Sécurité IA

NIST AI RMF + MITRE ATLAS — comment je les utilise conjointement

Deux référentiels qui se complètent : un cadre de gouvernance et un catalogue d'attaques. La méthode pour les combiner sans dupliquer le travail.

Les CTOs me posent souvent la question : "on utilise quoi, NIST AI RMF ou MITRE ATLAS ?". La bonne réponse, c'est les deux, mais pas pour la même chose. L'un est un cadre de gouvernance, l'autre un catalogue de techniques d'attaque. Les combiner produit un programme défendable et utile. Voici comment.

Ce que fait chacun, en clair

NIST AI RMF (et son Generative AI Profile)

Cadre organisationnel publié par le NIST. Quatre fonctions :

  • GOVERN — culture, politiques, rôles, formation.
  • MAP — contexte d'usage, parties prenantes, risques identifiés.
  • MEASURE — métriques de risque, évaluation, monitoring.
  • MANAGE — traitement des risques, allocation des ressources.

Il dit quoi gouverner et quoi mesurer, pas comment se faire attaquer en pratique. C'est un cadre "top-down" qui structure le programme.

MITRE ATLAS

Catalogue opérationnel des techniques d'attaque sur les systèmes IA. Reprend la structure ATT&CK (tactics × techniques) appliquée à l'IA. Couvre :

  • Reconnaissance (collecte d'infos sur le modèle).
  • Resource Development (préparation d'attaques, jeux de données malveillants).
  • ML Model Access (Inference API, Physical Environment).
  • ML Attack Staging (Poison Training Data, Backdoor ML Model).
  • Exfiltration (ML Artifact Theft, Extract ML Model).
  • Impact (Erode ML Model Integrity, Spamming ML System).

Il dit comment vous serez attaqué, pas comment gouverner.

Pourquoi les deux ensemble

NIST AI RMF tout seul = un programme qui peut être totalement déconnecté du réel. Vous cochez "MEASURE.2.1 — risques identifiés" sans savoir si vos contrôles bloquent les vraies attaques.

MITRE ATLAS tout seul = une liste de techniques sans organisation. Vous corrigez 5 techniques cool mais vous oubliez les 20 autres parce que vous n'avez pas de cadre de priorisation.

Combiner = chaque mesure de NIST AI RMF est reliée aux techniques ATLAS qu'elle adresse, et chaque technique ATLAS est rattachée à une mesure de gouvernance qui la couvre.

Comment je structure ça en mission

Étape 1 — Cadre NIST AI RMF comme colonne vertébrale

Je structure le programme autour des 4 fonctions GOVERN / MAP / MEASURE / MANAGE. Chaque fonction se décompose en catégories et sous-catégories. Je documente l'état actuel par sous-catégorie (Conforme / Partiellement / Non-conforme / Non applicable).

Étape 2 — MITRE ATLAS pour MAP et MEASURE

Pour les fonctions MAP (cartographier les risques) et MEASURE (évaluer la posture), j'utilise ATLAS comme liste de check :

  • MAP-1 — Contexte établi : pour chaque cas d'usage IA, quelles techniques ATLAS sont applicables ?
  • MAP-5 — Impacts identifiés : pour chaque technique ATLAS applicable, quel impact business si exploitée ?
  • MEASURE-1 — Méthodes de mesure : pour chaque technique applicable, comment mesure-t-on l'efficacité du contrôle ?
  • MEASURE-2 — Suivi des risques : indicateur de couverture des techniques ATLAS pertinentes.

Étape 3 — Mapping contrôles ↔ ATLAS

Pour chaque contrôle existant (SAST, secrets scanning, runtime detection, validation humaine, etc.), j'indique quelles techniques ATLAS il réduit.

Exemple :

  • Output filtering PII → atténue Extract ML Model (en empêchant la fuite d'infos training) et ML Artifact Theft partielle.
  • Catalogue tools MCP minimal → atténue LLM Prompt Injection: Direct (limite la surface) et LLM Plugin Compromise.
  • Sandboxing exécution code généré → atténue System Misuse for External Effect.

Étape 4 — Cartographie des gaps

Le résultat se présente sous forme de matrice :

| Technique ATLAS | Applicable ? | Contrôles en place | Couverture | Action | |---|---|---|---|---| | LLM Prompt Injection: Direct | Oui | Rebuff + ASVS V5 | Partielle | Ajouter tests CI | | Poison Training Data | Oui | Provenance, scan | Bonne | RAS | | Extract ML Model | Oui | Rate limit | Faible | Ajouter detection patterns |

Et de l'autre côté, le programme NIST AI RMF a son tableau de conformité par sous-catégorie.

La défendabilité auditeur

Pour un audit ISO 42001 ou un dossier AI Act, cette structure est ce qui rend défendable :

  • ISO 42001 (clause 8.2 — risk management) : NIST AI RMF couvre, ATLAS apporte la traçabilité technique.
  • AI Act (article 9 — risk management system) : même chose, NIST RMF + ATLAS = système de gestion des risques documenté.
  • ISO 27001 (Annexe A 5.7 — threat intelligence) : ATLAS apporte la threat intelligence IA.

Voir articulation ISO 27001 / ISO 42001 / RGPD / AI Act.

Les pièges classiques

Choisir un seul des deux

Soit on a un beau programme NIST RMF sans menace réelle traitée (théâtre de gouvernance), soit on a une chasse aux techniques ATLAS sans priorisation business (sécurité décorrélée du métier).

Faire NIST RMF avant de connaître son cas d'usage

Le cadre NIST est inutile si vous ne savez pas ce que fait votre IA. Démarrer par MAP-1 (contexte), pas par GOVERN-1 (politiques).

Vouloir couvrir TOUTES les techniques ATLAS

Beaucoup ne sont pas applicables à votre cas d'usage. Filtrer d'abord par applicabilité, puis prioriser par criticité métier.

Ne pas mettre à jour quand la stack change

NIST RMF + ATLAS doivent être re-passés à chaque évolution majeure : nouveau modèle, nouveau cas d'usage, nouvelle source de données externe.

Mon avis en 1 ligne

NIST AI RMF pour la structure organisationnelle, MITRE ATLAS pour la check-list opérationnelle des menaces, et un mapping explicite des deux. C'est la combinaison qui rend un programme défendable face à un comex et auditeur. Compter 5-10 jours-conseil pour poser la première version du mapping, puis revue trimestrielle.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ArticleOwasp llm top 10 2026 mapping controles ArticleThreat modeling application ia stride vs mitre atlas ArticleNist ai rmf cadre startups francaises