Si vous utilisez Mistral en production — via La Plateforme, l'API, ou un déploiement managé — vous êtes en risque résiduel d'un incident chez votre sous-traitant. Pas un risque catastrophique, mais un risque qui demande une réponse documentée. Le rôle d'un client RGPD-compliant, c'est précisément de ne pas attendre que l'incident l'éclabousse pour activer ses clauses.
Voici la checklist concrète, dans l'ordre des 30 prochains jours.
Semaine 1 : ce qui doit partir tout de suite
1. Récupérer la notification officielle
Mistral, en tant que sous-traitant au sens de l'article 28 RGPD, doit notifier ses clients d'une violation dans les meilleurs délais après en avoir pris connaissance (article 33.2 RGPD). Si vous n'avez pas reçu de notification écrite à ce stade — courrier formel, pas juste un blog post de comm — c'est votre premier point dur. Demandez-la par écrit, à votre interlocuteur commercial et à dpo@mistral.ai (ou équivalent).
Conservez l'horodatage de votre demande. Si vous notifiez vous-même la CNIL plus tard, ce sera utile.
2. Tourner tous les secrets liés à Mistral
Même si Mistral indique que les clés client n'ont pas été exfiltrées, le module API subscriptions management et le customer management étaient dans la fuite. Position prudente :
- Régénérer toutes les clés API Mistral utilisées par votre production.
- Tourner les webhooks signing secrets si vous en avez configurés.
- Mettre à jour les identifiants SSO/OIDC si vous accédiez à un dashboard Mistral.
C'est 30 minutes de travail, à faire avant la fin de la semaine.
3. Inventaire des données envoyées à Mistral
Listez :
- Les prompts que vos applications envoient (catégorie de données, sensibilité, présence de PII).
- Les fichiers uploadés via l'API (RAG, fine-tuning, embeddings).
- Les logs côté Mistral : quel volume, quelle rétention selon votre DPA.
Sans cet inventaire, vous ne pouvez ni évaluer l'impact ni répondre à une question CNIL.
Semaine 2 : activer les clauses contractuelles
4. Relire votre DPA Mistral, section incident
Cherchez précisément :
- Délai de notification (en heures, pas en "meilleurs délais").
- Engagement de coopération à l'investigation.
- Droit d'audit (sur site, sur documentation, par tiers).
- Indemnités prévues en cas de violation prouvée.
- Conditions de résiliation pour faute.
Si votre DPA est un contrat standard non négocié, ces clauses seront probablement faibles. Notez-le pour le prochain renouvellement.
5. Demander un rapport d'incident détaillé
Vous avez le droit de demander, par écrit :
- Le vecteur d'entrée précis et la fenêtre temporelle de compromission.
- Le périmètre exact des données concernées (vos données ont-elles été exposées ? lesquelles ?).
- Les mesures correctives appliquées et celles prévues.
- L'éventuelle attestation post-incident d'un tiers (audit externe, pentest, SOC 2 update).
Beaucoup de fournisseurs ne donnent ces éléments que sur demande explicite et écrite. Faites la demande, datée, par mail.
6. Notification CNIL et/ou clients en aval
Évaluation à faire en interne avec votre DPO :
- Vos données personnelles ont-elles été potentiellement exposées via Mistral ?
- Si oui, êtes-vous tenu de notifier la CNIL (article 33, 72h dès prise de connaissance côté responsable de traitement) ?
- Êtes-vous tenu de notifier les personnes concernées (article 34, si risque élevé) ?
Position courante : si Mistral indique que vos données client n'ont pas fuité, vous documentez l'évaluation et vous ne notifiez pas. Mais l'évaluation doit être écrite et conservée — c'est ce que demandera la CNIL en cas de question.
Semaine 3-4 : structurer la suite
7. Plan de contingence Mistral
À froid, sans urgence, posez la question : si nous devions sortir de Mistral en 30 jours, comment ferions-nous ?
- Quelle alternative technique (Anthropic, OpenAI, Bedrock, modèle ouvert self-hosted) ?
- Combien de temps pour adapter vos prompts et votre intégration ?
- Quel impact qualité utilisateur attendu ?
- Combien ça coûte ?
Vous n'avez pas besoin de migrer. Vous avez besoin de pouvoir migrer. Documenter ce plan vaut 4 à 8 heures de travail. Il vous servira aussi pour vos audits ISO 27001 et SOC 2 (gestion fournisseur, BCP).
8. Mettre à jour votre due diligence fournisseur LLM
Cet incident donne une occasion concrète de relire votre DDQ fournisseur LLM et d'ajouter, si elles n'y sont pas :
- Questions sur la chaîne d'outils de développement (registres internes, SBOM, quarantaine des nouvelles versions).
- Questions sur le scope des tokens internes utilisés en CI.
- Demande d'attestation post-incident : Mistral et ses concurrents en publieront probablement dans les 60 prochains jours.
9. Ajuster votre politique d'usage IA interne
Si vos équipes utilisent Mistral pour des cas d'usage sensibles (juridique, finance, RH), c'est le moment de re-classer. Cf. Shadow AI et politique d'usage.
Ce qui ne change pas
Mistral reste un fournisseur sérieux. L'incident est grave mais la réponse a été propre. Beaucoup de clients vont se demander s'il faut migrer ailleurs. La réponse honnête : probablement pas, sauf si vous avez des contraintes sectorielles très strictes (santé, défense, finance régulée). Un incident géré proprement est souvent un meilleur indicateur de maturité qu'une absence d'incident.
Ce qui change, c'est la qualité de votre dossier de conformité fournisseur. Avant l'incident, vous pouviez vous contenter d'un DPA signé et d'un SOC 2 Type II. Après l'incident, votre auditeur (et vos clients enterprise) vont vouloir voir l'évaluation que vous avez faite, les mesures que vous avez prises, et le plan de contingence documenté. C'est ce travail-là qu'il faut produire dans les 30 prochains jours.
Pour la lecture technique de l'incident, La compromission supply chain en détail. Pour la décision rançon côté Mistral, La rançon à 25 000 $ décortiquée.