Select your country

BelgiumBelgium

ChinaChina

DenmarkDenmark

FranceFrance

GermanyGermany

GlobalGlobal

Maghreb & West AfricaMaghreb & West Africa

NetherlandsNetherlands

NorwayNorway

South AfricaSouth Africa

SwedenSweden

SwitzerlandSwitzerland

United KingdomUnited Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Insights
  3. Blog
  4. Pentesting et intelligence artificielle (IA) : simuler une attaque est la meilleure défense

Pentesting et intelligence artificielle (IA) : simuler une attaque est la meilleure défense

Partager

L’adoption croissante de l’IA et des applications d’IA générative au sein des entreprises expose ces dernières à de nouveaux risques en matière de cybersécurité. L’usage d’applications embarquant un LLM (« Large Language Model » ou « Grand Modèle de Langage ») redéfinit le champ d’action des méthodes d’audit. Une nouvelle donne qui redéfinit également le Pentesting.  

Le Pentesting : une arme de prévention massive en matière de cybersécurité

Le Pentesting (ou « Pentest ») est l’abréviation de « Penetration test », qui peut se traduire par « test d’intrusion ». A des fins de cybersécurité, le Pentester endosse le rôle du cyberattaquant. Membre de la communauté des hackers éthiques - on parle également de « Ethical Hacker », d’« Ethical Hacking » et de « White hats » - le Pentester simule et actionne des scénarios de cyberattaques. Son but ? Mettre à l’épreuve le système d’information d’une entreprise, d’un organisme ou d’une institution. En Identifiant les vulnérabilités des protocoles et équipements informatiques en place, il contribue à renforcer la cybersécurité de l’entité. Sa contribution proactive permet de mettre à jour l’infrastructure matérielle et logicielle d’un système d’information. Le rôle du Pentester est donc préventif.

Les objectifs et le champ d’action du Pentester

Le Pentester a plusieurs objectifs pour identifier les vulnérabilités d’un système d’information :

  • Evaluer la cybersécurité et la résistance des entreprises et des institutions publiques et privées face aux cyberattaques ;
  • Utiliser des techniques et des outils similaires à ceux utilisés par les cyberattaquants ;
  • Mettre en œuvre des scénarios d’attaque réalistes ;
  • Identifier les vulnérabilités du système d’information et des protocoles de cybersécurité en place ;
  • Formuler des recommandations.

Le Pentester peut actionner ses scénarios d’attaque sur les différents composants de l’infrastructure informatique et réseau d’une entreprise :

  • Infrastructure réseau et/ou Cloud interne externe de l’entreprise ;
  • Parc informatique « fixe » de l’entreprise : ordinateurs fixes, serveurs, imprimantes, objets connectés (« IoT ») ;
  • Parc informatique mobile de l’entreprise : ordinateurs portables, tablettes et smartphones professionnels.

Le Pentesting peut également couvrir les équipements monétiques et les systèmes informatiques industriels, l’IT et l’OT (« Operational Technologies ») faisant l’objet d’une hybridation croissante.

Au-delà des équipements, des infrastructures et des couches réseau et logicielles, le Pentester peut également évaluer la réactivité des équipes dédiées à la cybersécurité pour les accompagner à améliorer leur process. 

Le risque d’intrusion pouvant être purement et simplement physique, le pentester pourra enfin tenter de contourner les procédures d’accueil habituelles des entreprises, en se faisant par exemple passer pour un employé ou en pénétrant dans le bâtiment de l’entreprise via une porte d’accès non sécurisée.

Applications IA : une surface d’attaque augmentée qui redéfinit le Pentesting

Si chacun de ces éléments est susceptible de faire l’objet d’une cyberattaque, l’adoption croissante des plateformes d’IA et d’IA générative expose les entreprises à de nouvelles failles et vulnérabilités. Une nouvelle donne qui redéfinit le rôle et la méthodologie du pentester.

Les modèles de langage étant très complexes, ils demandent des compétences spécifiques en matière d’IA et d’apprentissage automatique (« Machine learning »). Le Pentester doit connaître ces nouvelles failles et tenter de les exploiter de façon préventive afin d’évaluer la robustesse des modèles LLM (« Large Language Model » ou « Grand Modèle de Langage ») utilisés. Voici quelques-unes de ces vulnérabilités qui intègrent désormais le champ d’action du Pentesting :

En voici quelques-unes, identifiées par le rapport OWASP :

  • L’injection de prompts (ou « Prompt injection ») destinés à détourner le LLM de son usage initial ;
  • Attaques par changement de contexte : détourner l’application LLM en modifiant soudainement le sujet des requêtes ; 
  • Obscurcissement des commandes : masquer la formulation de requêtes malveillantes pour tromper les filtres de sécurité du LLM ;
  • La divulgation d’informations sensibles (ou « Sensitive information disclosure ») : l’application LLM peut révéler des données confidentielles par inadvertance ;
  • Injection multimodale : insérer des données malveillantes au sein d’images ou de fichiers audio pour contourner les filtres de sécurité du modèle ;
  • Le vol de modèle (ou « model theft ») :  l’accès, copie ou exfiltration non autorisé de modèles LLM propriétaires.

L’IA au service du Pentesting

Il est donc essentiel de combiner des audits de sécurité classiques avec des méthodes propres à l'intelligence artificielle pour garantir une évaluation complète des risques. En cela, le pentester peut s’appuyer sur l’IA pour rendre sa méthodologie plus efficace dans l’identification et la correction proactive des vulnérabilités, avant qu'elles ne soient exploitées par des acteurs malveillants.

L’IA peut ainsi faciliter l’automatisation des tâches du Pentesting. La capacité d’analyse d’un grand volume de données, sans interruption, pour identifier une anomalie (intrusion, comportements anormaux, fuites de données…) sur une portion ou l’ensemble du réseau d’une entreprise est un atout précieux. Le temps gagné sur l’audit du trafic permet au Pentester de se concentrer sur d’autres tâche plus complexes. L’IA pourra également produire un rapport d’intrusion qui donne le détail des failles et vulnérabilités ayant permis au pentester de pénétrer l’infrastructure.

De façon plus spécifique, l’IA peut par exemple être spécifiquement entraînée pour détecter les vulnérabilités présentes dans du code informatique. Combinée à une base de données de type datalake (ou « lac de données ») elle peut identifier de manière efficace la présence d’un logiciel malveillant.

Pentester votre système de sécurité avec les équipes d’Orange Cyberdefense

Le pentester apporter une expertise essentielle pour garantir la sécurité et la confidentialité des données. Chez Orange Cyberdefense, notre expertise en cybersécurité s’appuie sur l’alliance de l’intelligence humaine, de l’intelligence artificielle et de la « Cyber Threat Intelligence » (CTI). Pour en savoir plus, garder le contrôle et maîtriser vos risques, vous pouvez consulter notre rapport Security Navigator 2025.  

 

Sources

OWASP Top 10 for LLM Applications 2025 - OWASP Top 10 for LLM & Generative AI Security

Découvrez le métier de Pentester

Notre solution

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT