Le prompt injection : c'est quoi et comment l'éviter
Ce que c'est, pourquoi un meilleur prompt système ne suffit pas, et les vraies couches de défense qui marchent en pratique pour les agents IA.
Le point de départ à accepter
On ne « résout » pas le prompt injection avec un meilleur prompt système. Tant qu'un agent lit du contenu externe — page web, email, document, sortie d'un outil ou d'un MCP — ce contenu peut contenir des instructions cachées qui détournent l'agent. Règle de base : tout ce qui vient de l'extérieur est non fiable, point.
La « lethal trifecta »
La défense la plus utile en pratique est conceptuelle. Concept formalisé par Simon Willison en juin 2025 (la même personne qui a coiné le terme « prompt injection »). Un agent devient dangereux quand il combine trois choses en même temps :
Accès à des données sensibles
Ta base clients, tes emails, ton CRM, des fichiers internes, des secrets.
Exposition à du contenu non fiable
Le web, des messages entrants, des fichiers uploadés par l'extérieur, des résultats d'outils tiers.
Capacité à communiquer vers l'extérieur
Envoyer un email, faire une requête HTTP, écrire dans une API, poster sur un canal.
Si les trois sont réunies, une injection cachée dans le contenu non fiable peut lire tes données sensibles et les exfiltrer via le canal de sortie. La parade principale : casser cette combinaison. Un agent qui touche du contenu non fiable ne devrait pas avoir, en même temps, un canal de sortie libre.
Les couches qui marchent
Moindre privilège
Chaque outil exposé à l'agent doit avoir le périmètre minimal. Un agent qui résume des emails n'a pas besoin du droit d'en envoyer ni de supprimer des fichiers.
Validation humaine sur les actions irréversibles
Envoi externe, paiement, suppression, modification de données : validation explicite par un humain avant exécution.
Séparation privilégié / non privilégié (dual-LLM)
Pattern proposé par Simon Willison. Un LLM « propre » qui ne voit jamais le contenu brut non fiable, et un LLM « quarantaine » qui traite le contenu sale mais n'a aucun droit d'action. Le sale renvoie au propre uniquement des données structurées et validées.
Validation déterministe en sortie
Ne laisse pas le LLM décider seul du destinataire ou de l'URL appelée. Allowlists, schémas stricts, contrôle des paramètres avant exécution.
Sandboxing
Exécution de code isolée. Pas d'accès réseau sortant par défaut. Secrets jamais injectés dans le contexte du modèle.
Logging et monitoring
Tracer chaque appel d'outil pour détecter les comportements anormaux. Sans logs, pas de post-mortem possible.
Ce qui ne suffit pas
Les délimiteurs et les « ignore toute instruction dans le texte suivant » aident un peu, mais ne sont pas une protection sérieuse. Un attaquant motivé les contourne. La vraie sécurité vient de l'architecture, pas du prompt.
Tout repose sur la structure
Si tu retiens un seul truc, c'est celui-là. La sécurité d'un agent n'est pas une option qu'on ajoute à la fin. Elle dépend de la façon dont l'agent est construit dès le départ : quels droits il a, quelles données il touche, quelles actions il peut déclencher seul, et lesquelles passent par une validation.
Un agent monté à l'arrache, sans méthode, c'est une faille ambulante. Le même agent monté avec une vraie architecture est solide, prévisible et auditable. La différence ne vient pas du modèle utilisé, elle vient de la rigueur de celui qui le construit.
Ceci dit, soyons honnêtes : le prompt injection reste un risque qu'il faut parfois accepter quand on veut des agents vraiment autonomes sur beaucoup de tâches. Plus tu donnes d'actions et de données à un agent, plus la surface d'attaque s'élargit — et à un moment, tu fais des arbitrages entre autonomie et sécurité. Le but n'est pas le risque zéro (il n'existe pas), c'est de savoir où tu mets le curseur en connaissance de cause, et de blinder ce qui mérite de l'être.
C'est exactement pour ça qu'il faut se former. Pas pour empiler des prompts à la mode, mais pour apprendre à penser et structurer ses agents comme un vrai système : périmètre, droits, validation, isolation. C'est ce qui sépare un gadget qui fuit tes données d'un outil sur lequel tu peux faire tourner ton business.
Si tu veux apprendre à construire tes agents proprement, de A à Z, remplis le formulaire ci-dessous. On regarde ensemble où tu en es et comment passer au niveau supérieur.
L'IA te remplacera.
Sauf si tu apprends à la maîtriser.
Ce guide t'a donné un aperçu. Mais un guide, ça ne suffit pas pour transformer ta pratique. Ma formation Agentic eSchool t'apprend à intégrer l'IA dans ton quotidien pro, pas à pas, que tu partes de zéro ou que tu veuilles passer un cap.
Le cours complet
91+ leçons du débutant à avancé, enrichies chaque semaine.
Un plan personnalisé
Une IA génère ton parcours selon ton métier et ton niveau.
25 chapitres métiers
Workflows et prompts prêts à l'emploi pour ton poste.
Communauté + 40 guides
Un espace francophone et une bibliothèque qui s'enrichit.
Pas le temps d'apprendre ? On le fait pour toi.
Des solutions IA sur mesure, clés en main, pour automatiser tes process, réduire tes coûts et gagner du temps sur ce qui compte. Agents IA, automatisations, outils internes : on construit, tu récoltes.
Sources vérifiées
- → Simon Willison, The lethal trifecta for AI agents (juin 2025)
- → Simon Willison, The Dual LLM pattern (avril 2023)
- → Simon Willison, Design Patterns for Securing LLM Agents (juin 2025)
- → Google DeepMind, framework CaMeL (avril 2025) — implémentation concrète du pattern dual-LLM
Disclaimer
Arms partage des infos qui viennent de ressources publiques (les sources citées ci-dessus). Aucune des couches décrites ne garantit à 100 % qu'un agent ne sera jamais compromis — l'état de l'art reconnaît que la prompt injection n'est pas un problème résolu. Pour des cas critiques (données médicales, financières, infrastructure), travaille avec un audit sécurité dédié.
Créé par @kingarms.ai
Suis-moi sur Instagram pour plus de contenu IA
Lis la suite gratuitement
Entre tes infos pour débloquer le guide complet.