Glossaire sécurité IA
Définitions en langage clair pour les acheteurs, RSSI et DPO qui évaluent la DLP IA et la sécurité IA générative. Chaque terme explique ce que c'est, pourquoi cela compte, et quelles questions poser aux éditeurs.
DLP IA
La DLP IA (Data Loss Prevention pour l'IA) est un logiciel qui détecte, bloque ou anonymise les données sensibles avant qu'elles ne quittent l'organisation vers un service d'IA générative comme ChatGPT, Claude, Gemini ou Copilot.
Prompt injection
La prompt injection est une attaque où du texte non fiable inséré dans l'entrée d'un LLM (via un document, une page web, une réponse d'outil ou un prompt utilisateur) écrase les instructions originales du développeur et fait exécuter au modèle une action non autorisée.
Shadow AI
Le shadow AI est l'usage de services d'IA générative (ChatGPT, Claude, DeepSeek, Perplexity, Mistral, Grok, etc.) par les collaborateurs sans connaissance, approbation ni supervision de l'IT ou de la sécurité.
MCP (Model Context Protocol)
MCP (Model Context Protocol) est un standard ouvert publié par Anthropic fin 2024 permettant aux assistants IA de se connecter à des sources de données, outils et services externes de manière uniforme — analogue au Language Server Protocol (LSP) mais pour le contexte LLM.
EU AI Act
L'EU AI Act (Règlement 2024/1689) est la loi européenne complète sur l'intelligence artificielle, entrée en vigueur en août 2024, avec la plupart des dispositions applicables par vagues échelonnées jusqu'en août 2027.
NIS2
NIS2 (Directive 2022/2555) est la directive révisée de l'UE sur la sécurité des réseaux et de l'information, applicable depuis octobre 2024. Elle élargit le périmètre des entités régulées et resserre les délais de notification d'incident.
DORA
DORA (Digital Operational Resilience Act, Règlement 2022/2554) est le règlement UE qui exige des entités du secteur financier de maintenir une résilience opérationnelle numérique, en vigueur depuis janvier 2025.
RGPD
Le RGPD (Règlement Général sur la Protection des Données, Règlement 2016/679) est la loi européenne complète de protection des données, en vigueur depuis mai 2018.
CLOUD Act
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) est une loi fédérale US qui contraint les prestataires basés aux US à divulguer les données qu'ils détiennent ou traitent, peu importe où dans le monde les données sont physiquement stockées.
Jailbreak (LLM)
Un jailbreak LLM est un prompt construit qui contourne l'entraînement de sécurité du modèle ou les garde-fous imposés par l'opérateur, faisant produire au modèle une sortie que l'organisation déployante a tenté d'interdire.
Anonymisation (en DLP)
Dans un contexte DLP IA, l'anonymisation consiste à remplacer une sous-chaîne sensible détectée (carte bancaire, IBAN, email, clé API) par un placeholder structurellement similaire mais non sensible avant l'envoi du prompt au LLM.
Cloud Souverain
Le Cloud Souverain désigne une infrastructure cloud opérée sous la juridiction légale d'un pays ou d'une région spécifique, avec résidence des données, contrôle opérationnel et structures de propriété conçus pour être immunisés contre les demandes légales extraterritoriales (notamment le CLOUD Act US).
Résidence des données
La résidence des données est le lieu géographique où les données sont physiquement stockées, traitées et répliquées — typiquement exprimé comme un pays spécifique ou une région sub-nationale (ex : "eu-west-3 / Paris" ou "Allemagne uniquement, pas de réplication hors Francfort").
DLP navigateur
La DLP navigateur applique des politiques DLP à l'intérieur du navigateur web, via une extension managée sur Chrome / Edge / Firefox, interceptant les événements paste, les soumissions de formulaire et les requêtes HTTP sortantes avant qu'elles n'atteignent le service destination.
Anonymisation préservant le format
L'anonymisation préservant le format est une technique de substitution où la valeur de remplacement satisfait le même format syntaxique que l'original (checksum IBAN valide, numéro de carte Luhn valide, email d'apparence valide) — pour que les systèmes en aval qui valident le format acceptent toujours le placeholder.