Formation Certification OSAI+™ (AI-300)

Formation Certification OSAI+

[1ère demi-journée]

Comprendre la sécurité des systèmes d’IA

• Introduction à la sécurité des systèmes d’IA et au positionnement de la certification OSAI+
• Différences entre red teaming traditionnel et red teaming IA
• Comprendre les enjeux de vol de données, de manipulation de modèles et de détournement de workflows
• Panorama des référentiels MITRE ATLAS et OWASP Top 10 for LLMs
• Lecture du cycle offensif : Recon, Access, Influence, Persistence, Exfiltration

[2ème demi-journée]

Cartographier les surfaces d’attaque IA

• Identifier les surfaces d’attaque des LLM : APIs publiques, fine-tuning et déploiements locaux
• Comprendre les composants d’une architecture RAG : retrievers, bases vectorielles et pipelines d’ingestion
• Étudier les couches d’orchestration : MCP, outils et agents
• Repérer les dépendances critiques entre services IA et composants applicatifs
• Détecter les points faibles et les chemins d’attaque potentiels dans un environnement IA moderne

[3ème demi-journée]

Reconnaissance et collecte d’informations

• Mettre en œuvre une reconnaissance passive : dépôts publics, documentation exposée, fuites et OSINT orienté IA
• Conduire une reconnaissance active : énumération d’API, fingerprinting de modèles et découverte d’endpoints
• Analyser les dépendances et cascades de confiance entre ingestion, retrieval et génération
• Comprendre les traces laissées par les systèmes IA : prompts structurés, embeddings, appels API
• Adopter des tactiques de discrétion : variation des requêtes, limitation de débit et contournement de honeypots

[4ème demi-journée]

Attaquer les agents IA

• Comprendre l’architecture d’un agent IA : mémoire, registre d’outils, boucle de planification et messages système
• Exploiter les vulnérabilités de prompt injection directes et indirectes
• Manipuler la mémoire persistante pour influencer les décisions futures
• Exploiter les faiblesses d’invocation d’outils et les contrôles de permissions insuffisants
• Mettre en place des techniques de furtivité post-compromission dans un environnement agentique

[5ème demi-journée]

Attaquer les systèmes multi-agents et les échanges A2A

• Étudier les architectures multi-agents et les mécanismes de coordination distribuée
• Comprendre les fondamentaux des protocoles A2A : structure des messages, transports et modèles d’authentification
• Réaliser des attaques d’impersonation, de relay et de replay sur les flux inter-agents
• Exploiter les défauts de validation, de schéma et de sérialisation
• Altérer un workflow sans le casser en conservant la continuité d’état

[6ème demi-journée]

Exploiter les pipelines RAG

• Comprendre la chaîne RAG : ingestion, chunking, vectorisation, stockage, retrieval et synthèse LLM
• Identifier les faiblesses sur les couches de knowledge base, de retrieval et d’embeddings
• Mettre en œuvre des attaques de knowledge base leakage et de retrieval hijacking
• Exécuter des scénarios d’ingestion poisoning et d’attaque sur les embeddings
• Masquer des charges malveillantes au sein de documents légitimes pour gagner en furtivité

[7ème demi-journée]

Exploiter le Model Context Protocol

• Comprendre le rôle du Model Context Protocol dans l’orchestration et la médiation d’outils
• Identifier les attaques de tool description poisoning et de tool shadowing
• Exploiter des scénarios de redirection d’endpoints et de contournement de contraintes
• Chaîner des outils pour obtenir une escalade de privilèges ou des actions non prévues
• Adopter des techniques de furtivité en imitant les usages légitimes et les sorties attendues

[8ème demi-journée]

Attaquer la supply chain IA

• Cartographier la chaîne d’approvisionnement IA : datasets, poids de modèles, adaptateurs, scripts et registres
• Comprendre les mécanismes de dataset poisoning et d’insertion de triggers
• Étudier les compromissions de modèles : poids backdoorés, LoRA poisoning et couches adversariales
• Exploiter les mécanismes de distribution, de mise à jour et de confiance
• Masquer les modifications malveillantes sous une apparence conforme aux contrôles classiques

[9ème demi-journée]

Exploiter les infrastructures IA et les déploiements

• Comprendre les architectures de déploiement IA : AWS SageMaker, Azure OpenAI, Vertex AI, serveurs self-hosted et clusters Kubernetes
• Identifier les erreurs de configuration cloud : rôles trop permissifs, endpoints publics et secrets exposés
• Exploiter les conteneurs, l’orchestration et les abus RBAC Kubernetes
• Attaquer les model servers via hot-reload, APIs de contrôle ou handlers personnalisés
• Maintenir la discrétion dans des environnements MLOps et CI/CD

[10ème demi-journée]

Modéliser la menace et préparer l’examen

• Identifier les frontières de confiance, les dépendances et les chemins d’escalade dans un système IA
• Cartographier les actifs critiques : poids propriétaires, embeddings sensibles, endpoints MCP et sources RAG
• Construire une stratégie de Red Team IA complète et réaliste
• Structurer un rapport professionnel conforme aux attentes OffSec
• Préparer efficacement l’épreuve pratique et la phase de reporting de la certification OSAI+