En multi‑tenant, le RAG doit respecter les permissions sans tuer les perfs. Deux écoles: index séparés par tenant (isolement fort) ou index global avec filtres (souple mais délicat).

Modèles d’index —

• Par tenant: simple à raisonner, coûteux en maintenance; migrations/compactions multiples.

• Unique + filtres: plus efficient en coûts et rappel croisé, mais exige des filtres robustes et une gestion stricte des ACLs.

Filtres & métadonnées — Taguez chaque chunk (tenant, catégories, confidentialité); vérifiez les filtres au runtime. Testez les chemins d’évasion (mauvaise propagation de tags, requêtes multi‑tenants).

Caches — Contexte et sémantique par tenant; invalider à l’update (document, ACL). Évitez les fuites via caches partagés.

Observabilité & audits — Tracer « qui a lu quoi »; journaux signés. Revues régulières, tests chaos (suppression d’ACL, changement de rôle) pour garantir l’étanchéité.

Reco rapide — Si peu de tenants et exigences fortes d’isolement → index séparés. Sinon → index global + filtres bien conçus, avec audits réguliers. original: true category: Guide tags:

• RAG

• Permissions

• Sécurité permalink: /guides/rag-permissions-multitenant-2025/