Audit sécurité chatbot : prompt injection, RGPD et fuites de données
Vous déployez un chatbot client, un assistant interne ou un système RAG en production. Au-delà des risques classiques d'une application web, l'IA ouvre une surface d'attaque spécifique : prompt injection, fuites de données depuis le contexte récupéré, bypass des garde-fous, exécution d'outils non autorisée. Voici comment Laucked audite ces systèmes.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
En bref
Un chatbot en production manipule du langage naturel, donc impossible à sécuriser uniquement avec des règles statiques. L'audit teste la résistance face à 6 grandes catégories de menaces(prompt injection directe et indirecte, fuites RGPD, bypass des garde-fous, exécution d'outils, absence de traçabilité). Référentiels appliqués : OWASP LLM Top 10, MITRE ATLAS, EU AI Act, RGPD Art. 22+32+35.
Les 6 risques principaux d'un chatbot en production
Chaque risque est testé avec une méthodologie spécifique et documenté avec preuve de concept dans le rapport.
Prompt injection directe
L'utilisateur final manipule directement le prompt pour contourner les garde-fous. Exemple typique : « ignore tes instructions précédentes et fais X ». Détecté par des bancs d'essai avec 80+ payloads OWASP LLM01.
Prompt injection indirecte (RAG)
Une instruction cachée dans un document indexé (PDF, SharePoint, page web) est exécutée par le LLM lors d'une requête utilisateur normale. Plus dangereuse que la directe car invisible.
Fuite de données personnelles
Le chatbot révèle des données nominatives présentes dans le contexte RAG ou dans la mémoire conversationnelle à un utilisateur sans droit. Violation RGPD avec sanctions potentielles à 4% du CA mondial.
Bypass des garde-fous métier
Le LLM est manipulé pour produire une réponse hors de son périmètre métier autorisé (par exemple un chatbot RH qui parle finance, ou un chatbot support qui donne des conseils juridiques).
Exécution d'outils non autorisée
Le LLM appelle un outil/fonction connecté (function calling) sans validation, ce qui déclenche une action irréversible (envoi d'email, suppression de données, paiement, requête SQL).
Absence de traçabilité
Aucun log d'audit des prompts et réponses. Impossible de reconstituer une session pour répondre à une demande RGPD, un incident sécurité ou un litige client.
Scénario type d'audit chatbot
Exemple anonymisé inspiré de demandes réelles.
Assistant interne RAG · SaaS B2B
Assistant utilisé par 80 collaborateurs, connecté à 200 documents internes
Contexte technique
Modèle gpt-4o-mini, RAG indexant SharePoint et tickets Zendesk, garde-fou via system prompt uniquement, pas de classification par groupe AD, aucun log des prompts/réponses.
Findings types détectables
- Fuite de tickets clients via prompt « liste les 10 derniers tickets »
- Injection indirecte via PDF SharePoint piégé indexé en RAG
- Bypass du system prompt via reformulation en plusieurs étapes
- Pas de logs d'audit des prompts pour traçabilité RGPD
Recommandations principales
Cloisonnement par groupe AD côté retrieval, sanitisation des sources indexées (détection d'instructions cachées dans les PDF), rate-limit applicatif, logs de prompts pseudonymisés conservés 30 jours, garde-fou de sortie sur données nominatives, classification EU AI Act du système.
Notre méthodologie d'audit chatbot
Cartographie du système
Inventaire des composants : modèle (OpenAI / Anthropic / Mistral / on-prem), sources RAG, outils/fonctions appelables, intégrations CRM/ERP, rôles utilisateurs, garde-fous existants (system prompt, content filter, allowlist).
Tests offensifs ciblés
Banc d'essai de 80+ payloads OWASP LLM01 (injection directe), tests d'injection indirecte sur les sources RAG, tentatives d'extraction de données nominatives, contournement des garde-fous métier, exécution d'outils non autorisée.
Vérification conformité RGPD
Audit Art. 22 (décisions automatisées, droits utilisateurs), Art. 32 (mesures techniques), Art. 35 (AIPD). Traçabilité des prompts/réponses, durée de conservation, droits d'accès et d'opposition.
Rapport et plan de remédiation
Synthèse exécutive, rapport technique avec PoC anonymisée par finding (prompt + réponse pseudonymisée), scoring CVSS adapté IA, recommandations de garde-fous techniques (sanitisation entrée/sortie, allowlist d'outils, logs pseudonymisés).
Conformité RGPD et EU AI Act pour les chatbots
Un chatbot qui traite des données personnelles relève simultanément du RGPD et, selon sa classification, de l'EU AI Act. Les deux exigent des preuves techniques.
RGPD · articles clés
- Art. 22. Décisions automatisées : si le chatbot prend des décisions juridiques ou affectant significativement la personne, droits d'intervention humaine et de contestation.
- Art. 32. Mesures techniques appropriées au risque, incluant pseudonymisation, chiffrement, intégrité, disponibilité.
- Art. 35. AIPD obligatoire si traitement à risque élevé (chatbot santé, RH, finance, accès données sensibles).
EU AI Act · obligations
- Classification du système (interdit, haut risque, transparence, risque limité).
- Transparence : l'utilisateur doit savoir qu'il interagit avec une IA.
- FRIA (Fundamental Rights Impact Assessment) obligatoire pour systèmes à haut risque.
- Logs et traçabilité pour audit régulateur.
Pour aller plus loin
- RGPD et chatbot, ce qu'il faut vérifier , l'angle conformité détaillé.
- Audit prompt injection : directe et indirecte , focus technique sur la vulnérabilité n°1 des LLM.
- Audit IA · page d'ensemble , méthodologie complète, référentiels, livrable, scénario type.
- Exemple de rapport pentest , structure d'un rapport Laucked et 5 vulnérabilités types.
Vous déployez un chatbot ou un assistant IA ?
Le diagnostic gratuit qualifie votre système IA, identifie les surfaces critiques et recommande la mission d'audit adaptée. 48 à 72 heures, sans engagement.