Post-Doctorant ou Post-Doctorante en Génération de Données de Cyberattaques par Interaction Humain-IA H/F - Ministères économiques et financiers

Dans le cadre du projet CKRISP (appel ANR «Thématiques Spécifiques de l'IA»), nous avons pour objectif de tirer avantage de la connaissance des attaques et des liens de causalité entre incidents de sécurité, extraits d'un graphe de connaissances cybersécurité («cybersecurity knowledge graph» ou CSKG), pour créer une méthode de génération d'attaques pilotée par IA. Notre approche implique le développement d'un modèle de politiques de prédiction de comportements d'attaques basé sur de l'apprentissage par renforcement («Reinforcement Learning» ou RL). Ce modèle sera capable de reproduire des stratégies de cyberattaques utilisées par des attaquants ou analystes humains (dans le cadre de tests d'intrusion, par exemple). Qui plus est, le modèle doit permettre d'explorer de nouvelles méthodes d'attaques en se référant aux connaissances du contexte des actifs ciblés. En synthétisant des données d'attaque par cette approche, nous pourrons aider des experts humains à explorer les possibles chemins d'attaque qui n'apparaissaient pas dans les observations précédentes. Cela permettra de non seulement améliorer la couverture de détection des systèmes de détection d'intrusions (ou IDS) basés sur l'IA, mais aussi de permettre aux analystes humains d'identifier des vulnérabilités potentielles.

CKRISP permettra d'établir un processus coopératif entre l'humain et l'IA pour résoudre le verrou de l'exploration et la prédiction de comportements d'attaque. Premièrement, de nouvelles attaques (par ex., les attaques 0-day), pouvant éluder la vigilance des analystes humains, peuvent être découvertes dans les logs comportementaux; deuxièmement, la plupart des événements de sécurité collectés en pratique peuvent être non labellisés ou incomplets, dus à des sondes défectueuses. Inspirés par le succès récents des applications d'IA basées sur les grands modèles de langage («Large Language Models» ou LLM), la coopération humain-IA envisagée permettra :

1) l'exploration de structures de sous-graphes dans les CSKGs afin de révéler de possibles chemins d'attaque;

2) la valorisation de la vérification humaine de comportements suspects découverts par IA et l'ajout de la connaissance des analystes humains pour guider l'exploration d'attaques par apprentissage actif («active learning»);

3) la récupération d'entités absentes dans les CKSGs par l'adoption de LLMs pour estimer les données d'attaque manquantes ou pour synthétiser des comportements d'attaque

Niveau de formation et/ou expérience requis :

Doctorat ou PhD depuis moins de 3 ans