Thèse IA pour une Assistance Interactive en Matière de Sécurité Dès la Conception Extraction Automatique des Actifs Vulnérables et Intégration dans un Cadre Reqsecdes H/F - Doctorat_Gouv

Établissement : Université de Toulouse
École doctorale : EDMITT - Ecole Doctorale Mathématiques, Informatique et Télécommunications de Toulouse
Laboratoire de recherche : IRIT : Institut de Recherche en Informatique de Toulouse
Direction de la thèse : Nan MESSE
Début de la thèse : 2026-10-01
Date limite de candidature : 2026-09-21T23:59:59

Contexte
Dans le développement logiciel moderne, la pression pour livrer rapidement met souvent la sécurité au second plan. Pourtant, plus de la moitié des vulnérabilités signalées proviennent de défauts de conception, entraînant des corrections coûteuses et parfois des failles critiques. L'approche Security-by-Design vise à intégrer la sécurité dès les premières phases (exigences, conception), mais elle est freinée par plusieurs limites : manque d'expertise, difficulté à transformer des objectifs abstraits en mécanismes concrets, et absence d'outils accessibles aux non-spécialistes. Les récents progrès de l'IA (NLP, ML) ouvrent de nouvelles perspectives pour automatiser l'extraction de connaissances et fournir une assistance intelligente et interactive.

Questions de recherche
Le défi consiste à systématiser l'intégration de la sécurité dès la phase d'exigences et de conception, tout en gardant l'approche accessible aux non-experts :

Comment extraire et organiser automatiquement les actifs vulnérables à partir de bases (CAPEC, CWE, ATT&CK) ?

Comment raffiner des objectifs de sécurité de haut niveau en patrons de conception vérifiables ?

Comment proposer une assistance en temps réel sans freiner l'agilité des développeurs ?

Objectifs
La thèse développera le cadre ReqSecDes, combinant extraction et formalisation d'actifs vulnérables avec une assistance outillée. Les résultats attendus incluent :

Bibliothèque automatisée d'actifs vulnérables (extraction NLP/ML, ontologie).

Taxonomie formelle des propriétés de sécurité (raffinement en patrons de conception, vérification formelle).

Assistance interactive (recommandations en temps réel intégrées aux outils de modélisation).

Validation via études de cas industrielles, mesurant réduction de vulnérabilités et facilité d'usage.

Contributions attendues du doctorant

Réaliser un état de l'art.

Développer et entraîner des modèles NLP/ML pour l'extraction d'actifs vulnérables.

Construire et vérifier une taxonomie formelle des propriétés de sécurité.

Implémenter un prototype d'assistant fournissant raisonnement et recommandations en temps réel.

Valider le cadre sur des cas d'usage industriels.

Context
In contemporary software development, the constant pressure of time-to-market often means that security considerations are set aside in favour of speed and functionality. Yet, design-level weaknesses account for more than half of publicly disclosed vulnerabilities, showing that late or superficial treatment of security results in both costly remediation and severe breaches [1] [6]. The Security-by-Design paradigm aims to counter this by embedding security from the earliest stages of the software development lifecycle, particularly during requirements and design [2] [5] [8] [9]. However, this ambition is constrained by a shortage of specialized expertise, the lack of systematic methods to refine abstract security goals such as confidentiality, integrity, or availability into actionable design decisions, and the absence of accessible tools for engineers who are not trained in cybersecurity. Recent progress in artificial intelligence, especially in natural language processing and machine learning, creates new opportunities to address these challenges by automatically extracting knowledge about vulnerabilities, threats, and countermeasures, and by making such knowledge usable through intelligent, interactive assistance.

Research Questions

The central challenge lies in finding ways to integrate security proactively and systematically during the requirements and design phases, while ensuring that non-expert engineers can access the necessary knowledge without sacrificing rigour or traceability. This raises several intertwined research questions:
How to exploit AI methods and techniques to extract and organize vulnerable assets from heterogeneous repositories such as CAPEC, CWE, or ATT&CK?
How to refine high-level security objectives into formal, verifiable design patterns that engineers can directly apply?
How to embed this knowledge into an interactive assistant that provides real-time feedback, contextual recommendations, and justifications, without disrupting the agility expected in modern development environments?

Objectives
This doctoral project aims to build the ReqSecDes (Requirement-Security-Design) framework by developing AI-powered mechanisms for vulnerable asset extraction [3], [4] and formalization, and by embedding these into a tool-supported assistant that bridges security requirements and secure design decisions. The expected results are:
Automated Vulnerable Asset Library
Use NLP/ML to identify, extract, and link vulnerabilities, threats, and mitigations.
Structure assets into a formal ontology usable in software/system engineering tools.
Formal Taxonomy of Security Properties
Refine high-level security goals into verifiable design patterns.
Ensure consistency and correctness through formal verification [7] (e.g., Event-B, Rodin).
Interactive Security Assistance
Develop algorithms to analyse system specifications and models, mapping them to the vulnerable asset library.
Provide context-aware, real-time feedback and recommendations via modeling tools (Eclipse, Modelio).
Empirical and Industrial Validation
Evaluate the framework with industrial case studies.
Assess impact on vulnerability reduction and adoption by non-experts.

L'appel est ouvert aux étudiants en master ou aux professionnels ; les étudiants en master à la recherche d'un stage de 6 mois, avec l'intention de poursuivre en doctorat, sont également invités à postuler.

• Access