Formation sécurité des déploiements d'agents IA : IAM, sémantiques d'API, prompt injection, résilience

Cybersécurité offensive · IA agentique · Cloud

Sécuriser vos déploiements d'agents IA

Référence formation : CT-AISEC-01 · Niveau avancé · 1 jour (7 heures) · 60 % de pratique sur labs auto-corrigés.

Le risque migre du code vers l'environnement. Cette journée outille les équipes qui déploient des agents IA (Cursor, Claude Code, frameworks agentiques, serveurs MCP) pour qu'elles identifient et corrigent les angles morts qui ont causé les incidents récents : permissions IAM trop larges sur les tokens d'agents, sémantiques d'API destructives sans confirmation, absence d'isolation staging/prod, injection de prompt indirecte, sauvegardes colocalisées.

Fil rouge de la journée

Un agent IA qui détruit base de production et sauvegardes en neuf secondes, via un seul appel d'API. Le scénario est rejoué pas à pas et démonté par chacun des quatre labs, jusqu'à reconstruction d'une architecture qui rend l'incident impossible.

Session et tarif

Format : 1 jour (7 heures), présentiel ou distanciel, en inter-entreprises ou intra-entreprise.

Prochaine session : vendredi 17 juillet 2026 - distanciel. Session confirmée sous réserve d'un nombre suffisant d'inscriptions.

Effectif : jusqu'à 8 participants pour préserver le suivi individuel sur les labs.

Tarif inter-entreprises : 890 € HT par participant (TVA non applicable, art. 293 B du CGI).

Tarif intra-entreprise : sur devis selon contexte, effectif et lieu.

Financement : prise en charge OPCO possible sous réserve d'acceptation, organisme certifié Qualiopi.

Pour organiser une session ou adapter le programme à votre stack agentique : formulaire de contact.

Public cible

Développeurs et tech leads intégrant des agents IA dans des produits ; DevOps et SRE responsables des environnements où ces agents s'exécutent ; architectes cloud et sécurité ; RSSI souhaitant cadrer techniquement la dérive agentique dans leurs équipes.

Prérequis

Pratique courante du développement (Python ou langage équivalent) et de la ligne de commande Linux.
Notions générales d'AWS (IAM, rôles, policies) et d'API REST/GraphQL.
Avoir déjà utilisé un agent LLM (Cursor, Claude Code, Copilot Workspace ou équivalent) ou compris la boucle prompt + outils.
Aucune expérience sécurité offensive préalable n'est requise.

Objectifs pédagogiques

Cartographier les agents IA déployés dans une organisation, leurs outils, leurs scopes et leur pire action atteignable.
Auditer une chaîne d'escalade IAM exploitable par un agent et la réécrire en moindre privilège.
Identifier et neutraliser les sémantiques d'API destructives (hard delete, absence de confirmation, frontière staging/prod inexistante).
Construire et défendre contre une injection de prompt indirecte via les sources de contexte d'un agent.
Évaluer la résilience d'une architecture face à une action destructive automatisée et concevoir les garde-fous correspondants.

Programme de la journée

Quatre travaux pratiques en environnement vulnérable par conception, isolés, éphémères et auto-corrigés. Une CLI dédiée provisionne, valide et nettoie chaque lab.

Cadrage et thèse : pourquoi le risque migre du code vers l'environnement, démontage d'un cas type (destruction prod + backups en neuf secondes via un appel d'API), QCM amont de positionnement.
TP1 cartographie agentique : recensement des agents (deploy-bot, crawler, ci-runner), de leurs outils et scopes, dérivation de la pire action par agent, production d'une matrice rendue auto-évaluée.
TP2 audit IAM orienté agent : audit d'une chaîne agent -> PassRole -> Lambda -> AssumeRole -> admin sur LocalStack/Moto (variante AWS réelle disponible), reconstruction du graphe d'escalade, réécriture en moindre privilège, vérification automatique de l'absence de chemin résiduel.
TP3 sémantiques d'API destructives : faux fournisseur GraphQL exposant un volumeDelete en hard delete sans confirmation, déclenchement d'une suppression prod depuis un contexte staging, qualification soft/hard delete et fenêtre de récupération.
TP4 test de prompt injection : agent en boucle lisant une page contrôlée par le participant, construction d'une charge indirecte qui détourne l'agent hors périmètre, ajout d'une allowlist d'outils et re-test pour démontrer l'efficacité de la défense.
Synthèse et plan d'action : rejeu du cas fil rouge avec les contre-mesures construites dans la journée, checklist de garde-fous pour vos propres déploiements, QCM aval, restitution individuelle.

Les cinq piliers couverts

1. Cartographie agentique

AI BOM, scopes, blast radius par agent.

2. IAM orienté agent

Escalade, PassRole, moindre privilège effectif.

3. Sémantiques d'API destructives

Hard vs soft delete, confirmation, idempotence, isolation environnementale.

4. Prompt injection indirecte

Sources de contexte, séparation des canaux, allowlist d'outils.

5. Résilience

Isolation des sauvegardes, testabilité des restaurations, arrêt rapide d'un agent compromis.

Livrables pédagogiques

VM Scaleway éphémère par participant avec la CLI lab et les quatre TP prêts à provisionner.
Énoncés et corrigés formateur pour les quatre TP (remis en fin de journée).
Checklist opérationnelle des garde-fous à appliquer sur vos propres déploiements agentiques.
QCM de positionnement et de validation avec corrigé.
Attestation de fin de formation.

Approche pédagogique

Quatre principes structurent les exercices et garantissent la reproductibilité comme la sécurité.

Win condition observable : chaque TP a un objectif mesurable validé automatiquement (flag, état attendu, artefact produit), pas une appréciation subjective.
Données sacrificielles : aucune vraie donnée, aucun vrai credential, aucun appel à un endpoint externe réel. Les datasets et tokens sont seedés par le lab.
Déterminisme : la difficulté est identique pour tous les participants, la configuration est unique à chacun grâce à un identifiant qui sert de seed.
Réinitialisation garantie : la commande lab reset détruit tout l'état du lab, même après un exercice partiellement exécuté.

Informations pratiques

Transparence sur l'action de formation : durée, public, modalités, évaluation, accessibilité et financement.

Durée: 1 jour (7 heures effectives).
Modalités d'organisation: Présentiel ou distanciel (visioconférence). Basé à Toulouse, interventions possibles sur toute la France. Disponible en inter-entreprises (sessions programmées, 890 € HT par participant) ou en intra-entreprise (sur devis).
Nombre de participants: Jusqu'à 8 participants par session pour préserver le suivi individuel sur les labs.
Prérequis: Pratique du développement (Python apprécié), notions AWS et API REST/GraphQL, avoir déjà utilisé un agent LLM. Aucune expertise sécurité offensive préalable.
Méthodes pédagogiques et supports: Quatre travaux pratiques en environnements vulnérables auto-corrigés (60 % du temps), apports structurés, démonstrations, QCM amont et aval, support remis à l'issue de la formation.
Évaluation des acquis: Réussite des autograders sur les quatre TP, QCM aval, restitution individuelle des décisions prises sur chaque lab.
Matériel requis: Ordinateur portable du participant avec navigateur récent et client SSH. La VM, Docker, Terraform, LocalStack et la CLI lab sont fournis et préinstallés sur l'environnement distant.
Accessibilité: Formation adaptable aux personnes en situation de handicap. Nous contacter pour étudier les besoins spécifiques.
Financement: Organisme certifié Qualiopi au titre des actions de formation. Prise en charge OPCO possible sous réserve d'acceptation ; prévoir en général un délai d'instruction d'environ 30 jours.
Suivi qualité: Questionnaire de satisfaction à chaud et indicateurs de réussite des autograders ; analyse des retours pour amélioration continue.

Pour aller plus loin

Volet conseil et test : notre offre AI Red Team pour LLM, RAG et agents IA.
Fondamentaux IAM AWS : les erreurs IAM les plus fréquentes et notre guide SSRF et IMDSv2.
Méthode pentest sous-jacente : conduire un pentest web.

Demander un devis Voir l'offre AI Red Team

Questions fréquentes

Niveau avancé. La formation s'adresse à des profils qui pratiquent déjà le développement, le DevOps ou l'architecture cloud, et qui ont une compréhension générale d'AWS, des API REST/GraphQL et du fonctionnement d'un agent LLM (boucle prompt/outils). Aucune expertise sécurité offensive préalable n'est requise, les concepts pentest sont introduits au fil des labs.

Non. Le TP IAM tourne par défaut sur LocalStack/Moto en local, sans coût ni compte AWS. Une variante AWS réelle est proposée si vous souhaitez la jouer dans un sous-compte dédié. Les autres TP tournent en Docker Compose sur la VM fournie.

Chaque participant reçoit une VM éphémère et une CLI lab qui provisionne les environnements vulnérables, vérifie la réussite via un autograder et nettoie tout à la fin. Les états sont dérivés d'un identifiant participant : difficulté identique, configuration unique. Les données manipulées sont sacrificielles, jamais de vraies données ni de vrais credentials.

CodiTrust est organisme de formation certifié Qualiopi. Une prise en charge par votre OPCO est possible sous réserve d'acceptation, avec un délai d'instruction d'environ 30 jours. Inscription possible en inter-entreprises (890 € HT par participant) ou organisation en intra-entreprise sur devis.

Le sujet n'est pas comment construire un agent qui marche, mais comment le déployer sans qu'il détruise la production. Le risque traité n'est pas le code de l'agent mais l'environnement : permissions IAM accordées aux tokens, sémantiques d'API destructives sans confirmation, isolation staging vs production, injection de prompt indirecte via les sources de contexte. Les compétences sont à 70 % du pentest cloud et à 30 % des LLM.

← Toutes les formations