MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) est une base de connaissances structurée recensant les tactiques, techniques et études de cas d'adversaires ciblant les systèmes d'IA et d'apprentissage automatique. Il s'agit d'une extension de MITRE ATT&CK dédiée à l'IA, appliquée non pas aux réseaux et aux terminaux, mais aux pipelines de données, aux API d'inférence de modèles, aux processus d'entraînement et aux outils d'IA utilisés quotidiennement par vos collaborateurs. En 2026, ATLAS documentait 16 tactiques, 170 techniques, 35 mesures d'atténuation et 57 études de cas concrets.
Qu'est-ce que MITRE ATLAS et quel problème résout-il ?
Pendant deux décennies, MITRE ATT&CK a fourni aux équipes de défense un langage commun pour décrire le comportement des adversaires. Ce référentiel a permis de répertorier comment les attaquants se déplacent au sein des réseaux, élèvent leurs privilèges et exfiltrent des données. Son efficacité reposait sur la relative stabilité de la surface d'attaque : terminaux, serveurs, protocoles réseau et identifiants.
L'IA a tout changé. Lorsque Microsoft a lancé Tay en 2016, l'attaque qui l'a mis hors service en 24 heures n'a exploité aucune vulnérabilité CVE. Aucun identifiant n'a été volé. Aucun réseau n'a été compromis. Les attaquants ont simplement fourni des données via l'interface prévue à cet effet, et le mécanisme d'apprentissage du modèle a retourné ces données contre lui-même. ATT&CK ne disposait d'aucune catégorie pour ce type d'attaque.
C’est précisément cette lacune que comble MITRE ATLAS. Ce cadre de référence documente comment les adversaires ciblent les systèmes d’IA : manipulation des données d’entraînement, exploitation abusive des API d’inférence, injection de messages malveillants, empoisonnement des résultats des modèles et exploitation des relations de confiance que les agents d’IA autonomes entretiennent au sein de l’infrastructure d’entreprise. Il fournit aux équipes de sécurité une taxonomie structurée pour identifier les menaces, modéliser les vecteurs d’attaque et adapter les contrôles à la couche d’IA de leur architecture.
ATLAS est maintenu par le Centre de défense fondée sur les menaces de MITRE et mis à jour en continu à partir des signalements d'incidents réels. La mise à jour v5.1.0 de novembre 2025 a considérablement étendu sa couverture. La première mise à jour de 2026 a intégré de nouvelles techniques d'IA agentielle, reflétant l'évolution rapide des outils d'IA d'assistance vers des agents d'IA agissant pour le compte des utilisateurs.
En quoi MITRE ATLAS diffère-t-il de MITRE ATT&CK ?
ATLAS et ATT&CK sont complémentaires, non concurrents. ATT&CK couvre la surface d'attaque traditionnelle : accès initial par hameçonnage, déplacement latéral par usurpation d'identité et exfiltration via les canaux de commande et de contrôle. ATLAS hérite de 13 tactiques directement d'ATT&CK et les applique à des contextes spécifiques à l'IA, puis ajoute trois tactiques sans équivalent dans ATT&CK.
La principale différence structurelle réside dans la cible de l'attaque. ATT&CK modélise les attaques contre l'infrastructure. ATLAS modélise les attaques contre les systèmes d'IA : le modèle lui-même, les données d'entraînement, l'API exposée et les décisions prises. Une attaque par injection de prompt sur ChatGPT n'affecte pas le réseau, mais le processus de raisonnement du modèle. ATT&CK ne propose aucune technique pour cela, contrairement à ATLAS.
En pratique, la plupart des environnements d'entreprise ont besoin des deux. ATT&CK reste le cadre approprié pour la propagation latérale, les ransomwares et la compromission des terminaux. ATLAS devient essentiel dès lors que… Contrôles d'utilisation de l'IA Elles font partie intégrante du flux de travail, ce qui est déjà le cas pour la majorité des travailleurs du savoir. Selon une étude de LayerX, 45 % des employés d'entreprise utilisent activement des outils d'IA. Les cadres de sécurité qui ignorent la couche d'IA laissent une vaste surface d'attaque non cartographiée.
L'autre différence majeure réside dans le rythme de mise à jour. ATLAS est mis à jour plus rapidement qu'ATT&CK, car le paysage des menaces liées à l'IA évolue plus vite. Les techniques relatives aux navigateurs d'IA agents, à la collecte d'identifiants d'agents d'IA et aux canaux de commande et de contrôle basés sur LLM sont apparues dans ATLAS avant même que la plupart des équipes de sécurité n'aient terminé l'évaluation de leur premier déploiement ChatGPT.
Quelles tactiques et techniques MITRE ATLAS couvre-t-il ?
ATLAS organise le comportement des adversaires en 16 tactiques, chacune représentant une phase ou un objectif d'une attaque contre un système d'IA. Ce cadre reprend les tactiques classiques d'ATT&CK et les applique au contexte de l'IA. Trois tactiques n'ont pas d'équivalent dans ATT&CK :
Mise en scène d'une attaque ML couvre les travaux préparatoires spécifiques aux attaques d'IA : construction de modèles proxy, entraînement de données adverses, préparation d'une infrastructure d'attaque qui reflète le système d'IA cible.
Accès au modèle ML décrit les méthodes utilisées par les adversaires pour interagir avec un modèle d'IA — via une API publique, un point de terminaison interne compromis ou un accès physique aux artefacts du modèle.
Attaques de modèles d'apprentissage automatique couvre les attaques directes contre le comportement du modèle : l’évasion, l’inférence, l’inversion et l’empoisonnement.
Parmi ces tactiques, plusieurs techniques reviennent fréquemment dans les rapports d'incidents d'entreprise. L'injection rapide (AML.T0051) arrive en tête. L'exfiltration de données via un modèle d'IA (AML.T0025) décrit comment des informations sensibles soumises à un outil d'IA peuvent être extraites ou divulguées. La compromission de la chaîne d'approvisionnement pour le ML (AML.T0010) couvre les attaques contre les bibliothèques, les ensembles de données et les modèles tiers que les organisations intègrent à leurs flux de travail d'IA. Pour une analyse plus approfondie de la manière dont ces risques se traduisent, Sécurité GenAI Les recherches de LayerX en matière de contrôle fournissent une analyse détaillée destinée aux praticiens.
Quelles sont les techniques MITRE ATLAS les plus pertinentes pour l'utilisation de l'IA en entreprise ?
La plupart des discussions sur ATLAS portent sur les attaques au niveau des modèles : exemples adverses, extraction de modèles, empoisonnement des données d’entraînement. Ce sont des menaces bien réelles pour les organisations qui conçoivent et exploitent des modèles d’IA. Pour la majorité des entreprises, l’exposition immédiate est différente. Leur risque lié à l’IA ne réside pas dans l’architecture des modèles, mais dans la manière dont les employés interagissent quotidiennement avec les outils d’IA.
77 % des employés d'entreprises saisissent des données dans les invites de GenAI. La moitié de ces données saisies concernent l'entreprise. 89 % des connexions aux services d'IA en entreprise échappent au contrôle de l'entreprise : les utilisateurs accèdent à ChatGPT, Copilot, Claude et Gemini via des comptes personnels non créés par le service informatique et donc inaccessibles à la surveillance.
Les techniques ATLAS les plus pertinentes face à cette réalité :
AML.T0051 — Injection rapide : Les adversaires intègrent des instructions malveillantes dans le contenu traité par le modèle d'IA. Dans les environnements d'entreprise utilisant Copilot ou des outils de messagerie assistée par IA, aucun accès particulier n'est requis : il suffit qu'un acteur malveillant puisse soumettre du contenu à une IA en laquelle l'utilisateur ciblé a confiance. prévention des abus de l'IA Les contrôles permettent de gérer cela au niveau de la session.
AML.T0025 — Exfiltration via le modèle IA : Les données sensibles soumises à un outil d'IA sont largement invisibles pour les solutions DLP au niveau du réseau, car elles transitent par le trafic HTTPS normal vers une destination autorisée. C'est là le cœur du problème. DLP IA est conçu pour résoudre.
AML.T0098 — Collecte d'identifiants d'outils d'agents d'IA : Ajout prévu pour 2026 à ATLAS. Lorsqu'un agent dispose d'un accès permanent à SharePoint, OneDrive ou CRM, compromettre cet agent équivaut à compromettre directement ces outils.
AML.T0100 — Appât à clics pour agents IA : Les adversaires conçoivent des pages web, des documents ou des éléments d'interface utilisateur destinés à manipuler les décisions des agents d'IA. L'agent se conforme aux instructions qui semblent liées à sa tâche, même lorsqu'elles sont malveillantes.
Où les menaces MITRE ATLAS s'exécutent-elles réellement dans l'environnement d'entreprise ?
C’est la question que la plupart des présentations d’ATLAS évitent, et pourtant c’est la plus importante sur le plan opérationnel.
Les équipes de sécurité qui consultent ATLAS raisonnent naturellement en termes de points de contrôle existants : réseau, terminaux, identité. Or, dans la plupart des attaques d’IA en entreprise, les menaces ne pénètrent pas dans le périmètre. Elles s’exécutent à l’intérieur, via des interfaces que le périmètre n’a jamais été conçu pour surveiller.
L'injection de requêtes ne se manifeste pas comme une intrusion réseau. Elle se présente sous la forme d'un document qu'un utilisateur ouvre dans son navigateur. L'exfiltration de données via un modèle d'IA ne ressemble pas à une fuite de données. Elle ressemble plutôt à un utilisateur qui saisit du texte dans ChatGPT via HTTPS.
Le point commun des techniques ATLAS d'entreprise les plus fréquentes est leur exécution au niveau du navigateur, au sein des sessions des outils d'IA. Les outils réseau constatent la connexion au domaine de ChatGPT, mais ignorent le contenu saisi. Les outils de point de terminaison observent le processus du navigateur, sans voir ce qui s'est passé à l'intérieur de la session. Les outils d'identité savent que l'utilisateur s'est authentifié, mais ignorent quelles données ont ensuite transité lors de l'interaction avec l'IA.
Ce manque de couverture n'est pas un problème de configuration, mais un problème d'architecture. Sécurité des extensions de navigateur Elle aborde ce problème au niveau où ces techniques sont exécutées.
Comment les équipes de sécurité mettent-elles en œuvre les contrôles MITRE ATLAS ?
ATLAS fournit le modèle de menaces. Sa mise en œuvre nécessite de faire correspondre les techniques du cadre aux contrôles réels, puis de combler les lacunes là où ces contrôles ne sont pas efficaces.
L'outil ATLAS Navigator constitue un point de départ pratique. Les équipes de sécurité peuvent superposer les contrôles existants à la matrice ATLAS afin de visualiser les techniques qu'elles peuvent détecter, prévenir ou pour lesquelles elles n'ont aucune couverture. Environ 70 % des mesures d'atténuation ATLAS correspondent à des contrôles de sécurité existants. Les 30 % restants nécessitent une couverture que la plupart des solutions actuelles ne fournissent pas, et sont principalement concentrés dans la couche d'interaction avec l'IA.
Les équipes qui sont allées le plus loin dans l'opérationnalisation d'ATLAS traitent les interactions avec l'IA comme un domaine de visibilité distinct nécessitant des contrôles dédiés : surveillance au niveau de la session des interactions avec les outils d'IA, classification des données alimentant les invites d'IA et politiques d'application qui répondent aux comportements cartographiés par ATLAS en temps réel.
La communauté de sécurité de Reddit a mis en lumière ce problème de front. Les praticiens apprécient ATLAS comme taxonomie, mais sa mise en œuvre s'avère complexe car les techniques supposent une visibilité dont la plupart des équipes de sécurité ne disposent pas. Le cadre indique ce qu'il faut rechercher ; obtenir le point de vue nécessaire pour l'observer constitue un tout autre problème.
Comment l'application des règles au niveau du navigateur permet-elle de contrer les techniques MITRE ATLAS ?
La plupart des menaces d'IA en entreprise répertoriées par ATLAS s'exécutent au sein de la session du navigateur. Pour les contrer, il est nécessaire de mettre en œuvre des mesures de sécurité à ce niveau.
LayerX fonctionne comme une extension de navigateur d'entreprise, offrant une visibilité et un contrôle en temps réel des interactions des outils d'IA au niveau de la session. Plusieurs techniques spécifiques sont directement compatibles :
Pour injection rapide (AML.T0051)LayerX surveille le contenu des interactions avec l'IA (ce qui est collé dans ChatGPT, Copilot, Claude et Gemini). Si le contenu correspond à des schémas d'injection ou à des classificateurs de données sensibles, LayerX peut avertir l'utilisateur, masquer l'élément sensible ou empêcher l'envoi.
Pour exfiltration de données via le modèle IA (AML.T0025)LayerX analyse les données que les employés collent et téléchargent dans les outils d'IA. 50 % des activités de collage vers les outils GenAI contiennent des données d'entreprise. Les équipes de sécurité peuvent appliquer des contrôles progressifs (surveillance, alerte, blocage ou suppression) sans pour autant bloquer totalement l'accès à l'IA.
Pour IA fantôme et accès non autorisé aux outilsLayerX assure une détection continue de tous les outils d'IA utilisés au sein de l'organisation. Actuellement, 89 % de l'utilisation de l'IA en entreprise échappe au contrôle de la direction. LayerX rend cette utilisation visible et la soumet aux politiques de gestion.
Pour menaces d'IA agentiques — Collecte d'identifiants (AML.T0098), appât à clics d'agents d'IA (AML.T0100) — LayerX est la seule plateforme de sécurité avec visibilité et application sur les navigateurs d'IA agents, notamment ChatGPT Atlas, Perplexity Comet et Dia.
Démonstration de la plateforme
Que représente MITRE ATLAS pour la gouvernance et la conformité en matière d'IA ?
ATLAS est de plus en plus souvent cité dans les cadres réglementaires et de conformité relatifs à la sécurité de l'IA. La loi européenne sur l'IA, le cadre de gestion des risques liés à l'IA du NIST et la norme ISO 42001 abordent tous la gestion des risques liés à l'IA au niveau politique. ATLAS fournit le vocabulaire technique permettant de traduire les exigences politiques en contrôles spécifiques et vérifiables.
Pour les RSSI chargés d'informer les comités sur les risques liés à l'IA, ATLAS constitue une référence externe crédible. Les organisations qui intègrent ATLAS à leur processus de modélisation des menaces sont mieux à même de répondre aux auditeurs, aux autorités de réglementation et aux assureurs qui posent des questions précises sur leur niveau de sécurité en matière d'IA.
La question de la conformité influence l'évaluation des fournisseurs. Les outils capables d'associer les capacités de détection et de mise en application à des identifiants de techniques ATLAS spécifiques (AML.T0051, AML.T0025, AML.T0098) permettent aux équipes de produire des cartographies de couverture structurées plutôt que des descriptions narratives.
La direction est claire. ATLAS passe d'un cadre de recherche à un référentiel de conformité.
Questions fréquemment posées
MITRE ATLAS est-il identique à MITRE ATT&CK ?
Non. ATT&CK couvre les méthodes d'attaque réseau et de terminaux classiques. ATLAS étend cette taxonomie spécifiquement aux systèmes d'IA. ATLAS reprend 13 tactiques d'ATT&CK et en ajoute trois sans équivalent dans ATT&CK. Les équipes de sécurité devraient utiliser les deux cadres conjointement.
MITRE ATLAS couvre-t-il l'injection rapide ?
Oui. L'injection de données directes est documentée sous la technique ATLAS AML.T0051. Elle couvre les attaques où les adversaires créent des entrées qui manipulent le comportement d'un modèle d'IA, notamment le jailbreak direct, l'injection indirecte via des documents ou du contenu web, et l'exploitation abusive de plugins.
À quelle fréquence MITRE ATLAS est-il mis à jour ?
Actif. La version 5.1.0 a été lancée en novembre 2025 et comprenait 16 tactiques, 170 techniques, 35 mesures d'atténuation et 57 études de cas. La première mise à jour de 2026 a intégré des techniques d'IA agentielle. ATLAS est un document évolutif, mis à jour à partir de rapports d'incidents réels.
Dois-je remplacer mes outils de sécurité existants pour implémenter MITRE ATLAS ?
Non. MITRE ATLAS est un framework, pas un produit. Environ 70 % de ses mesures d'atténuation correspondent à des contrôles de sécurité existants. Le point faible réside dans la couverture de la couche d'interaction avec l'IA, et plus précisément dans ce qui se passe au sein des sessions de navigateur lors de l'utilisation de GenAI.
Quelles sont les techniques MITRE ATLAS les plus difficiles à détecter avec les outils de sécurité traditionnels ?
L'exfiltration via un modèle d'IA (AML.T0025), l'injection rapide (AML.T0051) et la récupération d'identifiants par un agent d'IA (AML.T0098) sont rarement détectables par les outils réseau ou de sécurité des terminaux. Elles se produisent comme du trafic HTTPS normal au sein d'applications autorisées, lors de sessions authentifiées.
MITRE ATLAS s'applique-t-il aux outils d'IA basés sur navigateur comme ChatGPT ou Microsoft Copilot ?
Oui. Plusieurs techniques ATLAS s'exécutent directement via des interactions d'IA dans un navigateur, notamment l'exfiltration de données par invite (AML.T0025) et l'injection d'invite dans des documents (AML.T0051). Ce sont les menaces d'IA les plus fréquentes en entreprise.
