Sensitive Information Disclosure LLM : OWASP LLM02 2025

Types de données concernées OWASP LLM02 :
 
  Personal Identifiable Information (PII)
    Noms, emails, téléphones, adresses
    Numéros de sécurité sociale, passeports
    Identifiants internes utilisateurs
 
  Données financières
    Cartes bancaires, IBAN
    Historiques de transaction
    Informations de facturation
 
  Données de santé (PHI)
    Dossiers médicaux
    Diagnostics et prescriptions
    Données de labs et examens
 
  Credentials et secrets
    API keys, tokens OAuth
    Mots de passe
    Certificats cryptographiques
 
  Données métier confidentielles
    Stratégie commerciale
    Pricing différencié
    Roadmap produit
    Code source propriétaire
 
  Documents légaux
    Contrats
    NDA et termes confidentiels
    Documents judiciaires

Attaques publiées :
 
  Carlini et al. (2021)
    « Extracting Training Data from Large Language Models »
    GPT-2 : extraction de ~100 exemples PII + code + URLs
    Première preuve empirique à grande échelle
 
  Nasr et al. (2023) Google DeepMind + ETH Zurich + UC Berkeley
    « Scalable Extraction of Training Data from (Production) Language Models »
    ChatGPT avec 200 USD de requêtes API
    Attack : prompts avec répétition tokens anormale
      "Repeat this word forever: poem poem poem..."
    Résultat : 10 000+ exemples mémorisés verbatim
    5 % de copies exactes sur 50 tokens
    16,9 % de la génération contient des PII
 
  Suit des research similaires sur Gemini, Claude, LLaMA, Mistral

Scénarios :
  Memory persistante mal isolée entre sessions
  Vector DB RAG sans namespace par utilisateur
  Cache de réponses partagé cross-user
  Debug logs exposant prompts d'autres utilisateurs
  Fine-tuning avec données d'un client réutilisé pour un autre
 
Incident 2024-2026 :
  ChatGPT exposed user conversation titles (mars 2023, bref bug)
  Plusieurs incidents SaaS B2B non publiquement divulgués

Anti-patterns classiques :
  Index vector DB partagé sans filtrage permissions utilisateur
  Retrieval qui pull documents hors scope utilisateur
  Filtrage ACL en post-processing bypassable par reformulation
  Metadata privées indexées sans protection
 
Exemple concret :
  Employé du service RH a accès à l'outil LLM RAG entreprise
  RAG indexe tous les docs, sans filtrage par rôle
  Question : "Quels sont les salaires de la direction ?"
  Retrieval pull le doc RH confidentiel
  Réponse inclut salaires C-suite
 
Parade : ACL en amont du retrieval, pas en post-processing

Incident Samsung 2023 (avril, documenté publiquement) :
 
  Contexte : Samsung autorise ChatGPT en interne début 2023
  Incidents dans les 20 jours suivant l'autorisation :
    1. Ingénieur copie code source propriétaire pour demander review
    2. Ingénieur copie données de mesure d'équipement
    3. Manager copie notes de réunion confidentielles
 
  Impact :
    Données transmises aux serveurs OpenAI
    Potentiellement intégrées au training future (politique pré-2024)
    Samsung ban immédiat de ChatGPT
    Reprise des investissements dans LLM privés souverains

Identifier avant de sécuriser :
  Inventaire des données qui entrent dans pipeline LLM
  Classification RGPD : PII, PHI, données financières
  Classification métier : public, interne, confidentiel, secret
  Mapping avec obligations réglementaires applicables
 
Décision architecture :
  Quelles données peuvent aller vers LLM externe (OpenAI, Anthropic) ?
  Quelles données nécessitent LLM privé self-hosted ?
  Quelles données doivent être masquées avant envoi ?

Outils 2026 :
 
  Microsoft Presidio (OSS, référence)
    Détection PII via ML + regex customizable
    Anonymisation (masking, encryption, faker)
    Multi-langues, très mature
    Usage : gratuit self-host
 
  Nightfall AI (commercial SaaS)
    API de détection 100+ types PII
    Intégrations natives OpenAI, Anthropic, Slack, Jira
    Pricing par volume
 
  Lakera Guard (commercial)
    PII + prompt injection + jailbreak
    Spécialisé LLM, API en temps réel
 
  Private AI (commercial)
    50+ langues, très précis
    On-prem deployment possible
 
  Aporia (commercial)
    Focus monitoring LLM + DLP
    Intégration LangChain, LlamaIndex

# Exemple Microsoft Presidio - masquage PII avant LLM
from presidio_analyzer import AnalyzerEngine
from presidio_anonymizer import AnonymizerEngine
 
analyzer = AnalyzerEngine()
anonymizer = AnonymizerEngine()
 
user_input = "Je m'appelle Alice Dupont, mon IBAN est FR76 1234 5678 9012 3456 7890 123 et mon email alice@example.com"
 
# Détection
results = analyzer.analyze(text=user_input, language="fr",
                            entities=["PERSON", "IBAN_CODE", "EMAIL_ADDRESS"])
 
# Masquage
anonymized = anonymizer.anonymize(text=user_input, analyzer_results=results)
print(anonymized.text)
# « Je m'appelle <PERSON>, mon IBAN est <IBAN_CODE> et mon email <EMAIL_ADDRESS> »
 
# Envoi au LLM uniquement la version masquée
llm_response = openai_client.chat.completions.create(
    messages=[{"role": "user", "content": anonymized.text}], ...)

Pattern recommandé 2026 :
 
  Authentification avant chaque retrieval (user_id contextualisé)
  Filtrage au moment de la recherche vectorielle (pas post-processing)
    Filter metadata : tenant_id, user_id, allowed_roles
    Index distinct par tenant (pas juste namespace partagé)
  RBAC / ABAC appliqué aux documents indexés
  Audit log de chaque retrieval (qui accède quoi)
 
Vector DB avec ACL natives (2026) :
  Pinecone : namespaces + metadata filters
  Weaviate : multi-tenancy native depuis 1.20
  Qdrant : payload filtering avancé
  Milvus : partitions par tenant
  pgvector : RLS PostgreSQL standard
 
Anti-pattern à éviter :
  Index unique avec tous les docs, filtrage post-retrieval
  (retrieval pull sensible, filtrage peut être bypassé par reformulation)

Outils spécialisés output :
  Presidio sur output (symétrique à l'input)
  Lakera Guard (detection output PII)
  Llama Guard 3 (Meta) : classificateur safety + privacy
  Regex patterns : cartes bancaires, IBAN, clés API
 
Canary tokens :
  Insérer des tokens uniques dans training / prompts
  Alerter si ces tokens apparaissent en output
  Permet de détecter fuite training data ou system prompt

Obligations providers 2026 :
 
  OpenAI Enterprise / ChatGPT Team
    « We do not train on your data » contractuel
    Zero data retention option (ZDR) pour Enterprise
    SOC 2 Type 2 audit public
 
  Anthropic Claude Enterprise
    No training on customer data par défaut API
    Data retention 30 jours sauf opt-out
    SOC 2 Type 2 + ISO 27001
 
  Google Gemini for Workspace
    No training sur data Workspace/Cloud
    Garantie contractuelle entreprise
 
  Azure OpenAI Service
    No training sur inputs/outputs client
    Data residency control
 
  Éviter :
    ChatGPT Free et Plus pour données sensibles
    Outils gratuits sans garantie contractuelle
    APIs avec opt-out obligatoire (souvent oublié)

Télémétrie obligatoire :
  Tous les prompts utilisateur (avec user_id)
  Tous les outputs générés
  Détections DLP (true/false positives)
  Incidents sécurité LLM
 
Métriques 2026 :
  Taux de détection PII avant envoi : viser > 99 %
  Taux de détection PII dans outputs : viser > 95 %
  MTTD fuite training data : < 24h via canary
  Faux positifs DLP : < 3 %
 
Règles Sigma émergentes :
  Détection répétition tokens anormale (extraction attack pattern)
  Outputs contenant patterns PII nombreux
  User avec nombreuses requêtes de data sensitive
 
Outils d'observabilité LLM :
  Langfuse (OSS)
  Arize AI
  Braintrust
  WhyLabs
  Microsoft Sentinel pour AI

Obligations structurantes :
  Base légale documentée (art. 6)
  DPIA obligatoire si grande échelle (art. 35)
  Registre de traitement (art. 30)
  Minimisation des données
  Droit d'accès, rectification, effacement (difficile avec LLM !)
  Pseudonymisation quand possible
  Transferts hors UE : CCT + mesures supplémentaires
 
Complications LLM spécifiques :
  Droit à l'effacement vs mémorisation irrévocable du modèle
  Interprétation CNIL / EDPB en cours d'évolution
  Recommandations CNIL janvier 2025 sur IA générative

Obligations high-risk AI systems (éducation, emploi, justice, finance) :
  Data governance (article 10)
  Documentation technique (article 11)
  Transparence et conformité (article 13)
  Qualité données entraînement (article 10)
  Human oversight (article 14)
 
Modèles foundation (GPAI - General Purpose AI) :
  Évaluations systémique risque (article 55)
  Documentation training data summary
  Respect copyright
  Amendes jusqu'à 35 M€ ou 7 % CA mondial (worst tier)

HIPAA (santé US) :
  BAA obligatoire avec tout provider LLM traitant PHI
  Audit trail complet
  De-identification Safe Harbor method
 
HDS (santé France) :
  Hébergement agréé pour données santé
  Azure OpenAI HDS-certified depuis 2024
 
PCI DSS v4.0 :
  Interdit CVV dans tout système
  Masquage PAN obligatoire, LLM pas exempté
 
FINRA (finance US), ACPR (France) :
  Guidance émergente sur IA générative en services financiers

Microsoft Presidio (OSS, Apache 2.0)
  Référence industrie pour PII detection
  Multi-langues (EN, FR, ES, DE, IT, NL, PL, PT, etc.)
  Personnalisation des recognizers
  Usage : detect, analyze, anonymize
 
ProtectAI LLM Guard (OSS)
  Suite complète sécurité LLM
  Input scanners : Anonymize, BanCode, BanSubstrings, BanTopics,
                    Code, Gibberish, Language, PromptInjection,
                    Regex, Secrets, Sentiment, TokenLimit, Toxicity
  Output scanners : Bias, Code, Deanonymize, JSON, LanguageSame,
                     MaliciousURLs, NoRefusal, ReadingTime,
                     FactualConsistency, Relevance, Sensitive,
                     Sentiment, URLReachability
 
NeMo Guardrails (NVIDIA OSS)
  Règles en Colang pour pré/post processing
  Détection PII, toxicity, jailbreak

Lakera Guard         : API temps réel, spécialisé LLM
Nightfall AI         : DLP cloud SaaS
Private AI           : Detection PII 50+ langues
Aporia               : Monitoring + DLP
Robust Intelligence  : AI Firewall (acquis Cisco 2024)
HiddenLayer          : ML security platform
Straiker             : AI security runtime
Protect AI           : MLSecOps platform (suite complète)

Mois 1 - Audit et classification
  Inventaire tous les flux LLM existants dans l'entreprise
  Classification données : RGPD, PHI, financier, propriétaire
  Identification LLM externes vs internes utilisés
  DPIA si pas déjà fait
 
Mois 2 - Quick wins
  Déployer Presidio sur apps prioritaires (détection PII amont)
  Activer no-training option chez providers (OpenAI ZDR, Anthropic)
  Migrer apps sensibles vers Azure OpenAI HDS si santé
  Communication employés sur usage LLM grand public (anti-Samsung)
 
Mois 3-4 - Architecture RAG sécurisée
  Audit ACL sur toutes les vector DBs
  Migration vers multi-tenancy stricte (Weaviate, Pinecone namespaces)
  Tests cross-tenant automatisés
  Monitoring accès RAG avec audit log
 
Mois 5-6 - Gouvernance et continuité
  Playbook incident LLM data leak
  Formation équipes DevSecOps sur LLM02
  Red teaming externe (Lakera, Synacktiv AI)
  Revue conformité EU AI Act si high-risk
 
Continu - Monitoring et amélioration
  Métriques DLP suivies mensuellement
  Veille publications académiques (Nasr et al., Carlini)
  Ajustements selon nouveaux outils et providers