Pilier · Sécurité IA & MLSecOps

MLOps sécurité — sécuriser le pipeline ML.

Guide opérationnel MLSecOps : sécurisation du pipeline ML, validation des datasets, signature des modèles, supply chain ML, observabilité en production sur Azure ML, Vertex AI, SageMaker. Méthode WeeSec alignée NIST AI RMF, ISO 42001 et AI Act Articles 9 à 15.

À retenir — MLOps sécurité (MLSecOps)

DéfinitionIntégration de la sécurité tout au long du cycle de vie ML : datasets, entraînement, signature, déploiement, monitoring, retraining. Équivalent ML du DevSecOps.
Référentiels 2026NIST AI Risk Management Framework + GenAI Profile (NIST AI 600-1), ISO/IEC 42001:2023, ISO/IEC 23894:2023, OWASP ML Top 10, OWASP LLM Top 10, MITRE ATLAS, AI Act Articles 9-15.
Plateformes maîtriséesAzure Machine Learning, Google Vertex AI, AWS SageMaker, MLflow self-hosted, Kubeflow, Hugging Face Hub.
Validation datasetsGreat Expectations, Deepchecks, MLflow Data Lineage, Pandera. Détection de drift, vérification de schéma, contrôle d'intégrité cryptographique.
Signature modèlesSigstore model-signing (OpenSSF, 2024), Cosign attestation, SLSA Level 2+ pour artefacts ML. Standard de fait sur Hugging Face.
Attaques à modéliserData poisoning, model serialization attacks (.pkl/.pt malveillants), supply chain compromise, membership inference, model extraction, adversarial examples.
Fourchette mission WeeSec10 000 € — 60 000 € HT selon scope (audit pipeline existant, refonte sécurité ML, mise en conformité AI Act).

Faits vérifiés au 2026-05-21 contre NIST, ISO, OWASP, MITRE et documentations Azure ML / Vertex AI / SageMaker. Voir la politique de fact-checking WeeSec.

MLOps sécurité (MLSecOps) — définition et périmètre

MLSecOps (Machine Learning Security Operations) est la pratique d'intégration de la sécurité tout au long du cycle de vie d'un système ML : collecte et préparation des datasets, entraînement, validation, signature, déploiement, monitoring en production, retraining. C'est l'équivalent ML du DevSecOps appliqué à la chaîne logicielle classique.

Le périmètre couvre cinq surfaces d'attaque distinctes : les datasets (poisoning, contamination, biais introduits volontairement), les modèles (serialization attacks via .pkl/.pt/.safetensors, modèles compromis sur Hugging Face Hub), le pipeline d'entraînement (compromission des notebooks, secrets exposés, dépendances tierces vulnérables), le model registry (signature manquante, contrôle d'accès faible) et l'inférence en production (drift adversarial, attaques d'extraction, prompt injection sur les LLM).

Sécuriser le pipeline ML — méthode WeeSec en 5 couches

  1. Identité et isolation — RBAC granulaire par projet (Azure ML workspaces, GCP Vertex AI projects, SageMaker domains), namespace dédié par modèle, secrets dans Azure Key Vault / GCP Secret Manager / AWS Secrets Manager. Aucun secret dans les notebooks. Aucun token GitHub dans les images de training.
  2. Validation des datasets — Great Expectations ou Deepchecks dans le pipeline d'ingestion. Lineage tracking via MLflow Data Lineage, Vertex Pipelines, ou Azure ML DataAssets. Vérification de schéma, détection de drift, contrôle d'intégrité cryptographique (hash SHA256 archivé). Pandera pour la validation typée des DataFrames.
  3. Signature des modèles — Sigstore model-signing (OpenSSF, GA en 2024) + Cosign attestations. Identité OIDC keyless via GitHub Actions, GCP Workload Identity Federation, ou Azure Workload Identity. Pour les modèles open source : signature systématique avant publication Hugging Face. Pour les modèles internes : registry signé avec attestations SLSA Level 2+.
  4. Model registry sécurisé — versioning immuable, contrôle d'accès par environnement (dev / staging / prod), audit log immuable des promotions de modèle. Aucun "latest" pointant vers du non-signé. Signature vérifiée à chaque pull en inference. Azure ML Model Registry, Vertex AI Model Registry et SageMaker Model Registry supportent tous ce mode.
  5. Inference observability — détection de drift (Evidently AI, Arize AI, WhyLabs), monitoring des prompts/sorties LLM (Lakera Guard, NeMo Guardrails, Promptfoo), classifieurs en sortie (LlamaGuard, Bedrock Guardrails), audit log requête + utilisateur + contexte + résultat pour forensics.

Attaques contre les pipelines ML — top 5 à modéliser en 2026

Sur la base de MITRE ATLAS et OWASP ML Top 10, voici les classes d'attaques dominantes en 2026.

  • Data poisoning — empoisonnement des datasets d'entraînement. Sous-classes : label flipping (changer la classe cible), backdoor poisoning (insérer un déclencheur secret), watermark adversarial. Défense : validation Great Expectations stricte, lineage tracking, dataset signing.
  • Model serialization attacks — fichiers .pkl (Python pickle), .pt (PyTorch) contenant du code malveillant exécuté à load. Affecte massivement Hugging Face Hub. Défense : utiliser safetensors (format sans exécution de code), scanner les fichiers avec PickleScan, signer les modèles avec Sigstore.
  • Supply chain ML — modèles compromis sur Hugging Face Hub, datasets publics empoisonnés (Common Crawl, LAION), dépendances Python vulnérables (transformers, torch). Défense : SBOM ML (composants + datasets + modèles), Snyk + Safety + pip-audit en CI, mirror interne pour les modèles critiques.
  • Membership inference / model extraction — inférer les données d'entraînement par requêtes ciblées, ou cloner le modèle via requêtes massives (model stealing). Défense : rate limiting agressif par utilisateur, differential privacy lors de l'entraînement, prediction noise, watermarking du modèle.
  • Adversarial examples — entrées soigneusement craftées qui exploitent les failles d'un modèle (image avec perturbation imperceptible, texte avec caractères Unicode invisibles, audio avec ultrasons). Défense : adversarial training, défense par ensemble, détection de perturbations en pré-traitement.

MLSecOps et conformité réglementaire

La sécurité ML n'est plus optionnelle. Plusieurs cadres réglementaires l'exigent explicitement.

  • AI Act (Règlement UE 2024/1689) — Article 9 (système de gestion des risques), Article 10 (qualité des données), Article 12 (journalisation), Article 15 (précision, robustesse, cybersécurité). Application opérationnelle systèmes haut risque : 02 août 2026.
  • ISO/IEC 42001:2023 — première norme certifiable de management de l'IA. Section 8 (operation) attend explicitement des contrôles sécurité sur le cycle de vie IA.
  • NIST AI Risk Management Framework et son Generative AI Profile (NIST AI 600-1, juillet 2024) — cadre opérationnel volontaire en 4 fonctions Govern / Map / Measure / Manage.
  • ISO/IEC 23894:2023 — guidance sur la gestion des risques IA, compatible ISO 42001.
  • OWASP ML Top 10 et OWASP LLM Top 10 — référentiels d'attaques par classe, mapping vers les contre-mesures.

Pipelines RAG et LLM — sécurité opérationnelle

Les architectures RAG (Retrieval-Augmented Generation) et les déploiements LLM en production ajoutent une couche de complexité. La sécurisation se fait en trois temps : ingestion (validation des documents, détection de prompt injection cachée, tagging de sensibilité), stockage et retrieval (isolation multi-tenant, filtre pre-retrieval, chiffrement vector store), génération (guardrails pre/post-prompt, audit log liaison utilisateur + chunks + sortie). Voir nos articles dédiés sur le RAG en production et le RAG multi-tenant.

Outils MLSecOps — sélection 2026

Validation datasets : Great Expectations (leader), Deepchecks, Pandera (Python typé), Soda Core, Monte Carlo (DataObservability commercial).

Signature et provenance modèles : Sigstore model-signing (OpenSSF), Cosign + safetensors, in-toto attestations, SLSA framework.

Model registry : Azure ML Model Registry, Vertex AI Model Registry, SageMaker Model Registry, MLflow Model Registry (self-hosted), Hugging Face Hub.

Observability inférence : Evidently AI (open source + commercial), Arize AI, WhyLabs, Fiddler AI, Mona Labs.

LLM guardrails : NeMo Guardrails (NVIDIA), LlamaGuard (Meta), Lakera Guard (commercial), AWS Bedrock Guardrails, Azure AI Content Safety, Constitutional AI (Anthropic, intégré dans Claude).

Red teaming ML / LLM : Garak (NVIDIA, scanner LLM open source), PyRIT (Microsoft AI Red Team), Promptfoo, Adversarial Robustness Toolbox (IBM).

MLSecOps — accompagnement WeeSec

Trois formats de mission selon votre maturité MLOps actuelle.

  • Audit pipeline ML (2-3 semaines) — cartographie de l'existant, mapping des surfaces d'attaque, plan de remédiation priorisé. Fourchette : 10 000 € — 20 000 €.
  • Refonte sécurité MLOps (1-3 mois) — implémentation des 5 couches WeeSec sur votre plateforme (Azure ML / Vertex AI / SageMaker), signature des modèles, validation datasets, observability inférence. Fourchette : 25 000 € — 45 000 €.
  • Mise en conformité AI Act (2-4 mois) — gap analysis vs Articles 9 à 15 pour vos systèmes IA haut risque, documentation Annexe IV, préparation à l'évaluation de conformité, mise en œuvre des contrôles techniques. Fourchette : 30 000 € — 60 000 €.

Mission menée directement par Aroua Biri (MIT Applied AI, ingénieure docteure en cybersécurité, ISO 27001 Lead Auditor, 15+ ans d'expérience). Vendor-neutral systématique.

Un sujet MLOps sécurité chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

Articles WeeSec liés

Sécurité IASécuriser un RAG en production Sécurité IARAG multi-tenant Sécurité IAThreat modeling LLM Sécurité IAAgents autonomes : sandbox Sécurité IAAudit fournisseur LLM PillarThreat modeling — guide complet