IA

RAG (Retrieval-Augmented Generation)

Définition

Le RAG (Retrieval-Augmented Generation, ou génération augmentée par récupération) est une architecture qui connecte un LLM à une base de connaissances externe. Avant de répondre, le système recherche les documents pertinents, le plus souvent dans une base vectorielle, et les injecte dans le contexte du modèle. On obtient des réponses ancrées dans des données à jour et propres à l'entreprise, sans avoir à réentraîner le modèle.

Pourquoi c'est important

Le RAG est aujourd'hui le patron d'architecture dominant des assistants d'entreprise, car il réduit les hallucinations et exploite le patrimoine documentaire interne. Mais il déplace le risque vers la donnée. Une base d'indexation mal cloisonnée expose des documents confidentiels à des utilisateurs non habilités : c'est une fuite par excès de permissions. Le pipeline de récupération devient aussi un vecteur d'injection indirecte, puisqu'un document empoisonné remonté dans le contexte peut détourner la réponse. La gestion des droits d'accès au niveau du document, souvent négligée, reste le point faible récurrent. À cela s'ajoutent la rétention des données dans l'index, la traçabilité des sources citées et le risque d'empoisonnement de la base de connaissances elle-même.

Comment AOCSI l'adresse

Nous auditons les chaînes RAG de bout en bout : contrôle d'accès sur la base vectorielle, filtrage des sources, isolation des tenants et validation des sorties. Cet examen s'inscrit dans notre offre de sécurité de l'intelligence artificielle, au croisement de la protection des données et de la robustesse du modèle.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.