Soutenance de thèse de Tristan BILOT
Le 17 novembre 2025, Tristan BILOT, doctorant de l’Université Paris-Saclay et co-encadré à l’Isep par le Dr Nour EL MADHOUN, a soutenu sa thèse intitulée « Détection de cyberattaques avancées par apprentissage auto-supervisé sur graphes »
Le 17 novembre 2025, Tristan BILOT, doctorant de l’Université Paris-Saclay et co-encadré à l’Isep par le Dr Nour EL MADHOUN, a soutenu sa thèse intitulée « Détection de cyberattaques avancées par apprentissage auto-supervisé sur graphes » au Laboratoire Interdisciplinaire des Sciences du Numérique de l’Université Paris-Saclay.
Cette soutenance a constitué un temps fort scientifique, réunissant enseignants-chercheurs, experts internationaux et professionnels de la cybersécurité et de l’intelligence artificielle autour d’un enjeu majeur : mieux détecter les cyberattaques les plus sophistiquées.
Une thèse au cœur des enjeux de cybersécurité
Les cyberattaques visant les grandes organisations et les institutions gouvernementales se multiplient et gagnent en complexité. Parmi les plus redoutables figurent les menaces persistantes avancées (APT), souvent attribuées à des acteurs étatiques et conçues pour rester invisibles pendant de longues périodes. Exploitant notamment des vulnérabilités zero-day, ces attaques échappent fréquemment aux outils de détection classiques.
La thèse de Tristan BILOT s’inscrit pleinement dans ce contexte, en proposant de repenser les méthodes de détection face à des attaques rares, inconnues et dissimulées.
Une approche innovante
Plutôt que de chercher à reconnaître des attaques déjà connues, cette thèse explore l’apprentissage auto-supervisé sur graphes. Le principe est d’apprendre automatiquement les comportements normaux d’un système à partir de données non annotées, puis de détecter les anomalies, sans dépendre de données d’attaques préalablement identifiées.
Les réseaux de neurones de graphes (GNN), capables de modéliser des interactions complexes, offrent ainsi un potentiel encore largement inexploité en cybersécurité.
Trois axes de recherche structurants
- Comprendre les attaques et poser les bases
Le premier chapitre présente les APT, les limites des méthodes de détection traditionnelles et les fondements théoriques des graphes et de l’apprentissage auto-supervisé, appliqués à la détection d’anomalies. - Mieux détecter les attaques au niveau réseau
Le second chapitre s’intéresse à la détection d’attaques dans les réseaux informatiques. Il introduit de nouvelles techniques d’apprentissage sur graphes et des systèmes capables de fonctionner avec très peu de données annotées, tout en détectant efficacement les mouvements latéraux et en réduisant les faux positifs. - Analyser finement les attaques au cœur des systèmes
Le dernier chapitre étend l’analyse au niveau système, en modélisant l’activité interne des machines sous forme de graphes. Les outils proposés facilitent le travail des analystes en distinguant plus clairement les comportements bénins et malveillants et en fournissant des résumés concis des attaques. L’ensemble des travaux est intégré dans PIDSMaker, un framework open source dédié à la recherche en cybersécurité.
Un encadrement et un jury de haut niveau
Directeur de thèse
- Khaldoun AL AGHA, Université Paris-Saclay
Co-encadrant de thèse
- Dr Nour EL MADHOUN, Isep
- Anis ZOUAOUI, CEO Iriguard/Adservio
Jury :
- Dr. Adam BATES, Assistant Professor, University of Illinois at Urbana-Champaign -Rapporteur
- Pr. Lorenzo CAVALLARO, University College London – Rapporteur
- Pr Isabelle GUYON, Google DeepMind – Examinatrice
- Dr. Thomas PASQUIER, Assistant professor, University of British Columbia – Examinateur
- Pr. Sylvain CONCHON, Universite Paris Saclay – Examinateur
- Pr. Fragkiskos MALLIAROS, CentraleSupélec, Université Paris Saclay – Examinateur
