Thèse Vers un Cadre Systémique de Réponse à Incident et Gestion de Crise Cyber Modélisation Temporelle du Système Homme-Machine et Outillage d'Aide à la Décision Multi Niveaux Assisté par Intellig H/F - Doctorat.Gouv.Fr

Établissement : Université de Technologie de Compiègne École doctorale : Sciences pour l'ingénieur Laboratoire de recherche : Heuristique et diagnostic des systèmes complexes Direction de la thèse : Domitile LOURDEAUX ORCID 0000000233547294 Début de la thèse : 2026-05-04 Date limite de candidature : 2026-04-30T23:59:59 Les cyberattaques majeures génèrent des situations de crise caractérisées par une forte incertitude, un volume massif de données techniques et une pression décisionnelle importante. Malgré les progrès récents en détection d'intrusion et en analyse comportementale des systèmes (Skopik et al., 2022), la définition de stratégies de réponse adaptées reste largement dépendante de l'expertise humaine et de processus décisionnels fragmentés.

Cette thèse vise à améliorer l'efficience et l'efficacité de la gestion de crise cyber par la modélisation formelle du processus de réponse à incident et le développement d'outils d'aide à la décision basés sur l'intelligence artificielle. L'objectif est de représenter de manière computationnelle l'état dynamique d'un système d'information attaqué et d'identifier en temps réel des actions de remédiation optimales lors de la phase d'endiguement d'une cyberattaque.

Les travaux s'appuieront sur plusieurs approches issues de l'intelligence artificielle et de l'informatique : modélisation par graphes d'attaque et de défense (Sadlek et al., 2022), raisonnement probabiliste sur l'évolution de la situation, et méthodes de planification permettant de générer des séquences d'actions adaptées au contexte. Une question centrale consistera à évaluer les avantages et limites d'une approche ontologique fondée sur des bases de connaissances structurées par rapport à une approche basée sur la conscience de la situation (Kanawati et al., 2025).

La recherche visera également à modéliser le rôle de l'humain dans la gestion de crise, tant au niveau individuel qu'au niveau collectif, en représentant les processus de raisonnement, de coordination et de prise de décision des équipes de réponse à incident.

Des méthodes d'IA générative seront explorées afin d'élargir les sources d'information exploitables (Kolade et al., 2025), d'inférer l'évolution probable d'une attaque à partir des tactiques et procédures des acteurs malveillants (Noor et al., 2023), et de produire des descriptions opérationnelles non ambiguës de la situation et des contremesures (Fayyazi & Yang, 2023).

L'objectif final est de proposer un cadre computationnel permettant d'améliorer la compréhension de la situation, la coordination des équipes humaines et la pertinence des décisions dans des environnements socio-techniques complexes. Les travaux récents en cybersécurité ont exploré plusieurs axes : détection d'intrusion basée sur l'apprentissage automatique, modélisation comportementale des attaques, et représentation des scénarios d'attaque via des graphes (attack graphs, kill chain graphs).

La gestion de crise cyber constitue un domaine de recherche en forte évolution en raison de l'augmentation du nombre et de la complexité des attaques informatiques. Les travaux récents portent notamment sur la détection d'attaques à partir d'analyses comportementales et de techniques d'apprentissage automatique (Skopik et al., 2022), ainsi que sur la modélisation des trajectoires d'attaque au moyen de graphes d'attaque et de kill chain (Sadlek et al., 2022).

Par ailleurs, plusieurs recherches explorent l'automatisation partielle de la réponse à incident et la génération de plans de remédiation à partir de bases de connaissances structurées ou de graphes d'attaque-défense (Saint-Hilaire et al., 2024). D'autres travaux s'intéressent à la conscience de la situation dans les environnements cyber afin d'améliorer la prise de décision face à des attaques complexes et évolutives (Kanawati et al., 2025 ; Andreasson et al., 2025).

Dans ce contexte, les progrès récents de l'intelligence artificielle ouvrent de nouvelles perspectives pour l'analyse de données cyber, l'identification d'acteurs malveillants et la prédiction de l'évolution des attaques (Noor et al., 2023). Les modèles de langage peuvent également être utilisés pour interpréter des descriptions ambiguës d'attaques ou synthétiser des informations opérationnelles (Fayyazi & Yang, 2023), tandis que les approches d'intelligence artificielle appliquées à l'OSINT permettent d'intégrer des sources d'information ouvertes dans l'analyse des menaces (Kolade et al., 2025).

Cependant, la littérature reste encore fragmentée entre les approches techniques, les aspects organisationnels et les dimensions humaines de la gestion de crise cyber. Cette thèse propose ainsi de développer un cadre computationnel intégré, fondé sur la modélisation formelle, les graphes, le raisonnement probabiliste et la planification, afin de représenter conjointement l'état du système attaqué, les stratégies de réponse possibles et le rôle des acteurs humains dans la prise de décision. Objectif général :
Développer un cadre computationnel et des outils d'aide à la décision assistés par intelligence artificielle permettant d'améliorer la gestion de crise cyber.

Objectifs scientifiques :
1. Modéliser dynamiquement l'état d'un système d'information en situation d'attaque.
2. Développer des représentations formelles des trajectoires d'attaque et de défense (attack-defense graphs).
3. Concevoir des méthodes d'aide à la décision permettant de générer des stratégies de remédiation adaptées au contexte.
4. Intégrer les contraintes cognitives et organisationnelles des équipes humaines dans les modèles décisionnels.
5. Évaluer expérimentalement les outils proposés dans des environnements de simulation cyber. La méthodologie reposera sur plusieurs étapes :

1. Revue de littérature approfondie sur les méthodes de détection d'attaque, la modélisation des graphes d'attaque et les systèmes d'aide à la décision en cybersécurité.
2. Modélisation computationnelle :
- représentation dynamique de l'état du système d'information
- modélisation des scénarios d'attaque et de défense
- formalisation des processus décisionnels.
3. Développement d'outils basés sur l'intelligence artificielle :
- exploitation de techniques d'apprentissage automatique
- utilisation de modèles génératifs pour l'analyse et la description de situations cyber
- génération automatique de plans de remédiation.
4. Expérimentation dans des environnements de simulation (cyber range) permettant de reproduire des scénarios réalistes de cyberattaque.
5. Évaluation empirique des outils développés en mesurant :
- la qualité des recommandations générées
- l'amélioration de la compréhension de la situation
- la performance des équipes de réponse à incident.

Niveau Master II en ingénierie, IA, gestion de crise