Aller au contenu principal

Authentification et Sécurité des Actions

Pourquoi l’authentification est indispensable

La plupart des API professionnelles ne sont pas publiques. Votre CRM, votre calendrier, votre base de données exigent une preuve d’identité avant de répondre. Sans authentification correctement configurée, votre GPT ne pourra pas accéder aux données dont il a besoin.

Les trois modes d’authentification

Le GPT Builder propose trois méthodes pour authentifier les appels API :

1. Aucune authentification

Pour les API publiques qui n’exigent pas d’identification. C’est le cas de certaines API météo, de données ouvertes ou de services gratuits.

Usage : prototypage et APIs publiques uniquement.

2. Clé API (API Key)

La méthode la plus courante. Vous fournissez une clé secrète qui est envoyée avec chaque requête.

Configuration dans le GPT Builder :

  • Auth Type : API Key
  • API Key : votre clé (elle sera stockée de manière sécurisée par OpenAI)
  • Header name : le nom de l’en-tête (généralement Authorization, X-API-Key ou api-key)
  • Prefix : le préfixe éventuel (souvent Bearer avec un espace)

Le GPT ajoutera automatiquement la clé à chaque appel API. L’utilisateur final ne voit jamais la clé.

3. OAuth 2.0

Pour les services qui nécessitent une authentification par l’utilisateur final (Google, Microsoft, Salesforce, etc.). L’utilisateur autorise le GPT à agir en son nom.

Configuration :

  • Client ID et Client Secret : fournis par le service externe
  • Authorization URL : l’URL de connexion du service
  • Token URL : l’URL d’échange du token
  • Scope : les permissions demandées (lecture seule, lecture/écriture, etc.)

Quand l’utilisateur lance le GPT pour la première fois, il est redirigé vers la page de connexion du service pour autoriser l’accès.

Sécuriser vos Actions

Principe du moindre privilège

Ne demandez que les permissions strictement nécessaires :

  • Si votre GPT doit uniquement lire des contacts CRM, ne demandez pas l’accès en écriture
  • Si votre GPT consulte un calendrier, ne demandez pas l’accès aux emails
  • Limitez les scopes OAuth au minimum requis

Protéger vos clés API

  • Ne collez jamais une clé API dans les instructions du GPT (elles sont lisibles)
  • Utilisez exclusivement le champ d’authentification du GPT Builder
  • Créez une clé API dédiée pour votre GPT, distincte de vos clés personnelles
  • Définissez des limites de taux (rate limits) sur votre clé si le service le permet

Limiter les Actions destructives

Si votre API permet des opérations d’écriture (créer, modifier, supprimer), ajoutez des garde-fous dans les instructions :

  • « Demande toujours confirmation avant de créer un contact dans le CRM »
  • « Ne supprime jamais de données sans validation explicite de l’utilisateur »
  • « Limite les modifications à 5 par conversation »

La politique de confidentialité

Si vous publiez votre GPT en public et qu’il utilise des Actions, OpenAI exige que vous fournissiez une URL vers une politique de confidentialité expliquant :

  • Quelles données sont collectées via les Actions
  • Comment elles sont traitées
  • Qui y a accès

Mise en pratique

  1. Créez un compte développeur sur un service API de votre choix (Airtable, Notion, HubSpot)
  2. Générez une clé API dédiée avec des permissions minimales (lecture seule)
  3. Configurez l’authentification par clé API dans votre GPT
  4. Testez un appel simple (lire une liste de données)
  5. Vérifiez dans les logs du service que les appels proviennent bien de votre GPT

Erreurs courantes

  • Mettre la clé API dans les instructions : n’importe quel utilisateur peut extraire le contenu des instructions d’un GPT. Utilisez uniquement le champ d’authentification sécurisé.
  • Demander trop de permissions OAuth : un scope trop large effraie les utilisateurs et pose un risque de sécurité. Demandez le minimum.
  • Oublier la politique de confidentialité : obligatoire pour les GPTs publics avec Actions. Sans elle, votre GPT sera rejeté du GPT Store.
  • Ne pas surveiller l’usage : vérifiez régulièrement les appels API de votre GPT pour détecter un usage anormal ou une sur-consommation.
  • Utiliser sa clé API personnelle : créez toujours une clé dédiée que vous pourrez révoquer sans impacter vos autres outils.

Points clés

  • Trois modes d’authentification : aucun, clé API, OAuth 2.0
  • Appliquez le principe du moindre privilège — ne demandez que les permissions nécessaires
  • Ne mettez jamais de clés API dans les instructions du GPT
  • Ajoutez des garde-fous pour les opérations d’écriture et de suppression
  • Les GPTs publics avec Actions nécessitent une politique de confidentialité
Lecon precedenteConnecter Votre GPT à des API ExternesLecon suivanteExemples : GPT Connecté à un CRM, un Calendrier, une Base de Données