MITRE ATLAS expliqué : le guide complet sur les renseignements relatifs aux menaces de sécurité liées à l'IA

Les organisations qui déploient l'intelligence artificielle sont confrontées à un nouveau type de menaces de sécurité pour lesquelles les cadres traditionnels n'ont jamais été conçus. Selon des études sur les menaces menées par le secteur, les attaques malveillantes ciblant l'IA ont bondi de 89 % par rapport aux années précédentes, contre une hausse de 72 % signalée en 2025. Cette escalade exige une approche structurée pour comprendre et se défendre contre les menaces malveillantes pesant sur les systèmes d'IA. C'est là qu'intervient MITRE ATLAS — le paysage des menaces adversaires pour les systèmes d'intelligence artificielle — une base de connaissances complète sur le ML adversaire, spécialement conçue pour répertorier la manière dont les attaquants ciblent les systèmes d'apprentissage automatique et d'IA.

Pour les équipes de sécurité déjà familiarisées avec MITRE ATT&CK, ATLAS (parfois appelé Atlas MITRE dans les moteurs de recherche) constitue une extension naturelle dans le domaine de la sécurité IA. Ce guide fournit tout ce dont les analystes en sécurité, les responsables SOC et les ingénieurs IA ont besoin pour mettre en œuvre ATLAS contre les attaques IA adversaires, des principes fondamentaux du cadre aux stratégies de détection pratiques.

Qu'est-ce que MITRE ATLAS ?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) est une base de connaissances sur l'apprentissage automatique (ML) axée sur les attaques, accessible à l'échelle mondiale, qui recense les tactiques, techniques et procédures (TTP) des attaquants visant spécifiquement les systèmes d'intelligence artificielle et d'apprentissage automatique. S'inspirant du MITRE ATT&CK largement adopté, cette base de connaissances sur l'IA axée sur les attaques offre aux équipes de sécurité une approche structurée pour comprendre, détecter et se défendre contre les menaces spécifiques à l'IA. Le cadre MITRE ATLAS fait office de cadre de référence en matière de sécurité de l'apprentissage automatique pour la modélisation des menaces liées à l'IA.

Selon le journal des modifications officiel de MITRE ATLAS, la version 5.1.0 (novembre 2025) du référentiel comprend 16 tactiques, 84 techniques, 56 sous-techniques, 32 mesures d'atténuation et 42 études de cas concrets, contre 15 tactiques et 66 techniques en octobre 2025. La mise à jour de février 2026 (v5.4.0) a ajouté de nouvelles techniques axées sur les agents. Cette croissance rapide reflète l'évolution accélérée des menaces liées à l'IA.

L'apprentissage automatique antagoniste, qui consiste à étudier les attaques contre les systèmes d'apprentissage automatique et les moyens de défense contre celles-ci, englobe quatre grandes catégories d'attaques répertoriées par le NIST: les attaques par évasion, par empoisonnement, par atteinte à la vie privée et par abus. ATLAS organise ces modèles d'attaque dans une structure matricielle que les professionnels de la sécurité peuvent immédiatement mettre à profit.

MITRE a créé ATLAS pour combler une lacune critique dans le paysage de la sécurité. Si ATT&CK répertorie efficacement les menaces pesant sur les infrastructures informatiques et OT traditionnelles, il ne couvre pas les attaques qui exploitent les caractéristiques uniques des systèmes d'apprentissage automatique. ATLAS comble cette lacune en proposant la même approche rigoureuse et validée par la communauté en matière de renseignements sur les menaces liées à l'IA.

Le cadre est également connecté à MITRE D3FEND, qui fournit des contre-mesures défensives que les organisations peuvent mettre en place pour contrer les techniques ATLAS.

ATLAS vs MITRE ATT&CK: principales différences

Comprendre la distinction entre ATLAS et ATT&CK aide les équipes de sécurité à déterminer quand appliquer chaque cadre.

Tableau : Comparaison des cadres MITRE ATT&CK MITRE ATLAS

ATLAS hérite de 13 tactiques d'ATT&CK, notamment la reconnaissance, l'accès initial, l'exécution et l'exfiltration, mais les applique spécifiquement aux contextes d'IA. Les deux tactiques spécifiques à l'IA propres à ATLAS sont les suivantes :

• Accès au modèle ML (AML.0004) : Décrit comment les adversaires accèdent aux modèles ML cibles via des API d'inférence ou un accès direct aux artefacts.
• Préparation d'une attaque ML (AML.0012) : Traite de la manière dont les adversaires préparent leurs attaques visant les modèles d'apprentissage automatique, notamment l'empoisonnement des données d'entraînement et porte dérobée insertion

Les équipes de sécurité doivent utiliser les deux cadres conjointement pour bénéficier d'une couverture complète : ATT&CK pour les menaces traditionnelles pesant sur les infrastructures et ATLAS pour les vecteurs d'attaque spécifiques à l'IA.

Fonctionnement d'ATLAS : structure du cadre et matrice MITRE ATLAS

La base de connaissances officielle MITRE ATLAS organise les informations sur les menaces à l'aide de la même structure matricielle qui a fait le succès d'ATT&CK. La compréhension de cette structure permet une détection efficace des menaces et une modélisation des menaces par l'IA.

La matrice MITRE ATLAS (parfois appelée « matrice du cadre MITRE pour l'IA » ou « matrice des menaces liées à l'IA ») présente les tactiques sous forme de colonnes et les techniques sous forme de lignes. Chaque cellule représente une méthode spécifique utilisée par les adversaires pour atteindre leurs objectifs tactiques contre les systèmes d'IA. Cette organisation visuelle permet aux équipes de sécurité d'identifier rapidement les lacunes en matière de couverture et de hiérarchiser les mesures de défense.

Les composants du cadre fonctionnent ensemble :

1. Les tactiques répondent à la question « pourquoi » : l'objectif de l'adversaire à chaque étape de l'attaque.
2. Les techniques répondent à la question « comment » : il s'agit de méthodes spécifiques permettant d'atteindre des objectifs tactiques.
3. Les sous-techniques fournissent des détails précis sur les variations techniques.
4. Les mesures d'atténuation décrivent les mesures défensives qui permettent de contrer des techniques spécifiques.
5. Des études de cas documentent des attaques réelles mises en correspondance avec les TTP ATLAS.

Les données ATLAS sont disponibles au format STIX 2.1, ce qui permet une intégration lisible par machine avec les outils et plateformes de sécurité. Ce format standardisé prend en charge l'ingestion automatisée dans les plateformes de renseignements sur les menaces et les systèmes SIEM.

Le cadre bénéficie de mises à jour régulières grâce aux contributions de la communauté et aux travaux de recherche continus de MITRE. La mise à jour d'octobre 2025, réalisée en collaboration avec Zenity Labs, a ajouté 14 nouvelles techniques axées sur les agents, suivie par la version v5.1.0 de novembre 2025 qui a étendu le cadre à 16 tactiques comprenant 84 techniques. La mise à jour v5.4.0 de février 2026 a ajouté d'autres techniques, notamment « Publish Poisoned AI Agent Tool » et « Escape to Host », démontrant ainsi l'évolution active du cadre.

Comprendre les tactiques, techniques et procédures (TTP)

Les tactiques, techniques et procédures (TTP) constituent le vocabulaire de base de la défense informée par les menaces. Dans ATLAS :

• Les tactiques reflètent les objectifs des attaquants à chaque étape d'une attaque contre des systèmes d'IA. Les 16 tactiques ATLAS couvrent l'ensemble du processus, de la reconnaissance initiale jusqu'à l'impact final et au commandement et contrôle.
• Techniques décrivez les actions spécifiques entreprises par les adversaires pour atteindre leurs objectifs tactiques. Chaque technique possède un identifiant unique au format AML.TXXXX.
• Sous-techniques décomposer les techniques en variantes plus spécifiques. Par exemple, prompt injectionAML.0051) comprend des sous-techniques pour les méthodes d'injection directe et indirecte.
• Les procédures apparaissent dans des études de cas, montrant exactement comment les pirates informatiques ont mis en œuvre des techniques spécifiques dans le monde réel.

Cette hiérarchie permet une modélisation progressive et détaillée des menaces. Les équipes peuvent commencer par une analyse de couverture au niveau tactique, puis approfondir leur analyse pour se concentrer sur des techniques spécifiques en fonction de l'exposition de leur système d'IA.

Les 16 tactiques et techniques clés d'ATLAS

ATLAS répertorie 84 techniques réparties en 16 tactiques couvrant l'ensemble du cycle de vie des attaques, contre 15 tactiques et 66 techniques en octobre 2025. Cette classification exhaustive comble une lacune importante identifiée lors de l'analyse de la concurrence : aucun guide existant ne couvre l'ensemble des tactiques en proposant des conseils axés sur la détection.

Tableau : Tactiques MITRE ATLAS et techniques clés

La version 5.1.0, publiée en novembre 2025, a ajouté une seizième tactique : Command and ControlAML.0015) — ainsi que 18 nouvelles techniques et 6 nouvelles mesures d'atténuation axées sur les contrôles de sécurité des agents IA. Cela a porté le nombre total de techniques de 66 à 84 et celui des études de cas de 33 à 42.

Reconnaissance par accès initial (AML.TA0001-AML.TA0003)

Le cycle de vie d'une attaque commence par une phase de reconnaissance, au cours de laquelle les adversaires recueillent des informations sur les systèmes ML ciblés. Les principales techniques utilisées sont les suivantes :

• Découvrez les artefacts ML: les adversaires recherchent dans les référentiels publics, la documentation et les API pour comprendre les architectures des modèles et les données d'entraînement.
• Supply Chain ML: les pirates ciblent les attaques de la chaîne logistique en insérant du code ou des données malveillants dans les pipelines ML.
• Prompt Injection (AML.0051) : Les adversaires créent des entrées malveillantes pour manipuler le comportement des LLM — cela correspond à OWASP LLM01.

Accès et exécution du modèle ML (AML.TA0004-AML.TA0005)

Ces tactiques spécifiques à l'IA décrivent comment les adversaires interagissent avec les modèles ML et les exploitent :

• Accès à l'API d'inférence: l'accès aux interfaces de prédiction des modèles permet la reconnaissance et la préparation des attaques.
• Compromission des plugins LLM: l'exploitation des plugins vulnérables étend les capacités des attaquants au sein des systèmes d'IA.

Persistance par contournement des mesures de défense (AML.TA0006-AML.TA0008)

cybercriminels maintiennent leur accès et échappent à la détection grâce à :

• Modification de la configuration de l'agent IA (ajout en octobre 2025) : les attaquants modifient les paramètres de l'agent pour maintenir la persistance.
• Perturbation antagoniste: création d'entrées qui induisent les modèles en erreur tout en paraissant normales aux humains.

Collecte par impact (AML.TA0009-AML.TA0014)

Les tactiques de phase avancée se concentrent sur la réalisation des objectifs de l'adversaire :

• Récupération de données dans la base de données RAG: extraction d'informations sensibles à partir de systèmes de génération augmentés par la récupération
• Données d'entraînement sur les poisons (AML.0020) : L'empoisonnement des données corrompt les données d'entraînement afin de manipuler le comportement du modèle — un problème critique. exfiltration de données vecteur
• Exfiltration via l'invocation d'un outil agent IA (ajout en octobre 2025) : exploitation de l'accès à l'outil agent pour extraire des données.

Comprendre les schémas de déplacement latéral aide les équipes de sécurité à suivre la progression des attaquants dans leurs tactiques.

Écosystème d'outils ATLAS

ATLAS fournit des outils pratiques gratuits qui transforment le cadre de la documentation en capacités de sécurité exploitables. Cet écosystème d'outils comble une lacune importante en matière de contenu, car peu de concurrents couvrent ces ressources de manière exhaustive.

Tableau : Écosystème d'outils officiels MITRE ATLAS

Présentation du navigateur ATLAS

ATLAS Navigator fournit une interface Web interactive permettant de visualiser la matrice du cadre. Les équipes de sécurité utilisent Navigator pour :

1. Cartographie de la couverture: créez des couches personnalisées indiquant les techniques auxquelles s'appliquent vos contrôles de sécurité.
2. Modélisation des menaces: mettez en avant les techniques pertinentes en fonction de l'architecture de votre système d'IA.
3. Analyse des écarts: identifier les techniques sans capacités de détection correspondantes
4. Rapports: Exporter des visualisations pour la communication avec les parties prenantes

Navigator s'intègre à ATT&CK Navigator, offrant ainsi une vue unifiée des deux cadres. Les équipes qui utilisent déjà ATT&CK Navigator se familiariseront immédiatement avec l'interface ATLAS.

Arsenal pour le red teaming en IA

En mars 2023, Microsoft et MITRE ont annoncé leur collaboration sur Arsenal, un plugin CALDERA permettant l'émulation automatisée d'adversaires contre les systèmes d'IA. Arsenal met en œuvre les techniques ATLAS sans nécessiter d'expertise approfondie en apprentissage automatique.

Les principales fonctionnalités comprennent :

• Profils d'adversaires prédéfinis basés sur les tactiques ATLAS
• Exécution automatisée de chaînes d'attaques pour les exercices de l'équipe violette
• Résultats directement associés aux identifiants de la technique ATLAS
• Intégration avec les déploiements CALDERA existants

Arsenal soutient la recherche de menaces en validant la couverture de détection par rapport à des simulations d'attaques réalistes. Pour les équipes d'intervention en cas d'incident, Arsenal aide à comprendre les capacités des attaquants et à tester les procédures d'intervention.

Initiative de partage des incidents liés à l'IA

L'initiative de partage des incidents liés à l'IA permet aux organisations de partager et de tirer des enseignements des incidents liés à la sécurité de l'IA. Cette plateforme communautaire offre :

• Rapports d'incidents anonymisés avec cartographie par la technique ATLAS
• Base de données consultable sur les vulnérabilités et les attaques liées à l'IA
• Intégration avec les groupes de travail CVE et CWE AI
• Analyse des tendances à partir des incidents signalés

Ces informations sont directement intégrées aux mises à jour d'ATLAS, garantissant ainsi que le cadre reflète les modèles de menaces actuels.

Comparaison des cadres : ATLAS vs OWASP LLM Top 10 vs NIST AI RMF

Les équipes de sécurité se demandent souvent quel cadre de sécurité IA adopter. La réponse : utilisez les trois pour une couverture complémentaire. Cette comparaison aide les équipes à comprendre quand appliquer chaque cadre, répondant ainsi à une question courante sur la PAA.

Tableau : Comparaison des cadres de sécurité IA : ATLAS vs OWASP vs NIST AI RMF

Selon l'analyse des cadres de Cloudsine, ces cadres servent différentes phases du cycle de vie de la sécurité de l'IA :

• Phase de développement: les 10 principaux guides OWASP LLM sur les pratiques de codage sécurisé
• Phase opérationnelle: ATLAS informe les stratégies de modélisation et de détection des menaces.
• Phase de gouvernance: le cadre RMF du NIST pour l'IA structure la gestion des risques et la conformité

Tableau croisé : correspondance entre les cadres

Tableau : Tableau comparatif des vulnérabilités courantes en matière d'IA

La compréhension des vulnérabilités dans les trois cadres permet une couverture complète. Les équipes doivent mettre en correspondance leurs actifs IA avec les techniques pertinentes dans chaque cadre.

Intégration et opérationnalisation du SOC

L'intégration d'ATLAS dans les opérations de sécurité nécessite des techniques de cartographie des capacités de détection et des flux de travail. Selon le guide d'intégration SOC de ThreatConnect, environ 70 % des mesures d'atténuation d'ATLAS correspondent à des contrôles de sécurité existants. Les 30 % restants nécessitent de nouveaux contrôles spécifiques à l'IA.

Étapes pour l'intégration SOC :

1. Inventaire des actifs IA: documentez tous les modèles ML, pipelines de formation et applications basées sur l'IA.
2. Mapper les techniques aux actifs: identifiez les techniques ATLAS applicables en fonction de votre architecture IA.
3. Évaluer la couverture actuelle: utiliser Navigator pour visualiser les capacités de détection existantes.
4. Hiérarchisez les lacunes: concentrez-vous sur les techniques à fort impact pertinentes pour votre environnement.
5. Développer des règles de détection: créer des règles SIEM et des alertes pour les techniques prioritaires.
6. Établir des références: définir le comportement normal pour la télémétrie des systèmes d'IA
7. Intégration aux flux de travail: ajoutez le contexte ATLAS aux procédures d'alerte, de triage et d'enquête.
8. Révision trimestrielle: mise à jour des modèles de menaces à mesure que l'ATLAS évolue

Mappage des règles de détection

Une détection efficace nécessite de mettre en correspondance les techniques ATLAS avec des sources de journaux et une logique de détection spécifiques.

Tableau : Exemple de cartographie de détection pour les techniques ATLAS prioritaires

détection et réponse aux incidents complètent la détection au niveau de la couche applicative. L'analyse du comportement des utilisateurs et des entités (UEBA) permet d'identifier les modèles d'accès anormaux aux systèmes d'IA.

Suivi des indicateurs et de la couverture

Suivez ces indicateurs pour mesurer la mise en œuvre d'ATLAS :

• Couverture technique: pourcentage de techniques pertinentes avec règles de détection
• Latence de détection: délai entre l'exécution de l'attaque et la génération de l'alerte
• Taux de faux positifs: précision des alertes pour les détections spécifiques à l'IA
• Actualité du modèle de menace: nombre de jours écoulés depuis la dernière mise à jour basée sur les informations fournies par ATLAS

Les examens trimestriels des modèles de menaces garantissent que la couverture reste en phase avec les mises à jour du cadre et les menaces émergentes.

Études de cas et enseignements tirés

ATLAS comprend 42 études de cas décrivant des attaques réelles contre des systèmes d'IA, contre 33 en octobre 2025. L'analyse de ces incidents fournit des informations utiles pour la défense qui vont au-delà de la modélisation théorique des menaces.

Analyse de l'étude de cas iProov sur les deepfakes

En novembre 2025, MITRE ATLAS a publié une étude de cas documentant des attaques deepfake contre les systèmes mobiles de détection de vivacité KYC (Know Your Customer). Selon Mobile ID World, cette attaque visait les plateformes bancaires, financières et de cryptomonnaie.

Progression de la chaîne d'attaque :

Reconnaissance -> Développement des ressources -> Accès initial -> Évasion de la défense -> Impact

1. Reconnaissance: les pirates ont recueilli des informations sur l'identité de leur cible grâce à des techniques d'ingénierie sociale via les profils des réseaux sociaux.
2. Développement des ressources: les adversaires ont acquis des outils d'IA permettant d'échanger les visages (Faceswap, Deep Live Cam).
3. Accès initial: l'injection de caméra virtuelle OBS a contourné les exigences relatives aux caméras physiques.
4. Évasion de la défense: les deepfakes générés par l'IA ont déjoué les algorithmes de détection du caractère vivant
5. Impact: création frauduleuse d'un compte et contournement de la vérification d'identité réussis

Recommandations défensives :

• Mettre en œuvre une vérification multimodale au-delà de la reconnaissance faciale
• Déployer l'attestation des appareils pour détecter l'injection de caméras virtuelles
• Surveiller les signes de supports synthétiques dans les captures biométriques
• Mettre en place une détection améliorée du caractère vivant grâce à la détection de profondeur

Cette étude de cas montre comment les pirates combinent l'ingénierie sociale et les outils d'IA pour contourner les contrôles de sécurité, ce qui peut entraîner des violations de données.

Étude de cas sur la porte dérobée de l'agent IA SesameOp (AML.CS0042)

L'étude de cas SesameOp, ajoutée à ATLAS fin 2025, décrit une nouvelle technique de porte dérobée qui exploite les API d'assistants IA à des fins de commande et de contrôle. Au lieu de mettre en place une infrastructure C2 traditionnelle, les attaquants ont détourné des API de services d'agents légitimes pour en faire des canaux de contrôle clandestins, dissimulant ainsi leurs activités malveillantes au sein des flux de travail IA normaux. Ce modèle d'attaque correspond à la nouvelle technique dite « API de services IA » (AML.0096) et montre comment une infrastructure d'IA agentique permet de créer commandement et contrôle des canaux qui échappent aux systèmes de détection réseau classiques.

Autres études de cas notables (2025-2026)

Entre octobre 2025 et février 2026, le nombre d'études de cas d'ATLAS est passé de 33 à 42. Parmi les ajouts notables, on peut citer :

• Détournement de transactions financières via M365 Copilot par un initié — démonstration de la manière dont les assistants IA peuvent être utilisés à des fins d'opérations financières non autorisées
• Confusion au sein de l'organisation Hugging Face — mise en lumière des risques liés à l'utilisation abusive du référentiel de modèles dans le cadre d'attaques visant la chaîne d'approvisionnement
• Compromission du serveur MCP (janvier 2026) — rapport sur les attaques visant l'infrastructure du protocole MCP

Contournement endpoint Cylance endpoint

L'analyse HiddenLayer de l'étude de cas ATLAS AML.CS0003 documente la manière dont les chercheurs ont contourné un produit endpoint basé sur le ML :

• Les attaquants ont utilisé des techniques de perturbation antagonistes pour créer malware qui échappaient à la détection.
• L'attaque a démontré une évasion du modèle sans connaissance de l'architecture sous-jacente du modèle.
• Les leçons défensives comprennent la diversité des modèles et la validation des entrées pour les outils de sécurité basés sur le ML.

Détecter et prévenir les menaces liées à l'IA

Les menaces liées à l'IA nécessitent des méthodes de détection spécialisées qui vont au-delà des contrôles de sécurité traditionnels. Les attaques menées par des acteurs malveillants utilisant l'IA ayant bondi de 89 % par rapport aux années précédentes — contre une hausse de 72 % en 2025 —, les entreprises ont besoin de stratégies de défense proactives.

Liste de contrôle pour la sécurité de l'IA :

• [ ] Mettre en œuvre la validation et la désinfection des entrées pour toutes les interactions LLM
• [ ] Mettre en place prompt injection au niveau de la couche applicative
• [ ] Établir la traçabilité des données d'entraînement et la surveillance de leur intégrité
• [ ] Surveiller les modèles d'accès à l'API d'inférence afin de détecter les anomalies
• [ ] Vérifier régulièrement les configurations et les autorisations des agents IA.
• [ ] Intégrer les alertes spécifiques à l'IA dans les workflows SOC existants
• [ ] Organiser régulièrement des exercices d'équipe rouge IA à l'aide d'Arsenal
• [ ] S'abonner aux flux d'informations sur les menaces liées à l'IA

Les organisations doivent aligner leurs investissements en matière de sécurité de l'IA à la fois sur phishing ( phishing généré par l'IA phishing une croissance rapide) et la défense contre les ransomwares (l'IA permet des attaques plus sophistiquées).

Prompt injection dans MITRE ATLAS (AML.0051)

Prompt injection la technique ATLAS la plus importante, répertoriée sous le nom de AML.0051 dans le cadre de la stratégie « Initial Access ». Les grands modèles linguistiques sont exposés à des vecteurs d'attaque spécifiques auxquels les mesures de sécurité traditionnelles ne peuvent pas faire face, et ATLAS répertorie systématiquement ces menaces.

Tableau : Types de menaces LLM avec cartographie ATLAS et méthodes de détection

Les CVE récents illustrent ces menaces dans la pratique :

• CVE-2025-32711 (EchoLeak): D'après l'analyse de Hack The Box, cette vulnérabilité de Microsoft Copilot permettait l'exfiltration de données sans interaction de l'utilisateur (zero-click) via prompt injection à la réflexion de lignes de commande
• CVE-2025-54135/54136 (CurXecute): selon un article de BleepingComputer, l'implémentation de MCP dans l'IDE Cursor permettait l'exécution de code à distance via prompt injection

Les capacités de détection et de réponse aux menaces d'identité permettent de détecter les tentatives de vol d'identifiants via l'exploitation de LLM.

Considérations relatives à la sécurité de l'IA agentique

La mise à jour ATLAS d'octobre 2025 traite spécifiquement des agents IA autonomes, c'est-à-dire des systèmes capables d'agir, d'accéder à des outils et de conserver le contexte d'une session à l'autre. Les nouvelles techniques comprennent :

• AML.0058 Empoisonnement du contexte des agents IA: Injection de contenu malveillant dans la mémoire de l'agent ou le contexte du thread
• AML.0059 Déclencheurs d'activation: Intégration de déclencheurs qui s'activent dans des conditions spécifiques
• AML.0060 Données provenant des services d'IA: Extraction d'informations via la récupération de données dans la base de données RAG
• AML.0061 Outils pour agents IA: Utilisation abusive de l'accès à l'outil agent à des fins malveillantes
• AML.0062 Exfiltration via l'invocation d'un outil agent IA: Utilisation d'appels d'outils légitimes pour extraire des données

Principes de sécurité pour les agents IA :

1. Appliquer le principe du moindre privilège à toutes les autorisations des outils agents
2. Mettre en œuvre le principe « human-in-the-loop » pour les opérations sensibles
3. Surveiller en permanence les modifications apportées à la configuration des agents
4. Valider les configurations et les connexions du serveur MCP
5. Établir des références comportementales pour les agents afin de détecter les anomalies

Selon les directives de la CISA de décembre 2025 relatives à l'IA/OT, les organisations doivent intégrer des dispositifs de surveillance et de sécurité pour tous les systèmes d'IA fonctionnant dans des environnements critiques.

Cartographie de la sécurité MCP et de la technique ATLAS

Le protocole MCP (Model Context Protocol) — une norme ouverte permettant de connecter des agents IA à des outils et des sources de données externes — introduit des surfaces d'attaque auxquelles ATLAS s'attaque désormais de manière explicite. Les failles du protocole MCP permettent aux attaquants de manipuler la couche d'appel d'outils entre les agents IA et les systèmes d'entreprise, contournant ainsi les contrôles de sécurité traditionnels.

Les techniques ATLAS pertinentes pour la sécurité des MCP comprennent :

• Outils pour agents IA (AML.0061): Des attaquants exploitent les configurations des serveurs MCP pour déclencher des actions non autorisées ou accéder à des données protégées
• Exfiltration via l'invocation d'un outil agent IA (AML.0062): Les pirates exploitent des appels légitimes à des outils MCP pour extraire des données sensibles via des canaux autorisés
• Publication de l'outil « Poisoned AI Agent » (ajouté en février 2026) : les attaquants créent des versions malveillantes d'outils MCP légitimes qui semblent inoffensives, mais qui exécutent des actions nuisibles lorsqu'elles sont lancées
• API du service d'IA (AML.0096, ajouté en 2026) : Exploitation des API d'orchestration de l'IA pour des opérations de commande et de contrôle furtives

La mise à jour ATLAS de janvier 2026 (v5.3.0) a ajouté trois nouvelles études de cas portant spécifiquement sur les compromissions de serveurs MCP, ainsi que sur prompt injection via les canaux MCP et le déploiement d'agents IA malveillants. Les équipes de sécurité doivent valider toutes les configurations des serveurs MCP, limiter les autorisations des outils au principe du moindre privilège et surveiller les schémas d'invocation des outils à la recherche d'anomalies.

Approches modernes en matière de sécurité de l'IA

Le paysage de la sécurité IA évolue rapidement, sous l'effet des pressions réglementaires et de la collaboration entre les acteurs du secteur qui favorisent l'adoption de cadres réglementaires. Les organisations doivent se préparer à faire face à la fois aux menaces émergentes et aux exigences de conformité.

Le programme MITRE Secure AI, soutenu par 16 organisations membres, dont Microsoft et JPMorgan Chase, vise à enrichir la base de données ATLAS avec des observations concrètes et à accélérer le partage d'informations sur les incidents liés à l'IA.

Évolution réglementaire :

• Loi européenne sur l'IA: les obligations relatives à l'IA à usage général (GPAI) sont entrées en vigueur en août 2025, imposant des tests adversaires pour les systèmes d'IA présentant un risque systémique et une protection de la cybersécurité contre les accès non autorisés.
• Directives de la CISA: la publication multi-agences de décembre 2025 traite de la sécurité de l'IA dans les environnements technologiques opérationnels.

Les menaces liées à l'IA ne cessent de se multiplier : selon une étude sectorielle, 87 % des entreprises déclarent avoir été exposées à des cyberattaques basées sur l'IA et 92 % se disent préoccupées par les implications de l'IA autonome en matière de sécurité.

Comment Vectra AI les menaces liées à l'IA

Attack Signal Intelligence » Vectra AI s'appuie sur des principes de détection basés sur le comportement qui s'inscrivent dans les objectifs du cadre ATLAS. En se concentrant sur les comportements des attaquants plutôt que sur des signatures statiques, les entreprises peuvent détecter les techniques répertoriées dans ATLAS — prompt injection à l'exfiltration de données via des API d'inférence — dans cloud hybride.

Cette approche permet aux équipes de sécurité d'identifier et de hiérarchiser les menaces réelles liées à l'IA tout en réduisant le bruit des alertes. détection et réponse aux incidents à la détection des menaces d'identité, offrent une visibilité sur l'ensemble de la surface d'attaque que les menaces liées à l'IA ciblent désormais.

Conclusion

MITRE ATLAS offre l'approche structurée dont les organisations ont besoin pour protéger leurs systèmes d'IA contre des adversaires sophistiqués. Avec 16 tactiques, 84 techniques et des mises à jour régulières tenant compte des menaces émergentes telles que les attaques par IA agentique et les exploits MCP, ce cadre fournit des informations exploitables aux équipes de sécurité.

L'expansion rapide, passant de 15 tactiques en octobre 2025 à 16 tactiques et 84 techniques en février 2026, témoigne de la volonté d'ATLAS de suivre le rythme de l'évolution de l'IA. Alors que les attaques assistées par l'IA continuent de se multiplier et que des exigences réglementaires telles que la loi européenne sur l'IA entrent en vigueur, les organisations ne peuvent se permettre de considérer la sécurité de l'IA comme une question secondaire.

Commencez par ces mesures immédiates :

1. Découvrez l'ATLAS Navigator pour comprendre la structure du cadre
2. Faites l'inventaire de vos ressources en IA et répertoriez les techniques pertinentes
3. Évaluer la couverture actuelle de la détection par rapport aux techniques prioritaires
4. Intégrer le contexte ATLAS dans les flux de travail existants du SOC

Pour les entreprises qui recherchent une sécurité IA complète allant au-delà de la simple adoption d'un cadre, la solution Attack Signal Intelligence Vectra AI Attack Signal Intelligence une détection basée sur le comportement qui identifie les techniques d'attaquants répertoriées dans le catalogue ATLAS, permettant ainsi aux équipes de sécurité de repérer et de neutraliser les menaces liées à l'IA dans les environnements hybrides.