Avec Cybertron, un modèle de langage spécialisé en cybersécurité, Trend Micro adopte une démarche qui contraste avec les autres acteurs de la cybersécurité tout en cherchant à pallier les limites des grands modèles généralistes appliqués à la cyber. Trend Micro, mise sur la spécialisation, l’agenticité et la transparence pour renforcer les défenses des entreprises en appui sur Nvidia, un modèle dédié et un dataset inédit, tous deux publiés en open source.
Dans un paysage technologique où l’intelligence artificielle est devenue le mot à la mode, le secteur de la cybersécurité est le théâtre d’une véritable course à l’armement IA. Chaque fournisseur, des géants de la cyber (avec leur plateforme ‘à tout faire’) aux spécialistes de niche, se targue d’intégrer des capacités d’IA pour contrer des menaces de plus en plus sophistiquées et automatisées. Cependant, au-delà du discours marketing, une réalité plus complexe se dessine : l’efficacité des modèles d’IA généralistes, entraînés sur de vastes corpus de données publiques, atteint rapidement ses limites face aux subtilités et à la nature contradictoire de la cyberdéfense.
C’est en partant de cette constatation que Trend Micro a récemment lancé Cybertron, un Large Language Model (LLM) spécifiquement conçu pour la sécurité informatique. Contrairement aux LLM généralistes, Cybertron est optimisé pour répondre précisément aux enjeux complexes de la cybersécurité, exploitant des jeux de données spécialisés et des techniques avancées d’entraînement dédié.
Cybertron, un modèle dédié à la cybersécurité
En réponse directe à ce que l’entreprise identifie comme une « carence de datasets open source » dans le domaine, Trend Micro ne se contente pas de construire une IA plus performante, mais choisit d’en exposer les fondations. Pour l’éditeur, l’IA en cybersécurité ne se jouera pas uniquement sur la puissance de calcul généraliste, mais sur la spécialisation, la transparence et la vérifiabilité des modèles qui protègent les actifs les plus critiques des organisations.
« Trend Cybertron se différencie des modèles généralistes en palliant la pénurie de compétences en cybersécurité grâce à un entraînement spécialisé », explique Udo Schneider, chez Trend Micro.
Derrière le terme Cybertron se cache en réalité un écosystème basé sur trois composantes fondamentales et interdépendantes :
Trend Cybertron (Open Source) : C’est la contribution directe de Trend Micro à la communauté. Il s’agit de grands modèles de langage spécialisés en cybersécurité, « open weight » (poids ouverts), disponibles sur des plateformes comme HuggingFace et dans le catalogue NVIDIA NIM.
Ces modèles, sous licence MIT, existent en deux versions principales : une basée sur « meta-Llama/Llama-3.1-8B-Instruct » avec 8 milliards de paramètres et aisément fine-tunable, et une version plus puissante de 70 milliards de paramètres basée sur « nvidia/Llama-3.1-Nemotron-70B-Instruct », un modèle de Nvidia spécifiquement conçu pour l’IA agentique.
Cette version open source de Trend Cybertron s’adresse principalement aux développeurs, aux chercheurs et aux étudiants en cyber qui souhaitent construire ou expérimenter avec une IA spécialisée en sécurité.
Trend Cybertron for Trend Vision One : Parfois considérée comme la « version mère » de Cybertron, cette version forme le cerveau IA intégré au cœur de la plateforme de cybersécurité unifiée de Trend Micro, Vision One. Cette version commerciale ne se réfère pas à un LLM unique, mais constitue une appellation générique pour l’ensemble des technologies d’IA de l’entreprise, fédérant le Machine Learning (ML), le Deep Learning (DL), les LLM et l’IA agentique. C’est l’orchestrateur qui alimente les capacités de sécurité proactives et réactives de la plateforme, bénéficiant de plus de 35 ans de données de menaces structurées pour offrir une protection transversale. « Intégré aux fonctionnalités de sécurité opérationnelle (SOC) et de gestion de l’exposition aux risques (CREM), Trend Cybertron dope à la fois les capacités proactives et réactives de Trend Vision One » ajoute Udo Schneider.
Primus (Open Dataset) : C’est peut-être l’élément le plus fondamental et le plus disruptif de l’écosystème. Primus est un vaste ensemble de jeux de données open source (sous licence OCD-By) spécifiquement orientés vers la cybersécurité, élaboré et maintenu par Trend Micro. C’est le carburant utilisé pour entraîner et affiner les modèles Cybertron. Il couvre toutes les phases critiques de la formation d’un LLM : pré-entraînement, ajustement fin (fine-tuning) et une technique avancée appelée « distillation des connaissances » (reasoning distillation). En rendant Primus public, Trend Micro fournit à l’ensemble de l’industrie les ressources nécessaires pour créer des IA de cybersécurité plus performantes.
L’IA comme analyste virtuel actif 24/7
L’intégration de Cybertron à Trend Vision One transforme radicalement les capacités de détection et de réponse aux incidents. « On peut considérer Trend Cybertron comme un analyste de sécurité actif en 24/7 », précise Schneider. Le modèle collecte et agrège en continu les données critiques en cas d’incident, réalisant les tâches les plus fastidieuses et chronophages, permettant ainsi aux analystes humains de gagner en efficacité en se concentrant sur les tâches à forte valeur ajoutée telles que l’analyse stratégique, la prise de décision et la formulation de conclusions pertinentes.
Par ses capacités agentiques, Cybertron peut également déclencher des « playbooks » de réponse automatique en cas de menaces précises, augmentant ainsi la réactivité et réduisant les temps de réponse.
Un partenariat stratégique avec Nvidia
Développer un grand modèle de langage performant en laboratoire est déjà en soit un défi considérable. Mais, le déployer de manière fiable, sécurisée et efficace au sein d’un environnement d’entreprise complexe en est un autre, tout aussi ardu. Face à ce défi opérationnel, Trend Micro a annoncé une alliance stratégique avec Nvidia vient résoudre, transformant par la même occasion son Cybertron en une solution d’entreprise robuste. Cybertron intègre le catalogue NVIDIA NIM (NVIDIA Inference Microservices). « Ces modèles sont garantis prêts à être mis en production et optimisés pour fonctionner avec les microservices NVIDIA, sur site ou dans le cloud », indique Udo Schneider. Ce partenariat permet un déploiement plus rapide, en quelques minutes seulement, des nouvelles versions du modèle.
Au-delà de la simple efficacité, le partenariat avec Nvidia inaugure un nouveau paradigme pour la gouvernance de l’IA en entreprise : « l’inférence Zero-Trust ». Ce concept transpose les principes fondamentaux du modèle de sécurité Zero Trust au domaine de l’intelligence artificielle. Dans le modèle traditionnel, une entreprise utilisant un LLM via une API propriétaire est contrainte à une confiance aveugle. Elle doit faire confiance à l’infrastructure de l’hébergeur tiers, au fonctionnement opaque du modèle et à la manière dont ses données sont traitées.
L’approche Cybertron + NIM renverse cette dynamique. L’association d’un modèle open source et de microservices de déploiement flexibles permet aux clients d’héberger leurs modèles où ils le souhaitent : sur site, dans un cloud privé ou public. Plus important encore, elle leur donne les moyens de vérifier. Comme le souligne Udo Schneider, « la confiance n’est plus accordée par défaut mais résulte d’une validation du comportement de l’infrastructure ». Le modèle est vérifiable, les données d’entrainement sont publiques, la méthodologie est documentée.
A termes, Cybertron est destiné à évoluer vers une automatisation complète de la cybersécurité. « Utiliser Trend Cybertron comme clé de voûte d’une solution de sécurité basée sur une IA agentique est précisément l’objectif pour lequel il a été conçu », confirme Udo Schneider. À terme, Trend Micro vise une capacité de mitigation et de réponse autonome des vulnérabilités.
3 Questions à Udo Schneider, Governance, Risk & Compliance Lead, Europe chez Trend Micro
Comment un modèle LLM comme Cybertron change-t-il concrètement la donne, comparé aux modèles plus généralistes ?
Les grands modèles de langage (LLM) généralistes ont certes progressé dans des domaines comme la finance, le réglementaire ou encore la médecine. Mais l’univers de la cybersécurité est à la traîne compte tenu d’une carence de datasets (jeux de données) open source et de ressources documentaires sur le pré-entraînement des LLM. Trend Cybertron répond précisément à cette problématique en proposant Primus, un vaste panel de datasets orientées cybersécurité, qui couvre toutes les phases critiques d’un entraînement : pré-entraînement, ajustement (fine-tuning) à l’aide d’instructions et distillation des connaissances (reasoning distillation), en plus de capacités d’autoréflexion spécifiques à la cybersécurité. L’impact de Primus est majeur : le pré-entrainement donne lieu à une progression de 15,9% du score global de sécurité tandis que la distillation des connaissances contribue à un bond de 15,8% en matière de certification de sécurité (CISSP). Cette stratégie ciblée résulte en un modèle qui surperforme les LLM traditionnels en matière de tâches de cybersécurité, grâce à une optimisation spécifique à ce domaine.
Pourquoi avez-vous choisi une approche open source pour Cybertron ?
L’approche open source est distinctive : elle permet une transparence totale. Nos clients peuvent vérifier le fonctionnement précis du modèle et même l’ajuster selon leurs propres besoins. Notre démarche aide la communauté à renforcer globalement la cybersécurité.
Il ne faut pas perdre de vue que nos principaux concurrents ne sont pas les autres acteurs de cybersécurité, mais bel et bien les cybercriminels et acteurs malveillants. Ainsi, notre engagement à améliorer la cybersécurité se traduit par la promesse de Trend, à savoir rendre le monde sûr pour l’échange des informations numériques. Notre rôle dans la communauté de la cybersécurité va au-delà de la simple vente de produits.
Qu’apporte concrètement votre partenariat avec Nvidia aux responsables IT et sécurité ?
L’association de Trend Cybertron Open Source et des microservices NVIDIA NIM permet aux clients d’héberger leurs modèles où ils le souhaitent (sur site, cloud privé/public) et de valider leur comportement. La confiance n’est plus accordée par défaut mais résulte d’une validation du comportement de l’infrastructure et du modèle. Le modèle est vérifiable car les données d’entraînement (Primus) et la méthodologie sont publiques. Les clients bénéficient ainsi d’une « inférence Zero-Trust » puisqu’ils n’ont plus à faire implicitement confiance à l’infrastructure du fournisseur ni au modèle qui y est déployé. L’ensemble du stack peut être vérifié et validé.
Mais ce partenariat apporte surtout efficacité et réactivité pour les équipes IT. Grâce aux microservices Nvidia NIM, nos modèles sont prêts à être mis en production immédiatement, avec un déploiement accéléré et une réduction significative de la latence opérationnelle.
puis