MISSIONS: Le déploiement de l'intelligence artificielle (IA) pour la détection et la classification des attaques vise à renforcer les capacités des analystes en cybersécurité opérant dans les SOC (Security Operations Centers) et les équipes CSIRT. Face à un volume croissant d'alertes et de logs, l'IA aide à identifier et prioriser plus rapidement les activités malveillantes. Cependant, ces modèles rencontrent encore des limites, notamment une couverture incomplète des comportements des attaquants, compromettant leur efficacité. Les modèles d'IA nécessitent de vastes volumes de données d'entraînement pour apprendre les divers scénarios d'attaques. Or, les capteurs déployés ne garantissent pas une couverture exhaustive des menaces, en particulier celles émergentes comme les attaques 0-day. Ce manque de données sur certains comportements d'attaques, appelés exemples hors distribution (out-of-distribution samples), limite la précision des modèles IA et leur capacité à classifier correctement les menaces. Dans le projet CKRISP (ANR « Thématiques Spécifiques de l'IA »), nous exploitons un graphe de connaissances en cybersécurité (Cybersecurity Knowledge Graph - CSKG) pour créer une méthode innovante de génération d'attaques pilotée par IA. Nous développons un modèle basé sur l'apprentissage par renforcement (Reinforcement Learning - RL), capable de reproduire et d'explorer différentes stratégies de cyberattaques utilisées par des attaquants ou des analystes en tests d'intrusion. Ce modèle ne se limite pas à imiter des attaques connues ; il explore également de nouvelles méthodes en s'appuyant sur le contexte des actifs ciblés et les liens de causalité entre incidents. En générant des données d'attaque synthétiques, cette approche permet aux experts humains de découvrir des scénarios de compromission inédits, améliorant ainsi la couverture des systèmes de détection d'intrusion (IDS) basés sur l'IA. CKRISP favorise une collaboration entre IA et analystes pour résoudre les défis liés à l'exploration et la prédiction des comportements d'attaque. En s'inspirant des avancées des grands modèles de langage (Large Language Models - LLM), cette coopération IA-humain permet de : Explorer les sous-graphes des CSKGs pour identifier de nouveaux chemins d'attaque, Intégrer la validation des analystes via l'apprentissage actif (active learning), Compléter les lacunes des CSKGs grâce aux LLMs pour estimer des données manquantes ou synthétiser de nouveaux comportements d'attaque. En combinant IA et expertise humaine, CKRISP vise à renforcer les capacités des analystes SOC et CSIRT, améliorer la détection des menaces émergentes et optimiser la classification des incidents de sécurité. ACTIVITÉS: Le travail proposé vise à générer des données d'attaque en combinant les CSKGs de CKRISP et l'expertise des analystes. Deux axes sont explorés : l'utilisation de LLMs pré-entraînés sur des CSKGs pour synthétiser des données d'attaques, et le développement d'un langage de correspondance entre les actions permises dans les CSKGs et les charges utiles générées par des cadriciels de tests d'intrusion. L'objectif est de construire un agent IA capable d'interroger un CSKG ou un malware afin de prédire et catégoriser les comportements d'attaque. Cet agent peut être entraîné par apprentissage par renforcement ou combiné à un LLM pour interroger le CSKG. Un GNN peut aussi être utilisé pour générer des prompts légers et faciliter cette interaction. La prédiction et la catégorisation des comportements d'attaque permettront de générer des données comportementales, comme des scans de ports ou des flux réseaux d'attaques DDoS, en exploitant le CSKG. En résumé, ce projet s'appuie sur le CSKG de CKRISP et un agent IA en cours de développement pour identifier et générer des motifs comportementaux d'attaque.