Thèse Découverte et Validation Autonomes de Chemins d'Attaque Réseau en Cybersécurité par Raisonnement Agentique Fondé sur les Llms au Sein de Graphes de Connaissances Cyber Dynamiques H/F

Doctorat.Gouv.Fr

Établissement : Université de Bordeaux École doctorale : Mathématiques et Informatique Laboratoire de recherche : LaBRI - Laboratoire Bordelais de Recherche en Informatique Direction de la thèse : Toufik AHMED ORCID 0000000292450759 Début de la thèse : 2026-10-01 Date limite de candidature : 2026-06-05T23:59:59 Cette thèse porte sur la conception de systèmes de cybersécurité autonomes capables de découvrir, d'évaluer et de valider des chemins d'attaque réseau à partir de graphes de connaissances cyber dynamiques. Elle s'inscrit dans un contexte où les infrastructures numériques deviennent de plus en plus complexes, distribuées et exposées, tandis que les attaques modernes reposent rarement sur une vulnérabilité isolée. Elles combinent au contraire plusieurs faiblesses, services, hôtes, configurations et événements temporels pour construire des scénarios d'attaque multi-étapes difficiles à détecter par les approches classiques.

L'objectif scientifique principal est de formaliser des mécanismes de raisonnement probabiliste et de révision de croyances sur des graphes de connaissances cyber évolutifs, à partir de validations empiriques réalisées dans un environnement contrôlé. Contrairement aux approches qui utilisent les grands modèles de langage comme de simples générateurs de commandes ou orchestrateurs d'outils, cette thèse propose un paradigme dans lequel l'agent fondé sur un LLM raisonne explicitement sur une représentation structurée de l'infrastructure. Cette représentation prend la forme d'un graphe intégrant les hôtes, services, vulnérabilités, dépendances, expositions, configurations et événements observés.

Dans ce cadre, l'agent interroge et parcourt le graphe afin de formuler des hypothèses d'attaque plausibles. Ces hypothèses sont ensuite testées dans un environnement isolé, de manière sûre et contrôlée. Les résultats de validation, qu'ils confirment ou infirment les hypothèses, sont réinjectés dans le graphe sous forme d'évidences. Des mécanismes bayésiens permettent alors de mettre à jour les probabilités associées aux vulnérabilités, relations, expositions et faisabilités des chemins d'attaque. Le graphe devient ainsi un modèle vivant, auto-correctif et explicable de la posture de sécurité réelle de l'infrastructure.

La thèse étudiera également l'apport des réseaux de neurones de graphes pour l'inférence de vulnérabilités latentes, la prédiction de chemins d'attaque et l'identification de noeuds ou relations critiques. Ces méthodes seront intégrées à une boucle de raisonnement agentique guidée par le graphe, afin de combiner capacités de planification des LLMs, représentation formelle des connaissances cyber et apprentissage à partir des validations expérimentales.

Les contributions attendues concernent la construction dynamique de graphes de connaissances cyber à partir de données hétérogènes, le raisonnement agentique guidé par le graphe en contexte d'incertitude, l'inférence de chemins d'attaque par réseaux de neurones de graphes, et surtout la validation en boucle fermée avec révision probabiliste du graphe. Cette recherche vise ainsi à poser les bases de systèmes de cybersécurité autonomes, explicables et auto-correctifs, capables d'assister l'analyse proactive des risques, la validation continue de la sécurité et l'aide à la décision pour les équipes cyber. Le projet s'inscrit dans un contexte où les infrastructures numériques deviennent de plus en plus complexes, distribuées et exposées à des attaques multi-étapes. Les équipes SOC, CERT et red team doivent corréler des données hétérogènes issues de journaux système, de configurations réseau, de bases de vulnérabilités et d'événements de sécurité afin d'identifier des chemins d'attaque latents.
Ce travail peut s'appuyer sur les résultats d'un projet existant (Pentest.LLM) et des collaborations avec des partenaires académiques, industriels ou institutionnels spécialisés en cybersécurité, en supervision réseau, en audit de sécurité ou en validation expérimentale à travers la chaire Cyber Résilience. Ces collaborations pourront contribuer à la définition de cas d'usage réalistes, à l'accès à des jeux de données représentatifs, à la mise en place d'environnements de test contrôlés et à l'évaluation des résultats dans des contextes proches des besoins opérationnels. L'objectif principal est de concevoir un cadre scientifique permettant à des agents autonomes fondés sur des LLMs de raisonner sur des graphes de connaissances cyber dynamiques afin de découvrir, évaluer et valider des chemins d'attaque réseau. La thèse vise à formaliser des mécanismes de raisonnement agentique guidé par le graphe, d'inférence probabiliste, de prédiction de chemins d'attaque et de révision bayésienne du graphe à partir de résultats de validation empirique. L'objectif final est de produire un modèle explicable, auto-correctif et continuellement mis à jour de la posture de sécurité d'une infrastructure. La méthode proposée repose sur la construction dynamique d'un graphe de connaissances cyber à partir de sources hétérogènes telles que les logs, les configurations, les bases CVE/NVD, les scans réseau et les événements temporels. Ce graphe représentera les hôtes, services, vulnérabilités, dépendances, expositions, relations de connectivité et hypothèses d'attaque.
Un agent fondé sur un LLM interrogera et parcourra ce graphe afin de formuler des hypothèses de chemins d'attaque. Des modèles d'inférence, notamment des réseaux de neurones de graphes, pourront être utilisés pour prédire des vulnérabilités latentes, prioriser les noeuds critiques et estimer la faisabilité des chemins d'attaque. Les hypothèses seront ensuite testées dans un environnement isolé et contrôlé. Les résultats de ces validations seront réinjectés dans le graphe au moyen de mécanismes bayésiens de mise à jour des croyances, permettant une amélioration progressive de la représentation de la posture de sécurité.