À propos
La méthode et la doctrine
promptsecops est une bibliothèque éditoriale de prompts de sécurité et de gouvernance IA, construite sur la même logique que le DevSecOps : intégrer les garde-fous en amont, pas après coup.
Pourquoi cette bibliothèque
Les équipes qui déploient des LLM font face à des risques documentés — injection de prompt, fuite de données, autonomie excessive des agents, hallucinations — mais peu d'outils pratiques existent pour y répondre au niveau du prompt système.
La sécurité IA est souvent traitée comme un sujet d'infrastructure (filtres, monitoring, sandboxing). C'est nécessaire, mais insuffisant : le premier point de contrôle est le prompt lui-même. Un prompt bien conçu réduit la surface d'attaque avant même que les autres défenses entrent en jeu.
promptsecops documente ces prompts, les source, les évalue, et les organise pour qu'ils soient utilisables directement en production.
Les 3 piliers
Persistance du contexte
Sécurité des échanges dans la durée : pas de perte de contexte silencieuse, traçabilité des instructions, continuité maîtrisée sur des sessions longues.
Sécurité des productions
Sûreté de ce que l'IA génère : résistance à l'injection, non-fuite d'informations, validation des sorties, maîtrise de l'autonomie des agents.
Maîtrise des coûts
Consommation de tokens et de ressources sous contrôle. Réponses concises, formats optimisés, plafonds explicites.
La méthode éditoriale
Chaque fiche est issue d'une source identifiée et citée : OWASP LLM Top 10 2025, guides officiels des éditeurs de modèles (Anthropic, OpenAI, Mistral), standards ISO (42001, 27002), NIST AI RMF, ou OWASP AI Exchange.
Le niveau (N1/N2/N3) indique la complexité de mise en œuvre, pas la sévérité du risque couvert. Un N1 bien choisi protège mieux qu'un N3 mal implémenté. Comprendre les niveaux →
Les prompts sont proposés en français et en anglais. La langue recommandée est indiquée sur chaque fiche. En savoir plus sur la langue des prompts →
Sources utilisées
La bibliothèque actuelle (75 fiches) s'appuie sur 8 sources référencées :
- OWASP LLM Top 10 2025 — référence principale, couvre les 10 risques des systèmes IA
- OWASP AI Security and Privacy Guide
- Guide de prompt engineering Anthropic
- OpenAI Safety Best Practices
- Mistral AI Guardrailing Guide
- NIST AI Risk Management Framework
- ISO 42001:2023 — Systèmes de management de l'IA
- ISO 27002:2022 — Contrôles de sécurité de l'information
- AISecOps — Viplav Fauzdar (Apache 2.0) — framework de sécurité pour agents IA
Ce que cette bibliothèque n'est pas
- Ce n'est pas une solution complète. Les prompts sont le premier niveau de défense. Une architecture sécurisée requiert aussi du monitoring, de la validation des sorties côté infrastructure, et des revues humaines.
- Les prompts ne sont pas des garanties. Un modèle instruit de garder le secret peut être convaincu de le révéler. Un modèle instruit de ne pas halluciner le fera quand même. Les prompts réduisent les risques, ils ne les éliminent pas.
- La bibliothèque évolue. Les risques IA évoluent rapidement. Les fiches indiquent leur date de création et de mise à jour. Une fiche datée d'un an peut être partiellement obsolète.
En savoir plus
Articles de fond pour comprendre les choix de la bibliothèque et construire votre propre pratique de sécurité IA.
Comprendre les niveaux N1, N2, N3
Les trois niveaux mesurent l'effort de mise en œuvre, pas la restriction d'accès. N1 est la fondation de sécurité utilisable par tous dès aujourd'hui. N2 est le niveau recommandé pour un usage sérieux. N3 est réservé aux architectures agents.
Faut-il traduire ses prompts en anglais ?
L'anglais donne un léger avantage en précision sur certains modèles — mais ce n'est ni universel ni décisif. La langue du prompt doit correspondre au contexte d'usage, pas à une règle générale.
Glossaire — termes clés de la sécurité IA
Les termes essentiels pour lire et utiliser les fiches de la bibliothèque, avec définitions orientées usage pratique.