L'AI security est-elle une nouvelle discipline ou une extension de la cybersécurité classique ? La réponse pratique : extension structurelle. 60-70% des compétences sont communes, threat modeling, scripting, méthodologie d'audit, reporting, OWASP-style référentiels. Les 30-40% spécifiques IA portent sur trois axes : surface d'attaque (sémantique vs syntaxique), outils (Garak, PyRIT vs Burp, sqlmap), mental model (probabiliste vs binaire). Comprendre ces différences est crucial pour : reconvertir efficacement, articuler équipes cyber et IA en entreprise, et éviter l'anti-pattern dominant de la "cellule IA isolée". Cet article documente les vraies différences structurelles, les continuités, les implications carrière, et la stratégie d'articulation organisationnelle.
Pour les roadmaps de reconversion : devenir AI red teamer en partant de zéro, reconversion cybersécurité IA pour développeur. Pour le détail pentester → AI red teamer : sécurité IA pour pentesters.
Le bon mental model : extension, pas remplacement
Trois propriétés caractérisent la relation cyber classique ↔ AI security :
-
Continuité forte : 60-70% des compétences cyber transfèrent directement. Threat modeling, scripting Python, méthodologie d'audit, reporting orienté risque, OWASP, MITRE, applicables aux deux.
-
Différences structurelles : surface d'attaque (sémantique inclus), outils spécifiques (Garak, PyRIT), mental model (probabiliste).
-
Coexistence obligatoire : une organisation qui déploie de l'IA doit traiter les deux simultanément. L'IA ne remplace pas le cyber classique, elle l'ajoute comme nouvelle couche.
Tip, Si vous êtes pro cyber expérimenté qui se demande "dois-je tout réapprendre ?" : non. Vous gardez 60-70% de vos compétences. Vous étendez votre périmètre.
Comparaison structurelle
Vue d'ensemble, 8 dimensions
| Dimension | Cyber classique | AI security |
|---|---|---|
| Surface d'attaque | Code + config + auth + réseau | + sémantique + données + composition |
| Mental model | Binaire / déterministe | Probabiliste / statistique |
| Méthodologie | OWASP Top 10, NIST 800-115 | + OWASP LLM/Agentic Top 10, MITRE ATLAS |
| Outils principaux | Burp Suite, sqlmap, nmap, Metasploit | + Garak, PyRIT, vec2text, picklescan |
| Reproductibilité | PoC déterministe | Statistique (60% sur 100 tentatives) |
| Métriques | Vulnérabilité oui/non + CVSS | TPR/FPR + score de risque |
| Reporting | Vulnérabilités classifiées | Failures + statistiques + recommandations |
| Référentiels conformité | ISO 27001, NIST CSF, GDPR | + ISO 42001, NIST AI RMF, EU AI Act |
Surface d'attaque, différence structurelle
Cyber classique : surface bien définie, cataloguable.
- Code : vulnérabilités CVE.
- Config : misconfigurations.
- Auth : faiblesses identification.
- Réseau : exposition services.
AI security : surface diffuse, contextuelle.
- LLM core : prompt injection (sémantique).
- Données ingérées : RAG poisoning, web scraping, emails parsés.
- Composition : tool chaining (un attaquant compose des actions individuellement légitimes).
- Mémoire long-terme (agents) : memory poisoning persistant.
- Multi-agent : communications inter-agents non authentifiées.
- Supply chain ML : modèles tiers, datasets, libraries spécifiques.
Implication : audit AI security demande de penser sémantique + composition en plus du syntaxique.
Mental model, la différence la plus difficile
Cyber classique : binaire.
Question : "Le système est-il vulnérable à SQL injection ?"
Réponse : Oui (PoC ./exploit.py reproductible) OU Non.
Action : patch ou config fix.AI security : probabiliste.
Question : "Le système est-il vulnérable à prompt injection ?"
Réponse : Oui à 60% sur le corpus de test 1 (Garak),
85% sur corpus 2 (Crescendo PyRIT),
12% sur corpus 3 (production légitime, FPR).
Action : améliorer le score, pas éliminer la vulnérabilité.Conséquence : reporting cyber classique ("3 vulnérabilités HIGH, 5 MEDIUM") ne fonctionne pas. Reporting AI security inclut distributions, taux, métriques + recommandations probabilistes.
Pour un pro cyber habitué au binaire, ce shift prend 1-3 mois à intégrer mentalement.
Méthodologie, OWASP étendu
Cyber classique : OWASP Top 10 web, NIST 800-115 pentest.
AI security : ces référentiels + :
- OWASP LLM Top 10 v2 (2025), risques LLM.
- OWASP Agentic AI Top 10 (T01-T15, 2024-2025), risques agents.
- MITRE ATLAS, techniques adversariales IA.
- NIST AI RMF + GenAI Profile (NIST AI 600-1), gouvernance IA.
Pour un pentester ou auditeur cyber, ajouter ces référentiels (pas les remplacer). OWASP Top 10 web reste critique pour les apps qui exposent un LLM (l'app web est aussi vulnérable aux SQL injection, XSS, etc.).
Outils, différence sectorielle
Communs aux deux disciplines
| Outil | Usage cyber | Usage AI security |
|---|---|---|
| Burp Suite | Pentest web | Audit endpoints API LLM |
| Python + scripts | Automation, exploits | Scripts custom, intégration Garak/PyRIT |
| Git + GitHub | Code, exploits, PoCs | Portfolio, contributions OSS |
| Linux/Bash | Pentest infra, scripts | Setup environnements |
| Docker | Containers test | Sandbox modèles, inference servers |
| SIEM (Splunk/Sentinel/Elastic) | Détection cyber classique | + détection IA avec OTel GenAI |
| MITRE ATT&CK | Référentiel adverse cyber | + ATLAS pour IA |
Spécifiques cyber classique
| Outil | Usage |
|---|---|
| nmap, masscan | Scan ports, reconnaissance |
| sqlmap | SQL injection automatisé |
| Metasploit Framework | Exploits + post-exploitation |
| BloodHound | AD enumeration |
| Mimikatz | Credentials extraction Windows |
| Wireshark | Network analysis |
Spécifiques AI security
| Outil | Usage |
|---|---|
| Garak (NVIDIA) | Probes adversariales LLM |
| PyRIT (Microsoft) | Orchestration multi-tour |
| vec2text (Morris 2023) | Embedding inversion |
| picklescan | Pickle malveillants ML |
| LLM Guard (Laiyer) | Input/output filtering |
| Lakera Guard | Guardrails LLM |
| Microsoft Presidio | DLP / PII detection |
| Langfuse | Observabilité LLM |
| Phoenix Arize | Drift detection |
Observation : un pentester qui maîtrise Burp + Metasploit + nmap garde ces compétences. Il ajoute Garak + PyRIT + vec2text en 2-3 mois pour auditer des LLMs.
Métriques et reporting, différence pratique
Reporting cyber classique :
# Pentest Report, App Web
## Vulnérabilités identifiées
### HIGH
- SQL Injection sur /api/users (CVSS 9.1)
- PoC reproductible : ./exploit-sqli.py
- Impact : exfiltration database
- Fix : prepared statements
### MEDIUM
- XSS stocké sur /comments (CVSS 6.5)
- ...Reporting AI security :
# Audit Report, Chatbot RAG
## Findings techniques
### LLM01 Prompt Injection
- Garak probes : 47% bypass rate sur DAN-like
- PyRIT Crescendo : 71% bypass rate sur 50 sessions
- Impact business : exfiltration possible documents internes
- Recommandation : Lakera Guard + system prompt durci
- Métrique cible : < 15% bypass rate
### LLM06 Excessive Agency
- Tool calls observed sans HITL : 12 actions critiques/heure
- Risque : envoi externe de données sans approval
- ...
## Statistiques globales
- Coverage OWASP LLM Top 10 : 8/10 testées
- Score sécurité global : 6/10 (cible 8/10)
- Évolution vs audit précédent : +2 pointsDifférence clé : reporting AI security inclut distributions, taux, scores au lieu de listes binaires. Plus proche du reporting AppSec moderne (avec ASVS scoring) que du pentest CVSS pur.
Continuités importantes
Compétences directement transférables
Threat modeling
Méthodologie identique. STRIDE, EBIOS Risk Manager, TARA, toutes applicables aux systèmes IA. Extensions IA : intégrer MITRE ATLAS comme catalogue, OWASP LLM/Agentic Top 10 comme risk register.
Méthodologie d'audit
Phases identiques :
- Cadrage + ROE.
- Reconnaissance.
- Threat model.
- Tests adversariaux.
- Évaluation findings.
- Reporting.
- Suivi remédiation.
Extensions IA : tests adversariaux incluent PyRIT/Garak, reporting inclut métriques probabilistes.
Scripting et automation
Python reste le langage dominant. Discipline DevOps applicable (CI/CD, observabilité, GitOps).
Reporting et communication
Compétences identiques : exec summary + technical findings + remediation recommendations + statistiques.
Référentiels qui s'étendent
| Cyber classique | AI security |
|---|---|
| OWASP Top 10 web | + OWASP LLM Top 10 v2 + OWASP Agentic Top 10 |
| MITRE ATT&CK | + MITRE ATLAS |
| NIST CSF | + NIST AI RMF |
| ISO 27001 | + ISO 42001 |
| GDPR | + EU AI Act (cumulable) |
| OWASP ASVS | + OWASP LLM Verification Standard (émergent) |
Pattern : référentiels cyber existants restent valables, AI security en ajoute.
Implications par profil
Profil A, Pentester web/cloud senior
Compétences gardées (60-70%) :
- Méthodologie pentest, threat modeling, scripting Python, reporting.
- Burp Suite + outils pentest classiques.
- OWASP Top 10 web (utile car app LLM est aussi app web).
Compétences à ajouter (30%) :
- OWASP LLM/Agentic Top 10.
- MITRE ATLAS.
- Garak + PyRIT.
- Compréhension LLM/RAG/agents.
- Vec2text, picklescan, sandbox patterns.
Durée : 3-6 mois (cf. sécurité IA pour pentesters).
Profil B, Dev backend/full-stack senior
Compétences gardées :
- Programmation Python, architectures distribuées.
- API design, microservices.
- Cloud (AWS/Azure/GCP).
- DevOps, CI/CD.
Compétences à ajouter :
- OWASP Top 10 web (mental shift dev → security).
- OWASP LLM Top 10 + ATLAS.
- Outils pentest (Burp Suite minimum).
- Garak + PyRIT.
- Méthodologie audit + reporting.
Durée : 6-12 mois (cf. reconversion cybersécurité IA pour développeur).
Profil C, RSSI / CISO classique
Compétences gardées :
- Gouvernance, RACI, gestion des risques.
- ISO 27001, NIST CSF, conformité.
- Coordination équipes.
- Communication direction.
Compétences à ajouter :
- OWASP LLM Top 10 + Agentic.
- MITRE ATLAS conceptuel.
- ISO 42001, NIST AI RMF, EU AI Act.
- Vendor management IA.
Durée : 3-6 mois pour vue stratégique. Voir sécurité IA pour RSSI.
Profil D, DPO classique
Compétences gardées :
- RGPD, DPIA, droits des personnes.
- Coordination juridique.
- Vendor management.
Compétences à ajouter :
- Spécificités RGPD pour IA (mémorisation, hallucinations identifiables).
- FRIA EU AI Act (Article 27).
- Transferts internationaux post-DPF.
Durée : 3-6 mois (cf. sécurité IA pour DPO).
Profil E, Analyste SOC
Compétences gardées :
- SIEM (Splunk/Sentinel/Elastic).
- MITRE ATT&CK, runbooks.
- Triage et escalade.
Compétences à ajouter :
- OpenTelemetry GenAI semantic conventions.
- MITRE ATLAS.
- Détection patterns IA (canary, recursive tool calling, exfil markdown).
- Coordination AppSec / Tech Lead pour incidents IA.
Durée : 8 semaines (cf. sécurité IA pour analystes SOC).
Articulation organisationnelle
Anti-pattern dominant, cellule IA isolée
Erreur fréquente : créer une équipe sécurité IA séparée du SOC, AppSec, DPO classique.
Conséquences :
- Duplication d'efforts.
- Perte de cohérence avec sécurité générale.
- Compétences IA pas diffusées.
- Tour d'ivoire déconnectée du métier.
- Coût opérationnel élevé.
Pattern recommandé, intégration matricielle
Architecture :
┌──────────────────────────┐
│ Comité gouvernance IA │
│ (RSSI + DPO + CTO + ...)│
│ Cadence trimestrielle │
└─────────────┬────────────┘
│
┌──────────────┬───────┴──────┬────────────┐
│ │ │ │
┌───▼────┐ ┌───▼────┐ ┌───▼────┐ ┌───▼────┐
│ SOC │ │ AppSec │ │ DPO │ │ Tech │
│ étendu │ │ étendu │ │ étendu │ │ Lead │
│ IA │ │ IA │ │ IA │ │ IA │
└────────┘ └────────┘ └────────┘ └────────┘
│
┌───────────┼───────────┐
│ AI Risk Officer │
│ (transverse) │
└────────────────────────┘Principes :
- SOC reçoit alertes IA via SIEM existant (avec OTel GenAI).
- AppSec étend revue de code aux prompts versionnés.
- DPO étend DPIA/FRIA aux systèmes IA.
- Tech Leads intègrent OWASP LLM Top 10 dev.
- AI Risk Officer transverse coordonne.
Modèles d'organisation par taille
TPE/PME (< 100 personnes)
- 1 personne porte le mandat sécurité IA en plus de ses autres responsabilités (souvent CTO/RSSI/Tech Lead).
- Pas d'équipe dédiée.
- Outsourcing possible (cabinets pentest, audit IA).
ETI (100-2000 personnes)
- AI Risk Officer transverse (rôle dédié ou partagé).
- 1-3 AI Security Engineers répartis dans AppSec / DevSecOps existants.
- Comité gouvernance IA trimestriel.
- Audit externe annuel.
Grande entreprise (> 2000 personnes)
- Équipe AI Security 5-15 personnes (AI Red Team + AI Security Engineers).
- Coordination matricielle avec SOC, AppSec, DPO existants.
- Programme red teaming continu.
- Conformité ISO 42001 + EU AI Act + sectoriel.
Implications carrière
Profils valorisés en 2026
| Profil | Demande | Salaire premium |
|---|---|---|
| Pentester web + AI red team | Très élevée | +20-50% vs pentest classique |
| Dev backend + AI security | Élevée | +15-35% vs dev classique |
| DevSecOps + IA | Très élevée | +20-40% vs DevSecOps classique |
| RSSI + IA gouvernance | Élevée | +10-25% vs RSSI classique |
| DPO + IA expertise | Croissante | +10-20% vs DPO classique |
| Architecte SI + IA | Très élevée | +15-30% vs architecte classique |
Pattern dominant : profils mixtes (cyber/dev classique + AI security) sont les plus valorisés. Pas remplacement mais enrichissement du profil.
Stratégie carrière 2026-2030
Pour pro cyber expérimenté
Année 1 : Formation IA spécifique (3-6 mois)
+ portfolio public + bug bounty
Année 2 : Repositionnement profil (mixte cyber+IA)
+ premier projet IA en production
Année 3 : Expert reconnu cyber+IA
+ visibilité (talks, articles)
Années 4-5 : Lead role / freelance senior
+ spécialisation pointue (ex : agents, multi-agent, sectoriel)Pour débutant
Année 1-2 : Formation complète (cyber + IA)
+ portfolio + certifications
Année 3 : Premier emploi junior AI security
Année 4 : Mid-level + spécialisation
Année 5 : Senior + reconnaissancePour pro IT non-sécurité
Année 1 : Reconversion sécurité (cyber classique)
Année 2 : Extension IA spécifique
Année 3 : Profil mixte opérationnel
Années 4-5 : Senior reconnuErreurs à éviter en stratégie carrière
| Erreur | Conséquence | Fix |
|---|---|---|
| Tout abandonner pour IA pur | Perte 60-70% compétences acquises | Garder base cyber + ajouter IA |
| Ignorer cyber classique en pensant IA = remplacement | Profil incomplet | OSCP + Burp + cyber web restent valorisés |
| Spécialisation IA prématurée | Profil rigide | Garder vue généraliste + 1-2 spécialisations |
| Pas de réseau cyber + IA | Opportunités limitées | DEF CON + DEF CON AI Village + OWASP + OWASP GenAI |
| Certifs IA sans portfolio | Crédibilité limitée | Combiner certifs + bug bounty + articles |
Coexistence en entreprise
Une attaque réelle traverse souvent les deux mondes
Exemple incident type combiné cyber classique + IA :
1. PHISHING (cyber classique)
Attaquant envoie email avec PDF piégé.
2. INJECTION INDIRECTE PROMPT (AI security)
PDF contient instructions cachées pour Microsoft 365 Copilot.
La victime résume le PDF avec Copilot.
3. EXFILTRATION (combiné)
Copilot ingère le PDF, suit instructions injectées.
Génère URL markdown image vers domaine attaquant.
Client de chat fetch l'URL → exfiltration zéro-clic.
4. LATERAL MOVEMENT (cyber classique)
Les credentials exfiltrées permettent compromission AD.
5. PERSISTENCE (cyber classique)
Backdoor déployé.EchoLeak (CVE-2025-32711) est exactement ce type d'attaque mixte.
Conséquence : équipes coordonnées SOC + AppSec + AI Security indispensables. Pas en silo.
Tools matures dans les deux mondes
| Outil | Usage cyber | Usage AI security |
|---|---|---|
| Splunk SIEM | Corrélation cyber classique | + alertes IA via OTel GenAI |
| Sentinel SOAR | Playbooks cyber | + playbooks IA |
| Crowdstrike EDR | Endpoint detection | + détection inférence locale |
| Cloud DLP | Data loss prevention | + DLP sur prompts/réponses LLM |
Convergence outillage = convergence métiers à terme (5-10 ans). En 2026, intégration progressive.
Pour aller plus loin
- Devenir AI red teamer en partant de zéro, true beginner.
- Reconversion cybersécurité IA pour développeur, focus dev.
- Sécurité IA pour pentesters, pentester → AI red teamer.
- MITRE ATLAS, taxonomie adversariale IA.
- OWASP LLM Top 10 développeurs, référentiel base.
- Stratégie de défense en profondeur, vue stratégique sécurité IA.
Points clés à retenir
- AI security est une extension structurelle de la cybersécurité classique, pas une nouvelle discipline indépendante.
- 60-70% des compétences cyber transfèrent : threat modeling, scripting, méthodologie, reporting, OWASP, MITRE.
- 30-40% spécifiques IA : surface d'attaque (sémantique, données, composition), outils (Garak, PyRIT, vec2text), mental model (probabiliste).
- 8 dimensions de différence : surface attaque, mental model, méthodologie, outils, reproductibilité, métriques, reporting, référentiels conformité.
- Mental shift binaire → probabiliste = la différence la plus difficile (1-3 mois pour intégrer).
- Pas besoin d'être expert ML pour faire de l'AI security. Microsoft AI Red Team confirme : la majorité des findings = erreurs simples détectables par compétences cyber + IA basiques.
- Anti-pattern dominant : créer une cellule IA isolée. Pattern recommandé : intégration matricielle via comité gouvernance IA + AI Risk Officer transverse.
- Stratégie carrière : profils mixtes (cyber + IA) sont les plus valorisés en 2026. Garder base cyber + ajouter IA, pas remplacer.
- Incidents réels traversent les deux mondes (cf. EchoLeak), coordination SOC/AppSec/AI Security indispensable.
L'AI security en 2026 enrichit la cybersécurité, pas la remplace. Pour les pros cyber : extension de carrière à fort ROI. Pour les organisations : intégration aux pratiques existantes, pas création de silo. Pour les débutants : formation cyber + IA combinée plutôt que IA pur.
