Raft voit un nouveau marché : les intégrateurs ont un nouveau moyen de générer des revenus avec la sécurité de l'AI

La sécurité de l'IA devient rapidement un marché de services distinct plutôt qu'une tâche secondaire. Dans ce contexte, Raft propose aux intégrateurs une niche dans les tests de pénétration d'IA : la demande augmente en raison de nouveaux types d'attaques, d'exigences réglementaires et d'une pénurie de spécialistes capables de tester les modèles, datasets et systèmes RAG.

Pourquoi le Sujet a Grandi

L'intelligence artificielle dans le segment corporatif a cessé d'être une expérience. Les entreprises déploient des chatbots LLM sur leurs sites Web, intègrent des assistants d'IA dans les flux de documents et implémentent des systèmes RAG pour travailler avec des bases de connaissances internes. Selon les données citées par Raft, en 2026, 39% des entreprises russes utilisent déjà l'IA.

Les entreprises entrent dans cette zone pour la vitesse, la réduction des coûts et l'automatisation, mais la mise en œuvre dépasse presque toujours les processus d'évaluation des risques. C'est pourquoi l'IA entre dans l'infrastructure avant qu'un schéma de sécurité clair n'émerge. Le problème est que les outils classiques de sécurité informatique ne couvrent qu'une partie des menaces.

Pour WAF, DLP ou NGFW, un dialogue entre l'utilisateur et un modèle génératif ressemble souvent à une utilisation normale du service. Mais une attaque peut se produire directement dans une requête textuelle, sans exploits ni fichiers malveillants. Cela change l'approche de la défense : il ne suffit pas de simplement sécuriser le périmètre, vous devez vérifier comment le modèle lui-même réagit aux provocations, quelles données il peut révéler et s'il peut être forcé de violer ses instructions d'origine.

Quelles Attaques Comptent

Une nouvelle couche de menaces a émergé avec les modèles génératifs et les agents qui accèdent aux documents, au code et aux services internes. Pour le client, cela signifie que la surface d'attaque s'élargit non seulement par l'IA elle-même, mais aussi par son intégration dans les processus commerciaux. L'environnement devient particulièrement risqué lorsque les modèles sont connectés aux bases de connaissances d'entreprise, aux API internes et aux outils de développement. Et plus l'intégration est profonde, moins les listes de contrôle de sécurité standard sont utiles.

• Injection de prompt — une tentative de remplacer ou de contourner les instructions système par le biais d'une requête spécialement formulée.
• Empoisonnement des données — introduction de données malveillantes ou corrompues dans les datasets d'entraînement et de référence.
• Extraction de modèle — récupération de la logique du modèle via l'API ou les demandes en masse, jusqu'à la fuite de données.
• Risques de la chaîne d'approvisionnement — vulnérabilités dans la chaîne d'outils, lorsque les agents d'IA utilisent des bibliothèques, du code et des commandes shell sans contrôle suffisant.

Raft souligne particulièrement que ce paysage change très rapidement : un schéma sûr hier peut s'avérer vulnérable aujourd'hui à un nouveau jailbreak ou une injection. C'est pourquoi la sécurité de l'IA ne se combine pas bien avec un audit unique « pour faire la case ». Cela oblige l'entreprise à passer à des vérifications continues de red teaming, où le modèle est testé avec la même régularité que les services externes et les interfaces utilisateur.

«

La défense ici ne nécessite pas une mise en œuvre unique d'une pilule magique, mais une surveillance et des tests constants. »

Où est l'Argent pour les Intégrateurs

Face à ces risques, le marché commence à exiger une expertise distincte. L'article cite une estimation selon laquelle en 2026, jusqu'à 10% des attaques contre les infrastructures informatiques bancaires pourraient être liées aux vulnérabilités de l'IA. En même temps, l'Arrêté n° 117 du Service fédéral russe de contrôle technique et de contrôle à l'exportation du 1er mars 2026 est entré en vigueur, qui pour la première fois mentionne directement la protection des datasets d'entraînement, des modèles, des paramètres et des services de prise de décision.

Pour les grands clients, cela signifie une conclusion simple : l'IA ne peut plus être considérée comme un « complément », elle devra être vérifiée comme un élément à part entière d'un environnement informatique critique. C'est la fenêtre d'opportunité pour les intégrateurs. Les clients achètent déjà des solutions d'IA, mais beaucoup n'ont ni la méthodologie, ni les spécialistes, ni les outils pour évaluer leur résistance aux attaques.

C'est pourquoi l'Évaluation de la Sécurité de l'IA ou le test de pénétration de l'IA commence à ressembler à un nouveau service à marge élevée. Un package de base peut inclure un inventaire de tous les composants d'IA, la modélisation des menaces, les attaques contrôlées comme les jailbreaks et injections de prompt, puis une carte des risques et des recommandations de sécurité. Ce n'est pas un package unique, mais un service avec des vérifications régulières et un support ultérieur.

Raft tente d'occuper cette niche avec sa plateforme HiveTrace Red et son programme de partenariat pour les intégrateurs. L'entreprise promet un outil pour les attaques automatisées et semi-automatisées sur les LLMs, les solutions RAG et les modèles ML, plus une formation à la vente et à la conduite de tels projets. Essentiellement, il s'agit d'une tentative d'empaqueter la sécurité de l'IA dans un produit B2B compréhensible : donner aux entrepreneurs une plateforme, une méthodologie et les premiers cas d'études conjoints pour accélérer l'entrée sur le marché.

Pour les petites équipes, c'est un moyen d'entrer dans le domaine sans une phase de R&D propriétaire de plusieurs années.

Ce Que Cela Signifie

Le marché de l'IA répète graduellement le chemin de la sécurité classique de l'information : d'abord, les entreprises implémentent massivement de nouvelles technologies, puis les attaques apparaissent, les exigences réglementaires émergent et une classe distincte d'entrepreneurs. Si la prévision de demande s'avère exacte, dans les années à venir, les tests de pénétration de l'IA et les audits de modèles deviendront aussi normaux pour les intégrateurs que les tests de pénétration Web ou les audits d'infrastructure. Pour les clients, cela signifie des coûts croissants pour la vérification de l'IA, et pour les entrepreneurs, l'émergence de nouveaux revenus.