OWASP LLM Top 10
Le OWASP Top 10 for Large Language Model Applications (version 2025) est la liste de référence des vulnérabilités des systèmes basés sur des LLM et figure régulièrement dans les rapports d'audit, les tests d'intrusion et les revues d'architecture.
La liste comprend dix risques : LLM01 Injection de prompt, LLM02 Divulgation d'informations sensibles, LLM03 Chaîne d'approvisionnement, LLM04 Empoisonnement des données et du modèle, LLM05 Mauvaise gestion des sorties, LLM06 Agence excessive, LLM07 Fuite du prompt système, LLM08 Faiblesses des vecteurs et embeddings, LLM09 Désinformation, LLM10 Consommation non bornée. Chaque entrée contient description du risque, exemples, mesures de prévention et propositions de tests.
En pratique, OWASP LLM Top 10 joue le rôle que OWASP API Top 10 joue pour les API classiques : lecture obligatoire avant tout test d'intrusion et revue d'architecture. Nous l'utilisons comme couche d'entrée pour la modélisation des menaces et la combinons avec le paysage des menaces IA de l'ENISA publié en 2024.