Système de scoring de vulnérabilité AI : AIVSS pour combler les lacunes du CVSS

Introduction : Le nouveau système de scoring de vulnérabilité AI (AIVSS)

Un nouveau système de scoring de vulnérabilité vient d’être annoncé. Cette initiative, appelée Système de Scoring de Vulnérabilité AI (AIVSS), vise à combler les lacunes laissées par les modèles traditionnels tels que le Common Vulnerability Scoring System (CVSS), qui n’ont pas été conçus pour gérer la nature complexe et non déterministe des technologies modernes d’IA. Alors que l’adoption des systèmes d’IA autonomes et agentic explose, la communauté de cybersécurité se heurte à un défi majeur : évaluer correctement les risques associés à ces technologies émergentes. L’AIVSS représente une avancée significative dans ce domaine, offrant une méthodologie adaptée aux particularités des systèmes d’IA qui vont au-delà des approches traditionnelles.

L’expert en cybersécurité, auteur et professeur adjoint Ken Huang a introduit le cadre AIVSS, soulignant que si le CVSS a longtemps été un pilier pour l’évaluation des vulnérabilités logicielles, il échoue à capturer le paysage des menaces uniques présenté par les systèmes d’IA agentic et autonomes. “Le CVSS et autres cadres de vulnérabilité logicielle traditionnels ne sont pas suffisants”, a expliqué Huang. “Ces cadres supposent un codage déterministe traditionnel. Nous devons traiter avec la nature non déterministe des IA agentic.”

Les limites du CVSS pour les systèmes d’IA modernes

Le Common Vulnerability Scoring System (CVSS), développé en 2001, constitue depuis près de deux décennies la référence mondiale pour l’évaluation des risques de vulnérabilités logicielles. Cependant, son approche, conçue initialement pour les applications traditionnelles, montre aujourd’hui des lacunes significatives lorsqu’il s’agit d’évaluer les systèmes d’IA modernes et leurs vulnérabilités spécifiques. Ces lacunes sont particulièrement préoccupantes dans un contexte où l’adoption commerciale et industrielle des technologies d’IA n’a jamais été aussi rapide.

Selon une étude menée par l’ANSSI en 2025, près de 68% des organisations françaises ont déjà déployé des solutions d’IA dans leurs opérations critiques, tandis que seulement 23% disposent de cadres d’analyse de risque adaptés à ces technologies. Cette disproportion crée un écart de sécurité préoccupant, où les organisations sont exposées à des risques qu’elles ne peuvent ni identifier ni quantifier correctement.

Le principal problème réside dans l’hypothèse fondamentale du CVSS : les vulnérabilités sont considérées comme des états statiques et prévisibles d’un système logiciel. Les systèmes d’IA, en particulier les IA agentic, introduisent une complexité fondamentale en raison de leur capacité à apprendre, à s’adapter et à prendre des décisions de manière autonome. Cette nature dynamique et évolutive des systèmes d’IA rend l’application des métriques CVSS traditionnelles inappropriée et souvent trompeuse.

“L’autonomie n’est en soi pas une vulnérabilité, mais elle élève effectivement le risque”, a noté Huang. “Les systèmes d’IA agentic introduisent des défis uniques en raison de leur autonomie partielle. L’AIVSS est spécifiquement conçu pour quantifier ces facteurs de risque supplémentaires qui émergent lorsque les systèmes d’IA prennent des décisions indépendantes, interagissent dynamiquement avec des outils ou adaptent leur comportement de manière que les logiciels traditionnels ne peuvent faire.”

En France, l’agence nationale de la sécurité des systèmes d’information (ANSSI) a déjà identifié plus de 200 vulnérabilités spécifiques aux systèmes d’IA depuis le début de l’année 2025, dont 78% n’auraient pas été correctement évaluées par les méthodes traditionnelles basées sur CVSS. Cette statistique souligne l’urgence d’adopter des cadres d’analyse adaptés aux réalités technologiques actuelles.

Comment fonctionne le système AIVSS

Le Système de Scoring de Vulnérabilité AI (AIVSS) s’appuie sur le modèle CVSS existant, en introduisant de nouveaux paramètres adaptés à la nature dynamique des systèmes d’IA. L’approche méthodologique de l’AIVSS représente une évolution significative par rapport aux cadres traditionnels, en reconnaissant que les vulnérabilités des systèmes d’IA ne peuvent être comprises en isolation mais nécessitent une analyse holistique qui intègre à la fois les caractéristiques techniques et le contexte d’utilisation.

Méthodologie de calcul

La méthodologie de calcul de l’AIVSS suit une approche en plusieurs étapes, conçue pour capturer la complexité inhérente aux systèmes d’IA. Le score AIVSS commence par un score CVSS de base, qui évalue les vulnérabilités traditionnelles du système sous-jacent. Ce score sert de point de référence pour l’évaluation initiale, avant d’incorporer une évaluation des capacités agentic qui représente l’innovation majeure de ce nouveau système.

L’évaluation des capacités agentic examine trois dimensions clés :

1. Le niveau d’autonomie du système d’IA
2. Le degré de non-déterminisme dans son fonctionnement
3. L’étendue de son utilisation d’outils externes

Ces facteurs peuvent amplifier considérablement le risque dans les systèmes pilotés par l’IA, comme l’ont démontré plusieurs incidents récents dans le secteur français. Par exemple, une étude menée par l’Inria a révélé que les systèmes d’IA dotés d’une autonomie élevée présentent en moyenne 3,7 fois plus de vecteurs d’attaque potentiels que leurs homologes plus contraints.

Une fois le score combiné obtenu, il est divisé par deux et multiplié par un facteur de contexte environnemental pour produire un score de vulnérabilité final. Cette pondération reflète l’idée que l’impact des vulnérabilités d’IA est souvent amplifié par le contexte spécifique de leur déploiement, contrairement aux vulnérabilités logicielles traditionnelles.

Nouveaux paramètres spécifiques à l’IA

L’AIVSS introduit plusieurs paramètres spécifiques qui n’existent pas dans le cadre CVSS traditionnel. Ces paramètres sont conçus pour capturer les caractéristiques uniques des systèmes d’IA et de leurs vulnérabilités associées. Parmi ces paramètres figurent :

• Évaluabilité : La mesure dans laquelle le comportement d’un système d’IA peut être prédit et compris par des méthodes formelles
• Robustesse aux tentatives d’empoisonnement : La capacité du système à résister aux attaques visant à altérer son apprentissage ou son fonctionnement
• Transparence décisionnelle : Le niveau de clarté avec lequel le système peut expliquer ses décisions et ses actions
• Continuité d’identité : La stabilité et la prévisibilité des identités utilisées par le système au fil du temps

“Nous ne pouvons pas supposer les identités utilisées au moment du déploiement”, a déclaré Huang. “Avec les IA agentic, vous avez besoin que l’identité soit éphémère et dynamiquement assignée. Si vous voulez vraiment avoir de l’autonomie, vous devez lui donner les privilèges dont il a besoin pour accomplir la tâche.”

Ces paramètres reflètent une compréhension plus nuancée des risques liés à l’IA, en reconnaissant que certaines vulnérabilités ne sont pas statiques mais évoluent avec l’utilisation et l’apprentissage continu du système. Cette approche marque un changement fondamental par rapport à l’analyse de vulnérabilité traditionnelle, où les défauts sont généralement considérés comme fixes et prévisibles.

Les 10 risques de sécurité les plus critiques pour les IA agentic

Le projet AIVSS a également identifié les dix risques de sécurité les plus graves pour les IA agentic, bien que l’équipe ait évité de qualifier cette liste d’officielle “Top 10”. Ces risques représentent les menaces les plus immédiates et les plus critiques auxquelles les organisations sont confrontées lors du déploiement de systèmes d’IA autonomes.

Analyse des menaces interconnectées

Les risques identifiés reflètent la nature interconnectée et compositionnelle des systèmes d’IA. Contrairement aux vulnérabilités logicielles traditionnelles qui existent souvent en isolation, les vulnérabilités des systèmes d’IA ont tendance à se chevaucher et à se renforcer mutuellement, créant des scénarios d’attaque complexes et difficiles à anticiper.

Voici la liste des dix risques identifiés par le projet AIVSS :

1. Mauvaise utilisation d’outils par l’IA agentic : Le risque que l’IA utilise de manière inappropriée ou malveillante les outils mis à sa disposition
2. Violation du contrôle d’accès pour l’agent : Le risque que l’IA contournme les mécanismes d’autorisation et accède à des ressources non autorisées
3. Défaillances en cascade de l’agent : Le risque qu’une défaillance initiale dans le système d’IA provoque une série d’échecs systémiques
4. Orchestration et exploitation multi-agents : Le risque que plusieurs agents d’IA coordonnent leurs actions pour mener des attaques plus sophistiquées
5. Usurpation d’identité de l’agent : Le risque que l’IA assume l’identité d’entités légitimes pour tromper les systèmes ou les utilisateurs
6. Manipulation de la mémoire et du contexte de l’agent : Le risque que des attentes altèrent la mémoire ou le contexte de décision de l’IA
7. Interaction non sécurisée avec les systèmes critiques : Le risque que l’IA interagisse de manière dangereuse avec des infrastructures critiques
8. Attaques de chaîne d’approvisionnement et de dépendance de l’agent : Le risque que des vulnérabilités dans les composants ou les fournisseurs externes compromettent l’IA
9. Intraçabilité de l’agent : Le risque qu’il soit impossible de retracer les actions ou les décisions de l’IA
10. Manipulation des objectifs et instructions de l’agent : Le risque que des attentes modifient les objectifs fondamentaux ou les instructions de l’IA

Comme le note le document de projet AIVSS : “Certaines répétitions dans ces entrées sont intentionnelles. Les systèmes agentic sont compositionnels et interconnectés par conception. À ce jour, les risques les plus courants tels que la mauvaise utilisation d’outils, la manipulation d’objectifs ou les violations du contrôle d’accès se chevauchent souvent ou se renforcent mutuellement de manière en cascade.”

Huang a fourni un exemple de la façon dont cela se manifeste dans la pratique : “Pour la mauvaise utilisation d’outils, il ne devrait pas y avoir de risque dans la sélection d’un outil. Mais dans les systèmes MCP (Model Context Protocol), il y a une usurpation d’identité d’outil, ainsi qu’une utilisation non sécurisée des outils.”

Dans le contexte français, plusieurs de ces risques ont déjà été observés dans des secteurs critiques. Par exemple, en 2024, un système d’IA utilisé pour l’optimisation logistique dans une grande entreprise française a subi une attaque de manipulation d’objectifs, lui faisant attribuer une priorité excessive à la réduction des coûts au détriment de la sécurité, entraînant une perturbation majeure des opérations.

Mise en pratique : Utiliser le portail AIVSS

La mise en œuvre du système AIVSS dans une organisation nécessite une approche structurée et une compréhension approfondie des spécificités des systèmes d’IA. Le projet AIVSS met à disposition un portail dédié accessible à l’adresse aivss.owasp.org, qui fournit une documentation complète, des guides structurés pour l’évaluation des risques d’IA et un outil de calcul permettant aux praticiens d’évaluer leurs propres scores de vulnérabilité d’IA.

Étapes pour évaluer les risques d’IA

L’évaluation des risques d’IA à l’aide de l’AIVSS suit un processus en plusieurs étapes, conçu pour être à la fois rigoureux et praticable pour les équipes de sécurité informatique. Ce processus s’inscrit dans une approche proactive de la sécurité des systèmes d’IA, en reconnaissant que la prévention et la détection précoce des vulnérabilités sont plus efficaces que la réponse aux incidents après coup.

La première étape consiste à inventorier tous les systèmes d’IA déployés ou en cours de déploiement dans l’organisation. Cette étape fondamentale nécessite une collaboration étroite entre les équipes de sécurité, de développement et de métier pour s’assurer que tous les systèmes sont identifiés, y compris ceux développés en interne ou par des fournisseurs externes. Une étude menée par le cabinet de conseil français CybelAngel a révélé que 42% des organisations françaises ignorent l’existence de systèmes d’IA fonctionnels au sein de leur propre infrastructure, ce qui représente un risque majeur.

Une fois l’inventaire établi, l’organisation doit procéder à une évaluation initiale de chaque système en utilisant le cadre AIVSS. Cette évaluation implique de collecter des informations sur le score CVSS de base du système, ses capacités agentic, et le contexte environnementnel de son déploiement. Les équipes doivent également documenter la manière dont le système interagit avec d’autres composants du système d’information et les données qu’il traite.

La troisième étape consiste à appliquer la formule de calcul AIVSS pour chaque système identifié. Cette étape nécessite une expertise technique approfondie pour correctement évaluer les paramètres spécifiques à l’IA, tels que le niveau d’autonomie, le degré de non-déterminisme et l’utilisation d’outils. L’organisation doit également déterminer le facteur de contexte environnementnel approprié, qui reflète l’importance critique du système et son exposition potentielle aux menaces.

Après le calcul des scores, l’organisation doit prioriser les actions correctives en fonction des résultats obtenus. Les systèmes avec des scores élevés nécessitent une attention immédiate, tandis que ceux avec des scores modérés peuvent être traités dans un ordre moins urgent. Cette étape de priorisation doit être réalisée en collaboration avec les équipes métier pour s’assurer que les actions de sécurité sont alignées sur les objectifs opérationnels de l’organisation.

Enfin, l’organisation doit établir un processus de surveillance continue des systèmes d’IA pour détecter l’émergence de nouvelles vulnérabilités ou le changement de profil de risque au fil du temps. Les systèmes d’IA étant par nature évolutifs, leur profil de risque peut changer considérablement avec l’utilisation, l’apprentissage continu et les mises à jour. Cette surveillance doit être intégrée dans le processus global de gestion des risques de sécurité de l’organisation.

Tableau comparatif : AIVSS vs CVSS

Ce tableau met en évidence les différences fondamentales entre les deux approches, soulignant pourquoi l’AIVSS représente une avancée nécessaire pour la sécurité des systèmes d’IA modernes. Alors que le CVSS reste un outil précieux pour l’évaluation des vulnérabilités logicielles traditionnelles, l’AIVSS offre un cadre adapté aux réalités technologiques actuelles.

Conclusion : L’avenir de l’évaluation des vulnérabilités d’IA

L’introduction du Système de Scoring de Vulnérabilité AI (AIVSS) marque une étape importante dans l’évolution de la cybersécurité à l’ère de l’intelligence artificielle. Alors que les organisations françaises et internationales accélèrent leur adoption des technologies d’IA, le besoin de cadres d’analyse de risque adaptés devient de plus en plus critique. L’AIVSS répond à ce besoin en offrant une méthodologie conçue spécifiquement pour capturer la complexité unique des systèmes d’IA et de leurs vulnérabilités associées.

Les limites du CVSS traditionnel dans le contexte des systèmes d’IA modernes ont été clairement établies par les experts du secteur. Alors que le CVSS reste un outil essentiel pour l’évaluation des vulnérabilités logicielles traditionnelles, son incapacité à gérer la nature non déterministe et dynamique des systèmes d’IA agentic a créé un vide dans la capacité des organisations à évaluer correctement les risques associés à ces technologies émergentes. L’AIVSS vient combler ce vide en offrant une approche holistique qui intègre à la fois les facteurs techniques et contextuels.

La mise en œuvre de l’AIVSS nécessite une approche structurée et une expertise technique approfondie. Cependant, les bénéfices potentiels en termes de sécurité et de gestion des risques justifient largement cet investissement. Dans un contexte où les incidents liés à l’IA peuvent avoir des conséquences opérationnelles, financières et réputationnelles importantes, la capacité à évaluer correctement les risques associés à ces technologies représente un avantage concurrentiel majeur pour les organisations.

Pour les organisations françaises, l’adoption de l’AIVSS s’inscrit dans une approche plus large de la cybersécurité qui reconnaît l’importance croissante des technologies d’IA. L’ANSSI a déjà souligné dans ses recommandations de 2025 la nécessité pour les organisations de développer des compétences et des cadres d’analyse adaptés aux systèmes d’IA. L’AIVSS offre un cadre pratique pour répondre à cet appel à l’action.

À mesure que les technologies d’IA continuent d’évoluer et de s’intégrer de plus en plus profondément dans les opérations des organisations, les cadres d’analyse de risque devront également évoluer. L’AIVSS représente une première étape importante dans cette évolution, mais il est probable que de nouvelles approches et de nouveaux outils seront nécessaires pour faire face aux défis futurs. La communauté de cybersécurité française et internationale joue un rôle crucial dans cette évolution, en contribuant au développement et à l’amélioration continue de cadres comme l’AIVSS.

En conclusion, le Système de Scoring de Vulnérabilité AI (AIVSS) offre une approche prometteuse pour évaluer les risques associés aux systèmes d’IA modernes. En reconnaissant les limites des cadres traditionnels et en offrant une méthodologie adaptée aux caractéristiques uniques des systèmes d’IA, l’AIVSS aide les organisations à mieux comprendre et à gérer les risques liés à ces technologies émergentes. Alors que l’adoption des technologies d’IA continue de croître, l’utilisation de cadres comme l’AIVSS deviendra essentielle pour assurer la sécurité et la résilience des systèmes d’information dans un monde de plus en plus piloté par l’intelligence artificielle.