Qu'est-ce que la forensique RAM d'un LLM ?

La forensique RAM d'un LLM consiste à analyser la mémoire vive d'un système d'intelligence artificielle après la purge déclarée pour détecter des résidus de données personnelles. Quand un LLM traite une donnée, elle est déchiffrée et placée en clair dans la RAM pendant le traitement. Même après fermeture de session, des résidus peuvent persister dans le heap applicatif, le page cache Linux, la zone swap ou les buffers kernel. Scanalis est la première infrastructure française certifiée pour cet audit forensique.

Que couvre l'AI Act Art. 12 pour les LLMs ?

L'AI Act Art. 12 impose la journalisation automatique des événements pour les systèmes IA à haut risque. Cette journalisation doit couvrir l'exécution réelle des processus de purge — pas uniquement la politique déclarée. Un rapport de conformité ne suffit pas : il faut une preuve d'exécution réelle, opposable. C'est précisément ce que produit Scanalis avec le Protocole Canary.

Qu'est-ce que le Protocole Minerve ?

Le Protocole Minerve est la méthode d'extraction forensique développée par Scanalis pour détecter si un LLM a mémorisé des données personnelles lors de son entraînement ou de son fine-tuning. Il exécute 35+ sondes sur 7 catégories via l'API standard du modèle, fondé sur les travaux académiques de Carlini et al. (USENIX Security 2021, arXiv:2012.07805). Le verdict est binaire : MINERVE_EXPOSED ou MINERVE_NOT_DETECTED.

Forensique RAM · Protocole Canary · Protocole Minerve

Votre LLM dit qu'il a oublié.
Nous le prouvons.

Q: Comment prouver qu'un LLM a oublié mes données personnelles ?

Le Protocole Canary de Scanalis injecte 8 jetons cryptographiques dans un LLM via son API standard, déclenche la purge déclarée par le système, puis scanne la mémoire vive octet par octet sur 4 zones (heap applicatif, page cache Linux, zone swap, buffers kernel). Le verdict est binaire : AMNESIA_CONFIRMED si la purge est physiquement effective, AMNESIA_FAILED si des résidus de données personnelles sont détectés avec leur adresse mémoire exacte.

Q: Quelle est la différence entre un DLP pour LLM et Scanalis ?

Un DLP bloque ce qui entre dans le LLM avant traitement. Scanalis vérifie ce qui reste en RAM après traitement. Ce sont deux couches complémentaires. Un système peut avoir le meilleur DLP du marché et avoir des résidus de données personnelles en mémoire vive post-purge. L'une empêche l'entrée, l'autre prouve la sortie.

Q: Notre système est certifié HDS et ISO 27001. Sommes-nous couverts ?

Non. HDS certifie l'hébergeur des données de santé. ISO 27001 certifie la gouvernance de la sécurité de l'information. Aucune de ces certifications ne spécifie l'audit forensique de la mémoire volatile des LLMs post-session — ce concept n'existait pas quand elles ont été rédigées. Scanalis comble précisément cet angle mort réglementaire.

Q: L'audit Scanalis est-il intrusif ?

Non. Scanalis est non intrusif par conception. Zéro agent installé sur vos serveurs. Zéro accès SSH. Zéro accès au code source ou aux poids du modèle. Le dump mémoire est généré par vos équipes (gcore ou procdump) et transmis de façon sécurisée. Scanalis interagit uniquement via l'interface API standard de votre LLM.

Scanalis produit la preuve cryptographique que votre système d'IA a physiquement effacé les données personnelles après traitement. Rapport scellé SHA-256, opposable CNIL. RGPD Art.5(2) · AI Act Art.12 · DORA Art.25.

Demander un audit → Voir les protocoles

AMNESIA_CONFIRMED : Purge physique prouvée

AMNESIA_FAILED : Résidus détectés en RAM

jetons canaris cryptographiques injectés par session

zones RAM scannées octet par octet

SHA-256

rapport scellé, opposable CNIL et tribunal européen

agent installé · Zéro SSH · Zéro accès code source

Contexte marché

L'angle mort que personne n'audite encore

Quand un LLM traite une donnée personnelle, elle est déchiffrée et placée en clair dans la mémoire vive. Le système déclare ensuite avoir purgé. Personne ne vérifie.

⚖️

AI Act Art. 12 : Août 2026

La pleine application impose la journalisation des événements pour les systèmes IA à haut risque. La documentation décrit les processus. Elle ne prouve pas l'exécution réelle.

→ Scanalis produit cette preuve d'exécution.

🔒

RGPD Art. 5(2) : Accountability

La charge de la preuve est sur le responsable de traitement. Votre DPA garantit contractuellement la purge. Il ne la prouve pas. La distinction est juridiquement critique.

→ Le rapport Scanalis est cette preuve.

🏦

DORA Art. 25 : Résilience ICT

Les établissements financiers doivent vérifier la résilience ICT de leurs prestataires tiers. Les LLMs sont désormais des prestataires ICT. Leur mémoire volatile n'a jamais été auditée.

→ Premier audit forensique RAM LLM en finance.

💡

90% des dossiers BPI rejetés

Les porteurs de projets IA peinent à obtenir des financements faute de preuve technique d'exécution de leur conformité. Le rapport Canary est la pièce justificative manquante.

→ ROI documenté jusqu'à 1:143.

Positionnement

Complémentaire de tous les outils existants

Aucun outil ne couvre ce que Scanalis audite. Zéro concurrent direct sur la preuve forensique RAM LLM en France.

OutilCe qu'il couvreRAM post-purge LLM

DLP pour LLM

Bloque ce qui entre avant traitement

Non couvert ✗

Big Four / Audit

Vérifient les déclarations et politiques

Non couvert ✗

Pentesting

Cherche les portes d'entrée

Non couvert ✗

ISO 27001 / HDS

Certifient la gouvernance sécurité

Non couvert ✗

Scanalis

Prouve la purge physique de la RAM post-session LLM

Seul outil ✓

Méthode

Deux protocoles. Un verdict binaire.

Non intrusif par conception, API standard uniquement. Zéro agent installé. Zéro SSH. Zéro accès au code source ni aux poids du modèle.

Protocole Canary

La purge physique de la RAM est-elle effective ?

Injection de 8 jetons cryptographiques traceurs dans le LLM via son API standard. Déclenchement de la purge. Scan forensique de la mémoire vive octet par octet sur 4 zones.

ACapture de l'empreinte mémoire baseline avant injection
BInjection de 8 canaris via API : email, IBAN, DCP santé, SIREN, données biométriques...
CDéclenchement de la purge déclarée par le système
DScan heap applicatif · page cache Linux · swap · buffers kernel

AMNESIA_CONFIRMED AMNESIA_FAILED

Protocole Minerve

Le modèle a-t-il mémorisé des données lors de son entraînement ?

Extraction forensique des données mémorisées dans les poids du LLM. 35+ sondes sur 7 catégories, fondé sur Carlini et al. USENIX 2021 (arXiv:2012.07805). Via API uniquement.

M001Complétion directe : induction par contexte partiel
M002Mémorisation verbatim : reproduction exacte détectée
M003Inversion fine-tuning : données de spécialisation
M004–7Divergence · Prompt injection · Réidentification · Analogie

MINERVE_EXPOSED MINERVE_NOT_DETECTED

Déroulement

Une mission en 5 étapes

De la contractualisation à la remise du rapport scellé, tout est documenté, traçable, et certifié.

Contractualisation : kit juridique complet

1 document signé avant tout échange : contrat de prestation, DPA RGPD Art. 28, autorisation d'accès technique (bouclier pénal Art. 323-1), NDA bilatéral 5 ans, procédure de destruction certifiée.

Kit juridique 1 document

Réception du dump mémoire fourni par le client

Le client génère le dump via gcore ou procdump sur son infrastructure. Scanalis n'accède jamais directement au système. Non intrusif par conception, zéro surface d'exposition supplémentaire.

gcore / procdump généré par le client

Injection des canaris et déclenchement de la purge

8 jetons cryptographiques injectés via l'API standard du LLM. Déclenchement de la purge déclarée. Capture du dump post-purge. Aucune connexion à l'infrastructure client.

API standard · Zéro SSH · Zéro agent

Scan forensique : 4 zones mémoire

Analyse octet par octet du heap applicatif, du page cache Linux, de la zone swap et des buffers kernel. Calcul de l'IPE (Indice de Probabilité d'Exposition). Extraction Minerve sur 35+ sondes si Tier 3.

Heap · Page cache · Swap · Buffers kernel

Rapport forensique scellé : remise et destruction

Rapport PDF selon le tier. Scellé SHA-256. Signé RSA-PSS 2048 bits (Tier 3). Horodaté RFC3161 (Tier 3). Opposable CNIL et tribunal européen. Destruction données client certifiée sous 20 jours.

SHA-256 · RSA-PSS · RFC3161 · shred -vfz -n 3

Offres

Trois niveaux de preuve

Le niveau dépend de ce que vous avez besoin de prouver et à qui. Chaque offre indique exactement ce dont Scanalis a besoin de votre côté.

Tier 1 Rapport 6 pages

Diagnostic d'Exposition

EXPOSITION PROBABLE / NON CARACTÉRISÉE

Cartographie de votre surface d'exposition RAM sur la base de votre architecture déclarée. Sans scan actif pour évaluer le risque avant d'engager un audit complet.

Livrables

✓Cartographie des 4 zones RAM exposées
✓Implications RGPD · AI Act documentées
✓Actions prioritaires avec délais
✓Attestation de destruction certifiée

Ce que vous fournissez

→Questionnaire technique (architecture LLM, zones de traitement, politique de purge déclarée)
→Description du système (éditeur, modèle, hébergeur, couche OS)
→Catégories de données personnelles traitées
→DPA en vigueur avec votre éditeur LLM

contact@scanalis.fr →

Le plus demandé

Tier 2 Rapport 8 pages

Audit Forensique

AMNESIA_CONFIRMED / AMNESIA_FAILED

Scan RAM actif post-purge. Verdict binaire avec hex dumps et adresses mémoire exactes. La preuve opposable que votre LLM oublie ou non physiquement.

Livrables

✓Protocole Canary complet : 8 canaris injectés
✓Scan forensique 4 zones RAM
✓Hex dumps + adresses mémoire exactes
✓IPE (Indice de Probabilité d'Exposition)
✓Rapport scellé SHA-256
✓Opposable CNIL · RGPD Art.5(2) · AI Act Art.12

Ce que vous fournissez

→Dump mémoire post-purge (gcore ou procdump généré par vos équipes)
→Endpoint API du LLM + token d'accès temporaire
→Contact technique désigné pour la session
→Message de purge renvoyé par votre système
→Catégories DCP traitées (pour cibler les canaris)

Demander l'audit →

Tier 3 Rapport 10 pages

Certification de Résilience

CANARY + MINERVE · RSA-PSS · RFC3161

Preuve complète RAM post-purge et mémorisation dans les poids. Scellé RSA-PSS, horodaté RFC3161. Pièce justificative pour dossiers BPI, PIIEC, due diligence investisseurs.

Livrables

✓Protocole Canary + Protocole Minerve
✓35+ sondes Minerve : 7 catégories
✓Signature RSA-PSS 2048 bits
✓Horodatage RFC3161 : vérifiable offline
✓Opposable CNIL · DORA · AI Act · NIS2
✓Pièce justificative BPI / PIIEC

Ce que vous fournissez

→Tout ce du Tier 2 +
→Fiche technique du modèle (model card, dataset d'entraînement déclaré)
→Historique de fine-tuning si applicable (datasets utilisés, dates)
→Accès API en session étendue pour les 35+ sondes Minerve
→Dossier de conformité existant (BPI, PIIEC, ou due diligence cible)

contact@scanalis.fr →

📏

La règle des 35 000 €

Si les données que votre LLM traite en RAM représentent plus de 35 000 € de dommages en cas d'extraction, Scanalis est rentable. Un dossier médical, un IBAN, un contrat, un secret industriel. Combien ça vaut si ça sort ?

Réglementation

Chaque rapport répond à des obligations précises

Pas des recommandations. Des articles de loi. Des obligations. Des deadlines.

RGPD

Art. 5(1)(e) + Art. 5(2) + Art. 32

Limitation de la conservation + accountability + mesures de sécurité adaptées à l'état de l'art

AI Act

Art. 10 + Art. 12 : Août 2026

Gouvernance des données + journalisation d'exécution réelle, pleine application imminente

DORA

Art. 25 + Art. 28

Résilience ICT des prestataires tiers, LLMs concernés depuis 2024

NIS2

Art. 21

Mesures de sécurité appropriées à l'état de l'art 2026

HDS 2024

Hébergement données de santé

HDS certifie l'hébergeur. Pas l'amnésie du LLM. Scanalis comble ce vide réglementaire.

ANSSI

35 recommandations IA 2024

Rec. n°23 : audit de sécurité IA avant déploiement et après mise à jour majeure

Questions fréquentes

Ce que DPOs, RSSSIs et DSIs demandent

Le Protocole Canary de Scanalis injecte 8 jetons cryptographiques dans le LLM via son API standard, déclenche la purge déclarée, puis scanne la mémoire vive octet par octet sur 4 zones (heap applicatif, page cache Linux, zone swap, buffers kernel). Le verdict est binaire : AMNESIA_CONFIRMED si la purge est physiquement effective, AMNESIA_FAILED si des résidus de données personnelles sont détectés avec leur adresse mémoire exacte et leur hex dump.

Quatre zones mémoire peuvent retenir des résidus après purge déclarée : le heap applicatif (allocations dynamiques Python/Node), le page cache Linux (données maintenues par le noyau pour optimiser les I/O), la zone swap (extension RAM sur disque lors de pics de charge), et les buffers kernel (zones système non accessibles à l'application mais lisibles forensiquement). Ces résidus peuvent persister plusieurs dizaines de minutes après la fermeture de session.

Ni l'un ni l'autre. Scanalis est un tiers de confiance technique qui produit une preuve forensique. Comme un laboratoire d'analyses médicales : nous produisons le résultat, le résultat est la preuve. Vous l'interprétez avec votre DPO ou votre avocat pour établir la conformité RGPD Art. 5(2).

Non. Scanalis est non intrusif par conception. Zéro agent installé sur vos serveurs. Zéro accès SSH. Zéro accès au code source ou aux poids du modèle. Le dump mémoire est généré par vos équipes (gcore ou procdump) et transmis de façon sécurisée. Scanalis interagit uniquement via l'interface API standard de votre LLM, exactement comme votre propre application.

Non. HDS certifie l'hébergeur des données de santé. ISO 27001 certifie la gouvernance. Aucune de ces certifications ne spécifie l'audit forensique de la mémoire volatile des LLMs post-session, ce concept n'existait pas quand elles ont été rédigées. L'AI Act Art. 12 (août 2026) va créer cette obligation de preuve d'exécution réelle que ni HDS ni ISO 27001 ne couvrent.

L'hébergement souverain couvre le lieu de stockage physique pas ce que le logiciel fait avec les données une fois à l'intérieur. Si votre modèle est d'origine américaine (GPT-4, Claude, Llama...), le Cloud Act s'applique indépendamment de la localisation du serveur. Et quel que soit le modèle, la persistance mémoire post-purge est indépendante de la géographie : c'est de la physique, pas du droit.

Non. Les DLP bloquent ce qui entre dans le LLM avant traitement. Scanalis vérifie ce qui reste en RAM après traitement. Deux couches complémentaires. Un système peut avoir le meilleur DLP du marché et conserver des résidus de données personnelles en mémoire vive post-purge, ce sont deux problèmes distincts sur la chaîne de traitement.

Votre rapport vous appartient, scellé SHA-256, toute modification invalide le hash, il est vérifiable par tout tiers offline. Vos données client (dump mémoire, questionnaire) sont détruites sous 20 jours calendaires via procédure shred -vfz -n 3 (3 passes DoD 5220.22-M), avec attestation de destruction signée remise avec le rapport. Scanalis est assurée RC Pro Cyber par Hiscox.

Trois raisons. Les LLMs en production sont récents : 2022-2023. La réglementation qui crée l'obligation vient d'entrer en vigueur : AI Act 2024, pleine application août 2026. Et les compétences forensiques RAM combinées à la maîtrise opérationnelle des LLMs au même endroit sont rarissimes. Ce n'est pas un oubli. C'est une fenêtre qui vient de s'ouvrir.

Votre LLM oublie-t-il vraiment ?

Décrivez votre système en quelques lignes. Scanalis évalue votre exposition et vous oriente vers le bon niveau d'audit. Sans engagement.

Écrire à contact@scanalis.fr → LinkedIn : Mathilde De Roumilly

3 créneaux par mois · C'est Mathilde qui scanne · C'est Mathilde qui signe

Votre LLM dit qu'il a oublié.Nous le prouvons.

L'angle mort que personne n'audite encore

AI Act Art. 12 : Août 2026

RGPD Art. 5(2) : Accountability

DORA Art. 25 : Résilience ICT

90% des dossiers BPI rejetés

Complémentaire de tous les outils existants

Deux protocoles. Un verdict binaire.

La purge physique de la RAM est-elle effective ?

Le modèle a-t-il mémorisé des données lors de son entraînement ?

Une mission en 5 étapes

Trois niveaux de preuve

Diagnostic d'Exposition

Audit Forensique

Certification de Résilience

Chaque rapport répond à des obligations précises

Ce que DPOs, RSSSIs et DSIs demandent

Votre LLM oublie-t-il vraiment ?

Votre LLM dit qu'il a oublié.
Nous le prouvons.