Enseigner l'IA appliquée à la sécurité
L'IA n'est plus une option dans les cursus cyber
L'intelligence artificielle a cessé d'être un sujet de prospective en cybersécurité. Elle est devenue un outil opérationnel, utilisé aussi bien par les attaquants que par les défenseurs. Les campagnes de phishing générées par des LLM produisent des messages d'une qualité qui rend la détection humaine de plus en plus difficile. En face, les solutions de détection intègrent du machine learning pour identifier des comportements anormaux que les règles statiques ne captent pas.
Un étudiant en cybersécurité qui sort de formation sans comprendre ces mécanismes a un angle mort majeur. Les établissements qui ne traitent pas l'IA dans leurs cursus forment des professionnels déjà en retard.
Mais enseigner l'IA en cybersécurité pose des défis spécifiques : le sujet évolue vite, les compétences requises sont transverses (sécurité, data science, développement), et les implications éthiques sont réelles. Voici comment structurer un module cohérent.
Les trois axes pédagogiques
Axe 1 : l'IA comme outil offensif
Les attaquants utilisent l'IA de multiples façons, et les étudiants doivent les comprendre pour savoir les contrer :
Phishing assisté par LLM. Les modèles de langage permettent de générer des emails de spear phishing contextualisés à grande échelle. Un exercice concret : demander aux étudiants de comparer des emails de phishing traditionnels avec des versions générées par un LLM, puis d'identifier les critères de détection qui restent fiables.
Génération de code malveillant. Les LLM peuvent produire des scripts d'exploitation, des payloads ou des variantes de malware. Il ne s'agit pas d'apprendre aux étudiants à créer des malwares, mais de comprendre que la barrière technique à l'entrée s'est abaissée. Un analyste SOC qui ignore cette réalité sera moins efficace dans son travail de détection.
Reconnaissance automatisée. L'IA peut accélérer considérablement les phases de reconnaissance : analyse de surfaces d'attaque, extraction d'informations sur des cibles, corrélation de données issues de fuites. Les étudiants doivent comprendre ces techniques pour anticiper les menaces.
Deepfakes et ingénierie sociale. Les deepfakes audio et vidéo ajoutent une dimension nouvelle à l'ingénierie sociale. Montrer des exemples concrets et discuter des mécanismes de vérification adaptés est essentiel.
Axe 2 : l'IA comme outil défensif
Le versant défensif de l'IA est tout aussi important :
Détection d'anomalies par machine learning. Les SIEM modernes et les solutions d'EDR utilisent des modèles entraînés pour repérer des comportements inhabituels : connexions à des heures atypiques, transferts de données anormaux, mouvements latéraux suspects. Les étudiants doivent comprendre les principes du ML supervisé et non supervisé dans ce contexte.
Assistants IA pour le SOC. Les outils d'analyse SOC intègrent de plus en plus d'assistants basés sur des LLM pour accélérer le triage des alertes, résumer des incidents ou suggérer des actions de remédiation. Enseigner à utiliser ces outils (et à en connaître les limites) est devenu nécessaire.
Analyse automatisée de logs et de malwares. L'IA peut traiter des volumes de données que l'humain ne peut pas parcourir manuellement. Montrer aux étudiants comment un modèle peut classifier des échantillons de malwares ou corréler des indicateurs de compromission renforce leur compréhension de la chaîne de détection.
Axe 3 : la sécurité de l'IA elle-même
C'est un axe souvent négligé mais fondamental :
Attaques contre les modèles. Le prompt injection, l'empoisonnement de données d'entraînement, les attaques adversariales sur les modèles de classification : ces vulnérabilités spécifiques à l'IA doivent être abordées. Un futur ingénieur sécurité sera de plus en plus confronté à la sécurisation de systèmes intégrant de l'IA.
Confidentialité et fuites de données. Les LLM peuvent mémoriser et régurgiter des données sensibles issues de leur entraînement. Les étudiants doivent comprendre les risques liés à l'utilisation de modèles en entreprise : fuites de code source, de données clients ou d'informations stratégiques.
Conformité et éthique. La réglementation européenne (AI Act, RGPD) encadre de plus en plus l'usage de l'IA. Les aspects de gouvernance liés à l'IA deviennent incontournables dans les cursus.
Structurer le module : proposition de plan
Un module de 20 à 30 heures peut suivre cette progression :
Bloc 1 : fondamentaux (6h). Introduction au machine learning (supervisé, non supervisé, deep learning), fonctionnement des LLM, notions de traitement du langage naturel. Pas besoin d'un cours complet de data science : l'objectif est de comprendre les principes pour pouvoir raisonner sur les usages en sécurité.
Bloc 2 : IA offensive (6h). Phishing par LLM, génération de code malveillant, reconnaissance assistée, deepfakes. Exercices pratiques : analyser des campagnes de phishing générées par IA, identifier les caractéristiques distinctives.
Bloc 3 : IA défensive (8h). Détection d'anomalies, classification de malwares, assistants SOC, automatisation de la réponse à incident. TP : configurer des règles de détection basées sur le ML dans un SIEM, utiliser un assistant IA pour le triage d'alertes.
Bloc 4 : sécurité de l'IA (6h). Prompt injection, empoisonnement de modèles, attaques adversariales, confidentialité des données. TP : réaliser des attaques par prompt injection sur un chatbot contrôlé, auditer un pipeline de données d'entraînement.
Bloc 5 : synthèse et projet (4h). Projet intégrateur où les étudiants combinent les compétences acquises : par exemple, construire un système de détection de phishing par ML, ou auditer la sécurité d'une application intégrant un LLM.
Les prérequis à anticiper
Enseigner l'IA en cybersécurité suppose que les étudiants disposent de bases en :
- Programmation Python : c'est le langage dominant en data science et en sécurité offensive
- Fondamentaux réseau et système : comprendre les données que le ML analyse
- Culture cybersécurité générale : les concepts d'attaque et de défense doivent être acquis
Un module d'IA appliquée à la sécurité se positionne donc idéalement en Master ou en fin de cursus, quand ces prérequis sont en place. Pour les cursus qui manquent de ces fondations, un remise à niveau ciblée en Python et en statistiques de base peut être nécessaire.
Les compétences enseignantes requises
C'est le point critique. L'IA appliquée à la sécurité est un domaine transverse qui exige des compétences rares : un profil qui maîtrise à la fois la cybersécurité opérationnelle et les techniques de machine learning. Les profils purement académiques risquent de manquer de concret, et les profils purement sécurité risquent de survoler les fondamentaux du ML.
La solution passe souvent par des intervenants professionnels qui travaillent à l'intersection de l'IA et de la sécurité : data scientists en SOC, chercheurs en sécurité de l'IA, consultants spécialisés en threat intelligence augmentée.
Passer à l'action
L'IA est en train de transformer la cybersécurité en profondeur. Les établissements qui intègrent ce sujet dans leurs cursus préparent des professionnels capables d'évoluer dans un paysage de menaces en mutation rapide. Ceux qui l'ignorent forment des diplômés avec un handicap croissant.
Vous cherchez un intervenant capable d'enseigner l'intelligence artificielle appliquée à la sécurité ? Cyber Teachers vous connecte avec des experts qui maîtrisent à la fois l'IA et la cybersécurité, pour des cours ancrés dans la réalité opérationnelle.