Conformité à la loi européenne sur l'IA
L'EU AI Act exige que les systèmes d’IA à haut risque soient précis, robustes et sécurisés. Découvrez comment ImmuniWeb vous aide à répondre à vos obligations en matière de cybersécurité de l’article 15 en sécurisant les systèmes et applications autour de votre IA.
Conformité au règlement européen sur l'intelligence artificielle (IA)
Qu'est-ce que l'EU AI Act?
The AI Act takes a risk-based approach, classifying AI systems as prohibited, high-risk, limited-risk or minimal-risk. Providers of high-risk AI systems must meet a set of requirements (Articles 8-15) covering risk management, data governance, technical documentation, logging, human oversight, and accuracy, robustness and cybersecurity, and must complete a conformity assessment.
La cybersécurité est une exigence contraignante pour l'IA à haut risque. Il convient de noter que lorsqu'un système d'IA à haut risque relève également du Cyber Resilience Act et remplit ses conditions, il peut être réputé conforme à l'exigence de cybersécurité de l'article 15 de l'AI Act.
See how ImmuniWeb supports AI Act Article 15 - securing the web apps, APIs and infrastructure through which your AI systems are exposed. Request a demo · or run a free Community Edition test.
Who Must Comply with EU AI Act?
The AI Act applies to:
- Fournisseurs qui développent ou mettent sur le marché de l'UE des systèmes d'IA, y compris les systèmes à haut risque.
- Deployers that use AI systems in the EU.
- Organizations outside the EU whose AI systems or outputs are used in the EU (extraterritorial reach).
Les applications web, les API et l’infrastructure par lesquelles on accède aux systèmes d’IA font partie de la surface d’attaque qui doit être sécurisée.
Principales exigences de l'AI Act pour la sécurité des applications
Application security is driven by Article 15:
- Article 15 – Cybersécurité: les systèmes d'IA à haut risque doivent être résilients face aux tentatives de tiers non autorisés visant à exploiter des vulnérabilités et à modifier leur utilisation, leur comportement ou leurs performances.
- Article 15 - Robustesse: les systèmes doivent fonctionner de manière cohérente et résister aux erreurs, aux défaillances et aux incohérences.
- Systèmes supports: les applications, les API et l'infrastructure au service des systèmes d'IA doivent elles-mêmes être sécurisées.
Les exigences de cybersécurité de l'AI Act en détail
Article 15 – Cybersécurité des IA à haut risque
L’article 15 exige que les systèmes d’IA à haut risque soient résilients face aux tentatives d’exploitation de leurs vulnérabilités. En pratique, une grande partie de la surface d’attaque réelle provient des applications web, des API et de l’infrastructure via lesquelles les systèmes d’IA sont déployés et accessibles, et ces composants doivent être testés et sécurisés.
Sécurisation des applications autour de l'IA
Les systèmes d'IA fonctionnent rarement de manière isolée ; ils sont exposés via des applications web et mobiles ainsi que des API. Les tests d'intrusion et l'analyse des vulnérabilités de ces applications et API réduisent la surface d'attaque que l'Article 15 attend des fournisseurs qu'ils défendent.
Risques courants des applications Web et mobiles à remédier
The vulnerabilities in the applications and APIs around AI systems map closely to the OWASP Top 10:
- Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
- Défaillances cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — des contrôles de sécurité manquants par conception, et non pas seulement par bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
- Échecs d'identification et d'authentification — gestion faible des connexions, des sessions ou des identifiants.
- Échecs d’intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
- Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
- Server-Side Request Forgery (SSRF) — the server tricked into making malicious requests.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
Comment soutenir l'article 15 de l'AI Act avec ImmuniWeb
- Cartographiez la surface d'attaque de l'IA. Inventairez les applications, API et l'infrastructure exposant les systèmes d'IA avec ImmuniWeb Discovery.
- Testez les applications web et les API avec On-Demand et Neuron.
- Testez les frontends mobilesavec MobileSuite et Neuron Mobile.
- Remediate and retestwith actionable, zero-false-positive reports.
- Développement sécurisé avec Continuous dans CI/CD.
- Surveillez votre exposition avec Discovery.
Comment ImmuniWeb vous aide à vous conformer à l'EU AI Act
ImmuniWeb supports Article 15 by securing the applications, APIs and infrastructure through which high-risk AI systems are exposed and accessed.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| Article 15 – cybersécurité | Résilience à l'exploitation des vulnérabilités. | On-Demand, Neuron, Continuous |
| Applications et API sous-jacentes | Secure the apps and APIs that serve AI systems. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Attack surface | Map and monitor the AI-facing attack surface. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand et MobileSuite offrent des tests d’intrusion web, mobile et API ; Neuron et Neuron Mobile fournissent des scans automatisés ; Continuous intègre les tests dans le CI/CD ; et Discovery cartographie la surface d’attaque autour de vos systèmes d’IA, soutenant ainsi l’exigence de cybersécurité de l’Article 15.
EU AI Act vs Cadres internationaux
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| Loi européenne sur l’IA | Article 15 cybersecurity of high-risk AI | Sécurisation des applications, des API et de l'infrastructure autour de l'IA |
| EU CRA | Product cybersecurity (may satisfy Art 15) | Tests d’intrusion et analyse de sites Web et d’applications mobiles |
| RGPD | Sécurité du traitement (Article 32) | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventaire des applications, API et infrastructures exposées à l'IA
- Applications web et API testées contre le Top 10 de l’OWASP
- Mobile front-ends tested against the OWASP Mobile Top 10
- Systèmes de support durcis et résilients face à l'exploitation
- Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
- Tests intégrés au cycle de vie du développement
- Surveillance de la surface d’attaque en place
Pourquoi la conformité à l'Acte IA de l'UE est-elle importante?
The AI Act carries significant penalties (up to EUR 35 million or 7% of global turnover for prohibited practices, and up to EUR 15 million or 3% for other violations), and high-risk obligations - including cybersecurity under Article 15 - apply from 2 August 2026. Conformity is a precondition for placing high-risk AI on the EU market.
Because the practical attack surface of AI systems is the apps, APIs and infrastructure around them, securing and testing those is one of the most direct ways to support Article 15.