Offensive
Sécurité des applications LLM : OWASP Top 10 & CTF Docker
Exploitez le OWASP Top 10 LLM sur notre CTF Docker, puis apprenez à sécuriser vos applications d'IA générative.
Durée
21h · 3 modules de 7h
Public visé
Développeurs intégrant des LLM, ingénieurs AppSec, data/ML engineers, pentesters souhaitant comprendre et sécuriser les applications d'IA générative.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)
À la carte : 1 800 € HT / groupe (module 7h)
Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.
Objectifs pédagogiques
- Exploiter les injections de prompt directes et indirectes (LLM01) sur des applications d'IA générative via le CTF Docker
- Identifier et exploiter les fuites d'informations sensibles et de system prompt (LLM02, LLM07)
- Mettre en évidence les risques de la supply chain des modèles et du data/model poisoning (LLM03, LLM04)
- Exploiter une excessive agency et des intégrations d'outils ou de plugins non sécurisées (LLM06)
- Évaluer les faiblesses des bases vectorielles et des chaînes RAG (LLM08)
- Mesurer les risques de consommation non bornée et de désinformation (LLM10, LLM09)
- Concevoir des garde-fous : validation des entrées et sorties, cloisonnement des outils, supervision
- Définir une stratégie de test et de monitoring de sécurité pour une application LLM en production
Prérequis
Bases en développement (API REST, Python). Notions sur les LLM et le prompting. Aisance avec Docker et la ligne de commande.
Programme détaillé
M1
Prompt injection & sorties non fiables · module 7h
- Panorama OWASP Top 10 LLM (2025) : ce qui change par rapport aux applications web classiques
- REX mission : audit d'un assistant RAG en PME, prompt injection indirecte via un document importé
- Lab : prise en main du CTF Docker (applications LLM vulnérables conteneurisées, accès au modèle)
- Prompt injection directe : contournement des instructions, jailbreaks, fuite du system prompt (LLM01, LLM07)
- Prompt injection indirecte : charges dissimulées dans des données externes (page web, PDF, e-mail)
- Improper output handling (LLM05) : XSS, SSRF ou exécution via une sortie LLM non validée
- Atelier : capturer les premiers flags du CTF via l'injection de prompt
M2
Données, modèles, RAG & agents · module 7h
- Sensitive information disclosure (LLM02) : fuite de données de contexte, d'entraînement ou de secrets
- Data & model poisoning (LLM04) : empoisonnement des données, portes dérobées dans un modèle
- Supply chain (LLM03) : modèles tiers, datasets, dépendances ML, provenance et signatures
- Vector & embedding weaknesses (LLM08) : attaques sur le RAG, fuite inter-utilisateurs, injection via documents
- Excessive agency (LLM06) : abus des outils et fonctions appelés par l'agent, actions non autorisées
- Atelier : exploiter une chaîne RAG et un agent outillé sur le CTF Docker
- Débriefing : quels journaux ces attaques génèrent-elles, premières pistes de détection
M3
Défense, robustesse & CTF final · module 7h
- Unbounded consumption (LLM10) : déni de service, explosion des coûts, extraction de modèle
- Misinformation & over-reliance (LLM09) : hallucinations, garde-fous métier
- Défense en profondeur : validation des entrées, filtrage des sorties, cloisonnement et moindre privilège des outils
- Garde-fous : politiques, allow-list d'outils, human-in-the-loop, limites de débit et de budget
- Monitoring : journalisation des prompts, détection d'abus, tests de robustesse automatisés (garak)
- CTF Docker final noté (3h) : flags couvrant l'ensemble du Top 10 LLM
- Correction collective et feuille de route de sécurisation des applications LLM
Points forts
CTF Docker développé par Humanix : applications LLM réalistes (chatbot, RAG, agent), pas un exercice théorique
Couverture complète du OWASP Top 10 LLM 2025, de l'attaque à la défense
Formateur pentester en activité sur des systèmes d'IA générative
Approche immersive : chaque faille est démontrée, exploitée, puis corrigée
Le stagiaire repart avec des garde-fous applicables à ses propres applications LLM
Ancrage terrain
Retour d'expérience mission (anonymisé)
Audit d'un assistant documentaire (RAG) déployé dans une PME de services. Une instruction malveillante dissimulée dans un document indexé a permis d'exfiltrer le system prompt puis des extraits de documents confidentiels d'autres utilisateurs. Le scénario du CTF Docker et le volet défense en sont directement dérivés.
Modalités
Modalités pédagogiques
80 % pratique / 20 % théorie. Le CTF Docker, développé par Humanix, sert de fil rouge : chaque faille est d'abord démontrée et exploitée, puis corrigée. REX de mission réelle intégré. Approche immersive, pas de slides sans terminal.
Moyens techniques
CTF Docker Humanix : applications d'IA générative volontairement vulnérables (chatbot, RAG, agent outillé) conteneurisées. Modèle servi en local (Ollama) ou via API. Plateforme CTFd pour le scoring. Outils : Burp Suite, scripts Python, garak, requêtes API. Accès individuel aux labs.
Évaluation des acquis
Positionnement en amont (questionnaire de pré-évaluation). Évaluation continue par les ateliers. CTF Docker noté en fin de parcours (capture de flags = preuve mesurable des acquis). Questionnaire de satisfaction à chaud.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines selon le calendrier des sessions (intra : dates à convenir).
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités pédagogiques et techniques à vos besoins spécifiques. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.
Cadre légal
Toutes les techniques offensives sont pratiquées exclusivement sur le CTF Docker, lab isolé à finalité pédagogique, sans connexion au réseau de production. Le formateur rappelle le cadre légal : ces techniques ne s'emploient que dans un périmètre explicitement autorisé. Articles 323-1 à 323-7 du Code pénal.