Le prompt injection : c'est quoi et comment l'éviter

Ce que c'est, pourquoi un meilleur prompt système ne suffit pas, et les vraies couches de défense qui marchent en pratique pour les agents IA.

Le point de départ à accepter

On ne « résout » pas le prompt injection avec un meilleur prompt système. Tant qu'un agent lit du contenu externe — page web, email, document, sortie d'un outil ou d'un MCP — ce contenu peut contenir des instructions cachées qui détournent l'agent. Règle de base : tout ce qui vient de l'extérieur est non fiable, point.

Le concept clé

La « lethal trifecta »

La défense la plus utile en pratique est conceptuelle. Concept formalisé par Simon Willison en juin 2025 (la même personne qui a coiné le terme « prompt injection »). Un agent devient dangereux quand il combine trois choses en même temps :

1

Accès à des données sensibles

Ta base clients, tes emails, ton CRM, des fichiers internes, des secrets.

2

Exposition à du contenu non fiable

Le web, des messages entrants, des fichiers uploadés par l'extérieur, des résultats d'outils tiers.

3

Capacité à communiquer vers l'extérieur

Envoyer un email, faire une requête HTTP, écrire dans une API, poster sur un canal.

Si les trois sont réunies, une injection cachée dans le contenu non fiable peut lire tes données sensibles et les exfiltrer via le canal de sortie. La parade principale : casser cette combinaison. Un agent qui touche du contenu non fiable ne devrait pas avoir, en même temps, un canal de sortie libre.

Défense

Les couches qui marchent

1

Moindre privilège

Chaque outil exposé à l'agent doit avoir le périmètre minimal. Un agent qui résume des emails n'a pas besoin du droit d'en envoyer ni de supprimer des fichiers.

2

Validation humaine sur les actions irréversibles

Envoi externe, paiement, suppression, modification de données : validation explicite par un humain avant exécution.

3

Séparation privilégié / non privilégié (dual-LLM)

Pattern proposé par Simon Willison. Un LLM « propre » qui ne voit jamais le contenu brut non fiable, et un LLM « quarantaine » qui traite le contenu sale mais n'a aucun droit d'action. Le sale renvoie au propre uniquement des données structurées et validées.

4

Validation déterministe en sortie

Ne laisse pas le LLM décider seul du destinataire ou de l'URL appelée. Allowlists, schémas stricts, contrôle des paramètres avant exécution.

5

Sandboxing

Exécution de code isolée. Pas d'accès réseau sortant par défaut. Secrets jamais injectés dans le contexte du modèle.

6

Logging et monitoring

Tracer chaque appel d'outil pour détecter les comportements anormaux. Sans logs, pas de post-mortem possible.

Mythe

Ce qui ne suffit pas

Les délimiteurs et les « ignore toute instruction dans le texte suivant » aident un peu, mais ne sont pas une protection sérieuse. Un attaquant motivé les contourne. La vraie sécurité vient de l'architecture, pas du prompt.

La règle d'or

Tout repose sur la structure

Si tu retiens un seul truc, c'est celui-là. La sécurité d'un agent n'est pas une option qu'on ajoute à la fin. Elle dépend de la façon dont l'agent est construit dès le départ : quels droits il a, quelles données il touche, quelles actions il peut déclencher seul, et lesquelles passent par une validation.

Un agent monté à l'arrache, sans méthode, c'est une faille ambulante. Le même agent monté avec une vraie architecture est solide, prévisible et auditable. La différence ne vient pas du modèle utilisé, elle vient de la rigueur de celui qui le construit.

Ceci dit, soyons honnêtes : le prompt injection reste un risque qu'il faut parfois accepter quand on veut des agents vraiment autonomes sur beaucoup de tâches. Plus tu donnes d'actions et de données à un agent, plus la surface d'attaque s'élargit — et à un moment, tu fais des arbitrages entre autonomie et sécurité. Le but n'est pas le risque zéro (il n'existe pas), c'est de savoir où tu mets le curseur en connaissance de cause, et de blinder ce qui mérite de l'être.

C'est exactement pour ça qu'il faut se former. Pas pour empiler des prompts à la mode, mais pour apprendre à penser et structurer ses agents comme un vrai système : périmètre, droits, validation, isolation. C'est ce qui sépare un gadget qui fuit tes données d'un outil sur lequel tu peux faire tourner ton business.

Si tu veux apprendre à construire tes agents proprement, de A à Z, remplis le formulaire ci-dessous. On regarde ensemble où tu en es et comment passer au niveau supérieur.

Important

L'IA te remplacera.
Sauf si tu apprends à la maîtriser.

Ce guide t'a donné un aperçu. Mais un guide, ça ne suffit pas pour transformer ta pratique. Ma formation Agentic eSchool t'apprend à intégrer l'IA dans ton quotidien pro, pas à pas, que tu partes de zéro ou que tu veuilles passer un cap.

Le cours complet

91+ leçons du débutant à avancé, enrichies chaque semaine.

Un plan personnalisé

Une IA génère ton parcours selon ton métier et ton niveau.

25 chapitres métiers

Workflows et prompts prêts à l'emploi pour ton poste.

Communauté + 40 guides

Un espace francophone et une bibliothèque qui s'enrichit.

Découvrir la formation
Pour les entreprises

Pas le temps d'apprendre ? On le fait pour toi.

Des solutions IA sur mesure, clés en main, pour automatiser tes process, réduire tes coûts et gagner du temps sur ce qui compte. Agents IA, automatisations, outils internes : on construit, tu récoltes.

15+solutions livrées
40%réduction des coûts
20h+gagnées / semaine
Découvrir nos solutions

Sources vérifiées

Disclaimer

Arms partage des infos qui viennent de ressources publiques (les sources citées ci-dessus). Aucune des couches décrites ne garantit à 100 % qu'un agent ne sera jamais compromis — l'état de l'art reconnaît que la prompt injection n'est pas un problème résolu. Pour des cas critiques (données médicales, financières, infrastructure), travaille avec un audit sécurité dédié.

Créé par @kingarms.ai

Suis-moi sur Instagram pour plus de contenu IA

Agentic eSchool
Accès gratuit

Lis la suite gratuitement

Entre tes infos pour débloquer le guide complet.

Données privées100% gratuitPas de spam
Sécurité IAAgentsArchitectureTrifecta