MZ.
Veille Technologique — BTS SIO SLAM

Sécurité des bases de données

Et l'émergence des menaces liées à l'intelligence artificielle

La sécurité des bases de données est un enjeu central du développement logiciel moderne. Pendant près de six mois, j'ai suivi l'actualité de ce domaine via des alertes Google, des publications OWASP et des guides officiels de l'ANSSI. Cette veille m'a permis d'identifier trois grandes tendances : la persistance des vulnérabilités classiques (injection SQL, mauvaise configuration), l'émergence de nouvelles surfaces d'attaque liées à l'IA, et des incidents récents qui illustrent les conséquences réelles d'une protection insuffisante, y compris dans des services publics français.

Ces observations résonnent directement avec mes expériences, la sécurisation des formulaires et des accès SQL au laboratoire US2B, la gestion des rôles et du principe du moindre privilège avec le projet API Ministage où la gestion des droits d'accès était au cœur de l'architecture.

8

Sources analysées

14k+

CVEs SQL recensés

1 an, 6 mois

Durée de veille

Axes de veille

Menaces classiques

Injection SQL, élévation de privilèges, mauvaise configuration — des vulnérabilités persistantes malgré les outils modernes.

Fuites de données

Des millions de records exposés chaque année en France, souvent par des bases mal protégées ou des accès non segmentés.

IA & nouvelles menaces

Skeleton Key, empoisonnement de données d'entraînement, prompt injection — les LLMs comme nouvelle surface d'attaque.

Sources analysées

OWASP Top 10 : 2025 — A05 Injection

OWASP Foundation · Janvier 2026

RéférenceEN

L'injection SQL passe de la 3e à la 5e place du classement 2025, mais reste l'une des failles les plus exploitées avec plus de 14 000 CVEs recensés. L'OWASP recommande l'usage de requêtes paramétrées, la validation stricte des entrées, et l'intégration d'outils SAST/DAST dans les pipelines CI/CD.

Injection SQLOWASPCVECI/CD
Se protéger des fuites de données

ANSSI — MesServicesCyber · 2024

Guide officielFR

Guide pratique de l'ANSSI destiné aux organisations pour prévenir les fuites de données : chiffrement, contrôle des accès, politique de mots de passe, gestion des habilitations et conduite à tenir en cas d'incident. Directement applicable aux bonnes pratiques de protection des BDD.

ANSSIFuite de donnéesChiffrementHabilitations
Mise en œuvre sécurisée d'un CMS

ANSSI — MesServicesCyber · 2025

Guide officielFR

Recommandations de l'ANSSI pour sécuriser un CMS (WordPress, Drupal…) : mises à jour, gestion des plugins, droits des utilisateurs, protection des formulaires et des accès base de données. En lien direct avec le stage CNRS où WordPress et les vulnérabilités associées étaient en jeu.

ANSSICMSWordPressSécurité BDD
Bases de données relationnelles — Bonnes pratiques de sécurité

ANSSI — MesServicesCyber · 2025

Guide officielFR

Guide de l'ANSSI dédié à la sécurisation des SGBD relationnels : principe du moindre privilège, séparation des comptes applicatifs, chiffrement des données sensibles, journalisation et audit. Ce guide synthétise les pratiques que j'ai appliquées en stage (MySQL, PostgreSQL).

ANSSISGBDMoindre privilègePostgreSQLMySQL
Skeleton Key : quand les chatbots IA tournent mal

IBM Think — fr · 2025

Menace émergenteFR

L'attaque Skeleton Key contourne les garde-fous des LLMs en les persuadant progressivement d'ignorer leurs restrictions. Elle illustre comment les IA peuvent être détournées pour extraire des informations sensibles ou produire du contenu malveillant, posant la question de la sécurité des systèmes qui s'appuient sur des modèles de langage pour accéder à des données.

LLMJailbreakPrompt injectionIA
Beyond Data: The Rising Need for AI Security

Sarath Chandra Vidya Sagar Machupalli — IBM · Novembre 2025

Menace émergenteEN

La sécurité des données et la sécurité des systèmes IA sont désormais indissociables. L'article introduit de nouvelles menaces : empoisonnement de données d'entraînement, model inversion, prompt injection. Il propose un cadre de défense en profondeur couvrant l'ensemble du cycle de vie ML, du RBAC à la surveillance continue.

IAModel PoisoningRBACDefense in depth
Piratage du CROUS — 774 000 étudiants touchés

IT-Connect / France Inter · Mars 2026

Cas concretFR

La plateforme mesrdv.etudiant.gouv.fr a été compromise, exposant les données de 774 000 étudiants sur une décennie. 139 000 d'entre eux ont vu leurs pièces jointes (passeports, cartes d'identité) exfiltrées. L'incident illustre les conséquences d'une mauvaise protection des bases de données publiques et d'un manque de segmentation des accès.

Fuite de donnéesService publicRGPDExfiltration
SQL Injection in ORMs 2025: Why Modern Frameworks Still Aren't Safe

Propel / Aikido Security · Août 2025

RéférenceEN

Malgré la promesse des ORM d'éliminer les injections SQL, 18% des applications les utilisant restent vulnérables. Des CVEs critiques ont été identifiés sur Django (CVE-2024-42005), Rails ActiveRecord et Hibernate. Le faux sentiment de sécurité induit par les ORM est le principal facteur de risque.

ORMDjangoCVE-2024-42005Injection SQL

Synthèse & perspectives

Cette veille confirme que la sécurité des bases de données reste un domaine en constante évolution. Les vulnérabilités classiques comme l'injection SQL ne disparaissent pas, elles se déplacent vers de nouveaux environnements (ORM, CMS, APIs). Le piratage du CROUS en 2026 illustre que même des services publics récents peuvent négliger des fondamentaux comme la segmentation des accès ou la gestion des pièces jointes sensibles.

L'angle IA est particulièrement structurant pour les années à venir : des attaques comme Skeleton Key montrent que les LLMs peuvent être détournés pour contourner des protections, y compris sur des systèmes qui s'appuient sur l'IA pour accéder à des données. Les guides de l'ANSSI restent la référence française pour structurer une réponse concrète à ces menaces.