Agenda
Matin : Paysage des menaces & modélisation
- Pourquoi l’IA applique les patterns de sécurité de manière incohérente — et pourquoi c’est dangereux
- Nouveaux vecteurs d’attaque : injection de prompts, packages hallucinés, Context Window Poisoning
- STRIDE étendu aux agents IA : l’agent comme frontière de confiance
- Exercice 1 : Prompter un formulaire de login sans exigences de sécurité — analyser les lacunes
- Exercice 2 : Créer un modèle de menaces pour un workflow agent
Après-midi : Garde-fous, architecture & automatisation
- Specs de sécurité et instructions agent globales (
security-policy.md,CLAUDE.md) - Gates automatisés : SAST, SCA, scan de secrets dans CI/CD
- Secure-by-Design : middleware, ORM et typage comme garde-fous structurels
- Least Privilege pour les agents : système de fichiers, réseau, outils, scope
- Exercices 3–5 : Construire des garde-fous → Définir l’architecture sécurisée → Simulation Secure Dark Factory
Méthode
Hands-on toute la journée : le feature login de l’exercice 1 est construit sans garde-fous, sécurisé étape par étape et finalisé en simulation Secure Dark Factory complète avec Semgrep, npm audit et Gitleaks.
Prérequis : Expérience en développement logiciel. Aucune connaissance préalable en sécurité requise.