MindHead.cyber, une IA spécialisée en cybersécurité pour les entreprises
Le cabinet HeadMind Partners a développé un grand modèle de langage spécialisé en cybersécurité à destination des grandes entreprises.
L'avenir de la sécurité s'écrira probablement avec l'IA. C'est en tout cas la vision portée par HeadMind Partners, cabinet de conseil spécialisé dans la cybersécurité, le digital et l'IA. La société a développé pour ses clients, principalement du CAC 40 et du SBF 120, plusieurs modèles de langage spécialisés sur des verticales métiers. A terme, six modèles devraient voir le jour, pour la DSI, les RH, la logistique, la finance ou encore le soutien et la santé. Parmi ces verticales, le cabinet a présenté un LLM spécialisé en cybersécurité avec de bonnes capacités sur un grand nombre de cas d'usage.
Une grande diversité de cas d'usage
Nommé MindHead.cyber, le modèle développé par HeadMind Partners a été formé pour accompagner à la fois les profils cyber des grandes entreprises mais également les métiers plus éloignés qui souhaitent des réponses précises. Le LLM a été conçu comme un assistant sur lequel l'humain peut se reposer. "Prenons l'exemple d'un chef de produit qui a besoin de connaître les règles à respecter lors de la conception d'un produit, ou d'un opérationnel qui doit configurer un serveur ou mettre en place un système. LLM Cyber peut répondre à toute question relative à la cybersécurité, qu'il s'agisse d'un problème rencontré, d'une situation à laquelle on est confronté, ou d'une interrogation sur une conformité spécifique", illustre Nicolas Arpagian, vice-président du cabinet Headmind Partners.
La force du modèle réside également dans la complexité relativement élevée des questions que peuvent lui soumettre les utilisateurs. MindHead.cyber est, par exemple, capable de répondre avec brio sur des problématiques à la limite entre le juridique et la technique, comme c'est souvent le cas sur des requêtes inhérentes au RGPD ou à l'AI Act. Mis en place en configuration client, le LLM peut également s'appuyer sur les données de l'entreprise pour fournir une réponse personnalisée et en contexte.
Dans un contexte de tension sur le marché de la cyber en France, le modèle apporte également un temps précieux pour les CISO et RSSI qui peuvent se reposer sur l'IA pour des tâches à faible valeur ajoutée. Autre use case, dans le cadre d'une réponse à un incident, le modèle peut, par exemple, faire gagner de précieuses minutes pour identifier et circonscrire la menace.
Un modèle formé par fine-tuning
MindHead.cyber s'appuyait initialement sur le modèle de Mistral AI à 7 milliards de paramètres mais les équipes ont ensuite développé une autre version basée sur Llama, le modèle de Meta AI. HeadMind reste agnostique sur le choix du modèle fondation. La décision est prise en fonction des principaux cas d'usage envisagés par le client. La taille en revanche reste toujours de l'ordre de 7 milliards de paramètres, une valeur qui offre un très bon ratio coût / performance. Pour former le modèle de base de MindHead.cyber, le cabinet a constitué un dataset de 25 à 30 milliards de tokens composé principalement de documentation cyber.
"Nous avons commencé par intégrer des sources officielles comme les publications de l'Anssi, de la Cnil et du Nist. Pour enrichir notre dataset, nous avons également puisé dans des corpus open source disponibles sur Internet, soigneusement filtrés et qualifiés autour de la cybersécurité. Par exemple, nous avons utilisé le corpus C4. Nous avons aussi exploité d'autres ressources comme Stack Overflow. Pour ce dernier, nous avons appliqué un filtre strict en ne retenant que les réponses ayant plus de 3 étoiles, garantissant ainsi une haute qualité des données", explique avec détails Nicolas Arpagian.
Le modèle a ensuite été fine-tuné sur l'ensemble du dataset. Le fine-tuning a ainsi permis au modèle "d'apprendre" réellement le jargon inhérent à la cybersécurité. Une approche par RAG aurait ici été insuffisante.
Un déploiement en quelques mois
MindHead.cyber peut aujourd'hui être facilement déployé au sein des clients du cabinet. De l'identification des cas d'usage internes à la mise en production effective, 6 à 9 mois sont nécessaires. La force du modèle réside dans sa personnalisation accrue pour les entreprises qui souhaitent le mettre en place. Les experts mis à disposition par HeadMind Partners appliquent au modèle un alignement par DPO lorsque la quantité de données le permet (quelques dizaines à centaines de millions de tokens). La procédure est assez rapide et très efficace pour donner au modèle le contexte dans lequel il évoluera. Pour des volumétries supérieures, une fine-tuning plus classique sera appliqué.
Enfin, une fois en production le modèle est régulièrement mis à jour avec la documentation de l'entreprise. Pour rester à jour sur les principales menaces et procédés d'attaque, le modèle dispose également d'un système de RAG basé sur l'API d'un service tiers d'information continuellement à jour.
Derrière MindHead.cyber et ses déclinaisons verticales, l'idée de HeadMind Partners est de s'adresser aux grands groupes français qui souhaitent obtenir un bon ROI lors du déploiement de leur stratégie d'IA générative. "Nous sommes convaincus, non par snobisme ou effet de mode, qu'il est possible de mesurer le retour sur investissement de l'utilisation des LLM, notamment en termes d'optimisation et de gains de temps. Nous avons ciblé des domaines où des données existaient déjà et où une réelle valeur pouvait être créée. L'avantage de cette approche est qu'elle nous éloigne considérablement de l'IA gadget, celle qui se contenterait de générer des fonds d'écran ou d'effectuer des tâches superficielles", justifie Nicolas Arpagian.