Zeroday Cyber Academy

LLM Security

Recommandations ANSSI pour sécuriser une IA générative en entreprise

Recommandations ANSSI 2024-2025 pour IA générative : gouvernance, sécurité supply chain, déploiement, opérations. Mapping NIST/ISO/EU AI Act, checklist 30 contrôles.

Naim Aouaichia
12 min de lecture
  • ANSSI
  • recommandations
  • France
  • IA générative
  • LLM security

L'ANSSI (Agence nationale de la sécurité des systèmes d'information, France) est l'autorité française de référence en cybersécurité. Sur l'IA générative, elle a publié progressivement depuis 2023-2024 des recommandations structurantes : guide dédié à la sécurité des IA génératives, guidelines conjointes avec NCSC UK, BSI Allemagne et NIST US, analyses de menaces via CERT-FR. Pour les organisations françaises — particulièrement les OIV/OSE soumis à la LPM/NIS 2 — ces recommandations sont la référence opérationnelle complémentaire aux frameworks internationaux (NIST AI RMF, ISO 42001, EU AI Act).

Cet article documente les recommandations ANSSI, les spécificités françaises (souveraineté, SecNumCloud, OIV), les mappings vers NIST/ISO/EU AI Act, et un plan d'implémentation. Pour le panorama frameworks complet : audit conformité IA NIST/ISO/EU AI Act.

Posture ANSSI : pragmatique et alignée

Trois caractéristiques de l'approche ANSSI :

  1. Alignement international : pas de divergence forte avec NIST AI RMF, ISO 42001, EU AI Act, OWASP. Les recommandations ANSSI s'inscrivent dans le consensus international tout en l'adaptant au contexte français.
  2. Pragmatisme opérationnel : focus sur les bonnes pratiques applicables, pas la théorie. Les guides ANSSI sont opérationnels : checklists, recommandations directes, exemples concrets.
  3. Spécificités françaises : souveraineté data (résidence UE/France), qualification SecNumCloud, obligations OIV/OSE (LPM, NIS 2), liaison CERT-FR pour incidents.

Info — Site officiel : cyber.gouv.fr (publications ANSSI), cert.ssi.gouv.fr (alertes CERT-FR). Documents en français + parfois traductions anglaises pour publications conjointes internationales.

Documents ANSSI clés sur IA

Guide ANSSI sur la sécurité des IA génératives (2024)

Document de référence pour entreprises et administrations. Structure typique :

  • Introduction et contexte des menaces IA.
  • Recommandations gouvernance (politique, RACI, sponsor).
  • Recommandations supply chain (audit modèles, datasets, libraries).
  • Recommandations déploiement (architecture, isolation, monitoring).
  • Recommandations opérations (incidents, audits, formation).
  • Annexes : checklist, glossaire, références.

Guidelines conjointes internationales (2023-2024)

L'ANSSI co-signe régulièrement des documents avec :

  • NCSC UK (National Cyber Security Centre).
  • BSI Allemagne (Bundesamt für Sicherheit in der Informationstechnik).
  • NIST US.
  • NSA US, FBI, autres agences alliées.

Exemple : "Guidelines for Secure AI System Development" (2023, ANSSI co-signataire) couvrant le cycle de vie complet (design, develop, deploy, operate).

Alertes CERT-FR

Le CERT-FR (composant ANSSI) publie régulièrement des alertes liées à l'IA :

  • Vulnérabilités CVE sur libraries ML / LLMs.
  • Modèles malveillants identifiés.
  • Patterns d'attaques émergentes (jailbreak, RAG poisoning, etc.).

À surveiller dans le cadre d'une veille sécurité IA.

Quatre axes de recommandations

Axe 1 — Gouvernance

Recommandations ANSSI gouvernance :

  • Politique IA documentée : objectifs, périmètre, principes, responsabilités.
  • Classification des usages par sensibilité (données traitées, criticité métier).
  • Sponsor exécutif : responsabilité Direction sur les choix IA stratégiques.
  • AI Risk Officer : rôle dédié dans les organisations à fort déploiement IA (≥ 5-10 systèmes IA en production).
  • Comité de gouvernance IA : revue trimestrielle minimum, multi-disciplinaire (sécurité, métier, juridique, DPO).
  • Inventaire des systèmes IA : registre tenu à jour, rôle (provider/deployer), classification.
  • Formation : sensibilisation tous niveaux, formation technique pour ingénieurs, formation gouvernance pour Direction.

Mapping : alignement avec NIST AI RMF Govern + ISO 42001 Clauses 4-5 + EU AI Act Article 17 (gestion qualité).

Axe 2 — Sécurité de la supply chain

Recommandations supply chain :

  • Audit des modèles tiers : avant intégration, audit du fournisseur, des hashes, du format. Refus pickle au profit de safetensors.
  • Audit des datasets : provenance documentée, licences vérifiées, qualité validée.
  • Audit des libraries ML : pip-audit, Snyk, scanners CVE. Pin de versions exactes + lock file.
  • Audit des inference servers : containers scannés (Trivy), CVE patchées, configuration durcie.
  • Mirror interne : pour OIV/OSE et organisations sensibles, mirror interne (Artifactory, Nexus) avec workflow d'audit avant promotion.
  • Sigstore for ML : signature des modèles internes et vérification des modèles externes.
  • AI BOM : Bill of Materials IA versionné (CycloneDX 1.6+, SPDX 3.0).

Mapping : aligné OWASP LLM03 + NIST AI RMF Map + ISO 42001 Annex A.10 + EU AI Act Article 16.

Pour le détail : supply chain attack ML.

Axe 3 — Sécurité du déploiement

Recommandations architecture :

  • Threat model par système : MITRE ATLAS + OWASP LLM/Agentic Top 10. EBIOS Risk Manager (méthodologie ANSSI) si applicable.
  • Architecture défense en profondeur : input filter + system prompt durci + sanitization ingestion + output filter + monitoring.
  • Isolation tenant stricte : pour multi-tenant, jamais de filter optionnel. Voir architecture RAG sécurisée.
  • ACL propagées de la source au retrieval : RBAC/ABAC obligatoire.
  • Sandboxing : pour code execution, sandbox kernel-level (Firecracker, gVisor, Kata). Voir sandboxing agent IA.
  • Network isolation : egress allowlist, segmentation, mTLS.
  • Secrets management : aucun secret dans system prompt ou contexte LLM. Vault + ephemeral credentials.
  • Pour OIV/OSE : conformité avec exigences LPM/NIS 2 — segmentation, supervision, gestion de crise.

Mapping : OWASP LLM Top 10 + NIST AI RMF Manage + EU AI Act Article 15.

Axe 4 — Opérations

Recommandations opérationnelles :

  • Observabilité : logs structurés OpenTelemetry GenAI semantic conventions, intégration SIEM (Splunk, Sentinel, Elastic, OpenCTI pour threat intel).
  • Monitoring continu : drift detection, anomaly detection, alertes SOC.
  • Tests adversariaux réguliers : minimum trimestriel, idéalement mensuel pour systèmes critiques. Outils : Garak, PyRIT.
  • Red teaming : annuel minimum par équipe interne ou prestataire qualifié (PASSI pour audit système d'information classique).
  • Gestion d'incidents : runbooks par classe, processus de notification CERT-FR pour incidents graves, processus CNIL pour incidents RGPD.
  • Veille : abonnement aux alertes CERT-FR, Snyk, Hugging Face, communauté (cf. divulgations responsables).
  • Formation continue : équipes opérationnelles, mise à jour annuelle des connaissances.

Mapping : NIST AI RMF Manage + ISO 42001 Clause 8/9 + EU AI Act Article 72 (post-market monitoring).

Spécificités françaises et européennes

Souveraineté data

L'ANSSI promeut une approche souverainiste sur les données sensibles :

Niveau de sensibilitéRecommandation
Données publiques / non-sensiblesCloud public hyperscaler (AWS, Azure, GCP) avec contrats UE
Données sensibles entrepriseData residency UE obligatoire (région UE des hyperscalers)
Données très sensibles (santé, finance, RH)SecNumCloud recommandé
Données OIV / défense / étatSecNumCloud obligatoire

SecNumCloud

Qualification ANSSI pour les fournisseurs cloud souverains. Critères :

  • Hébergement physique sur sol français/UE.
  • Personnel souverain (pas de citoyens hors UE en accès).
  • Pas de soumission Cloud Act US.
  • Conformité technique (sécurité, isolation, audit).

Fournisseurs SecNumCloud-qualifiés en 2026 (liste évolutive) :

  • Outscale (groupe Dassault Systèmes).
  • OVHcloud (offres SecNumCloud).
  • Bleu (joint-venture Capgemini + Orange + Microsoft, basé sur Azure).
  • S3NS (Thales + Google Cloud).
  • Numspot (Docaposte + Orange + Dassault Systèmes).

Coût : 15-30% plus élevé qu'hyperscalers, mais souveraineté complète.

Pour LLM/IA : offerings IA cloud souverain en émergence — Mistral hébergé en SecNumCloud, modèles open source self-hosted, etc.

OIV / OSE et NIS 2

OIV (Opérateurs d'Importance Vitale, ~250 organisations en France) et OSE (Opérateurs de Services Essentiels, ~1500-2000 sous NIS 2) ont des obligations renforcées :

  • Notification incidents au CERT-FR.
  • Audits réguliers par auditeurs qualifiés (PASSI).
  • Plan de continuité d'activité (PCA / PRA).
  • Mesures techniques renforcées (segmentation, supervision).

Si IA générative déployée dans un OIV/OSE : application des exigences ANSSI sectorielles.

Liaison CERT-FR

Pour incidents graves IA :

  • CERT-FR : notification pour incidents cyber graves, échange de threat intelligence.
  • CNIL : notification RGPD Article 33 sous 72h si données personnelles concernées.
  • Autorité sectorielle : ACPR (banque), ANSM (santé), ARCEP/ARCOM (télécoms/audiovisuel) selon secteur.
  • EU AI Office : notification incidents GPAI à risque systémique (à partir d'août 2025).

Mapping ANSSI ↔ frameworks internationaux

Recommandation ANSSINIST AI RMFISO 42001EU AI Act
GouvernanceGovernClauses 4-5Article 17
Supply chainMapAnnex A.10Article 16
Architecture défensiveManageAnnex A.6Article 15
Monitoring continuMeasureClause 9Article 72
Gestion incidentsManageClause 10Article 73

Implémenter NIST AI RMF + ISO 42001 + viser EU AI Act conformité = couvrir 80-90% des recommandations ANSSI. Les spécificités françaises (SecNumCloud, OIV/NIS 2, liaison CERT-FR) doivent être ajoutées explicitement.

Méthodologie EBIOS Risk Manager

Méthode ANSSI d'analyse de risques. Pour systèmes IA, application possible :

  1. Cadrage : périmètre, parties prenantes, événements redoutés (manipulation, exfiltration, etc.).
  2. Sources de risque : adversaires (cybercriminels, états, internes), capacités, motivations.
  3. Scénarios stratégiques : chemins d'attaque depuis sources jusqu'aux événements redoutés.
  4. Scénarios opérationnels : enchaînement technique des actions (peut référencer MITRE ATLAS).
  5. Traitement des risques : mitigations et plan d'action.

Avantage : aligné avec les pratiques ANSSI, accepté par les autorités françaises pour audits.

Plan d'implémentation 6 mois

Mois 1-2 — Cadrage et gouvernance

  • Politique IA documentée alignée recommandations ANSSI.
  • Inventaire systèmes IA + classification.
  • AI Risk Officer / sponsor exécutif.
  • Comité gouvernance IA mis en place.

Mois 2-3 — Supply chain

  • Mirror interne pour modèles + datasets + libraries.
  • Allowlist + scanners en CI.
  • AI BOM versionné.
  • Audit fournisseurs IA (cloud, modèles tiers).

Mois 3-4 — Architecture sécurisée

  • Threat models par système (MITRE ATLAS + OWASP).
  • Implémentation des couches défensives.
  • Sandboxing pour code execution.
  • Isolation tenant stricte.

Mois 4-5 — Opérations

  • Observabilité (Langfuse, OpenCTI, SIEM).
  • Tests adversariaux automatisés.
  • Runbooks d'incident.
  • Liaison CERT-FR / CNIL formalisée.

Mois 5-6 — Audit et amélioration

  • Audit interne par auditeur indépendant (PASSI si applicable).
  • Plan d'actions correctives.
  • Préparation audits externes (ISO 42001, EU AI Act).
  • Cycle d'amélioration continue.

Checklist 30 contrôles ANSSI-aligned

Gouvernance (5)

  1. Politique IA documentée et signée Direction.
  2. RACI complet IA.
  3. Inventaire des systèmes IA tenu à jour.
  4. Comité de gouvernance avec cadence trimestrielle.
  5. Formation IA déployée à tous les niveaux.

Supply chain (6)

  1. Audit de chaque modèle tiers avant intégration.
  2. Format safetensors uniquement pour modèles téléchargés.
  3. Hash matching automatisé en CI.
  4. Mirror interne pour modèles/datasets/libraries.
  5. AI BOM versionné (CycloneDX/SPDX).
  6. Sigstore for ML pour modèles internes.

Architecture (8)

  1. Threat model par système (ATLAS + OWASP).
  2. Input filter + system prompt durci.
  3. Sanitization à l'ingestion (RAG).
  4. Output filter (DLP, canary).
  5. Isolation tenant stricte (filter dur).
  6. ACL propagées source → retrieval.
  7. Sandboxing kernel-level pour code execution.
  8. Aucun secret dans contexte LLM.

Opérations (7)

  1. Logs structurés OpenTelemetry GenAI.
  2. Intégration SIEM (Splunk/Sentinel/Elastic/OpenCTI).
  3. Monitoring drift continu.
  4. Tests adversariaux mensuels.
  5. Red team annuel minimum.
  6. Runbook par classe d'incident OWASP.
  7. Liaison CERT-FR documentée.

Conformité (4)

  1. Inventaire EU AI Act + classification risque.
  2. RGPD : DPIA + FRIA si applicable.
  3. SecNumCloud si OIV/OSE / données très sensibles.
  4. Audit annuel par PASSI (si OIV) ou auditeur qualifié.

Outils opérationnels recommandés

FonctionOutils
Threat intelOpenCTI (FR, soutien ANSSI/Filigran), MISP
SIEMSplunk, Sentinel, Elastic, Chronicle, ou solutions souveraines (LogPoint, OnLog)
Cloud souverainOutscale, OVHcloud, Bleu, S3NS, Numspot
LLM hébergement souverainMistral, modèles open source self-hosted sur SecNumCloud
Observabilité IALangfuse (open source, self-hostable), Phoenix Arize
Audit adversarialGarak, PyRIT
GRCDrata, Vanta, ServiceNow GRC

Pièges fréquents

PiègeSymptômeFix
Cloud US sans data residencyDonnées EU sur infrastructure USChoisir région UE explicite + clauses contractuelles
Pas de liaison CERT-FRIncidents graves non remontésDocumenter procédure dans runbook
Confondre PASSI et ISO 27001Croire qu'ISO 27001 suffit pour OIVPASSI requis pour OIV (audit qualifié)
Recommandations ANSSI vs NIST opposésChoisir l'un OU l'autreComplémentaires — implémenter les deux
SecNumCloud non envisagéDonnées très sensibles sur AWS/Azure USÉvaluation criticité + plan de migration si nécessaire

Évolution attendue 2026-2027

  • Nouvelles publications ANSSI sur agents IA, MCP, multi-agent (en attente).
  • Qualifications spécifiques IA ? Évolutions possibles de SecNumCloud pour LLMs.
  • Renforcement OIV/NIS 2 sur usages IA (transposition NIS 2 en cours).
  • Coordination EU AI Office + ANSSI sur GPAI à risque systémique.
  • Outils ANSSI open source ? Possibles évolutions de l'écosystème français (OpenCTI déjà actif).

Points clés à retenir

  • L'ANSSI publie des recommandations alignées internationalement (NIST, ISO, OWASP) avec spécificités françaises (souveraineté, SecNumCloud, OIV).
  • 4 axes : gouvernance, supply chain, architecture défensive, opérations.
  • Spécificités françaises clés : data residency UE/France, SecNumCloud pour cloud souverain (Outscale, OVH, Bleu, S3NS, Numspot), obligations OIV/OSE (LPM, NIS 2), liaison CERT-FR pour incidents.
  • EBIOS Risk Manager = méthodologie ANSSI applicable aux IA pour analyse de risques.
  • PASSI = audit qualifié obligatoire pour OIV, complémentaire à ISO 27001/42001.
  • Mapping : implémenter NIST + ISO 42001 = 80-90% des recommandations ANSSI. Reste à ajouter spécificités souveraineté + OIV.
  • Plan 6 mois : gouvernance → supply chain → architecture → opérations → audit. Aligné avec implémentations NIST/ISO.
  • Checklist 30 contrôles regroupés en 5 catégories (gouvernance/supply chain/architecture/opérations/conformité).
  • Outils français : OpenCTI (threat intel), cloud souverain (Outscale, OVH, Bleu, S3NS, Numspot), Mistral pour LLM souverain.
  • Évolution 2026-2027 : nouvelles publications ANSSI sur agents/MCP, renforcement OIV/NIS 2, coordination ANSSI ↔ EU AI Office.

Pour les organisations françaises — particulièrement OIV/OSE et secteurs régulés — les recommandations ANSSI sont le point de référence opérationnel complémentaire aux frameworks internationaux. Pour les organisations non-OIV, les recommandations restent un excellent guide de bonnes pratiques alignées avec les standards mondiaux.

Questions fréquentes

  • Qu'a publié l'ANSSI sur l'IA générative ?
    L'ANSSI (Agence nationale de la sécurité des systèmes d'information, France) a publié plusieurs documents structurants sur la sécurité IA : un **guide de recommandations pour la sécurité des systèmes d'IA générative** (2024), des **guidelines conjointes** avec NCSC UK, BSI Allemagne, NIST US sur le développement d'IA sécurisée, et des analyses de menaces régulières via le CERT-FR. Posture ANSSI : approche pragmatique alignée sur les bonnes pratiques internationales, avec spécificités françaises (sécurité des OIV / OSE, qualification SecNumCloud, souveraineté). En 2026, c'est la référence française attendue pour les organisations sensibles (gouvernement, OIV, secteurs régulés).
  • Quelles sont les principales recommandations ANSSI pour l'IA générative ?
    Quatre axes principaux. (1) **Gouvernance** : politique IA documentée, classification des usages, sponsor exécutif, AI Risk Officer. (2) **Sécurité de la supply chain** : audit des modèles tiers, formats sécurisés (safetensors), hash matching, mirror interne. (3) **Sécurité du déploiement** : threat model, sandboxing, isolation tenant, ACL strictes, monitoring. (4) **Opérations** : surveillance continue, tests adversariaux réguliers, gestion d'incidents avec liaison CERT-FR si nécessaire. Recommandations alignées avec NIST AI RMF + OWASP LLM Top 10 mais avec accent **souveraineté** (data residency UE/France) et **qualification** (SecNumCloud pour OIV).
  • Quelles spécificités françaises par rapport à NIST ou ISO ?
    Trois axes différenciants. (1) **Souveraineté data** : data residency UE recommandée, voire France pour les données les plus sensibles. SecNumCloud (qualification ANSSI) pour cloud souverain. (2) **OIV/OSE** : opérateurs d'importance vitale et opérateurs de services essentiels ont des obligations renforcées (LPM, NIS 2). Si IA générative déployée dans un OIV : exigences ANSSI applicables. (3) **Liaison CERT-FR** : incidents graves IA → notification CERT-FR (en plus de CNIL pour RGPD, autorités sectorielles). Pour les organisations non-OIV, les recommandations ANSSI restent un guide de bonnes pratiques alignées avec les standards internationaux.
  • Faut-il un cloud souverain (SecNumCloud) pour faire de l'IA générative ?
    Dépend de la sensibilité. **Données publiques ou faiblement sensibles** : non, cloud public hyperscaler (AWS, Azure, GCP, OVH avec offres Bleu/S3NS) suffit avec contrats appropriés. **Données sensibles entreprise (RH, finance, juridique)** : data residency UE obligatoire, choisir région UE des hyperscalers. **Données très sensibles (santé patients, défense, OIV)** : SecNumCloud recommandé voire obligatoire selon réglementation sectorielle. SecNumCloud-qualifiés en 2026 : Outscale, OVH, Bleu, S3NS, Numspot. Coût plus élevé (15-30% en moyenne) mais souveraineté complète vs hyperscalers US (sujet Cloud Act + Schrems II).
  • Comment implémenter concrètement les recommandations ANSSI ?
    Plan en 6 étapes alignées avec NIST + ISO. (1) **Classification** : pour chaque système IA, sensibilité des données + niveau de risque selon politique entreprise. (2) **Threat model** : MITRE ATLAS + OWASP LLM/Agentic Top 10, alignés ANSSI EBIOS Risk Manager si applicable. (3) **Supply chain** : mirror interne, allowlist modèles, scanning, sigstore. (4) **Architecture sécurisée** : tenant isolation, ACL, sandboxing, output filtering. (5) **Opérations** : observabilité (Langfuse, Splunk), red teaming, runbooks. (6) **Conformité** : RGPD, EU AI Act, sectoriel. Les recommandations ANSSI ne sont pas un référentiel certifiable en soi, mais alignent avec ISO 42001 + NIST AI RMF — viser ces certifications complète la démarche.
  • L'ANSSI publie-t-elle des outils ou est-ce uniquement de la documentation ?
    Principalement de la documentation. L'ANSSI publie : guides, recommandations, alertes CERT-FR, méthodologies (EBIOS Risk Manager pour analyse de risques), qualifications (SecNumCloud, PASSI, etc.). Pas d'outil opérationnel direct comparable à Garak, PyRIT, ATLAS Navigator. Pour les outils techniques, l'ANSSI référence les bonnes pratiques internationales (OWASP, MITRE) sans en produire. **Exception notable** : OpenCTI (plateforme threat intelligence open source développée par Filigran avec soutien ANSSI/Filigran) — utile pour intégrer threat intelligence IA dans la stack SOC.
Découvrir la formation LLM Security

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également