Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Pourquoi les prompts système ne sont pas des contrôles de conformité

Pourquoi les prompts système ne sont pas des contrôles de conformité

par Danielle Barbour updated mars 25, 2026 Conformité réglementaire
temps de lecture: 11 minutes

Lorsque les organisations déploient des agents IA sur des flux de données réglementés, la méthode de gouvernance la plus courante consiste à utiliser un prompt système soigneusement rédigé. On demande au modèle de ne pas accéder à certaines catégories de données. On lui indique de rester dans des limites définies. On le configure pour qu’il refuse certains types de requêtes. Pour de nombreuses équipes en charge de la sécurité et de la conformité, cela ressemble à de la gouvernance : c’est documenté, vérifiable, et cela limite visiblement le comportement de l’agent lors des tests.

Ce n’est pas un contrôle de conformité. C’est une instruction. La distinction est cruciale, car lorsqu’un auditeur HIPAA, un évaluateur CMMC ou un examinateur de la SEC examine un déploiement d’agent IA, il n’évalue pas ce que le modèle a reçu comme consigne. Il évalue ce que la couche de données a techniquement empêché. Ce sont deux choses fondamentalement différentes, et l’écart entre les deux expose les entreprises réglementées à des risques de non-conformité à grande échelle.

Cet article explique pourquoi les prompts systèmes ne peuvent pas servir de contrôles de conformité, quels types de défaillances cela engendre dans les environnements réglementés, ce que les régulateurs exigent réellement comme preuve de contrôle d’accès, et pourquoi la gouvernance au niveau de la couche de données est la seule architecture qui garantit une conformité défendable pour l’accès des agents IA aux données réglementées.

Résumé Exécutif

Idée principale : Les prompts systèmes, garde-fous IA, ajustements de modèles et filtres de sécurité agissent tous au niveau du modèle. Ils limitent ce que le modèle fera dans des conditions normales — mais ils ne peuvent pas empêcher l’accès aux données, ne produisent aucune preuve exploitable en audit, et ne résistent pas aux vecteurs d’attaque que connaissent régulateurs, évaluateurs et adversaires. Seule une gouvernance appliquée à la couche de données — indépendante du modèle, du prompt et du framework d’agent — constitue un contrôle d’accès conforme aux exigences HIPAA, CMMC, SEC, PCI DSS ou SOX.

Pourquoi c’est important : Les organisations qui pensent que leurs déploiements IA sont gouvernés parce qu’elles ont configuré des prompts systèmes et des garde-fous s’exposent à des risques de non-conformité qu’elles ignorent. Chaque interaction d’un agent IA avec des données réglementées, gouvernée uniquement au niveau du modèle, ne permet pas de générer l’enregistrement d’authentification, la documentation de la politique d’accès et la piste d’audit infalsifiable exigés par les régulateurs. Lors d’un audit, « notre modèle a reçu l’instruction de ne pas le faire » ne constitue pas une preuve de contrôle, mais une preuve d’hypothèse.

Résumé des points clés

  1. Un prompt système est une instruction, pas un contrôle. Les instructions disent au modèle quoi faire. Les contrôles empêchent les actions non autorisées, peu importe ce que le modèle reçoit comme consigne ou décide. Un prompt système qui dit « ne pas accéder aux dossiers patients hors de cette consultation » n’empêche techniquement pas l’agent d’interroger tout dossier patient accessible par le compte de service. Il exprime simplement une préférence comportementale que le modèle suivra jusqu’à ce qu’un événement la contourne.
  2. Les prompts systèmes peuvent être contournés via l’injection de prompt — il s’agit d’une vulnérabilité structurelle, pas d’un problème de configuration. L’injection de prompt permet à un attaquant d’intégrer des instructions dans le contenu lu par l’agent IA, contournant ou complétant le prompt système d’origine. Une étude de février 2026 menée par des chercheurs de Harvard, MIT, Stanford, Carnegie Mellon et d’autres institutions a documenté le contournement des garde-fous au niveau du modèle dans un environnement réel — pas en laboratoire — et identifié cinq failles OWASP Top 10 pour les applications LLM. Ce risque n’est pas théorique. Il s’agit d’un comportement observé sur des agents IA déployés.
  3. Les régulateurs exigent la preuve de ce qui a été techniquement empêché, pas de ce qui a été demandé. Le HIPAA §164.312(a)(1) impose des politiques et procédures techniques ne permettant l’accès qu’aux personnes ou programmes autorisés. Le CMMC AC.1.001 exige des contrôles d’accès autorisés. La règle SEC 204-2 requiert des enregistrements attribuables. Aucune de ces normes n’est satisfaite par une instruction documentée. Toutes exigent un mécanisme qui applique la contrainte indépendamment du respect ou non par le modèle.
  4. Les mises à jour du modèle peuvent modifier silencieusement l’interprétation des prompts systèmes. Lorsqu’un fournisseur IA met à jour le modèle sous-jacent, le comportement produit par le même prompt système peut changer. Un prompt qui limitait l’accès dans une version peut produire un comportement différent dans la suivante. Les contrôles de conformité ne peuvent pas dépendre de la version. Un contrôle de gouvernance qui change sans que l’organisation en soit informée ou donne son accord à chaque mise à jour du modèle ne répond pas à la définition d’un contrôle.
  5. Les prompts systèmes ne génèrent aucune piste d’audit en cas d’échec. Lorsqu’un prompt système est contourné, outrepassé ou mal interprété, il n’existe généralement aucune trace indiquant que la contrainte prévue a été violée. L’agent agit hors du périmètre prévu, accède à des données non autorisées, et ne laisse aucune trace permettant de distinguer cet accès d’un accès autorisé. Une piste d’audit infalsifiable ne peut pas être reconstituée à partir d’un prompt système qui a échoué en silence.

Trois raisons pour lesquelles les prompts systèmes échouent comme contrôles de conformité

Les modes de défaillance de la gouvernance au niveau du modèle ne sont pas hypothétiques. Ils sont inhérents à la façon dont les agents basés sur des grands modèles de langage traitent les instructions, et ont été documentés dans la recherche académique comme lors d’incidents en production.

Injection de prompt : la vulnérabilité structurelle

L’injection de prompt permet à un attaquant d’intégrer des instructions malveillantes dans le contenu lu par l’agent IA — document, e-mail, page web ou enregistrement de base de données. L’agent considère ces instructions comme faisant partie de son contexte et peut les exécuter, contournant le prompt système d’origine. Dans l’étude « Agents of Chaos » de février 2026, des chercheurs de Harvard, MIT, Stanford, Carnegie Mellon et d’autres institutions ont documenté des agents refusant une demande directe de données sensibles mais acceptant de transférer un conteneur contenant ces données — démontrant ainsi le contournement des garde-fous via une instruction indirecte en environnement réel. Les agents ont aussi accepté des identités usurpées sur plusieurs canaux après les avoir détectées sur l’un d’eux, et un agent a partagé de lui-même une directive comportementale implantée à l’extérieur avec un second agent, étendant ainsi le contrôle de l’attaquant sans nouvelle sollicitation.

Pour la conformité, l’implication est directe : l’injection de prompt n’est pas une erreur de configuration à corriger. C’est une caractéristique structurelle de la façon dont les agents LLM traitent les instructions. Un prompt système qui limite le comportement dans des conditions normales ne garantit rien lorsque l’agent rencontre un contenu manipulé — précisément le scénario recherché par les adversaires.

Mises à jour du modèle : dérive comportementale silencieuse

Les fournisseurs IA mettent régulièrement à jour les modèles sous-jacents — pour améliorer les fonctions, renforcer la sécurité ou faire évoluer l’infrastructure. Lorsqu’un modèle est mis à jour, la réponse comportementale au même prompt système peut changer. Un prompt qui limitait efficacement un agent dans une version peut produire un comportement différent dans la suivante, sans notification à l’organisation et sans modification du texte du prompt système.

Cela crée une défaillance de conformité particulièrement difficile à détecter : le contrôle de gouvernance a dérivé parce que le modèle a changé, mais tout semble identique de l’extérieur. L’incident Microsoft Copilot de février 2026 illustre ce risque : une erreur de code a provoqué la défaillance simultanée des contrôles applicatifs — étiquettes de sensibilité et politiques DLP — permettant à Copilot de traiter du contenu confidentiel, y compris des informations médicales protégées et des communications juridiques, pendant plusieurs semaines avant détection. Lorsque les contrôles applicatifs et ceux du modèle cohabitent dans la même plateforme, une seule défaillance au niveau de la plateforme peut compromettre tous les contrôles en même temps. Il n’y avait pas de défense indépendante à la couche de données pour l’empêcher.

Manipulation indirecte : des limites que les prompts systèmes ne peuvent pas imposer

Même sans attaque active, les prompts systèmes ne peuvent pas imposer les limites précises exigées par la conformité. Un prompt peut exprimer une intention — « n’accéder qu’aux données pertinentes pour cette consultation » — mais ne peut pas l’imposer techniquement au niveau de l’accès aux données. Si les identifiants du compte de service donnent accès à un périmètre plus large, l’agent dispose techniquement de cet accès, peu importe le prompt système. Un contrôle de conformité s’évalue à ce qu’il empêche techniquement, pas à ce qu’il vise. Un agent ayant accès à 10 000 dossiers patients mais recevant l’instruction de n’en lire que trois ne respecte pas la règle HIPAA du minimum nécessaire — car rien n’empêche l’accès aux 9 997 autres.

Quelles normes de conformité des données sont importantes ?

Pour en savoir plus :

Ce que les régulateurs exigent réellement

Les normes de conformité qui encadrent l’accès aux données réglementées exigent la preuve que l’accès a été techniquement contrôlé, et non la preuve qu’il était censé l’être. Cette distinction fait la différence entre une posture de conformité qui résiste à un audit et une qui génère des non-conformités.

Ce que « contrôle d’accès » signifie pour un régulateur

La règle de sécurité HIPAA exige des politiques et procédures techniques pour « permettre l’accès uniquement aux personnes ou programmes ayant reçu des droits d’accès ». Le mot clé est « permettre » — le système doit techniquement autoriser uniquement l’accès légitime, et non simplement demander à l’utilisateur de se limiter. Lorsqu’un évaluateur CMMC demande à voir les contrôles d’accès autorisés pour un flux d’agent IA, la preuve attendue est un enregistrement d’application de la politique : quel accès a été demandé, quelle évaluation de politique a été appliquée, ce qui a été autorisé ou refusé, et quand. Un document de configuration de prompt système ne fournit pas cette preuve. Un moteur de politique de données qui évalue chaque requête d’agent selon une politique ABAC, oui.

Ce que « piste d’audit » signifie pour un régulateur

Le HIPAA §164.312(b), le CMMC AU.2.042 et la règle SEC 17a-4 exigent tous des enregistrements de ce qui s’est réellement passé — pas de ce qui était prévu. Un prompt système configuré et documenté produit un enregistrement d’intention. Un journal d’audit infalsifiable, au niveau de l’opération, qui capture chaque accès aux données par un agent — identité de l’agent, données consultées, type d’opération, évaluation de la politique, horodatage — produit un enregistrement de ce qui s’est effectivement produit. Seule cette dernière option satisfait aux exigences réglementaires. Et lorsque l’auditeur demande quelles données un agent IA a consultées mardi dernier, la réponse doit venir d’un journal d’audit, pas d’une supposition sur ce que le prompt système aurait dû empêcher.

Pourquoi « notre fournisseur IA est conforme » n’est pas une réponse

Les certifications de conformité des fournisseurs IA — SOC 2, ISO 27001, FedRAMP — concernent la posture de sécurité du fournisseur. Elles ne prouvent pas que les contrôles d’accès, pistes d’audit, application du minimum nécessaire et chaînes de délégation de l’entité couverte répondent à ses propres obligations réglementaires. La conformité HIPAA, la certification CMMC et la préparation à l’examen SEC sont des obligations organisationnelles qui ne peuvent pas être déléguées à une attestation fournisseur. Lorsque l’auditeur demande le journal d’accès pour un dossier patient consulté par un agent IA mardi dernier, le rapport SOC 2 du fournisseur ne répond pas à la question.

Ce que signifie réellement la gouvernance à la couche de données

La gouvernance à la couche de données signifie que les contrôles de gouvernance sont appliqués au point d’accès aux données — indépendamment du modèle, du prompt et du framework d’agent. C’est la seule approche architecturale qui fournit la preuve de ce qui a été techniquement contrôlé, et non de ce qui a été demandé.

Ce que font les contrôles à la couche de données que les prompts systèmes ne peuvent pas

Un contrôle de gouvernance à la couche de données intercepte chaque demande d’accès avant qu’elle n’atteigne les données réglementées. Il vérifie l’identité de l’agent, la lie à la personne humaine ayant délégué le workflow, et évalue la demande selon une politique d’accès ABAC : cet agent est-il autorisé à accéder à ces données précises, à effectuer cette opération, dans ce contexte ? Si la politique l’autorise, l’accès est accordé et journalisé. Sinon, l’accès est refusé et le refus est journalisé — indépendamment des instructions données au modèle et du contournement éventuel du prompt système.

Lorsqu’une attaque par injection de prompt outrepasse un prompt système et ordonne à un agent d’accéder à des données hors périmètre, un contrôle de gouvernance à la couche de données refuse cet accès — car la politique d’accès n’est pas respectée, indépendamment de l’instruction au modèle. Le modèle est compromis ; la gouvernance des données, non. C’est la différence entre le théâtre de la conformité et la conformité réelle.

Les preuves produites par la gouvernance à la couche de données

La gouvernance à la couche de données fournit exactement les preuves exigées par les régulateurs : un journal d’audit infalsifiable, au niveau de l’opération, pour chaque accès aux données par un agent, avec identité authentifiée de l’agent, personne humaine ayant autorisé, données précises consultées, type d’opération, évaluation de la politique d’accès et horodatage. Ce journal est généré par la couche de gouvernance indépendamment du comportement du modèle — il ne dépend pas du respect des instructions par le modèle. Lorsque l’auditeur demande quelles données un agent IA a consultées mardi dernier, la réponse provient de la couche de gouvernance, en quelques heures, et non d’une reconstitution approximative sur plusieurs jours.

Comment Kiteworks assure la gouvernance à la couche de données pour les agents IA

Le Réseau de données privé Kiteworks s’intercale entre les agents IA et les données réglementées auxquelles ils doivent accéder. Chaque requête d’agent passe par quatre points de contrôle avant tout transfert de données — identité authentifiée, évaluation de la politique ABAC, chiffrement validé FIPS 140-3, et journalisation d’audit infalsifiable — indépendamment du modèle, du prompt et du framework d’agent. Que le modèle soit compromis, mis à jour ou manipulé, Kiteworks continue d’appliquer la politique.

Vérification d’identité indépendante du modèle

Chaque agent IA accédant aux données via Kiteworks est authentifié avant tout accès, à l’aide d’un identifiant unique par workflow, lié à la personne humaine ayant délégué la tâche. Cette authentification est appliquée par la couche de gouvernance des données, et non par le modèle. Une attaque par injection de prompt ne peut pas la contourner — car la vérification s’effectue à la couche de données, avant que la requête de l’agent n’atteigne les données, et non dans la fenêtre de contexte du modèle où un attaquant pourrait intervenir.

Application des politiques qui résiste aux mises à jour du modèle

Le moteur de politique de données Kiteworks évalue chaque requête d’agent selon une politique ABAC multidimensionnelle : profil authentifié de l’agent, classification des données demandées, contexte du workflow et opération spécifique. Cette évaluation est réalisée par la couche de gouvernance, pas par le modèle. Lorsque le modèle sous-jacent est mis à jour et que son interprétation des instructions change, l’application de la politique de données reste inchangée — car elle ne dépend pas du comportement du modèle. La politique de gouvernance des données est définie par l’organisation et appliquée de façon cohérente, quelle que soit la version du modèle.

Une piste d’audit exploitable par les régulateurs

Chaque interaction d’agent avec les données via Kiteworks est enregistrée dans un journal d’audit infalsifiable, au niveau de l’opération : identité de l’agent, personne humaine ayant autorisé, données consultées, type d’opération, résultat de l’évaluation de la politique et horodatage. Ce journal alimente le SIEM de l’organisation et est conservé dans un format adapté aux demandes de preuves réglementaires. Lorsqu’un auditeur HIPAA, un évaluateur CMMC ou un examinateur SEC demande la preuve des contrôles d’accès sur un workflow d’agent IA, la réponse est un dossier de preuves exportable — pas un document de configuration de prompt système, ni un journal d’inférences qui n’a jamais été conçu pour répondre à une exigence d’audit réglementaire.

Pour les organisations qui souhaitent déployer des agents IA à grande échelle sans accumuler de risques de non-conformité, Kiteworks propose l’architecture qui rend la gouvernance IA réelle et non supposée. Découvrez-en plus sur Kiteworks Compliant AI ou demandez une démo.

Foire aux questions

Les prompts systèmes sont des instructions données à un modèle IA, pas des contrôles techniques sur l’accès aux données. Des réglementations comme HIPAA §164.312(a)(1), CMMC AC.1.001 et la règle SEC 204-2 exigent des mécanismes qui limitent techniquement l’accès aux données réglementées — et non de simples préférences comportementales documentées. Les prompts systèmes peuvent être contournés par injection de prompt, outrepassés lors de mises à jour du modèle, ou mal interprétés dans des workflows complexes. Ils ne génèrent aucune piste d’audit en cas d’échec. Seule une gouvernance appliquée à la couche de données, indépendante du modèle, constitue un contrôle d’accès défendable en audit selon ces normes réglementaires.

L’injection de prompt consiste à intégrer des instructions malveillantes dans le contenu lu par un agent IA — document, e-mail ou enregistrement de base de données — poussant l’agent à exécuter ces instructions en plus ou à la place du prompt système d’origine. Une étude de février 2026 menée par des chercheurs de Harvard, MIT, Stanford et Carnegie Mellon a documenté le contournement des garde-fous via des instructions indirectes en environnement réel, et non en laboratoire. Pour la conformité, l’implication est directe : un contrôle de gouvernance contournable par le contenu lu par l’agent ne peut pas être considéré comme fiable pour protéger des données réglementées. La gouvernance à la couche de données applique la politique d’accès indépendamment du comportement du modèle, ce qui la rend résistante aux contournements, contrairement aux contrôles au niveau du modèle.

Non. Une certification SOC 2 atteste du programme de sécurité du fournisseur — comment il protège son infrastructure, gère les accès à ses systèmes et répond aux incidents. Elle ne prouve pas que les données réglementées de votre organisation n’ont été consultées que par des agents autorisés, selon des politiques d’accès documentées, avec une journalisation d’audit au niveau de l’opération liée à des personnes humaines autorisatrices. Les exigences HIPAA, CMMC et SEC sont des obligations de conformité organisationnelles. Elles imposent la preuve des contrôles d’accès de votre organisation, de vos pistes d’audit et de l’application de vos politiques — et non des attestations sur la posture de sécurité du fournisseur. Les certifications fournisseurs et la conformité organisationnelle sont deux choses distinctes.

Demandez : pouvez-vous fournir un journal d’audit au niveau de l’opération indiquant quels enregistrements de données cet agent a consultés, sous quelle autorisation, lié à quelle personne humaine autorisatrice, avec un horodatage infalsifiable ? Pouvez-vous démontrer que l’accès est contrôlé à la couche de données, indépendamment du modèle — de sorte qu’une attaque par injection de prompt ou une mise à jour du modèle ne puisse pas outrepasser la politique d’accès ? Pouvez-vous prouver que le minimum nécessaire est appliqué à chaque opération, et non à chaque session ? Si les réponses du fournisseur concernent la configuration des prompts systèmes, des filtres de sécurité du modèle ou une journalisation au niveau de la session, l’affirmation ne tient pas lors d’un audit exigeant une preuve de contrôle d’accès à la couche de données.

L’architecture minimale défendable en audit pour l’accès des agents IA à des données réglementées repose sur quatre éléments, tous appliqués à la couche de données et indépendants du modèle : identité authentifiée de l’agent liée à une personne humaine autorisatrice pour chaque accès ; contrôle d’accès basé sur les attributs (ABAC) évalué à chaque opération selon la classification des données et le contexte du workflow ; chiffrement validé FIPS 140-3 pour toutes les données en transit et au repos sur chaque flux d’agent ; et journal d’audit infalsifiable, au niveau de l’opération, capturant identité de l’agent, personne humaine autorisatrice, données consultées, type d’opération et horodatage. Ces quatre éléments doivent être appliqués par une couche de gouvernance indépendante du modèle IA — afin qu’une compromission, mise à jour ou manipulation du modèle ne désactive pas les contrôles.

Ressources complémentaires

  • Article de blog
    Stratégies Zero Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Le fossé de la gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de savoir si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks