29. Volet appliqué : IA prédictive, cybersécurité, sûreté et continuité de confiance
Ce volet applique la thèse du mémoire au domaine de la cybersécurité, de la sûreté et de l’identité. Il montre que les architectures intelligence prédictive ne sont pas seulement un sujet de robotique, de cognition ou d’intelligence générale : elles deviennent une nécessité opérationnelle dans les environnements où humains, agents IA, logiciels, machines, objets connectés et systèmes cyber-physiques interagissent.
L’idée centrale est la suivante : l’IA transforme la cybersécurité parce qu’elle transforme l’identité, l’action et la confiance. Un attaquant peut désormais automatiser la persuasion, synthétiser une voix, générer un deepfake, produire du code malveillant, attaquer une mémoire RAG, détourner un agent outillé ou exploiter un objet connecté comme point d’entrée. Symétriquement, un défenseur peut utiliser l’IA pour corréler des signaux faibles, détecter des anomalies, reconstruire des chaînes d’attaque, vérifier des décisions d’accès et anticiper les trajectoires possibles d’une compromission.
Ce chapitre prolonge directement la thèse fondatrice, l’architecture LAMP-C, la mémoire agentique, la causalité et la gouvernance. Il s’appuie notamment sur les référentiels OWASP LLM Top 10, NIST SP 800-63-4, NIST CSF 2.0, NIST Zero Trust Architecture, NIST AI RMF, ENISA Threat Landscape 2025, NISTIR 8259A, ETSI EN 303 645, WebAuthn, FIDO Passkeys, le Cyber Resilience Act et l’EU AI Act.
29.1. Thèse appliquée : de l’intelligence prédictive à la confiance prédictive
Dans la sécurité classique, on protège un périmètre, un compte, une clé, une session ou une ressource. Dans les architectures modernes, ce périmètre devient mouvant : utilisateurs distants, appareils personnels, API, microservices, conteneurs, objets connectés, agents IA, robots, jumeaux numériques, services cloud et environnements hybrides.
La sécurité ne peut donc plus se limiter à une décision ponctuelle : autorisé ou refusé. Elle doit devenir une évaluation continue de confiance :
Cette entité est-elle bien celle qu’elle prétend être ? Dans quel contexte agit-elle ? Son comportement est-il cohérent avec son historique ? Son environnement est-il sain ? Ses actions sont-elles proportionnées ? Les conséquences possibles de son action sont-elles acceptables ? Existe-t-il une preuve vérifiable de sa légitimité ?
Cette évolution rapproche naturellement la cybersécurité des modèles du monde. Un modèle du monde cyber ne cherche pas à représenter toute la réalité physique. Il cherche à représenter un état de confiance dynamique, composé d’identités, d’actifs, de sessions, de permissions, de comportements, de dépendances, d’événements, de vulnérabilités, de preuves et de trajectoires d’attaque possibles.
Formulation proposée :
Dans le domaine de la cybersécurité, un modèle du monde peut être compris comme un modèle prédictif de l’état de confiance d’un système. Il ne cherche pas seulement à détecter une attaque déjà visible, mais à anticiper les trajectoires possibles d’une compromission, les conséquences probables d’une action, les ruptures de continuité de confiance et les conditions de retour à un état sûr.
29.2. IA pour la cybersécurité et cybersécurité de l’IA
Il faut distinguer deux domaines souvent confondus.
IA pour la cybersécurité : utilisation de modèles d’IA pour défendre les systèmes numériques. Exemples : détection d’anomalies, classification de malwares, analyse de logs, résumé d’incidents, corrélation d’événements, détection de phishing, scoring de risque, assistance SOC, triage de vulnérabilités, génération de règles YARA/Sigma, simulation de scénarios d’attaque.
Cybersécurité de l’IA : protection des systèmes d’IA eux-mêmes. Exemples : prompt injection, empoisonnement de données, fuite d’informations sensibles, vol de modèle, détournement d’outils, compromission de mémoire RAG, attaque de la chaîne d’approvisionnement, sortie dangereuse, agent trop autonome, escalade de privilèges par API, exfiltration par contexte.
Le référentiel OWASP Top 10 for LLM Applications est important parce qu’il formalise des risques propres aux applications GenAI/LLM : injection de prompt, manipulation de sortie, empoisonnement, dépendances compromises, divulgation d’informations sensibles, usage excessif d’outils ou d’autonomie, etc. Le NIST AI RMF apporte un cadre plus général de gestion des risques de l’IA, tandis que le NIST CSF 2.0 offre une base de gouvernance de risque cyber applicable à toute organisation.
Cette distinction est fondamentale pour le mémoire : un agent IA peut être à la fois défenseur, cible, surface d’attaque, outil d’attaque, orchestrateur d’action et acteur à gouverner.
Matrice : IA défensive vs IA vulnérable
| Dimension |
IA pour la cybersécurité |
Cybersécurité de l’IA |
| Objectif |
Défendre, détecter, analyser, répondre |
Protéger les modèles, données, outils, agents |
| Exemple |
SOC augmenté par IA |
Prompt injection sur agent outillé |
| Données |
Logs, flux réseau, EDR, CTI, tickets |
Prompts, contextes, embeddings, mémoires, modèles |
| Risque principal |
Faux positif, faux négatif, automatisation excessive |
Détournement, fuite, empoisonnement, autonomie dangereuse |
| Références |
NIST CSF 2.0, ENISA Threat Landscape |
OWASP LLM Top 10, NIST AI RMF |
| Besoin futur |
Corrélation causale et prédictive |
Gouvernance des capacités d’action et de mémoire |
Architectures intelligence prédictive : 29.3. Cybersécurité de l’IA : sécuriser les modèles, les agents et les mémoires
La cybersécurité de l’IA doit couvrir tout le cycle de vie : conception, entraînement, données, post-entraînement, déploiement, orchestration, mémoire, outils, supervision, journalisation, mise à jour et retrait.
29.3.1. Risques spécifiques aux LLM et agents
Les risques suivants doivent être intégrés dans tout programme de recherche sur les architectures prédictives :
- Prompt injection : l’entrée utilisateur modifie le comportement attendu du modèle ou de l’agent.
- Indirect prompt injection : une source externe consultée par l’agent contient une instruction malveillante.
- RAG poisoning : la base documentaire ou vectorielle est contaminée par des contenus trompeurs.
- Memory poisoning : la mémoire longue durée de l’agent conserve une fausse croyance, une instruction hostile ou une préférence usurpée.
- Tool abuse : l’agent utilise un outil/API au-delà de l’intention légitime.
- Excessive agency : l’agent dispose d’un périmètre d’action trop large sans contrôle humain ni politique de sûreté.
- Sensitive information disclosure : le modèle révèle des secrets présents dans le contexte, les logs, la mémoire ou les documents.
- Model theft / extraction : l’adversaire tente de reconstruire le modèle ou ses comportements.
- Supply chain compromise : dépendances, modèles, datasets, plugins, connecteurs ou services tiers compromis.
- Evaluation gap : un modèle semble sûr dans les tests, mais échoue en situation réelle, multi-étapes et hors distribution.
Ces risques ne sont pas accessoires : ils montrent que la mémoire, la prédiction et l’action doivent être gouvernées ensemble. Un agent sans mémoire est limité ; un agent avec mémoire non sécurisée devient dangereux. Un agent sans outils est peu utile ; un agent avec outils sur-privilégiés devient un point d’escalade.
29.3.2. Contrôles recommandés pour agents IA
| Contrôle |
Finalité |
Lien avec le mémoire |
| Politique d’outils par capacité |
Limiter ce que l’agent peut faire |
Contrôle |
| Isolation des contextes |
Éviter la contamination entre tâches |
Mémoire agentique |
| Filtrage des sources RAG |
Réduire le risque d’injection indirecte |
RAG |
| Journalisation vérifiable |
Rejouer décisions et actions |
Gouvernance |
| Vérification symbolique |
Contrôler les décisions critiques |
Neuro-symbolique |
| Sandboxing des outils |
Empêcher exécution ou accès dangereux |
SSDF |
| Attestation d’environnement |
Vérifier poste, runtime, device, modèle |
Zero Trust |
| Tests adversariaux continus |
Détecter régressions et contournements |
Benchmarks |
| Révocation des mémoires |
Supprimer croyances ou instructions compromises |
Mémoire |
| Fail-closed |
Refuser en cas d’incertitude critique |
Sûreté |
29.4. IA comme amplificateur d’attaque
L’IA ne crée pas tous les risques ex nihilo, mais elle change leur échelle, leur vitesse, leur crédibilité et leur personnalisation.
29.4.1. Phishing, deepfakes et ingénierie sociale augmentée
Les LLM permettent de produire des messages crédibles, personnalisés, multilingues et adaptés au contexte d’une cible. Les modèles vocaux et vidéo renforcent l’usurpation d’identité par imitation de voix ou de visage. Le risque ne porte plus uniquement sur la compromission d’un mot de passe, mais sur la compromission de la relation de confiance : voix d’un dirigeant, message d’un collègue, visioconférence falsifiée, consigne opérationnelle trompeuse.
Conséquence : l’identité ne peut plus dépendre seulement de signes humains intuitifs. La phrase “j’ai reconnu sa voix” ou “je l’ai vu en vidéo” devient insuffisante pour les opérations critiques. Les mécanismes de preuve cryptographique, de contrôle de contexte, de vérification hors bande, de journalisation et d’authentification forte deviennent essentiels.
29.4.2. Automatisation offensive
L’IA peut accélérer :
- la découverte de vulnérabilités ;
- la génération de variantes de phishing ;
- la traduction et localisation d’attaques ;
- la production de scripts d’exploitation ;
- l’analyse de fuites de données ;
- l’identification de cibles ;
- la personnalisation des leurres ;
- la simulation de conversations ;
- l’adaptation dynamique aux réponses de la victime.
Cette accélération impose un changement de défense : la sécurité ne peut plus être seulement réactive. Elle doit devenir prédictive, contextuelle et capable de réduire rapidement l’exposition.
29.4.3. Attaques contre les identités non humaines
Les identités non humaines deviennent un actif critique : clés API, certificats machines, workloads cloud, conteneurs, microservices, objets connectés, robots, agents IA. Dans beaucoup d’environnements, ces identités sont plus nombreuses que les humains, plus difficiles à inventorier et plus rarement soumises à une gouvernance stricte.
L’IA agentique renforce ce problème : un agent peut agir au nom d’un utilisateur, d’un service ou d’une organisation. Il devient donc nécessaire de définir non seulement qui agit, mais avec quelle délégation, dans quel périmètre, avec quels outils, pendant combien de temps, avec quelle traçabilité et sous quelle révocation.
29.5. Identité humaine : de l’authentification ponctuelle à la confiance continue
L’identité numérique moderne est encadrée par des référentiels comme NIST SP 800-63-4, qui couvre l’identité, l’authentification et la fédération. Les mécanismes comme WebAuthn et FIDO Passkeys améliorent fortement la résistance au phishing en remplaçant les secrets partagés par des preuves à clé publique, liées à un authentificateur et au contexte du service.
Mais l’IA déplace le problème. L’authentification forte répond à la question : la personne contrôle-t-elle le facteur d’authentification ? Elle ne répond pas toujours à :
- la personne est-elle sous contrainte ?
- la session est-elle détournée après authentification ?
- l’action demandée est-elle cohérente avec le rôle ?
- l’environnement est-il sain ?
- le comportement est-il anormal ?
- un agent agit-il à sa place ?
- la décision est-elle déclenchée par une manipulation deepfake ?
C’est pourquoi l’authentification doit évoluer vers une confiance continue.
29.5.1. Facteurs de confiance humaine
| Catégorie |
Exemples |
Risque IA associé |
Besoin futur |
| Ce que je sais |
Mot de passe, PIN |
Phishing, génération de leurres |
Réduction des secrets mémorisés |
| Ce que je possède |
Clé, carte, smartphone, token |
Vol, malware, relay attack |
Attestation et preuve locale |
| Ce que je suis |
Biométrie |
Deepfake, artefacts, spoofing |
PAD, liveness, contexte |
| Ce que je fais |
Comportement, frappe, usage |
Mimétisme, usurpation assistée |
Profilage prudent et gouverné |
| Où je suis |
Géolocalisation, réseau, BSSID |
VPN, spoofing, relais |
Cohérence multi-signaux |
| Quand j’agis |
Horaire, séquence, fréquence |
Automatisation anormale |
Détection de cadence et rupture |
| Avec quoi j’agis |
Device posture, navigateur, OS |
Endpoint compromis |
Attestation, EDR, niveau de confiance |
| Pourquoi j’agis |
Intention apparente, tâche, workflow |
Manipulation, social engineering |
Vérification contextuelle critique |
29.5.2. De l’identité déclarée à l’identité prouvée
Une identité déclarée est une assertion : “je suis Jacques”, “je suis ce capteur”, “je suis cet agent”, “je suis ce service”. Une identité prouvée exige un mécanisme de vérification : clé cryptographique, certificat, authentificateur, biométrie, attestation matérielle, preuve de présence, preuve de possession, preuve de contexte ou preuve de conformité comportementale.
Dans un monde d’IA générative, l’identité déclarée perd de la valeur. L’identité prouvée devient centrale.
29.5.3. Confiance continue et décisions adaptatives
La confiance continue ne signifie pas surveillance illimitée. Elle signifie que les décisions critiques doivent être réévaluées à partir d’un faisceau de preuves proportionné au risque : identité, contexte, appareil, action demandée, historique, sensibilité de la ressource et conséquences possibles.
Cette logique rejoint le modèle Zero Trust : le réseau n’est plus présumé fiable ; chaque accès à une ressource doit être évalué selon le contexte, l’identité, l’actif et la politique. Voir NIST SP 800-207.
Architectures intelligence prédictive : 29.6. Authentification des êtres vivants : présence, vie, contexte et dignité
L’expression “authentification des êtres vivants” doit être traitée avec prudence. Elle ne doit pas réduire l’être humain à une donnée biométrique. Elle doit distinguer quatre niveaux :
- Authentification d’une identité humaine : preuve qu’une personne contrôle des facteurs liés à une identité numérique.
- Preuve de présence : preuve que l’action implique une présence humaine réelle dans un contexte donné.
- Preuve de vie / liveness : résistance aux artefacts, photos, vidéos, masques, empreintes copiées ou deepfakes.
- Authentification d’un organisme vivant non humain : traçabilité vétérinaire, recherche, conservation, chaîne alimentaire, transport, biosécurité.
29.6.1. Biométrie et présentation attack detection
La biométrie peut renforcer l’authentification, mais elle n’est pas une clé secrète : un visage, une voix ou une empreinte peuvent être exposés, reproduits ou synthétisés. La sécurité biométrique doit donc intégrer la détection d’attaques de présentation (Presentation Attack Detection, PAD), la preuve de vie, l’évaluation de biais, la minimisation de données, la protection cryptographique et les mécanismes de recours.
La norme ISO/IEC 30107 fournit un vocabulaire et un cadre pour la détection d’attaques de présentation biométrique. Les tests biométriques comme NIST FRVT apportent un cadre d’évaluation de performance, même s’ils ne remplacent pas une analyse de sécurité complète du système.
29.6.2. Identité biologique et identité cryptographique
Il faut éviter une confusion importante : l’ADN biologique, la biométrie et l’identité cryptographique ne sont pas de même nature.
- L’ADN biologique est une information biologique sensible, stable, familiale et fortement protégée.
- La biométrie est une modalité de reconnaissance ou de vérification d’un être vivant.
- L’identité cryptographique est une structure de preuve fondée sur des clés, certificats, signatures, attestations et protocoles.
les expressions comme “ADN Digital” ou “génome cryptographique” doivent être comprises comme des métaphores structurelles ou procédurales : elles désignent une organisation de preuves, de segments, d’héritages, de dépendances ou de politiques de confiance, et non de l’ADN biologique ni une technologie de DNA computing.
29.6.3. Principes éthiques pour l’authentification du vivant
| Principe |
Signification |
| Proportionnalité |
Ne collecter que les preuves nécessaires au risque réel |
| Minimisation |
Éviter les données biométriques centralisées si une preuve locale suffit |
| Réversibilité |
Permettre révocation, renouvellement, recours |
| Non-réduction |
Ne pas confondre personne humaine et identifiant technique |
| Protection locale |
Privilégier l’authentification locale quand c’est possible |
| Explicabilité |
Justifier les refus critiques |
| Auditabilité |
Conserver une trace vérifiable sans exposer l’intime |
| Dignité |
Ne pas transformer la sécurité en surveillance abusive |
29.7. Identité machine, objets connectés et agents non humains
Les objets connectés et identités non humaines deviennent centraux dans la sécurité moderne. Un objet connecté peut être un capteur industriel, un dispositif médical, une caméra, un badge, un automate, un véhicule, une serrure, un robot, un smartphone, une passerelle, une sonde environnementale ou un module embarqué.
Les référentiels NISTIR 8259A et ETSI EN 303 645 rappellent que les objets connectés doivent disposer de capacités de sécurité de base : identité d’appareil, configuration sécurisée, protection des données, mise à jour, journalisation, documentation, gestion des vulnérabilités et résilience.
Avec l’IA, l’objet connecté évolue. Il peut devenir :
- un capteur alimentant un modèle ;
- une source de décision locale ;
- un point d’entrée pour un agent ;
- un actionneur physique ;
- une identité non humaine dans une chaîne de confiance ;
- un composant d’un système de sûreté ;
- un nœud dans un modèle prédictif de risque.
29.7.1. Identité non humaine : typologie
| Type d’identité |
Exemple |
Risque principal |
Contrôle recommandé |
| Device |
Capteur, badge, automate |
Clonage, firmware compromis |
Identité matérielle, secure update |
| Workload |
Conteneur, fonction cloud |
Token volé, mouvement latéral |
Attestation, rotation de secrets |
| API |
Service externe |
Sur-privilège, abus d’appel |
Scopes, quotas, audit |
| Agent IA |
Assistant outillé |
Action non autorisée |
Capabilities, sandbox, journalisation |
| Robot |
Bras industriel, drone |
Dommage physique |
Safety interlock, fail-safe, contrôle humain |
| Donnée |
Document, embedding, mémoire |
Fuite, contamination |
Provenance, chiffrement, traçabilité |
| Modèle |
LLM, modèle vision, classifieur |
Extraction, empoisonnement |
Gouvernance, versioning, tests adversariaux |
29.7.2. Cycle de vie d’une identité d’objet
- Naissance : génération ou injection d’une identité racine.
- Provisionnement : association à un propriétaire, rôle, usage, politique.
- Activation : première mise en service contrôlée.
- Attestation : preuve d’intégrité matérielle ou logicielle.
- Opération : comportement normal sous surveillance proportionnée.
- Mise à jour : correctifs signés, versions vérifiables.
- Suspension : réduction des droits en cas d’anomalie.
- Révocation : retrait de confiance.
- Transfert : changement de propriétaire ou contexte.
- Fin de vie : effacement, désactivation, archivage de preuves.
29.7.3. Objets connectés et Cyber Resilience Act
Le Cyber Resilience Act établit des exigences horizontales de cybersécurité pour les produits avec éléments numériques dans l’Union européenne. Il renforce l’idée que la sécurité des objets et logiciels doit être pensée sur tout le cycle de vie, de la conception à la gestion des vulnérabilités.
Pour ce mémoire, cela signifie que les architectures intelligence prédictive appliquées à l’IoT ne peuvent pas être seulement performantes : elles doivent être maintenables, attestables, gouvernables, mises à jour et compatibles avec des exigences réglementaires.
29.8. Modèles du monde comme modèles prédictifs de l’état de confiance
Un modèle du monde cyber peut représenter :
- les identités humaines ;
- les identités machines ;
- les objets connectés ;
- les agents IA ;
- les actifs sensibles ;
- les permissions ;
- les sessions ;
- les flux réseau ;
- les événements de sécurité ;
- les vulnérabilités ;
- les dépendances logicielles ;
- les comportements normaux ;
- les déviations ;
- les chemins d’attaque ;
- les mesures de mitigation ;
- les conséquences possibles d’une action.
Il devient alors possible de poser des questions contrefactuelles :
- que se passe-t-il si ce token est compromis ?
- que se passe-t-il si cet objet IoT ment sur son état ?
- que se passe-t-il si cet agent appelle cette API ?
- quel chemin d’attaque devient possible si cette clé est exposée ?
- quelle action limite le mieux la propagation ?
- quelle preuve manque pour autoriser cette opération ?
Ce raisonnement rejoint Pearl sur la causalité et Schölkopf et al. sur les représentations causales : la sécurité avancée ne doit pas seulement classifier des événements, elle doit comprendre les relations de dépendance et les effets d’intervention.
29.8.1. Variables d’un modèle prédictif de confiance
| Variable |
Exemple |
Rôle prédictif |
| Identité |
humain, device, agent |
Qui agit ? |
| Authentificateur |
clé, token, biométrie, certificat |
Quelle preuve ? |
| Contexte |
lieu, réseau, horaire, appareil |
Est-ce cohérent ? |
| Intégrité |
firmware, endpoint, runtime |
L’environnement est-il sain ? |
| Comportement |
séquences, fréquence, volume |
Y a-t-il rupture de profil ? |
| Ressource |
fichier, API, coffre, objet |
Quelle sensibilité ? |
| Action |
lire, signer, déplacer, commander |
Quelles conséquences ? |
| Mémoire |
historique, incidents, erreurs |
Que sait-on déjà ? |
| Causalité |
dépendances, propagation |
Que peut provoquer l’action ? |
| Politique |
règles, obligations, seuils |
Que doit faire le système ? |
| Incertitude |
preuve manquante, anomalie |
Faut-il restreindre ? |
29.8.2. Trajectoires de compromission
Dans une approche prédictive, l’attaque n’est pas seulement un événement isolé. C’est une trajectoire : reconnaissance, accès initial, élévation, persistance, mouvement latéral, exfiltration, manipulation, sabotage ou impact physique.
Un modèle du monde cyber doit donc apprendre des trajectoires normales et anormales, puis évaluer les bifurcations possibles. Cela rapproche la cybersécurité des approches de planification : il faut anticiper non seulement ce qui est arrivé, mais ce qui peut arriver ensuite.
Architectures intelligence prédictive : 29.9. Architecture LAMP-Cyber
Cette section propose une extension appliquée de LAMP-C à la cybersécurité et à la sûreté.
LAMP-Cyber signifie :
- L — Langage : consignes, politiques, alertes, rapports, tickets, exigences réglementaires.
- A — Abstraction : actifs, identités, rôles, risques, dépendances, états de confiance.
- M — Mémoire : historique de comportements, incidents, décisions, contextes, preuves, vulnérabilités.
- P — Prédiction : trajectoires d’attaque, propagation, rupture de confiance, impact potentiel.
- C — Causalité / Contrôle : contrefactuels, décision d’accès, isolation, révocation, fail-closed, audit.
Identité humaine / machine / objet / agent
↓
Contexte : appareil, réseau, lieu, temps, comportement, intention apparente
↓
Mémoire de confiance : historique, incidents, preuves, politiques
↓
Modèle prédictif de risque : trajectoires, anomalies, propagation
↓
Raisonnement causal / contrefactuel : conséquences possibles
↓
Décision : autoriser, restreindre, isoler, révoquer, alerter, escalader
↓
Journal vérifiable : preuve, gouvernance, audit, retour d’expérience
29.9.1. Différence entre IAM classique et LAMP-Cyber
| Dimension |
IAM classique |
LAMP-Cyber |
| Décision |
Authentification puis autorisation |
Confiance continue et prédictive |
| Données |
Identité, groupe, rôle, MFA |
Identité, contexte, comportement, action, conséquence |
| Temps |
Événement ponctuel |
État dynamique |
| Mémoire |
Logs, annuaire |
Mémoire expérientielle de confiance |
| Causalité |
Faible |
Analyse contrefactuelle des conséquences |
| Objets |
Souvent secondaires |
Identités non humaines centrales |
| Agents IA |
Rarement modélisés |
Acteurs gouvernés explicitement |
| Sûreté |
Peu couverte |
Intégration cyber-physique |
29.9.2. Décision fail-closed et continuité de confiance
Dans un système critique, l’incertitude ne doit pas conduire à une autorisation par défaut. La décision doit pouvoir devenir :
- autoriser ;
- autoriser avec restrictions ;
- demander une preuve supplémentaire ;
- isoler ;
- suspendre ;
- révoquer ;
- escalader vers humain ;
- refuser en mode fail-closed.
Cette logique est particulièrement importante pour les objets connectés, robots, agents autonomes et infrastructures critiques.
29.10. Sûreté : quand la compromission numérique produit un effet physique
La cybersécurité protège la confidentialité, l’intégrité, la disponibilité et la gouvernance des systèmes numériques. La sûreté vise à éviter des dommages aux personnes, aux biens, aux infrastructures ou à l’environnement.
Avec l’IA, l’IoT et la robotique, la frontière se réduit. Une compromission numérique peut produire un effet physique :
- une serrure connectée qui s’ouvre ;
- un robot industriel qui bouge dangereusement ;
- un capteur médical qui transmet une mesure falsifiée ;
- un drone qui change de trajectoire ;
- un véhicule qui accepte une commande illégitime ;
- un bâtiment intelligent qui modifie ventilation, température ou accès ;
- une infrastructure énergétique qui reçoit une consigne fausse ;
- un agent IA qui déclenche une action opérationnelle par API.
La sûreté impose donc une question supplémentaire : même si l’action est techniquement autorisée, est-elle sûre dans ce contexte ?
29.10.1. Convergence sécurité-sûreté
| Domaine |
Question centrale |
Exemple |
| Cybersécurité |
Le système est-il compromis ? |
Token volé, malware, injection |
| Identité |
Qui agit réellement ? |
Humain, agent, machine, objet |
| Sûreté |
L’action peut-elle causer un dommage ? |
Robot, véhicule, dispositif médical |
| Gouvernance |
Qui assume la responsabilité ? |
Déployeur, opérateur, fabricant, agent |
| Modèle prédictif |
Que va-t-il se passer ensuite ? |
Propagation, effet physique, cascade |
29.10.2. Sécurité des systèmes autonomes
Les systèmes autonomes exigent une gouvernance plus stricte que les applications purement textuelles. Un agent qui rédige un résumé peut se tromper ; un agent qui agit sur une machine, un paiement, une identité ou un accès physique peut causer un dommage réel.
Le EU AI Act adopte une logique fondée sur le risque pour les systèmes d’IA. Pour les architectures prédictives appliquées à la sûreté, cela implique :
- classification des risques ;
- documentation ;
- supervision humaine ;
- robustesse ;
- cybersécurité ;
- traçabilité ;
- gestion des incidents ;
- contrôle des mises à jour ;
- gouvernance des données et modèles.
29.11. Matrice identité / authentification / IA / objets connectés
| Entité |
Risque IA |
Authentification classique |
Besoin futur |
Références |
| Humain |
Deepfake, phishing adaptatif, coercition |
Mot de passe, MFA, biométrie |
Preuve de présence, contexte, comportement, contrôle de l’action |
NIST 800-63-4, FIDO, WebAuthn |
| Agent IA |
Actions non autorisées, tool abuse, mémoire contaminée |
Clé API, token |
Identité agentique, capabilities, sandbox, audit |
OWASP LLM, NIST AI RMF |
| Objet IoT |
Clonage, firmware compromis, capteur menteur |
Certificat, clé embarquée |
Attestation matérielle, update signé, comportement attendu |
NISTIR 8259A, ETSI EN 303 645 |
| Robot |
Action physique dangereuse |
Contrôle local, opérateur |
Sûreté, interlock, fail-safe, modèle de risque |
EU AI Act |
| Service cloud |
Vol de token, escalade, mouvement latéral |
IAM, OAuth, certificats |
Identité non humaine gouvernée, rotation, attestation |
Zero Trust |
| Donnée sensible |
Exfiltration, contamination RAG |
ACL, chiffrement |
Provenance, classification, usage contrôlé, mémoire sécurisée |
NIST CSF, SSDF |
| Modèle IA |
Extraction, empoisonnement, comportement dangereux |
Versioning, accès API |
Gouvernance modèle, red teaming, évaluation continue |
NIST AI RMF, OWASP LLM |
| Infrastructure critique |
Cascade cyber-physique |
Segmentation, supervision |
Modèle prédictif d’impact, fail-closed, résilience |
ENISA Threat Landscape, NIST CSF |
Architectures intelligence prédictive : 29.12. Volet souverain : continuité de confiance, identité segmentée et preuve locale
Un angle original de recherche consiste à explorer des architectures où la confiance n’est pas exclusivement dépendante du cloud, d’une base centrale ou d’une autorité permanente en ligne. Ce volet est particulièrement pertinent pour :
- environnements souverains ;
- infrastructures critiques ;
- zones déconnectées ;
- défense ;
- secours ;
- IoT industriel ;
- objets à longue durée de vie ;
- authentification locale ;
- agents IA opérant sous contraintes ;
- gestion de secrets et preuves distribuées.
Les axes de recherche pourraient être :
- Identité segmentée : séparation des preuves, facteurs, secrets ou attributs.
- Authentification locale : décision possible sans dépendance serveur permanente.
- Mémoire de confiance locale : historique vérifiable et contrôlé.
- Continuité de confiance : maintien d’un état de confiance malgré déconnexion, perte réseau ou attaque partielle.
- Preuve vérifiable : journal, signature, attestation, horodatage, chaîne de preuves.
- Révocation en mode contraint : suspension locale, seuils de risque, politiques de secours.
- Compatibilité Zero Trust : pas de confiance implicite, même en environnement interne.
- Protection des objets connectés : identité matérielle, mise à jour signée, comportement attendu.
- Contrôle des agents IA : capabilities, périmètres, modes de confiance, fail-closed.
- Souveraineté opérationnelle : réduction des dépendances critiques à des services externes.
Cette approche ne doit pas être formulée comme une opposition aux standards existants, mais comme un complément : elle vise à rendre les architectures de confiance plus résilientes, locales, vérifiables et compatibles avec les contraintes de sûreté.
29.13. Programme de recherche appliqué : IA prédictive, identité et confiance cyber-physique
29.13.1. Problématique
Comment concevoir une architecture d’intelligence prédictive capable d’évaluer, maintenir et gouverner la confiance entre humains, agents IA, objets connectés et infrastructures critiques, tout en limitant les risques de compromission, d’usurpation, d’action dangereuse et de dépendance excessive à une autorité centrale ?
29.13.2. Hypothèses de recherche
| Hypothèse |
Formulation |
Critère de validation |
| H-CY1 |
Une mémoire de confiance améliore la détection des ruptures comportementales |
Réduction de faux négatifs sur scénarios multi-étapes |
| H-CY2 |
Un modèle prédictif de trajectoire d’attaque améliore la réponse avant impact |
Temps de mitigation réduit, impact limité |
| H-CY3 |
Une identité agentique avec capabilities réduit les actions non autorisées |
Baisse des tool abuses en tests adversariaux |
| H-CY4 |
Une authentification contextuelle continue réduit les usurpations post-login |
Détection de session hijacking et anomalie comportementale |
| H-CY5 |
Une décision fail-closed réduit les impacts en contexte incertain |
Aucun accès critique autorisé sans preuve suffisante |
| H-CY6 |
Une architecture locale/segmentée améliore la résilience hors ligne |
Maintien d’opérations sûres en mode dégradé |
29.13.3. Verrous scientifiques
- Représenter un état de confiance sans créer une surveillance abusive.
- Relier identité, comportement, contexte et causalité dans un modèle exploitable.
- Évaluer les agents IA sur des attaques multi-étapes réalistes.
- Sécuriser les mémoires RAG et mémoires expérientielles.
- Définir des politiques de capabilities compréhensibles et vérifiables.
- Garantir la sûreté d’actions cyber-physiques.
- Maintenir la confidentialité des signaux d’identité.
- Gérer révocation, correction et oubli dans des mémoires longues.
- Prévenir l’automatisation défensive dangereuse.
- Concilier souveraineté locale et interopérabilité standard.
29.13.4. Architecture expérimentale proposée
Sources : logs, IAM, EDR, IoT, API, RAG, tickets, politiques
↓
Normalisation et abstraction : actifs, identités, relations, événements
↓
Mémoire de confiance : historique, preuves, anomalies, incidents
↓
Modèle prédictif : trajectoires, risques, conséquences possibles
↓
Moteur causal / règles : contrefactuels, contraintes, politiques
↓
Agent LLM gouverné : explication, orchestration, synthèse, interaction humain
↓
Contrôleur de capacités : outils autorisés, seuils, sandbox, fail-closed
↓
Actions : alerte, restriction, révocation, isolation, demande de preuve
↓
Audit : journal signé, replay, justification, retour d’expérience
29.13.5. Benchmarks spécifiques
| Benchmark |
Objectif |
Mesures |
| Prompt injection indirecte |
Tester RAG et outils |
Taux de compromission, fuite, refus correct |
| Mémoire contaminée |
Tester oubli/correction |
Persistance de croyance hostile, temps de purge |
| Session hijacking |
Tester confiance continue |
Détection post-login, friction utilisateur |
| Objet IoT cloné |
Tester attestation et comportement |
Faux positifs/négatifs, temps d’isolation |
| Agent sur-privilégié |
Tester capabilities |
Nombre d’actions dangereuses bloquées |
| Deepfake décisionnel |
Tester preuve hors bande |
Taux de validation frauduleuse |
| Trajectoire d’attaque |
Tester prédiction |
Anticipation avant impact, mitigation |
| Mode dégradé hors ligne |
Tester souveraineté locale |
Maintien d’opérations sûres |
| Cyber-physique |
Tester sûreté |
Dommages évités, arrêt sécurisé |
29.13.6. Livrables dédiés
| Période |
Livrable cyber-sûreté |
| M0–M6 |
Taxonomie identité humaine / machine / agent / objet |
| M6–M12 |
Corpus de scénarios adversariaux IA + identité |
| M12–M18 |
Prototype LAMP-Cyber minimal |
| M18–M24 |
Benchmarks mémoire de confiance et agents outillés |
| M24–M30 |
Démonstrateur IoT / identité non humaine / mode dégradé |
| M30–M36 |
Cadre de gouvernance, publication et guide d’évaluation |
29.14. Pont vers le mémoire complémentaire — ADN, EviDNA et génome cryptographique
Le volet génome cryptographique, EviDNA, ADN Digital, les comparaisons documentaires avec l’état de l’art (CNRS, FIDO, PKI, Zero Trust) et les preuves d’industrialisation CryptPeer sont développés dans un mémoire complémentaire distinct, afin de préserver la lisibilité du présent document centré sur les architectures intelligence prédictive et le volet cyber appliqué (§29.1–§29.13).
Mémoire complémentaire : ADN et cryptographie — EviDNA, génome cryptographique et état de l’art
| Thème |
Section du mémoire complémentaire |
| Génome cryptographique — trajectoire Gen1/Gen2 |
§1 — Génome cryptographique |
| Matrice d’industrialisation et registres A/B/C |
§1.1 |
| Module de brouillage — variante brevetée et prolongement EviSKMS |
§1.1.1 |
| Synthèse de preuve EviSKMS-CryptPeer |
§1.3 |
| Comparaison confiance numérique (FIDO, PKI, EviSKMS) |
§1.4 |
| Génome vs identité ponctuelle (instant T) |
§1.5 |
| CNRS — cryptographie ADN synthétique (réf. externe) |
§1.6 |
| ADN Digital / CryptPeer 2026 |
§1.7 |
| Preuve d’implémentation EviDNA — DataShielder |
§1.10 |
| Antériorité et divulgations publiques |
§1.9 |
Synthèse (registre A). La trajectoire Freemindtronic (brevet WO/2018/154258, EviDNA 2024, génome cryptographique 2026, industrialisation CryptPeer/EviSKMS) prolonge le volet souverain et la confiance continue introduits en §29.12. Elle ne constitue pas le cœur théorique du présent mémoire sur les architectures prédictives ; elle en constitue l’application industrialisée documentée séparément.
Filiation inventive (registre A). Jacques Gascuel, inventeur et auteur du présent mémoire, a orienté ses recherches à partir de la compréhension du risque que l’intelligence prédictive fait peser sur les identités numériques : plus l’IA anticipe, imite et exploite les comportements, moins une authentification ponctuelle suffit. Il a formulé l’hypothèse qu’une identité de confiance devrait évoluer dans le temps, être réévaluable et gouvernable face à l’usage croissant de l’IA, notamment prédictive. Cette intuition a conduit, en R&D, à la conception d’un nouveau système d’identité durable — d’abord ancré sur le brevet de clé segmentée, puis matérialisé en EviSKMS. Après validation en 2024 du chiffrement et de la signature fondés sur l’ADN humain (être vivant, trajectoire EviDNA), la recherche a naturellement prolongé cette approche vers une solution génomique de confiance numérique (ADN Digital, génome cryptographique), développée dans le mémoire complémentaire.
Le présent mémoire conserve en §29.12 et §29.13 le cadre scientifique reliant IA prédictive, identité et confiance cyber-physique. Le détail cryptographique, les comparaisons ADN/CNRS et les schémas opérationnels relèvent du mémoire complémentaire.