IA pour une assistance interactive en matière de sécurité dès la conception: extraction automatique des actifs vulnérables et intégration dans un cadre ReqSecDes

Topic description Contexte Dans le développement logiciel moderne, la pression pour livrer rapidement met souvent la sécurité au second plan. Pourtant, plus de la moitié des vulnérabilités signalées proviennent de défauts de conception, entraînant des corrections coûteuses et parfois des failles critiques. L'approche Security-by-Design vise à intégrer la sécurité dès les premières phases (exigences, conception), mais elle est freinée par plusieurs limites : manque d'expertise, difficulté à transformer des objectifs abstraits en mécanismes concrets, et absence d'outils accessibles aux non-spécialistes. Les récents progrès de l'IA (NLP, ML) ouvrent de nouvelles perspectives pour automatiser l'extraction de connaissances et fournir une assistance intelligente et interactive. Questions de recherche Le défi consiste à systématiser l'intégration de la sécurité dès la phase d'exigences et de conception, tout en gardant l'approche accessible aux non-experts : Comment extraire et organiser automatiquement les actifs vulnérables à partir de bases (CAPEC, CWE, ATT&CK) ? Comment raffiner des objectifs de sécurité de haut niveau en patrons de conception vérifiables ? Comment proposer une assistance en temps réel sans freiner l'agilité des développeurs ? Objectifs La thèse développera le cadre ReqSecDes, combinant extraction et formalisation d'actifs vulnérables avec une assistance outillée. Les résultats attendus incluent : Bibliothèque automatisée d'actifs vulnérables (extraction NLP/ML, ontologie). Taxonomie formelle des propriétés de sécurité (raffinement en patrons de conception, vérification formelle). Assistance interactive (recommandations en temps réel intégrées aux outils de modélisation). Validation via études de cas industrielles, mesurant réduction de vulnérabilités et facilité d'usage. Contributions attendues du doctorant Réaliser un état de l'art. Développer et entraîner des modèles NLP/ML pour l'extraction d'actifs vulnérables. Construire et vérifier une taxonomie formelle des propriétés de sécurité. Implémenter un prototype d'assistant fournissant raisonnement et recommandations en temps réel. Valider le cadre sur des cas d'usage industriels.------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Context In modern software development, pressure for rapid delivery often pushes security to the background. Yet, design-level flaws account for more than half of reported vulnerabilities, leading to costly fixes and major breaches. The Security-by-Design paradigm seeks to address this by embedding security early, during requirements and design. However, this ambition faces several challenges: lack of specialized expertise, absence of systematic methods to refine abstract goals (confidentiality, integrity, availability) into actionable design, and limited tools for engineers without cybersecurity training. Advances in AI, especially NLP and machine learning, open new opportunities to automatically extract and structure security knowledge, and to provide intelligent, interactive support to practitioners. Research questions The key issue is integrating security systematically at the requirements and design phases, while ensuring accessibility for non-expert engineers. This raises several questions: How can AI extract and organize vulnerable assets from heterogeneous sources (CAPEC, CWE, ATT&CK)? How to refine high-level security objectives into formal, verifiable design patterns? How to embed this knowledge in an assistant that offers real-time feedback and recommendations without disrupting agile development? Objectives The PhD will develop the ReqSecDes framework by combining AI-driven extraction and formalization of vulnerable assets with tool-supported assistance bridging requirements and secure design. Expected results: Automated Vulnerable Asset Library: NLP/ML methods to extract vulnerabilities, threats, mitigations, and structure them in an ontology. Formal Taxonomy of Security Properties: refinement of security goals into verifiable design patterns, checked with formal methods. Interactive Security Assistance: algorithms linking system specifications with the asset library, providing real-time, context-aware recommendations in modeling tools. Validation: industrial case studies to assess vulnerability reduction and usability by non-experts. Expected contributions The candidate will: Survey the state of the art in security requirements engineering, asset-based approaches, and AI/NLP in cybersecurity. Design and train NLP/ML models to extract and link vulnerable assets. Develop a formal taxonomy of security properties, verify it, and integrate it into modeling environments. Implement a prototype of an interactive assistant with real-time reasoning and feedback. Validate the approach via case studies with industrial partners, measuring effectiveness and adoption.------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Début de la thèse : 01/10/ Funding category Other public funding Funding further details ANR Financement d'Agences de financement de la recherche