|
1 | | -## Letter from the Project Leads |
| 1 | +## Lettre des responsables du projet |
2 | 2 |
|
3 | | -Le OWASP Top 10 for Large Language Model Application (LLM) a vu le jour en 2023 dans le cadre d’un effort communautaire visant à mettre en évidence et traiter les problèmes de sécurité spécifiques aux dispositifs de l’IA. Depuis, la technologie a continué à proliférer dans divers secteurs et applications, tout comme les risques qui y sont associés. Au fur et à mesure de l’intégration de LLM de plus en plus avancé dans tous les domaines — des interactions avec la clientèle aux processus internes — les équipes de développement et les spécialistes en sécurité découvrent de nouvelles vulnérabilités et les moyens d’en contrer l’exploitation. |
4 | | - |
5 | | -La liste de 2023 a été un réel succès, favorisant la sensibilisation et établissant une base solide pour un usage sécurisé des LLM. Mais nous en approfondissons encore plus notre compréhension depuis. Dans cette nouvelle version de 2025, nous avons travaillé avec un groupe élargi, avec des contributions plus diversifiées, à travers le monde, qui ont grandement aidé à la façonner. Le processus a impliqué des séances de réflexions, des votes et des retours d’expériences professionnelles concrètes, de personnes directement impliquées dans la sécurisation des applications LLM, que ce soit en contribuant ou en affinant les entrées par leurs commentaires. Chaque voix a été essentielle pour rendre cette nouvelle édition aussi exhaustive et pratique que possible. |
| 3 | +Le OWASP Top 10 for Large Language Model Application (LLM) a vu le jour en 2023 dans le cadre d’un effort communautaire visant à mettre en évidence et traiter les problèmes de sécurité spécifiques aux dispositifs de l’IA. Depuis, la technologie a poursuivi son déploiement au sein de divers secteurs et applications, accompagnée par son lot de risques. Avec l’intégration de plus en plus poussée des LLM dans tous les domaines — des interactions avec la clientèle aux processus internes — les équipes de développement et les spécialistes en sécurité découvrent de nouvelles vulnérabilités. Et les moyens d’en contrer l’exploitation. |
6 | 4 |
|
| 5 | +La liste de 2023 fut une réussite majeure pour faire prendre conscience des enjeux et conférer de solides assises à un usage sécurisé des LLM. Mais nos apprentissages se sont rehaussés considérablement depuis. Dans cette nouvelle version de 2025, nous avons travaillé avec un groupe élargi, des contributions plus diversifiées, à travers le monde, qui ont grandement aidé à la façonner. Le processus a impliqué des séances de réflexions, des votes et des retours d’expériences professionnelles à l'avant-garde de la sécurisation des applications LLM, que ce soit en y contribuant ou en affinant les entrées par des commentaires. Chaque voix a été essentielle pour rendre cette nouvelle édition aussi exhaustive et pratique que possible. |
7 | 6 |
|
8 | 7 | ### Quoi de neuf dans le Top 10 2025 ? |
9 | 8 |
|
10 | | -La liste de 2025 reflète une meilleure compréhension des risques existants et intègre des mises à jour critiques quant à l'usage effectif des modèles de langage (LLM) dans les applications d'aujourd'hui. Par exemple, **Consommation Illimitée** élargit ce qui était auparavant Déni de Service afin de prendre en compte les risques liés à la gestion des ressources et aux coûts imprévus: un enjeu majeur dans les déploiements à grande échelle de LLM. |
| 9 | +La liste de 2025 reflète une meilleure compréhension des risques existants et intègre des mises à jour critiques quant à l'utilisation effective des grands modèles de langage (LLM) dans les applications d'aujourd'hui. Par exemple, l'entrée **Consommation Illimitée** élargit ce qui était auparavant Déni de Service afin de prendre en compte les risques liés à la gestion des ressources et aux coûts imprévus: un enjeu majeur dans les déploiements à grande échelle des LLM. |
11 | 10 |
|
12 | | -L’entrée **vecteurs et représentations vectorielles** répond aux demandes de la communauté pour des directives relatives à la sécurisation des processus de Génération augmentée par récupération (RAG), et autres méthodes basées sur les intégrations, qui sont désormais des pratiques courantes afin d’assurer un ancrage contextuel des sorties de modèles. |
| 11 | +L’entrée **vecteurs et représentations vectorielles** répond aux demandes de la communauté pour des orientations relatives à la sécurisation des processus de Génération augmentée par récupération (RAG) et autres méthodes basées sur les intégrations. Elles sont désormais des pratiques courantes afin d’assurer un ancrage contextuel des sorties des modèles. |
13 | 12 |
|
14 | | -Nous avons également ajouté **Fuite de requête système** pour traiter ce sujet de vulnérabilités avérées, largement sollicité par la communauté. De nombreuses applications présument les invites de requêtes protégées par un isolement sécurisé mais des incidents récents ont montré que les développeurs ne peuvent pas tenir pour acquis que les informations transmises dans ces requêtes restent secrètes. |
| 13 | +Nous avons également ajouté l'entrée **Fuite de prompt système** pour traiter ce sujet de vulnérabilités avérées qui suscitait un vif intérêt au sein de la communauté. De nombreuses applications présument les prompts protégés par un isolement sécurisé, mais des incidents récents ont montré que les développeurs ne peuvent pas tenir pour acquis que les informations transmises dans ces prompts restent secrètes. |
15 | 14 |
|
16 | | -**Agentivité excessive** a été élargie en raison de l'utilisation croissante d'architectures agentiques qui peuvent donner plus d'autonomie au LLM. Lorsqu'ils agissent à titre d'agents ou configurateur de paramètres de plugiciels, les permissions non contrôlées peuvent entraîner des actions involontaires ou exposées à des risques, rendant cette entrée plus critique que jamais. |
17 | | - |
18 | | -### Surmonter les obstacles |
| 15 | +L'entrée **Agentivité excessive** a été élargie en raison de l'utilisation croissante d'architectures agentiques qui peuvent donner plus d'autonomie aux LLM. Lorsque les LLM agissent à titre d'agents ou configurateurs de plugiciels, les autorisations non circonscrites peuvent entraîner des actions involontaires ou exposer à des risques, rendant cette entrée plus critique que jamais. |
19 | 16 |
|
20 | | -Like the technology itself, this list is a product of the open-source community’s insights and experiences. It has been shaped by contributions from developers, data scientists, and security experts across sectors, all committed to building safer AI applications. We’re proud to share this 2025 version with you, and we hope it provides you with the tools and knowledge to secure LLMs effectively. |
| 17 | +### Surmonter les obstacles |
21 | 18 |
|
22 | | -Thank you to everyone who helped bring this together and those who continue to use and improve it. We’re grateful to be part of this work with you. |
| 19 | +Tout comme la technologie elle-même, cette liste est le fruit des réflexions et des expériences de la communauté du logiciel libre. Elle a été façonnée par les contributions de développeurs, de scientifiques de données et d’experts en sécurité de tous les secteurs, tous engagés à bâtir des applications d’IA plus sûres. Nous sommes fiers de partager cette version 2025 avec vous, et nous espérons qu’elle vous fournira les outils et les connaissances nécessaires pour sécuriser efficacement les LLM. Merci à tout le monde de l’avoir concrétisée et à vous qui en poursuivez l’usage et l’amélioration à nos côtés. Nous vous en sommes reconnaissants. |
23 | 20 |
|
24 | 21 |
|
25 | 22 | #### Steve Wilson |
26 | | -Project Lead |
27 | | -OWASP Top 10 for Large Language Model Applications |
28 | | -LinkedIn: https://www.linkedin.com/in/wilsonsd/ |
| 23 | + |
| 24 | +Responsable de Projet, |
| 25 | +OWASP Top 10 for Large Language Model Applications. |
| 26 | +LinkedIn: <https://www.linkedin.com/in/wilsonsd/> |
29 | 27 |
|
30 | 28 | #### Ads Dawson |
31 | | -Technical Lead & Vulnerability Entries Lead |
32 | | -OWASP Top 10 for Large Language Model Applications |
33 | | -LinkedIn: https://www.linkedin.com/in/adamdawson0/ |
| 29 | + |
| 30 | +Responsable Technique & Responsable Entrée des Vulnérabilités, |
| 31 | +OWASP Top 10 for Large Language Model Applications. |
| 32 | +LinkedIn: <https://www.linkedin.com/in/adamdawson0/> |
| 33 | + |
| 34 | +#### Équipe de traduction en français |
| 35 | + |
| 36 | +#### Cédric Mourizard |
| 37 | + |
| 38 | +#### Olivier Spéciel |
| 39 | + |
| 40 | +#### À propos de cette traduction |
| 41 | + |
| 42 | +#### Talesh Seeparsan, Responsable de la traduction, OWASP Top 10 pour les applications LLM LinkedIn : <https://www.linkedin.com/in/talesh/> |
| 43 | + |
| 44 | +#### N’hésitez à nous faire part de vos recommandations, commentaires et suggestions |
0 commit comments