L’année 2025 s’achève, et quelle année ! Si 2023 était l’année de l’émerveillement face à ChatGPT et 2024 celle de l’adoption massive, 2025 restera comme l’année où l’IA a cessé d’être un simple outil pour devenir un agent autonome.
Ce changement de paradigme a profondément bouleversé mon approche de la cybersécurité. Je ne sécurise plus seulement des modèles de langage qui “génèrent du texte”, mais des agents qui “prennent des décisions”.
Mais 2025, ce n’était pas que ça. C’était aussi la consolidation des méthodologies, des avancées vers un monde sans mot de passe, et des initiatives personnelles importantes comme les Sketchnotes et la relance de la CSA France.
Retour sur les moments forts qui ont rythmé ce blog cette année.
Q1 : Les Fondations - Sécuriser les LLM
L’année a démarré sur les chapeaux de roues avec la publication de la version 2025 du OWASP Top 10 for LLM Applications.
J’avais largement couvert cette sortie, qui a marqué une maturité nécessaire. Fini le flou artistique : nous avions enfin une liste claire des risques, allant de l’inévitable Injection de Prompt à la Gestion de Sortie Non Sécurisée.
👉 OWASP Top 10 pour les Applications LLM en 2025 : La Liste
C’était une étape indispensable. Avant de courir avec des agents, il fallait apprendre à marcher avec des LLM sécurisés.
Q2 : Méthodologie & Zero Trust - Structurer la démarche
Au printemps, j’ai pris du recul. Avoir une liste de vulnérabilités (comme le Top 10), c’est bien. Avoir une méthode pour les gérer, c’est mieux.
C’est là que ma série sur le Threat Modeling pour l’IA a pris tout son sens. J’ai exploré comment adapter des méthodologies éprouvées à ce nouveau monde :
- PASTA pour aligner la sécurité sur les objectifs business.
- STRIDE pour ne rien oublier techniquement.
Le point d’orgue a été la combinaison de ces deux approches, offrant une stratégie “Risk-Centric” robuste pour les applications GenAI.
👉 Sécuriser l’IA Générative : L’Alliance Stratégique de PASTA et STRIDE
En parallèle, j’ai continué ma veille active sur le Zero Trust, car dans un monde où l’IA génère du code et du contenu, “ne jamais faire confiance, toujours vérifier” est devenu un mantra de survie.
Interlude : La puissance des Sketchnotes
Cette année 2025 a aussi été celle d’une exploration visuelle. J’ai commencé à partager plus régulièrement mes Sketchnotes pour synthétiser des concepts complexes.
Que ce soit pour résumer une conférence, un whitepaper ou un concept technique, j’ai trouvé dans ce format un moyen puissant de rendre la sécurité plus accessible et mémorable. Vos retours ont été très encourageants, et c’est définitivement un format que je vais continuer à développer en 2026.
Q3/Q4 : Road to Passkeys - La révolution de l’authentification
L’automne m’a ramené à un fondamental de la sécurité : l’authentification. Mais avec une bonne nouvelle : la fin du mot de passe est (enfin) tangible.
Avec la série “Road to Passkeys”, j’ai décortiqué pourquoi le mot de passe est mathématiquement et humainement obsolète, et comment le standard FIDO2/WebAuthn change la donne. Ce n’est plus de la science-fiction, c’est dans nos navigateurs, aujourd’hui.
👉 Road to Passkeys : La fin des mots de passe est (enfin) là 🚀
Communauté : Le lancement de la CSA France
Une de mes grandes fiertés cette année a été de lancer officiellement le chapitre français de la Cloud Security Alliance (CSA).
Après beaucoup de préparation, nous avons posé les bases d’une communauté française forte pour porter les sujets de sécurité Cloud et IA. L’année 2025 était celle du lancement, mais 2026 sera l’année de l’envol ! Attendez-vous à des événements, des traductions de guidelines majeures et des groupes de travail locaux. Si vous voulez vous impliquer, c’est le moment !
Fin d’année : L’Ère Agentique
Et nous voici en décembre. Le “Grand Final” de 2025. L’OWASP a frappé fort en anticipant l’avenir avec le OWASP Top 10 for Agentic Applications 2026.
C’est le sujet qui a occupé tout mon mois de décembre. Pourquoi ? Parce que les risques changent de nature.
- Une injection de prompt n’est plus juste du texte bizarre, c’est un Agent Goal Hijack (ASI01).
- Une hallucination n’est plus juste une erreur factuelle, c’est une Cascading Failure (ASI08).
J’ai passé en revue ce nouveau Top 10, risque par risque. C’est ma feuille de route pour 2026.
👉 OWASP Top 10 for Agentic Applications 2026 – Introduction
Cap sur 2026
Si 2025 a posé les bases de l’IA autonome, 2026 sera l’année de sa Gouvernance et de ses Garde-fous (Guardrails).
Nous allons devoir apprendre à vivre avec des agents qui ont de l’autonomie (Least Agency), à gérer des identités non-humaines complexes, et à empêcher nos assistants numériques de devenir des vecteurs d’attaque.
Merci de m’avoir lu cette année. Prenez soin de vos clés API, mettez à jour vos modèles, et on se retrouve en 2026 !
Bonne année à tous ! 🎉