Le sabotage de la chaîne d’approvisionnement (Supply Chain Tampering) dans les systèmes d’intelligence artificielle représente une menace critique pour les organisations qui développent ou utilisent des modèles d’IA. Des modifications non autorisées peuvent être introduites à n’importe quelle étape du cycle de vie : du pipeline de données au processus d’entraînement, des dépendances logicielles jusqu’aux conteneurs et aux environnements cloud utilisés pour le déploiement.

Cet article fait partie du chapitre AI Infrastructure Testing du guide OWASP AI Testing Guide.

Les conséquences incluent des comportements malveillants du modèle, une dégradation des performances, des accès non autorisés aux données ou la compromission de l’infrastructure IA dans son ensemble. Protéger l’intégrité de la chaîne d’approvisionnement est fondamental pour garantir la sécurité, la fiabilité et la conformité réglementaire.

Objectifs du test

Un test de sécurité efficace doit poursuivre trois objectifs principaux :

• Identifier les vulnérabilités permettant des accès ou des modifications non autorisés à la chaîne d’approvisionnement IA
• Détecter les altérations non autorisées dans le cycle de vie du modèle : entraînement, déploiement et mises à jour
• Garantir l’intégrité et l’authenticité tout au long du pipeline de déploiement IA

Méthodologie et charges utiles (payloads)

Empoisonnement des dépendances (Dependency poisoning)

Les dépendances logicielles représentent l’un des vecteurs d’attaque les plus courants. L’analyse automatisée des dépendances du projet (fichiers tels que requirements.txt, package.json) via des outils de Software Composition Analysis (SCA) permet d’identifier les bibliothèques compromises ou obsolètes.

Indicateur de vulnérabilité : les dépendances présentant des vulnérabilités de niveau HIGH ou CRITICAL signalent la possibilité d’exploitation via des bibliothèques tierces.

Manipulation de conteneurs et d’images

Les images Docker et les conteneurs utilisés pour distribuer les modèles d’IA peuvent contenir des vulnérabilités dans les paquets système ou les bibliothèques incluses. L’analyse des images doit être intégrée au processus de déploiement.

Indicateur de vulnérabilité : vulnérabilités critiques dans les paquets système ou les bibliothèques de l’image, potentiellement exploitables à l’exécution pour compromettre l’environnement d’exécution.

Sabotage du pipeline CI/CD

Le pipeline d’intégration et de déploiement continu est une cible privilégiée pour les attaquants. L’analyse doit vérifier la configuration à la recherche de mauvaises configurations : secrets codés en dur, contrôles d’accès insuffisants, utilisation de ressources provenant de sources non fiables.

Indicateur de vulnérabilité : le pipeline peut subir des modifications non autorisées, contenir des identifiants en clair ou utiliser des artefacts non signés durant le processus de build.

Résultats attendus

Une infrastructure IA sécurisée doit mettre en œuvre des contrôles automatisés garantissant :

• Rejet automatique des dépendances vulnérables : le pipeline CI/CD doit bloquer automatiquement les builds si des vulnérabilités HIGH ou CRITICAL sont détectées dans les dépendances
• Intégrité des images de conteneurs : toutes les images de production doivent être analysées, signées numériquement et vérifiées avant le déploiement. Le déploiement doit être bloqué en présence de vulnérabilités critiques
• Sécurité du pipeline : mise en œuvre d’un contrôle d’accès basé sur les rôles (RBAC) rigoureux, prévention des modifications non autorisées et maintien de journaux d’audit immuables sur toutes les activités de build et de déploiement

Actions de remédiation

Gestion des dépendances

Mettre en œuvre des outils de gestion des dépendances et intégrer des analyses SCA automatiques dans le pipeline CI/CD. Les builds présentant des vulnérabilités connues doivent être bloqués automatiquement. Maintenir un inventaire à jour de toutes les dépendances utilisées.

Impact attendu : réduction du risque d’exploitation via des bibliothèques compromises et meilleure visibilité sur les dépendances utilisées en production.

Durcissement (Hardening) des conteneurs

Utiliser des images de conteneurs minimalistes provenant de registres fiables. Mettre en œuvre la signature numérique des images et vérifier les signatures au sein du runtime de conteneur. Réduire la surface d’attaque en éliminant les composants inutiles.

Impact attendu : protection de l’environnement d’exécution contre les vulnérabilités connues et prévention de l’utilisation d’images non autorisées.

Sécurité du pipeline CI/CD

Appliquer le principe du moindre privilège à tous les jobs et utilisateurs du pipeline. Stocker tous les secrets dans des coffres-forts (vaults) sécurisés dédiés. Adopter des infrastructures immuables et des configurations de build versionnées pour prévenir les manipulations non autorisées.

Impact attendu : prévention des modifications non autorisées du pipeline et protection des identifiants sensibles contre toute exposition accidentelle.

Software Bill of Materials (SBOM)

Générer automatiquement une Software Bill of Materials pour chaque build, documentant tous les composants et dépendances. La SBOM est fondamentale pour la gestion des vulnérabilités, la conformité réglementaire et une réponse efficace aux incidents.

Impact attendu : traçabilité complète des composants utilisés et capacité de réponse rapide en cas de vulnérabilités découvertes dans les dépendances.

Outils suggérés

• Trivy : scanner de vulnérabilités pour conteneurs et dépendances
• Syft : génération automatique de SBOM
• Grype : scanner de vulnérabilités pour images de conteneurs et systèmes de fichiers
• Snyk : plateforme de sécurité pour dépendances et conteneurs
• Cosign : signature et vérification d’images de conteneurs

Approfondissements utiles

ISGroup propose des services spécialisés pour protéger l’intégrité de la chaîne d’approvisionnement IA via le service Secure Architecture Review. Notre équipe d’experts évalue en profondeur les infrastructures IA complexes, identifie les vulnérabilités dans la chaîne d’approvisionnement et fournit des recommandations concrètes pour mettre en œuvre des contrôles de sécurité efficaces.

L’évaluation couvre l’ensemble du pipeline : de la gestion des dépendances à la sécurité des conteneurs, de la configuration CI/CD à la génération de SBOM, garantissant que chaque composant respecte les normes de sécurité les plus élevées.

Pour une protection complète du cycle de développement logiciel, le service Software Assurance Lifecycle intègre des contrôles de sécurité continus sur les versions, garantissant que chaque étape du cycle de vie du logiciel respecte les meilleures pratiques de sécurité.

• Qu’est-ce que le sabotage de la chaîne d’approvisionnement (Supply Chain Tampering) dans les systèmes IA ?
• Le sabotage de la chaîne d’approvisionnement IA consiste en des modifications non autorisées introduites à n’importe quelle étape du cycle de développement ou de distribution d’un modèle IA : du pipeline de données à l’entraînement, des dépendances logicielles aux conteneurs et environnements cloud. Ces modifications peuvent compromettre la sécurité, la fiabilité et la conformité du système.
• Quels sont les principaux vecteurs d’attaque dans la chaîne d’approvisionnement IA ?
• Les principaux vecteurs incluent : l’empoisonnement des dépendances (bibliothèques compromises), la manipulation de conteneurs et d’images (vulnérabilités dans les images Docker), le sabotage du pipeline CI/CD (modifications non autorisées du pipeline de déploiement). Chacun de ces vecteurs peut être exploité pour introduire des comportements malveillants ou accéder à des données sensibles.
• Comment protéger la chaîne d’approvisionnement IA contre les vulnérabilités ?
• La protection nécessite une approche multicouche : analyses automatiques des dépendances avec des outils SCA, signature numérique et vérification des images de conteneurs, mise en œuvre d’un RBAC rigoureux sur le pipeline CI/CD, génération automatique de SBOM pour chaque build, et journaux d’audit immuables sur toutes les activités de build et de déploiement.
• Qu’est-ce qu’une Software Bill of Materials (SBOM) et pourquoi est-ce important ?
• Une SBOM est un inventaire complet de tous les composants et dépendances utilisés dans une build logicielle. Elle est fondamentale pour la gestion des vulnérabilités, la conformité réglementaire et une réponse efficace aux incidents, permettant d’identifier rapidement quels systèmes sont affectés par une vulnérabilité découverte dans une dépendance.
• Quels contrôles automatisés une organisation devrait-elle mettre en œuvre ?
• Les contrôles essentiels incluent : le blocage automatique des builds avec des dépendances vulnérables (HIGH ou CRITICAL), l’analyse et la signature numérique obligatoire des images de conteneurs avant le déploiement, un RBAC rigoureux sur tous les jobs du pipeline, des coffres-forts sécurisés pour la gestion des secrets, et des configurations de build versionnées et immuables.
• Comment détecter les modifications non autorisées dans le pipeline CI/CD ?
• Les modifications non autorisées sont détectées via : des journaux d’audit immuables qui tracent toutes les activités, la vérification de l’intégrité des artefacts via signature numérique, des contrôles automatiques sur la configuration du pipeline, la surveillance des modifications des permissions et des accès, et l’analyse périodique des configurations pour identifier les secrets codés en dur ou les ressources provenant de sources non fiables.

Références

• OWASP GenAI – OWASP GenAI Project
• NIST – NIST AI 100-2e2025
• MITRE ATT&CK – Supply Chain Compromise Techniques
• SPDX – Software Package Data Exchange

Articles connexes

• AI Data Testing : sécurité des données d’entraînement
• Dev-Time Model Theft : protéger les modèles IA
• Testing Poisoning Fine-tuning : valider l’intégrité du modèle

L’intégration de contrôles automatisés sur les dépendances, les conteneurs et les pipelines CI/CD aide à prévenir les modifications non autorisées de la chaîne d’approvisionnement IA. Tester régulièrement l’intégrité de la chaîne d’approvisionnement est fondamental pour garantir la sécurité et la fiabilité des systèmes IA en production.