ipopba - stock.adobe.com
Cyberhebdo : l'IA générative avance, nous aussi
Il y a tout juste trois ans, nous lancions notre revue de presse internationale hebdomadaire sur les cyberattaques. avec l'aide de ChatGPT. Nous venons d'améliorer le processus... en abandonnant la GenAI en mode Cloud au profit de son exécution en local.
Depuis septembre 2020, LeMagIT propose tous les mois à ses lecteurs un véritable bulletin météo ransomware. Celui-ci s’appuie notamment sur le décompte des revendications de cyberattaques publiées par les cybercriminels, lequel est régulièrement corrigé et redressé. Mais LeMagIT compte également les attaques évoquées publiquement dans la presse du monde entier. Ce travail de veille a été sensiblement amélioré avec l’aide de ChatGPT au printemps 2023. Il vient de subir une nouvelle refonte en profondeur.
Tout d'abord, après un bref passage à Claude d'Anthropic, finis les grands modèles en mode Cloud pour faire du résumé et de l'analyse de texte relativement sommaire : les récents modèles Qwen 3.5 9B et Gemma 4 E4B s'avèrent largement suffisants avec une rapidité de traitement tout à fait satisfaisante, sur un processeur Apple Silicon M4 épaulé par 24 Go de mémoire unifiée, pour des processus exécutés périodiquement en tâche de fond. En outre, la quantité de mémoire consommée par ces modèles permet de profiter confortablement de leur fenêtre de contexte pour procéder à l'analyse d'articles complets.
Le principe de base n'a pas changé : nous récupérons régulièrement plus de 80 flux RSS de Google News sur une poignée de mots clés bien sentis. Mais faisons cela désormais un nombre de régions et de langues plus étendu qu'il y a trois ans, et sans traduction des titres : cette tâche est devenue inutile.
Surtout, le recours à un modèle exécuté en local, sur une machine à l'efficacité énergétique redoutable - le MacBook Pro utilisé ne tire jamais plus de 30 W sur le secteur - change radicalement l'équation économique : si des algorithmes d'optimisation sont toujours, pour éviter de traiter des doublons ou de re-traiter un article déjà vu lors d'un run antérieur, le modèle de langage est considérablement plus mis à profit que précédemment.
Désormais, nous l'utilisons pour étudier chaque nouvel article. Il n'est plus seulement question de déterminer s'il se rapporte effectivement à une cyberattaque ou pas : des mots clés et des entités sont extraits par le modèle afin de créer des clusters - qui représentent des sujets d'actualité, en fait - regroupant plusieurs articles. Le but ? Réduire le bruit, notamment avec les événements générant une forte couverture mais sans que beaucoup d'articles n'apportent véritablement d'information nouvelle.
La cyberattaque des Shiny Hunters contre la plateforme Canvas d'Instructure illustre parfaitement ce cas d'usage. L'incident ayant affecté près de 9 000 établissement scolaires dans le monde entier, il a généré des centaines d'articles en l'espace de quelques jours. Il suffit de consulter notre flux RSS "historique" pour s'en rendre compte.
Les mécanismes adoptés grâce au passage à un modèle plutôt frugal et exécuté localement ont effectivement permis de réduire considérablement ce bruit de fond : le nouveau script n'a généré des alertes que 5 articles pour cet incident au cours des dernières 96 heures. C'est l'autre bénéfice de cette nouvelle approche : si l'effort final de curation reste confié à l'humain, il se fait sur la base d'alertes produites par le workflow, en mode push, plutôt que sur une surveillance plus ou moins régulière, en mode pull, d'un flux RSS. Des alertes qui reprennent tritre traduit et résumé de l'article source retenu, assorti du lien.
La production de notre Cyberhebdo va graduellement être elle aussi confiée au modèle exécuté en local, en Français, ainsi qu'en Allemand, pour commencer : il s'avère suffisamment juste pour que le recours aux API de DeepL ou des fonctions de traduction d'Azure ne soit plus justifié.
