Le nouveau système de notation des vulnérabilités AI : répondre aux défis des technologies émergentes

Hippolyte Valdegré

Les limites du CVSS face à l’explosion des technologies d’intelligence artificielle

Dans un paysage numérique en constante évolution, où les systèmes d’intelligence artificielle (IA) deviennent omniprésents, la cybersécurité fait face à un défi sans précédent : comment évaluer correctement les risques associés à ces technologies complexes ? Le système de notation des vulnérabilités AI (AIVSS), récemment annoncé par OWASP, arrive à point nommé pour combler les lacunes laissées par le modèle traditionnel du Common Vulnerability Scoring System (CVSS). Selon une étude menée par le Ponemon Institute en 2024, près de 78 % des organisations estiment que les méthodes d’évaluation des risques actuelles sont inadaptées pour les systèmes d’IA modernes.

Le CVSS, bien qu’il ait servi de référence pendant près de deux décennies pour évaluer les vulnérabilités logicielles traditionnelles, montre ses limites face à la nature non déterministe des systèmes d’IA agentic. Ces derniers, capables de prendre des décisions autonomes et d’interagir dynamiquement avec leur environnement, introduisent des scénarios de risque que les modèles de notation conventionnels ne parviennent pas à capturer de manière adéquate.

“Le CVSS et autres cadres de notation de vulnérabilités logicielles traditionnels ne sont pas suffisants”, explique Ken Huang, expert en sécurité de l’IA et co-responsable du projet AIVSS. “Ces modèles supposent un code déterministe traditionnel. Nous devons faire face à la nature non déterministe de l’IA agentic.”

L’initiative AIVSS d’OWASP : une réponse nécessaire

L’initiative de scoring des vulnérabilités AI, portée par l’Open Worldwide Application Security Project (OWASP), représente une avancée majeure dans la cybersécurité des technologies émergentes. Dirigée par Ken Huang aux côtés de figures éminentes du secteur comme Michael Bargury (co-fondateur et CTO de Zenity), Vineeth Sai Narajala (ingénieur sécurité chez Amazon Web Services) et Bhavya Gupta (responsable de la sécurité de l’information à l’université de Stanford), cette collaboration académico-industrielle vise à fournir une approche structurée et mesurable de l’évaluation des menaces liées à l’IA.

L’AIVSS ne cherche pas à remplacer le CVSS, mais à l’enrichir en y intégrant des paramètres spécifiques aux caractéristiques uniques des systèmes d’IA. Alors que le CVSS se concentre sur des vulnérabilités basées sur des défauts de code déterministe, l’AIVSS prend en compte la nature dynamique, autonome et parfois imprévisible des systèmes d’IA agentic.

Les risques spécifiques des systèmes d’IA agentic

Contrairement aux logiciels traditionnels, les systèmes d’IA agentic présentent des caractéristiques qui les exposent à des types de vulnérabilités distincts :

  1. Autonomie partielle : La capacité à prendre des décisions indépendantes sans intervention humaine
  2. Comportement non déterministe : Des réponses variables aux mêmes entrées
  3. Utilisation dynamique d’outils : Interactions avec divers systèmes et API
  4. Adaptation contextuelle : Modification du comportement en fonction de l’environnement

Ces particularités créent un paysage de risques qui nécessite une approche d’évaluation spécifique. Selon le rapport 2025 sur les menaces de l’ANSSI, les attaques contre les systèmes d’IA ont augmenté de 340 % depuis 2022, soulignant l’urgence de disposer d’outils d’évaluation adaptés.

Comment fonctionne le système AIVSS

Le système de notation des vulnérabilités AI repose sur une méthodologie innovante qui combine les forces du CVSS avec une évaluation dédiée des capacités agentic. Cette approche hybride permet d’obtenir une mesure plus précise de la véritable exposition aux risques des systèmes d’IA.

La méthodologie de notation

Le processus de calcul d’un score AIVSS suit plusieurs étapes logiques :

  1. Base CVSS : L’évaluation commence par l’attribution d’un score CVSS standard qui reflète les vulnérabilités traditionnelles du système

  2. Évaluation des capacités agentic : Une couche supplémentaire évalue les facteurs spécifiques à l’IA :

    • Niveau d’autonomie du système
    • Degré de non-déterminisme
    • Capacité à interagir avec d’autres outils
    • Flexibilité comportementale

  3. Calcul combiné : Le score CVSS est combiné avec l’évaluation agentic en suivant la formule :

    Score final = ((Score CVSS + Score agentic) / 2) × Facteur contextuel

Cette approche permet de pondérer différemment les vulnérabilités selon que le système se comporte plus comme un logiciel traditionnel ou comme une entité d’IA agentic.

Les facteurs environnementaux

Un aspect novateur de l’AIVSS est l’intégration d’un facteur contextuel environnemental qui ajuste le score final en fonction des conditions spécifiques de déploiement du système d’IA. Ce facteur prend en compte :

  • L’environnement opérationnel (cloud, on-premises, edge)
  • Les sensibilités des données traitées
  • Les interactions avec d’autres systèmes
  • Les exigences de conformité réglementaire

Cette dimension contextuelle reconnaît que le même système d’IA peut présenter des niveaux de risque très différents selon son contexte d’utilisation, une nuance que le CVSS ne capture pas pleinement.

“Nous ne pouvons pas supposer les identités utilisées au moment du déploiement”, souligne Ken Huang. “Avec l’IA agentic, vous avez besoin d’identités éphémères et attribuées dynamiquement. Si vous voulez vraiment avoir de l’autonomie, vous devez donner les privilèges nécessaires pour accomplir la tâche.”

L’outil de notation en pratique

OWASP a développé une plateforme dédiée accessible à l’adresse aivss.owasp.org qui met à disposition des praticiens :

  • Une documentation complète sur la méthodologie
  • Des guides structurés pour l’évaluation des risques de l’IA
  • Un outil interactif de calcul des scores de vulnérabilité
  • Des exemples concrets d’applications

Cet outil vise à démocratiser l’utilisation de l’AIVSS en rendant l’évaluation des risques des systèmes d’IA plus accessible aux équipes sécurité, qu’elles soient spécialisées ou généralistes.

Les 10 risques critiques pour les systèmes d’IA agentic

Le projet AIVSS a identifié les dix risques les plus graves pour les systèmes d’IA agentic, bien que l’équipe ait préféré ne pas qualifier cette liste d’“officielle Top 10”. Ces risques reflètent la nature interconnectée et compositionnelle des systèmes d’IA :

  1. Mauvaise utilisation des outils d’IA agentic : Exploitation des fonctionnalités d’interaction avec d’autres systèmes
  2. Violation des contrôles d’accès des agents : Problèmes d’authentification et d’autorisation spécifiques aux agents
  3. Défaillances en cascade des agents : Effets domino dans les systèmes interconnectés
  4. Orchestration et exploitation multi-agents : Risques liés à l’interaction entre plusieurs agents d’IA
  5. Impersonation d’identité d’agent : Usurpation des identités dynamiques des agents
  6. Manipulation de la mémoire et du contexte : Altération des données et du contexte décisionnel
  7. Interaction non sécurisée avec des systèmes critiques : Accès à des infrastructures sensibles
  8. Attaques de la chaîne d’approvisionnement et dépendances : Problèmes liés aux composants tiers
  9. Non-traçabilité des agents : Difficultés d’audit et d’investigation
  10. Manipulation des objectifs et instructions : Déviation des buts initiaux du système

Chacun de ces risques représente des défis uniques pour les professionnels de la sécurité. Comme le note le document de travail AIVSS : “Certaines répétitions dans ces entrées sont intentionnelles. Les systèmes agentic sont compositionnels et interconnectés par conception. Pour l’instant, les risques les plus courants tels que la mauvaise utilisation d’outils, la manipulation des objectifs ou les violations des contrôles d’accès, se chevauchent souvent ou se renforcent mutuellement de manière en cascade.”

En pratique, Ken Huang illustre ce phénomène : “Pour la mauvaise utilisation d’outils, il ne devrait pas y avoir de risque dans la sélection d’un outil. Mais dans les systèmes MCP (Model Context Protocol), il y a une impersonation d’outils, ainsi qu’une utilisation non sécurisée des outils.”

Tableau comparatif : CVSS vs AIVSS

CaractéristiqueCVSSAIVSS
Cible principaleLogiciels traditionnelsSystèmes d’IA agentic
Nature des vulnérabilitésDéterministes, basées sur le codeNon déterministes, comportementales
Facteurs d’évaluationBase, Temporel, EnvironnementalBase CVSS + Capacités agentic + Contexte
Prise en compte de l’autonomieNonOui, avec pondération spécifique
Adaptabilité au contexteLimitéeIntégrale avec facteur contextuel
Complexité de mise en œuvreModéréeÉlevée, nécessite expertise IA
Pertinence pour l’IAPartielleConçue spécifiquement pour l’IA

Les implications pour les professionnels de la cybersécurité

L’adoption de l’AIVSS représente un changement de paradigme pour les professionnels de la sécurité, qui doivent adapter leurs pratiques et développer de nouvelles compétences pour évaluer correctement les risques des systèmes d’IA.

Adaptation des pratiques d’évaluation des risques

Les équipes sécurité devront revoir leurs approches traditionnelles pour intégrer les spécificités des systèmes d’IA :

  • Évaluation dynamique : Au-delà des analyses statiques, nécessitant des tests comportementaux
  • Tests de scénarios complexes : Simulation d’interactions multiples entre l’IA et son environnement
  • Audit continu : Surveillance en temps réel des décisions prises par le système
  • Évaluation des conséquences : Analyse de l’impact potentiel des dérives comportementales

Formation et compétences nécessaires

La mise en œuvre efficace de l’AIVSS requiert le développement de nouvelles compétences au sein des équipes sécurité :

  1. Connaissances approfondies en apprentissage automatique : Compréhension des mécanismes sous-jacents
  2. Analyse comportementale : Capacité à interpréter les décisions non déterministes
  3. Ingénierie des adversaires pour l’IA : Techniques de test spécifiques aux systèmes d’IA
  4. Éthique de l’IA : Compréhension des implications éthiques des vulnérabilités

Ces compétences sont de plus en plus recherchées sur le marché. Selon une étude du cabinet de conseil Gartner, la demande pour des professionnels spécialisés en sécurité de l’IA augmentera de 75 % d’ici 2026.

Intégration dans les cadres existants

L’AIVSS ne doit pas être considéré comme un système isolé, mais plutôt comme un complément aux cadres de sécurité existants. Les organisations peuvent l’intégrer progressivement :

  • ISO 27001 : Adapter le processus d’évaluation des risques pour inclure les spécificités de l’IA
  • RGPD : Renforcer l’évaluation des impacts pour les systèmes traitant des données personnelles
  • NIST CSF : Intégrer les nouvelles pratiques dans le cadre de gestion des risques

Mise en œuvre du système AIVSS

Étapes pour l’adoption progressive

L’intégration de l’AIVSS dans les processus de sécurité d’une organisation doit se faire de manière méthodique :

  1. Formation de l’équipe : Développer les compétences nécessaires à l’utilisation de l’AIVSS
  2. Pilote sur un système non critique : Appliquer la méthodologie sur un cas d’usage contrôlé
  3. Comparaison avec les méthodes existantes : Évaluer les différences et bénéfices
  4. Intégration progressive : Étendre l’utilisation aux systèmes critiques
  5. Documentation et partage des bonnes pratiques : Capitaliser sur l’expérience acquise

Cas d’entreprise : intégration dans un environnement existant

Une entreprise française du secteur de la santé, utilisant des systèmes d’IA pour l’analyse d’images médicales, a récemment mené un projet pilote pour intégrer l’AIVSS. Le processus a inclus :

  • Une évaluation initiale avec le CVSS, qui identifiait des risques modérés
  • L’application de l’AIVSS, qui a révélé des vulnérabilités critiques liées à l’autonomie décisionnelle du système
  • La mise en place de contrôles supplémentaires spécifiques aux risques agentic
  • Une réévaluation trimestrielle utilisant le nouveau cadre

Cette approche a permis d’identifier des scénarios de risque que les méthodes traditionnelles auraient manqués, notamment liés à la possibilité de dérive dans l’interprétation des images médicales sous certaines conditions d’utilisation.

Défis et solutions

L’adoption de l’AIVSS présente plusieurs défis :

Défi 1 : Complexité accrue

  • Solution : Formation ciblée et utilisation progressive
  • Recommandation : Commencer par des systèmes d’IA simples avant d’aborder les architectures complexes

Défi 2 : Intégration avec les processus existants

  • Solution : Développer des connecteurs entre l’outil AIVSS et les plateformes de gestion des risques
  • Recommandation : Adapter les procédures plutôt que de créer des silos d’évaluation

Défi 3 : Manque de compétences spécialisées

  • Solution : Programmes de formation certifiants et partenariats avec des universités
  • Recommandation : Investir dans le développement interne des compétences plutôt que de dépendre exclusivement des consultants

Conclusion : l’avenir de la notation des vulnérabilités AI

Le système de notation des vulnérabilités AI (AIVSS) représente une avancée essentielle dans l’arsenal des professionnels de la cybersécurité face aux défis posés par les technologies émergentes. En reconnaissant et en quantifiant spécifiquement les risques uniques aux systèmes d’IA agentic, cette initiative d’OWASP offre un cadre d’évaluation plus adapté et plus complet que les approches traditionnelles.

L’adoption de l’AIVSS n’est pas seulement une amélioration technique, mais une nécessité stratégique pour les organisations qui investissent massivement dans l’intelligence artificielle. Dans un contexte où les attaques contre les systèmes d’IA ne cessent de se sophistiquer, disposer d’outils d’évaluation des risques précis et adaptés devient un enjeu critique de protection des actifs numériques et de réputation.

Pour les entreprises françaises et européennes, l’intégration de l’AIVSS doit s’inscrire dans une approche plus large de cybersécurité des systèmes d’IA, en conformité avec les réglementations comme le RGPD et les recommandations de l’ANSSI. La formation des équipes et le développement des compétences internes resteront des facteurs clés de succès dans cette transition.

Alors que nous nous dirigeons vers un avenir où les systèmes d’IA autonomes deviendront omniprésents, le système de notation des vulnérabilités AI émergera probablement comme un standard de facto dans la gestion des risques technologiques. Les organisations qui adopteront proactivement ce cadre bénéficieront d’un avantage concurrentiel significatif, tant en matière de résilience que de confiance des clients et partenaires.

La cybersécurité de l’IA n’est plus une option, mais une exigence impérative pour les organisations de toutes tailles. Avec l’AIVSS, OWASP offre non seulement une réponse immédiate aux défis actuels, mais aussi une feuille de route pour l’évolution future des pratiques de sécurité dans un monde de plus en plus piloté par l’intelligence artificielle.