Agent AI de cybersecurité
Les modèles de langage modernes ont profondément changé notre manière d'interagir avec les logiciels. Mais leur véritable potentiel apparaît lorsqu'ils ne se limitent plus à répondre à des questions et deviennent capables d'agir.
C'est le principe des agents IA : comprendre une intention, raisonner, utiliser des outils et produire un résultat concret.
Dans le domaine de la cybersécurité, cette approche ouvre de nouvelles possibilités en permettant de créer des assistants capables d'exécuter des analyses techniques tout en gardant l'humain au centre des décisions.
Au-delà du simple chatbot
Un modèle de langage seul peut expliquer comment utiliser un outil de sécurité, mais il ne peut pas directement analyser un réseau, lancer une commande ou interpréter un environnement réel.
Un agent IA ajoute une couche d'orchestration permettant au modèle de sélectionner et d'utiliser des outils adaptés à la demande.
Par exemple :
- L'utilisateur demande une analyse réseau en langage naturel
- L'agent identifie les actions nécessaires
- Un outil spécialisé est exécuté dans un environnement Kali Linux
- Les résultats sont analysés et présentés clairement
Une architecture basée sur des composants spécialisés
L'objectif de ce projet était de construire une architecture modulaire, capable d'évoluer avec de nouvelles capacités.
L'architecture repose notamment sur :
- Microsoft Agent Framework pour l'orchestration et la gestion de l'agent
- Ollama pour l'exécution locale du modèle de langage
- Open WebUI comme interface utilisateur
- Kali Linux comme environnement d'exécution des outils de cybersécurité
- Redis pour la mémoire opérationnelle
Cette séparation permet de faire évoluer chaque partie indépendamment et de conserver une architecture claire et maintenable.
Donner une mémoire à l'agent
Un agent réellement utile doit être capable de conserver un état entre plusieurs actions.
La mémoire opérationnelle permet par exemple d'éviter de relancer inutilement une analyse déjà effectuée ou de conserver les éléments découverts pendant une investigation.
Redis est utilisé comme une mémoire rapide permettant de stocker :
- Les commandes déjà exécutées
- Les résultats importants
- Les hôtes découverts
- Les informations utiles pour la suite de l'analyse
Ajouter de la connaissance avec le RAG
L'exécution d'outils n'est qu'une partie du problème. Un expert a également besoin de connaissances fiables pour interpréter les résultats.
La prochaine évolution consiste à connecter l'agent à une base de connaissances utilisant une approche RAG (Retrieval Augmented Generation).
Cette base pourra intégrer des sources reconnues comme :
- OWASP
- MITRE ATT&CK
- Publications NIST
- Documentation technique interne
L'agent pourra ainsi combiner l'exécution technique avec des recommandations issues de référentiels de sécurité reconnus.
L'humain reste au centre
Un agent IA ne remplace pas l'expertise humaine. Il agit comme un multiplicateur de compétences.
Son rôle est d'automatiser les tâches répétitives, accélérer les investigations et faciliter l'accès à l'information.
Les décisions critiques restent cependant sous contrôle humain : interprétation des risques, validation des résultats et choix des actions à entreprendre.

En conclusion
Les agents IA représentent une évolution majeure par rapport aux assistants conversationnels traditionnels.
En combinant un modèle de langage, des outils spécialisés, une mémoire opérationnelle et une base de connaissances, il devient possible de construire des assistants capables d'accompagner des tâches complexes de cybersécurité.
L'avenir des outils intelligents ne repose pas uniquement sur des modèles plus puissants, mais sur des architectures capables de les connecter efficacement au monde réel.
Découvrez comment nous intégrons l'IA dans des solutions concrètes.
i59