~9 minutes
Cet article introduit le framework MAESTRO publié par la Cloud Security Alliance en 2025, et explique pourquoi il s’impose en avril 2026 comme un complément naturel aux référentiels OWASP couverts dans ce blog (Top 10 LLM, Top 10 MCP, Top 10 A2A, Agentic Skills Top 10, OWASP Top 10 for Agentic Applications).
Les méthodes de threat modeling « classiques » comme STRIDE et PASTA restent utiles, mais elles n’ont pas été conçues pour des systèmes qui planifient, raisonnent, dialoguent entre eux et écrivent dans leur propre mémoire. C’est précisément le vide que MAESTRO vient combler.
MAESTRO ne remplace pas STRIDE, PASTA ou ATT&CK. On l’utilise comme une carte d’architecture agentique sur laquelle on vient projeter les menaces issues des autres référentiels.
D’où vient MAESTRO
MAESTRO est l’acronyme de Multi-Agent Environment, Security, Threat, Risk, and Outcome. Il a été publié au premier trimestre 2025 par la Cloud Security Alliance (CSA) dans le cadre de son groupe de travail dédié à la sécurité de l’IA agentique. L’objectif assumé est triple :
- Décrire la surface d’attaque réelle des systèmes agentiques modernes, y compris les couches que les modèles génériques ignorent (mémoire long terme, écosystème d’outils, gouvernance).
- Aligner les communautés sécurité et IA sur un vocabulaire commun, partagé avec les référentiels OWASP existants.
- Outiller les équipes pour conduire des sessions de threat modeling reproductibles sur des architectures agentiques, en complément de STRIDE et de PASTA.
On trouve désormais MAESTRO référencé un peu partout dans l’écosystème : la série Agentic Skills Top 10 le mentionne pour positionner certains risques (par exemple AST04 sur les couches L3, L6 et L7), et le travail de la CSA sur le threat modeling du protocole A2A s’en sert comme grille d’analyse.
Pourquoi STRIDE et PASTA ne suffisent plus
On constate trois limites lorsqu’on essaie d’appliquer mécaniquement STRIDE ou PASTA à un système agentique.
D’abord, les frontières de confiance bougent en continu. Un agent peut décider d’invoquer un outil, un autre agent ou une mémoire vectorielle au fil de son raisonnement. Le diagramme de flux de données (DFD) classique, figé, sous-représente cette dynamique.
Ensuite, certaines couches n’existent tout simplement pas dans les modèles historiques. La couche d’observabilité agent, la mémoire persistante, l’écosystème d’outils tiers (skills, MCP servers, A2A peers) sont des surfaces d’attaque à part entière. STRIDE ne propose pas de catégorie pour les attaques sur la mémoire ou pour la dérive d’objectifs.
Enfin, les attaquants n’ont plus besoin de code exécutable. Comme on l’a vu sur la série Agentic Skills ou sur les analyses ToxicSkills, un payload de prompt injection en langage naturel suffit à compromettre un agent. STRIDE traite mal ce type de menace, qui n’entre dans aucune de ses six catégories sans contorsion.
MAESTRO part du principe que la bonne unité d’analyse n’est plus le composant logiciel, mais la couche d’abstraction où une menace s’exprime.
Les sept couches de MAESTRO
MAESTRO décompose une architecture agentique en sept couches verticales, numérotées de L1 à L7. Chaque couche regroupe des actifs cohérents et un type de menaces dominant. On les présente du bas (modèle) vers le haut (écosystème).
| Couche | Nom | De quoi on parle |
|---|---|---|
| L1 | Foundation Models | Le modèle lui-même : poids, fine-tuning, alignement, garde-fous embarqués. |
| L2 | Data Operations | Données d’entraînement, RAG, embeddings, vector stores, pipelines de données. |
| L3 | Agent Frameworks | Orchestrateurs et frameworks (Microsoft Agent Framework, LangGraph, CrewAI, AutoGen, LlamaIndex…) et patterns d’invocation. |
| L4 | Deployment & Infrastructure | Hébergement, conteneurs, sandboxing, secrets, réseau, runtime des agents. |
| L5 | Observability & Evaluation | Traces, logs, évaluations, métriques de qualité et de sécurité. |
| L6 | Security & Compliance | Politiques, gouvernance, conformité (EU AI Act, NIS2, DORA, ISO/IEC 42001), inventaire et AI-BOM. |
| L7 | Agent Ecosystem | Tout ce qui vit autour de l’agent : skills, plugins, MCP servers, registres, peers A2A, marketplaces. |
Trois principes structurent cette pile.
Principe 1 - Les couches sont interdépendantes. Une faille en L1 (modèle vulnérable au prompt injection) se manifeste en L3 (l’agent obéit à une instruction malveillante), provoque une fuite en L4 (exfiltration via le réseau), et reste invisible si L5 (observabilité) est absente. MAESTRO oblige à raisonner sur l’ensemble.
Principe 2 - Une menace est toujours rattachée à une couche. Le prompt injection vit en L1/L3, le data poisoning en L2, le sandbox escape en L4, l’absence d’audit trail en L5, le shadow AI en L6, le supply chain de skills en L7. Chaque équipe sait où elle joue.
Principe 3 - La gouvernance est une couche, pas un département. En faisant remonter L6 dans la pile, MAESTRO impose qu’inventaire, conformité et politique de sécurité soient pensés comme un actif technique, au même titre que le modèle ou l’infrastructure. C’est cohérent avec ce qu’on défendait dans AST09.
Comment se positionne MAESTRO face aux autres référentiels
MAESTRO ne vit pas en silo. On peut représenter son rôle comme une grille de localisation sur laquelle on projette les menaces décrites par les Top 10 OWASP et les TTPs MITRE.
flowchart LR
A[STRIDE / PASTA<br/>Méthodes de TM]
B[OWASP Top 10 LLM / MCP / A2A / AST / Agentic Apps<br/>Catalogue de risques]
C[MITRE ATLAS<br/>TTPs adverses IA]
D[NIST AI RMF / ISO 42001<br/>Gouvernance]
E[(MAESTRO<br/>7 couches)]
F[Architecture agentique cible]
A --> E
B --> E
C --> E
D --> E
E --> F
On retient trois rôles complémentaires.
STRIDE et PASTA apportent la méthode : qui attaque, pourquoi, comment, quel impact. MAESTRO ne dit pas comment animer une session, il dit où regarder dans l’architecture.
Les Top 10 OWASP (LLM, MCP, A2A, AST, Agentic Apps) fournissent le catalogue de menaces. MAESTRO permet de les placer sur la bonne couche pour une revue d’architecture.
MITRE ATLAS, NIST AI RMF et ISO/IEC 42001 apportent respectivement les TTPs adverses, le cadre de gestion des risques et la conformité. MAESTRO sert de pont entre ces univers et les équipes ingénierie.
Quand on conduit une revue de sécurité d’un système agentique en 2026, MAESTRO est typiquement la première étape : on cartographie l’architecture sur les sept couches, puis on plaque les menaces issues des autres référentiels.
À quoi ressemble une session MAESTRO
On peut conduire une session MAESTRO en cinq temps, en s’inspirant directement du déroulé décrit pour STRIDE/PASTA dans STRIDE et PASTA.
Étape 1 - Cartographier l’architecture sur les sept couches
On dessine un diagramme par couche, avec les actifs concrets (modèles, vector stores, frameworks, skills, MCP servers, peers A2A, observabilité, registres). À ce stade, on n’identifie pas encore de menaces ; on construit la carte.
Étape 2 - Identifier les flux trans-couches
On trace les flux entre couches : un appel d’outil en L7 invoqué depuis L3, une mémoire en L2 lue par L3, des traces en L5 alimentées par L3 et L4. C’est sur ces flux que se concentrent la majorité des menaces.
Étape 3 - Plaquer les menaces de référence
On parcourt chaque couche et on liste les menaces des référentiels existants qui s’y rattachent. Par exemple, sur la couche L7 (écosystème) d’un système qui consomme des agent skills, on retrouve l’intégralité de l’OWASP AST10. Sur L3 (frameworks), on retrouve les risques du Top 10 Agentic Apps. Sur L1 (modèle), les risques du Top 10 LLM.
Étape 4 - Scorer et prioriser
On applique un scoring (OWASP Risk Rating ou directement la matrice CSA fournie avec MAESTRO). On hiérarchise par couche : une menace L4 sur la production prime sur une menace L7 sur un agent de POC.
Étape 5 - Définir les contre-mesures par couche
On rattache chaque menace à un contrôle. La force de MAESTRO est ici : les contrôles eux aussi sont rangés par couche. Sandbox runtime en L4, scan hybride et signature cosign en L7, observabilité OpenTelemetry en L5, AI-BOM CycloneDX 1.6 en L6, garde-fous LLM en L1/L3, etc. Cette logique est exactement celle décrite dans l’article intégrer la sécurité des agent skills dans une chaîne DevSecOps.
Outillage open source pour démarrer
MAESTRO est un cadre conceptuel, pas un produit. Pour le rendre opérationnel, on s’appuie sur des outils strictement open source, en cohérence avec l’esprit de la chaîne DevSecOps de l’AST10.
| Couche MAESTRO | Outils open source utiles en avril 2026 |
|---|---|
| L1 — Foundation Models | garak, Promptfoo, Giskard, DeepEval, NeMo Guardrails (NVIDIA), LLM Guard (Protect AI), Vigil, Rebuff |
| L2 — Data Operations | Great Expectations, Soda Core, OpenLineage, Marquez, MLflow |
| L3 — Agent Frameworks | Microsoft Agent Framework, LangGraph, CrewAI, AutoGen (côté framework), Promptfoo (côté tests d’agents) |
| L4 — Deployment & Infrastructure | Docker, Podman, Firecracker, Kata Containers, gVisor, Bubblewrap, Landlock, Falco, Tetragon |
| L5 — Observability & Evaluation | OpenTelemetry, Langfuse, Phoenix (Arize), DeepEval, Promptfoo |
| L6 — Security & Compliance | CycloneDX 1.6, Syft, Dependency-Track, OPA / Gatekeeper, Kyverno, Conftest, OpenSSF Scorecard, deps.dev |
| L7 — Agent Ecosystem | Sigstore / cosign, SLSA, in-toto, Harbor, Gitea Packages, OSV-Scanner, Trivy, Grype, ModelScan |
| Threat modeling support | OWASP Threat Dragon, pytm, Threagile |
| SIEM / SOC | Wazuh, OpenSearch Security Analytics, TheHive, Cortex, MISP, DefectDojo |
L’idée n’est pas d’empiler les outils, mais de garantir au moins une réponse open source par couche. C’est aussi la condition pour qu’une équipe interne puisse mener un threat modeling MAESTRO sans dépendance commerciale.
Quand utiliser MAESTRO… et quand ne pas l’utiliser
On utilise MAESTRO dès qu’on touche à un système qui orchestre du raisonnement, de la mémoire et des outils : un agent multi-tools, un agent A2A, un copilote interne, un système RAG critique, une chaîne MCP, un orchestrateur multi-agents. Les cas typiques :
- Conception d’un nouvel agent autonome.
- Revue de sécurité d’un système RAG passant en production.
- Audit d’une plateforme d’agent skills (cf. AST09).
- Onboarding d’un protocole inter-agents (A2A) ou d’un nouveau MCP server.
- Préparation d’un dossier de conformité EU AI Act / ISO/IEC 42001.
À l’inverse, on évite MAESTRO pour ce qu’il n’est pas :
- On ne l’utilise pas pour des projets purement déterministes (web app classique sans IA), STRIDE suffit.
- On ne l’utilise pas comme méthode opérationnelle de réponse à incident, c’est ATT&CK / ATLAS qui jouent ce rôle.
- On ne l’utilise pas comme cadre de gouvernance global , c’est NIST AI RMF / ISO 42001 qui jouent ce rôle, MAESTRO les complète.
Pièges fréquents
On observe en avril 2026 quelques erreurs récurrentes lors de la mise en œuvre(normal le framework est jeune et peu de gens le maitrise).
Confondre couches et équipes. Les sept couches MAESTRO ne sont pas des silos organisationnels. Une menace vit souvent à cheval sur plusieurs couches ; il faut accepter le recouvrement et travailler en transverse.
Ignorer L5 et L6. L’observabilité et la gouvernance sont les deux couches le plus souvent oubliées dans les revues. C’est pourtant là que se découvre la plupart des incidents post-mortem (cf. Shai-Hulud et AST09).
Plaquer MAESTRO sans architecture cible claire. Le framework est une grille de lecture ; sans un schéma d’architecture à jour, il devient un exercice théorique. La cartographie de l’étape 1 est non négociable.
Oublier l’écosystème (L7). Les attaques 2025-2026 les plus marquantes côté IA agentique passent par l’écosystème : skills malveillants, MCP servers compromis, peers A2A non authentifiés. Sous-traiter L7 à « la supply chain » sans la mettre dans le scope du threat model conduit à manquer la majorité des risques.
Quelques références pour aller plus loin
- CSA — Agentic AI Threat Modeling Framework : MAESTRO
- CSA — Threat Modeling Google’s A2A Protocol with MAESTRO
- OWASP Top 10 for LLM Applications
- OWASP Top 10 for Agentic Applications 2026 — Introduction
- OWASP MCP Top 10
- OWASP A2A Security Top 10
- OWASP Agentic Skills Top 10
- Shai-Hulud — Modélisation des menaces STRIDE & PASTA
- Intégrer la sécurité des agent skills dans une chaîne DevSecOps
- Sécuriser le cycle de développement assisté par IA
- MITRE ATLAS
- NIST AI Risk Management Framework
- OWASP Threat Dragon
- pytm — Pythonic threat modeling
- Threagile
✓ À retenir 📌
✓ MAESTRO (Cloud Security Alliance, 2025) est un framework de threat modeling spécifique à l'IA agentique. Il découpe l'architecture en sept couches (modèle, données, frameworks, infrastructure, observabilité, gouvernance, écosystème).
✓ Il ne remplace pas STRIDE, PASTA ou ATT&CK. On l'utilise comme une carte d'architecture sur laquelle on projette les menaces des Top 10 OWASP (LLM, MCP, A2A, AST, Agentic Apps), de MITRE ATLAS et de NIST AI RMF.
✓ Une session MAESTRO se déroule en cinq étapes : cartographier les sept couches, tracer les flux trans-couches, plaquer les menaces de référence, scorer, définir les contre-mesures par couche.
✓ MAESTRO peut se mettre en œuvre avec des outils open source uniquement (garak, Promptfoo, NeMo Guardrails, LLM Guard, OpenTelemetry, Langfuse, CycloneDX 1.6, Dependency-Track, cosign, OPA/Kyverno, Falco, Wazuh, OWASP Threat Dragon, pytm, Threagile…).
