Trois juges.
Un verdict. Zéro angle mort.
Ward³ met en pratique la Médiation Neuronale Adversarielle : des juges IA volontairement différents analysent chaque flux, un consensus calibré tranche, et leur désaccord devient lui-même un signal de sécurité — avec un taux de faux positifs borné par tenant, pas seulement réglé.
Le NDR mono-modèle ne tient plus seul.
Vectra, Darktrace, ExtraHop : la plupart des NDR ont été construits autour d'une idée simple, un modèle ML bien entraîné peut repérer les attaques avancées. En 2017, c'était défendable. En 2026, c'est devenu fragile.
Les outils adversariels open source, comme ART, CleverHans ou Foolbox, rendent l'évasion par gradient beaucoup plus accessible. Un modèle isolé peut être contourné ; il faut donc passer à une défense nouvelle génération.
Les attaques qui passent sont déjà dans le réseau.
Au moment où l'alerte se déclenche, l'intrus a généralement déjà bougé. Les outils centrés endpoint surveillent l'hôte ; c'est le chemin latéral à travers le réseau que suivent réellement les intrusions modernes — et là qu'un modèle ML unique est le plus facile à contourner.
Ces chiffres reflètent des médianes largement rapportées par l'industrie, pas des mesures Ward³ — ils expliquent pourquoi la détection doit être consciente du réseau, en couches, et difficile à contourner. Ce sont les objectifs de conception derrière ANM.
Trois juges. Architecturalement orthogonaux.
Une perturbation adversarielle se transfère surtout entre modèles qui regardent le trafic de la même façon. Ward³ fait travailler trois points de vue vraiment différents.
- Encodeur neuronal bidirectionnel
- Pooling d'attention
- Inférence par fenêtre de flux
- Entraînement adversariel robuste
- Encodeur graphique multi-couches
- Fenêtres glissantes src→dst
- Contexte inter-flux
- Entraînement adversariel robuste
- Invariants conçus à la main
- Paquets · entropie · débit max.
- Immunisé aux attaques par gradient
- Inspectable par construction
Le désaccord compte autant que le score .
Un attaquant discret qui trompe un juge laisse souvent les autres dans un état incohérent. Un méta-consensus calibré les pèse ensemble, et le médiateur fail-close en cas de désaccord et émet XAI_DIVERGENCE_HIGH — un signal qu'un NDR mono-modèle ne peut pas produire. Un juge non-supervisé distinct signale les flux qui ne ressemblent à rien de ce que le déploiement a déjà vu, pour faire remonter les zero-days que les juges entraînés n'ont jamais rencontrés.
Trois juges. Trois temps de réponse. Trois surfaces.
Certaines décisions se prennent en microsecondes au plus près du trafic. D'autres demandent quelques millisecondes côté tenant, ou une corrélation plus large à l'échelle de la plateforme. Réseau et endpoint restent reliés par le même médiateur.
- Juge de règles (Rust pur)
- Cache threat-intel
- Match d'empreinte TLS
- Préprocessing & tagging eBPF
- Enforce endpoint local
- Juge séquentiel
- Juge relationnel
- Juges endpoint processus & fichier
- Médiateur + divergence
- Scoring adversariel robuste
- Enrichissement async (hors hot-path)
- Corrélation endpoint
- Baselines long-horizon
- Reconstruction de kill-chain
- Threat intel fédéré
- IPv4 + IPv6
- Retransmits, variance TTL
- Vecteur runtime par flux
- Débit ligne
- Juge séquentiel
- Juge relationnel
- Juge de règles
- Signatures cryptographiques
- Écart par paires
- Fail-closed si désaccord
- Consensus si alignement
- XAI_DIVERGENCE_HIGH
- Injection NetworkPolicy
- nftables Block/Quarantine
- War mode 4 yeux
- Rate-limit / principal
- Log chaîné par hash
- Signé post-quantique
- Inviolable
- Rejouable
Les deux juges ML sont entraînés contre des attaques par gradient. Le modèle de menace, les hyperparamètres et les runs reproductibles sont documentés.
Les artefacts d'inférence sont signés au build puis vérifiés au chargement. Le registre reste append-only, avec une provenance complète.
Chaque décision — scores par juge, divergence, règles appliquées — peut être rejouée pour comprendre le raisonnement de bout en bout.
+30 à +60 pts de détection sous pression adversarielle.
Les mesures portent sur du trafic exclu de l'entraînement et sur des réseaux hors-distribution : formats de logs, familles d'attaque et botnets IoT jamais vus pendant l'entraînement. La robustesse adversarielle est mesurée sous évasion par gradient.
La latence d'inférence est environ 2× supérieure à un modèle unique, tout en restant sous 10 ms p99 par flux sur matériel standard.
| Métrique | Mono-juge | Ward³ 3-juges | Δ |
|---|---|---|---|
| F1 (clean) | 0,66 | 0,97 | +0,31 |
| AUC-ROC (clean) | 0,89 | 0,998 | +0,108 |
| Détection · PGD ε=0,02 | 23,7 % | 94,1 % | +70,4 pts |
| Détection · transfert | 31,4 % | 89,6 % | +58,2 pts |
| Métrique | Mono-juge | Ward³ 3-juges | Δ |
|---|---|---|---|
| AUC-ROC | 0,71 | 0,87 | +0,16 |
Un taux de faux positifs que vous pouvez chiffrer.
La plupart des outils réduisent les faux positifs de façon empirique — un meilleur modèle, plus de réglages, un plus petit chiffre sur une slide. Ward³ transforme le score brut de chaque juge en une p-value conforme contre une baseline bénigne par tenant. Alertez à p ≤ α et le taux de faux positifs est borné par α, par construction, avec une garantie finite-sample — pas une moyenne mesurée une fois sur le réseau de quelqu'un d'autre.
La calibration est stratifiée par (tenant, juge, version de modèle). Chaque déploiement obtient une borne calée sur son propre normal : un tenant bruyant ne gonfle jamais un tenant calme.
Resserrer ou relâcher le budget change α, pas un run d'entraînement. Le war mode se contente de baisser α pour durcir toute la plateforme d'un seul geste.
Un modèle tout neuf ou une fenêtre de calibration vide donne p = 1 — le juge s'abstient au lieu de deviner. La robustesse doit tenir dès le jour un, pas seulement en régime établi.
« xx % de faux positifs en moins » est une moyenne mesurée sur un benchmark. Une borne conforme est une propriété de la méthode qui tient sur votre trafic — la différence entre un chiffre marketing et une garantie.
Cinq critères pour parler vraiment d'ANM.
Pour mériter le nom ANM, un produit doit remplir les cinq critères. Ward³ sert d'implémentation de référence pour montrer que l'approche tient techniquement, pas seulement sur une slide.
Lire le whitepaper complet- 01Au moins trois juges, architecturalement distincts
Pas trois graines aléatoires. Pas trois tailles de fenêtre. Trois façons différentes de lire le trafic : séquence, graphe, règle.
- 02Détection explicite de divergence
Le désaccord entre juges est mesuré en temps réel et traité comme un signal de sécurité, pas comme une simple incertitude.
- 03Entraînement adversariel des juges ML
Les juges ML sont entraînés contre des attaques par gradient, avec un modèle de menace documenté. Sinon, ils restent trop faciles à tromper seuls.
- 04Intégrité et watermarking des modèles
Chaque modèle est signé, vérifié au chargement et rattaché à une provenance append-only. Sans cette chaîne, la médiation perd sa valeur.
- 05Piste de décision auditable
Scores par juge, divergence, actions appliquées : tout est conservé dans un log inviolable. La robustesse doit pouvoir se prouver.
Une seule plateforme pour EDR, NDR et XDR.
Ward³ réunit ce que ces catégories traitent souvent séparément : endpoint, réseau et corrélation multi-tenant. Même médiateur, même ledger d'audit, même gouvernance.
Pensé pour des SOC déjà équipés et exigeants.
Ward³ parle le langage de vos équipes : eBPF sur le réseau, Kubernetes pour l'enforcement, Prometheus et OpenTelemetry pour l'observabilité, Sigstore pour la chaîne de build.
Capture de flux haut débit sur Linux : IPv4 et IPv6, retransmissions, variance TTL, vecteur runtime par flux. Une sonde mock facilite le dev hors Linux.
Les verdicts deviennent des NetworkPolicies K8s, des sets nftables Linux (Block / Quarantine), ou restent en dry-run selon le mode choisi.
Primitives post-quantiques alignées NIST pour le quorum et le ledger. Secret sharing Shamir, Argon2id, JWT RS256 et mTLS restent intégrés.
Journal d'audit chaîné par hash et signé en post-quantique. Il peut être scellé, rejoué et utilisé pour le forensics, le ré-entraînement ou une revue régulateur.
Les blocages à haut impact exigent l'approbation de deux administrateurs humains. Utile quand les équipes ops doivent prouver qu'elles gardent la main.
Tromperie active : l'attaquant perd du temps sur des leurres instrumentés pendant que le médiateur récupère des labels plus fiables.
Pipeline d'auto-labelisation hors ligne et déclenchement du ré-entraînement. L'amélioration continue avance sans croire aveuglément les verdicts de production.
Métriques Prometheus, dashboards Grafana de référence, tracing OpenTelemetry et attestation Sigstore pour les artefacts.
Le score de chaque juge devient une p-value contre une baseline bénigne par tenant : le taux de faux positifs est borné par construction, pas poursuivi à coups de seuils.
Un juge de reconstruction par tenant mesure à quel point un flux s'écarte du trafic normal du déploiement, faisant remonter les zero-days que les juges supervisés n'ont jamais vus.
Les verdicts en zone grise sont rejoués hors hot-path dans un jumeau scellé — dossiers et validation à 4 yeux — avant tout enforcement à fort impact.
Isolation au niveau ligne par (MSSP, tenant), config et seuils de juges par tenant, et un kill-switch war-mode qui retombe toujours sur la politique la plus stricte.
Défendez avec trois juges.
Ne misez pas tout sur un seul.
Ward³ est disponible comme implémentation de référence d'ANM. Si vous défendez une banque, un opérateur télécom, une infrastructure critique ou un environnement régulé, on peut regarder ensemble où il s'intègre.