IA pour une assistance interactive en matière de sécurité dès la conception : extraction automatique des actifs vulnérables et intégration dans un cadre ReqSecDes // AI for Interactive Security-by-Design Assistance: Automatic Vulnerable Asset Extraction a
|
ABG-133505
ADUM-67593 |
Thesis topic | |
| 2025-09-22 | Other public funding |
Université de Toulouse
Toulouse cedex 4 - Occitanie - France
IA pour une assistance interactive en matière de sécurité dès la conception : extraction automatique des actifs vulnérables et intégration dans un cadre ReqSecDes // AI for Interactive Security-by-Design Assistance: Automatic Vulnerable Asset Extraction a
- Computer science
apprentissage automatique, génie logiciel, cybersécurité, méthodes formelles
machine learning, software engineering, cybersecurity, formal methods
machine learning, software engineering, cybersecurity, formal methods
Topic description
Contexte
Dans le développement logiciel moderne, la pression pour livrer rapidement met souvent la sécurité au second plan. Pourtant, plus de la moitié des vulnérabilités signalées proviennent de défauts de conception, entraînant des corrections coûteuses et parfois des failles critiques. L'approche Security-by-Design vise à intégrer la sécurité dès les premières phases (exigences, conception), mais elle est freinée par plusieurs limites : manque d'expertise, difficulté à transformer des objectifs abstraits en mécanismes concrets, et absence d'outils accessibles aux non-spécialistes. Les récents progrès de l'IA (NLP, ML) ouvrent de nouvelles perspectives pour automatiser l'extraction de connaissances et fournir une assistance intelligente et interactive.
Questions de recherche
Le défi consiste à systématiser l'intégration de la sécurité dès la phase d'exigences et de conception, tout en gardant l'approche accessible aux non-experts :
Comment extraire et organiser automatiquement les actifs vulnérables à partir de bases (CAPEC, CWE, ATT&CK) ?
Comment raffiner des objectifs de sécurité de haut niveau en patrons de conception vérifiables ?
Comment proposer une assistance en temps réel sans freiner l'agilité des développeurs ?
Objectifs
La thèse développera le cadre ReqSecDes, combinant extraction et formalisation d'actifs vulnérables avec une assistance outillée. Les résultats attendus incluent :
Bibliothèque automatisée d'actifs vulnérables (extraction NLP/ML, ontologie).
Taxonomie formelle des propriétés de sécurité (raffinement en patrons de conception, vérification formelle).
Assistance interactive (recommandations en temps réel intégrées aux outils de modélisation).
Validation via études de cas industrielles, mesurant réduction de vulnérabilités et facilité d'usage.
Contributions attendues du doctorant
Réaliser un état de l'art.
Développer et entraîner des modèles NLP/ML pour l'extraction d'actifs vulnérables.
Construire et vérifier une taxonomie formelle des propriétés de sécurité.
Implémenter un prototype d'assistant fournissant raisonnement et recommandations en temps réel.
Valider le cadre sur des cas d'usage industriels.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Context
In modern software development, pressure for rapid delivery often pushes security to the background. Yet, design-level flaws account for more than half of reported vulnerabilities, leading to costly fixes and major breaches. The Security-by-Design paradigm seeks to address this by embedding security early, during requirements and design. However, this ambition faces several challenges: lack of specialized expertise, absence of systematic methods to refine abstract goals (confidentiality, integrity, availability) into actionable design, and limited tools for engineers without cybersecurity training. Advances in AI, especially NLP and machine learning, open new opportunities to automatically extract and structure security knowledge, and to provide intelligent, interactive support to practitioners.
Research questions
The key issue is integrating security systematically at the requirements and design phases, while ensuring accessibility for non-expert engineers. This raises several questions:
How can AI extract and organize vulnerable assets from heterogeneous sources (CAPEC, CWE, ATT&CK)?
How to refine high-level security objectives into formal, verifiable design patterns?
How to embed this knowledge in an assistant that offers real-time feedback and recommendations without disrupting agile development?
Objectives
The PhD will develop the ReqSecDes framework by combining AI-driven extraction and formalization of vulnerable assets with tool-supported assistance bridging requirements and secure design. Expected results:
Automated Vulnerable Asset Library: NLP/ML methods to extract vulnerabilities, threats, mitigations, and structure them in an ontology.
Formal Taxonomy of Security Properties: refinement of security goals into verifiable design patterns, checked with formal methods.
Interactive Security Assistance: algorithms linking system specifications with the asset library, providing real-time, context-aware recommendations in modeling tools.
Validation: industrial case studies to assess vulnerability reduction and usability by non-experts.
Expected contributions
The candidate will:
Survey the state of the art in security requirements engineering, asset-based approaches, and AI/NLP in cybersecurity.
Design and train NLP/ML models to extract and link vulnerable assets.
Develop a formal taxonomy of security properties, verify it, and integrate it into modeling environments.
Implement a prototype of an interactive assistant with real-time reasoning and feedback.
Validate the approach via case studies with industrial partners, measuring effectiveness and adoption.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Début de la thèse : 01/10/2026
Dans le développement logiciel moderne, la pression pour livrer rapidement met souvent la sécurité au second plan. Pourtant, plus de la moitié des vulnérabilités signalées proviennent de défauts de conception, entraînant des corrections coûteuses et parfois des failles critiques. L'approche Security-by-Design vise à intégrer la sécurité dès les premières phases (exigences, conception), mais elle est freinée par plusieurs limites : manque d'expertise, difficulté à transformer des objectifs abstraits en mécanismes concrets, et absence d'outils accessibles aux non-spécialistes. Les récents progrès de l'IA (NLP, ML) ouvrent de nouvelles perspectives pour automatiser l'extraction de connaissances et fournir une assistance intelligente et interactive.
Questions de recherche
Le défi consiste à systématiser l'intégration de la sécurité dès la phase d'exigences et de conception, tout en gardant l'approche accessible aux non-experts :
Comment extraire et organiser automatiquement les actifs vulnérables à partir de bases (CAPEC, CWE, ATT&CK) ?
Comment raffiner des objectifs de sécurité de haut niveau en patrons de conception vérifiables ?
Comment proposer une assistance en temps réel sans freiner l'agilité des développeurs ?
Objectifs
La thèse développera le cadre ReqSecDes, combinant extraction et formalisation d'actifs vulnérables avec une assistance outillée. Les résultats attendus incluent :
Bibliothèque automatisée d'actifs vulnérables (extraction NLP/ML, ontologie).
Taxonomie formelle des propriétés de sécurité (raffinement en patrons de conception, vérification formelle).
Assistance interactive (recommandations en temps réel intégrées aux outils de modélisation).
Validation via études de cas industrielles, mesurant réduction de vulnérabilités et facilité d'usage.
Contributions attendues du doctorant
Réaliser un état de l'art.
Développer et entraîner des modèles NLP/ML pour l'extraction d'actifs vulnérables.
Construire et vérifier une taxonomie formelle des propriétés de sécurité.
Implémenter un prototype d'assistant fournissant raisonnement et recommandations en temps réel.
Valider le cadre sur des cas d'usage industriels.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Context
In modern software development, pressure for rapid delivery often pushes security to the background. Yet, design-level flaws account for more than half of reported vulnerabilities, leading to costly fixes and major breaches. The Security-by-Design paradigm seeks to address this by embedding security early, during requirements and design. However, this ambition faces several challenges: lack of specialized expertise, absence of systematic methods to refine abstract goals (confidentiality, integrity, availability) into actionable design, and limited tools for engineers without cybersecurity training. Advances in AI, especially NLP and machine learning, open new opportunities to automatically extract and structure security knowledge, and to provide intelligent, interactive support to practitioners.
Research questions
The key issue is integrating security systematically at the requirements and design phases, while ensuring accessibility for non-expert engineers. This raises several questions:
How can AI extract and organize vulnerable assets from heterogeneous sources (CAPEC, CWE, ATT&CK)?
How to refine high-level security objectives into formal, verifiable design patterns?
How to embed this knowledge in an assistant that offers real-time feedback and recommendations without disrupting agile development?
Objectives
The PhD will develop the ReqSecDes framework by combining AI-driven extraction and formalization of vulnerable assets with tool-supported assistance bridging requirements and secure design. Expected results:
Automated Vulnerable Asset Library: NLP/ML methods to extract vulnerabilities, threats, mitigations, and structure them in an ontology.
Formal Taxonomy of Security Properties: refinement of security goals into verifiable design patterns, checked with formal methods.
Interactive Security Assistance: algorithms linking system specifications with the asset library, providing real-time, context-aware recommendations in modeling tools.
Validation: industrial case studies to assess vulnerability reduction and usability by non-experts.
Expected contributions
The candidate will:
Survey the state of the art in security requirements engineering, asset-based approaches, and AI/NLP in cybersecurity.
Design and train NLP/ML models to extract and link vulnerable assets.
Develop a formal taxonomy of security properties, verify it, and integrate it into modeling environments.
Implement a prototype of an interactive assistant with real-time reasoning and feedback.
Validate the approach via case studies with industrial partners, measuring effectiveness and adoption.
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Début de la thèse : 01/10/2026
Funding category
Other public funding
Funding further details
ANR Financement d'Agences de financement de la recherche
Presentation of host institution and host laboratory
Université de Toulouse
Institution awarding doctoral degree
Université de Toulouse
Graduate school
475 EDMITT - Ecole Doctorale Mathématiques, Informatique et Télécommunications de Toulouse
Candidate's profile
L'appel est ouvert aux étudiants en master ou aux professionnels ; les étudiants en master à la recherche d'un stage de 6 mois, avec l'intention de poursuivre en doctorat, sont également invités à postuler.
The call is open to master-degree students or professionals ; Master's students seeking a 6-month internship, with the intention of continuing into a PhD, are also welcome to apply.
The call is open to master-degree students or professionals ; Master's students seeking a 6-month internship, with the intention of continuing into a PhD, are also welcome to apply.
2026-09-21
Apply
Close
Vous avez déjà un compte ?
Nouvel utilisateur ?
More information about ABG?
Get ABG’s monthly newsletters including news, job offers, grants & fellowships and a selection of relevant events…
Discover our members
Groupe AFNOR - Association française de normalisation 
SUEZ 
CASDEN 
Ifremer 
CESI 
MabDesign 
Généthon 
ADEME 
PhDOOC 
Tecknowmetrix 
Laboratoire National de Métrologie et d'Essais - LNE 
Nokia Bell Labs France 
ONERA - The French Aerospace Lab 
ASNR - Autorité de sûreté nucléaire et de radioprotection - Siège 
TotalEnergies 
Institut Sup'biotech de Paris - MabDesign
ANRT 
Aérocentre, Pôle d'excellence régional
