est une liste des risques de sécurité web les plus critiques, régulièrement mise à jour.

À quelle fréquence l’OWASP Top 10 est-il mis à jour ?

add

OWASP Top 10 est généralement mis à jour tous les trois ans pour refléter les menaces et pratiques émergentes.

Comment utiliser OWASP ?

add

Utilisez OWASP en appliquant ses directives, outils et meilleures pratiques pour identifier et réduire les vulnérabilités des applications web.