~2 minutes
Aujourd’hui, j’étais à l’Azur Tech Winter à Sophia Antipolis pour donner une présentation. J’en ai profité pour assister à une présentation passionnante de l’équipe sécurité d’Amadeus (Mickael Bridard, Jean-Philippe Carlens et Nicolas De Toffoli).
Le sujet ? “Moins de faux positifs, plus de sécurité”. Ou comment ne pas devenir fou en triant des milliers d’alertes de sécurité.
Voici ce que j’ai retenu de leur outil maison, SIFT, et pourquoi vous devriez jeter un œil à mon sketchnote ci-dessous.
Le Problème : L’échelle industrielle 🏗️
Amadeus, c’est du lourd :
- ~10 000 Développeurs
- 1,2 Milliard d’€ de R&D
- Une quantité astronomique de code.
Quand on lance un scan de secrets (comme Gitleaks) sur une telle base de code, on se retrouve noyé sous les alertes. Le sketchnote le montre bien : sur un échantillon de 15 000 “findings” (découvertes potentielles de secrets exposés), le tri manuel est une tâche titanesque.
La Solution : L’IA Locale à la rescousse 🤖
L’équipe a présenté SIFT. L’idée n’est pas de remplacer les outils de scan, mais de nettoyer ce qui en sort.
L’architecture (dessinée au centre du sketchnote) est maligne :
- Le scanner (Gitleaks) génère un rapport (format SARIF).
- SIFT entre en jeu.
- Il utilise OLLAMA pour faire tourner un LLM en local (ici Mistral-Small).
- Le tout est processé via des prompts spécifiques pour déterminer si c’est un vrai secret ou du bruit.
Pourquoi du local ? Pour la confidentialité, évidemment. On ne veut pas envoyer des bouts de code potentiellement sensibles sur un cloud public.
Le Résultat : David contre Goliath ⏱️
C’est là que les chiffres du bas du dessin font mal (dans le bon sens du terme). Pour traiter 15 000 alertes :
- 🧑💻 L’Humain : Il lui faut 59 Jours. Il est précis (100% de True Positives), mais il est lent.
- 🤖 La Machine (SIFT) : Elle plie l’affaire en 3 Jours. Elle garde un taux de détection excellent (97% de True Positives) et nettoie la majorité du bruit.
On parle d’un gain de temps monstrueux, libérant les ingénieurs sécurité pour des tâches plus complexes que de vérifier si une variable PASSWORD est bien un secret ou juste un test unitaire.
C’est Open Source ! 🎁
La cerise sur le gâteau, c’est que l’outil n’est pas gardé jalousement en interne. Vous pouvez le retrouver sur GitHub : 👉 github.com/AmadeusITGroup/sift
Une belle démonstration que l’IA générative (GenAI) a des cas d’usage très concrets et ROI-stes dès maintenant dans le cycle de développement sécurisé (SDLC).
Note : Sketchnote réalisé en live durant la session et résumé de la présentation via Gemini Pro avec relecture humaine. :)
Articles lies
Le Résumé de la semaine 2026-W26
Résumé de la semaine 2026-W26 : ATT&CK appliqué à une application IA : le cas du chatbot RAG compromis ; MITRE ATLAS : la matrice de sécurité dédié...
29/06/2026MITRE ATLAS : la matrice de sécurité dédiée à l'IA et au Machine Learning
MITRE ATLAS : la matrice de sécurité dédiée à l'IA et au Machine Learning. Analyse pratique, risques et actions concrètes à prioriser.
24/06/2026ATT&CK appliqué à une application IA : le cas du chatbot RAG compromis
Un chatbot RAG en production, une équipe qui a tout fait 'dans les règles', et pourtant une compromission complète de la base documentaire en moins...
22/06/2026A2A05:2025 - Context Poisoning via A2A
Un agent A2A qui reçoit des données corrompues les traite comme du contexte de confiance. C'est le vecteur d'injection indirect le plus difficile à...
25/03/2026Sécuriser le cycle de développement assisté par IA : spécifications, planification et revue
L'IA génère du code vite, très vite. Trop vite pour que les équipes sécurité suivent si on ne structure pas la chaîne dès le départ.
16/03/2026