Quelle est la différence entre un flux d'IOC et un rapport de cyber-renseignement prêt pour le commandant ?

Un flux d'IOC est un flux lisible par machine d'indicateurs atomiques — adresses IP, noms de domaine, hachages de fichiers, URL — généralement fourni au format STIX 2.1 ou CSV pour l'ingestion par les outils SIEM et de détection des points de terminaison. Un rapport de cyber-renseignement prêt pour le commandant traduit ces indicateurs et les données d'événements sous-jacentes en un récit structuré : quel groupe d'adversaires est probablement responsable, quel semble être leur objectif, quels systèmes ou réseaux sont à risque, et quelle est la réponse recommandée au niveau du commandement. Le public du rapport est un officier commandant ou un membre du personnel J6 qui doit prendre une décision, et non un analyste SOC qui doit bloquer un hachage. Le format, le cadrage de la confiance, la classification TLP et l'action recommandée sont présents dans un rapport prêt pour le commandant et absents d'un flux brut d'IOC.

Comment le risque d'hallucination des LLM affecte-t-il la génération automatisée de rapports CTI militaires ?

L'hallucination est le principal risque dans tout produit CTI généré par LLM. Dans un contexte militaire, une attribution de menace fabriquée ou une chronologie d'incident incorrecte pourrait conduire des décisions de commandement basées sur de fausses informations — une conséquence plus grave que la même erreur dans un SOC commercial. L'atténuation nécessite un ancrage strict aux faits : chaque affirmation dans un rapport généré doit être traçable jusqu'à un enregistrement source spécifique dans les données d'entrée. Les prompts doivent instruire le modèle à citer les ID d'enregistrements source pour chaque affirmation factuelle, et la vérification post-génération doit contrôler chaque ID cité par rapport aux enregistrements d'entrée réels. Les affirmations sans citation vérifiable sont signalées pour examen par l'analyste avant la diffusion. L'architecture de génération augmentée par récupération (RAG) — où le LLM génère du contenu narratif à partir d'un ensemble d'enregistrements sources vérifiés récupérés plutôt qu'à partir de ses poids paramétriques — est l'approche structurelle qui contient le mieux le risque d'hallucination dans les rapports CTI à enjeux élevés.

Quels niveaux de classification TLP sont appropriés pour les rapports automatisés de cyber-renseignement dans une chaîne de commandement ?

La classification TLP doit être définie avant la diffusion, pas après. Pour les rapports CTI automatisés distribués au sein du personnel d'un seul commandement, TLP:GREEN est approprié si les données sources sont entièrement tirées de flux non classifiés et diffusables. Les rapports contenant des renseignements sous licence commerciale ou des évaluations d'attribution sensibles doivent porter la mention TLP:AMBER, limitant la distribution aux destinataires nommés au sein du commandement. Les rapports qui agrègent plusieurs enregistrements sources marqués TLP doivent être classifiés au niveau le plus restrictif présent dans toutes les sources — ce calcul doit être automatisé dans le pipeline, pas laissé à l'auteur du rapport. Le matériel TLP:RED ne doit pas être inclus dans les rapports automatisés ; il nécessite un traitement individuel par un analyste habilité. Les rapports destinés au personnel multinational ou aux partenaires de coalition doivent être conformes aux accords de partage en vigueur — la diffusion automatisée vers des adresses extérieures à ces accords constitue un incident de sécurité à signaler.

Quels formats de données structurées doivent alimenter un pipeline de génération automatisée de rapports CTI militaires ?

Les entrées de la plus haute qualité pour la génération automatisée de rapports sont les bundles STIX 2.1 (objets threat actor, malware, attack pattern, indicator et course of action), les événements MISP avec des tags de la galaxie ATT&CK, et les enregistrements d'événements enrichis portant des scores de confiance, des ID de techniques et des classifications TLP. Pour les mises à jour de profils d'adversaires, un graphe de connaissances des attributs des acteurs de menace — TTPs connus mappés aux ID ATT&CK, secteurs et géographies de ciblage historiques, familles de malwares associées — fournit le contexte structuré dont le LLM a besoin pour générer un récit précis. Les listes brutes d'IOC sans enrichissement produisent des rapports de faible qualité car le modèle n'a pas suffisamment de contexte pour générer des évaluations d'attribution ou d'impact précises. Investir dans le pipeline d'enrichissement en amont du générateur de rapports est plus efficace que l'ingénierie de prompt pour compenser une mauvaise qualité d'entrée.

Comment les rapports CTI automatisés doivent-ils être versionnés et suivis dans la chaîne de commandement ?

Chaque rapport généré doit comporter un ID de rapport unique, un horodatage de génération, une liste des ID d'enregistrements sources utilisés comme entrées, la version ATT&CK référencée, la version du modèle LLM utilisée, et le nom du réviseur humain qui l'a approuvé pour diffusion. Les ID de rapport permettent aux systèmes en aval — systèmes d'information de commandement, outils de suivi des incidents — de référencer des produits de renseignement spécifiques sans ambiguïté. Lorsque les données sources sont mises à jour (la confiance d'attribution d'un acteur de menace change, un indicateur est marqué comme faux positif), tous les rapports générés à partir de ces données sources doivent être signalés pour révision plutôt que de rester silencieusement en circulation. Le contrôle de version des rapports récurrents — briefings quotidiens sur les menaces, profils hebdomadaires d'adversaires — doit être mis en œuvre comme une série de documents avec des relations de remplacement explicites, afin que le personnel de commandement puisse toujours identifier quelle version d'un rapport reflète le tableau actuel du renseignement.

Rapports automatisés de cyber-renseignement pour le commandement

Le problème de renseignement auquel font face les commandements militaires dans le domaine cyber n'est pas un manque de données. C'est un problème de format. Les flux de menaces fournissent des indicateurs bruts — adresses IP, hachages de fichiers, noms de domaine — optimisés pour l'ingestion par les outils de détection, et non pour la prise de décision par les commandants. Lorsqu'un officier J6 doit briefer un officier commandant sur le tableau actuel des cybermenaces, le flux brut d'IOC du SIEM n'est pas le produit qui remonte la chaîne. Quelqu'un doit le traduire. Ce travail de traduction — convertir des indicateurs lisibles par machine en renseignement structuré, attribué et prêt pour le commandement — est actuellement effectué manuellement par des analystes plus rares que les données qu'ils traitent.

La génération automatisée de rapports de cyber-renseignement utilisant des LLM et des données CTI structurées modifie l'économie de cette traduction. Cet article explique à quoi ressemblent les rapports CTI automatisés prêts pour le commandement, quelles entrées structurées sont nécessaires pour les générer de manière fiable, comment construire le pipeline LLM avec les contrôles d'hallucination qu'exige un contexte militaire, et comment diffuser les résultats via les canaux qu'utilise réellement une chaîne de commandement.

L'écart : flux bruts d'IOC versus renseignement prêt pour le commandement

Les flux bruts d'IOC remplissent une fonction spécifique et précieuse : ils alimentent les listes de blocage, pilotent les règles de corrélation SIEM et alimentent les systèmes de détection des points de terminaison. À cette fin, le format est correct — lisible par machine, à volume élevé, structuré pour l'ingestion automatisée. Le problème survient lorsque le même flux est censé répondre aux besoins de renseignement de la couche de commandement. Un commandant ne peut pas agir sur une liste de 2 000 adresses IP. Il doit savoir quel groupe d'adversaires est probablement à l'origine de l'activité, quel est leur objectif, quels systèmes ou réseaux sont à risque, quel est le niveau de confiance de l'attribution, et quelle ligne de conduite est recommandée.

Cette traduction d'indicateur en évaluation nécessite plusieurs étapes d'enrichissement que les flux bruts d'IOC n'effectuent pas : attribution de l'acteur de menace par regroupement de l'infrastructure de campagne, mappage au niveau des techniques vers ATT&CK pour caractériser le comportement de l'adversaire, contexte historique des schémas de ciblage connus de l'adversaire, et évaluation d'impact liée aux systèmes critiques spécifiques du commandement. Rien de tout cela n'est présent dans le flux. Tout cela nécessite du temps d'analyste pour être produit manuellement.

Le problème de ponctualité aggrave le problème de format. Une menace identifiée et classifiée douze heures après l'apparition des indicateurs pertinents peut ne plus être exploitable. Un briefing exécutif remis à l'officier commandant à 0800 couvrant l'activité de menace des 24 heures précédentes est utile. Un briefing remis à 1600 couvrant la même période ne l'est pas. La génération automatisée de rapports résout les deux problèmes simultanément : elle produit des résultats prêts pour le commandement dans un format cohérent, et le fait assez rapidement pour que la ponctualité ne soit plus déterminée par la disponibilité des analystes.

Types de rapports pour la chaîne de commandement

Tous les types de rapports ne servent pas toutes les audiences. Concevoir la taxonomie des rapports avant d'implémenter le pipeline est essentiel — le LLM génère du contenu narratif dans un modèle, et le modèle doit correspondre à son audience. Quatre types de rapports couvrent les besoins pratiques de la plupart des structures de commandement militaires.

Briefing exécutif sur les menaces

Le briefing exécutif sur les menaces est un résumé de deux pages maximum destiné à l'officier commandant et aux cadres supérieurs. Il expose la posture de menace actuelle (élevée, nominale, dégradée), nomme les groupes d'adversaires avec des campagnes actives pertinentes pour la zone d'opérations du commandement, caractérise l'objectif probable de chaque groupe en une ou deux phrases, et liste les trois principales actions recommandées au niveau du commandement. Les niveaux de confiance sont exprimés en langage simple — « évalué avec une haute confiance basée sur trois rapports sources corroborants » — et non comme des probabilités décimales. La classification TLP apparaît dans l'en-tête. Chaque affirmation factuelle est traçable jusqu'à un enregistrement source dans la base de connaissances CTI, mais les citations sources apparaissent en annexe plutôt qu'en ligne, pour préserver la lisibilité au niveau exécutif.

Rapport technique sur les indicateurs

Le rapport technique sur les indicateurs sert le SOC et le personnel J6 qui ont besoin d'agir sur les indicateurs spécifiques sous-jacents au briefing exécutif. Il contient le tableau IOC complet (avec des champs contextuels : famille de malware associée, ID de technique ATT&CK, score de confiance, horodatages de première et dernière observation, classification TLP par indicateur), des conseils de détection mappés à la pile de capteurs déployée par le commandement, et un export de bundle STIX 2.1. Ce type de rapport nécessite une implication minimale du LLM dans le corps — l'essentiel est des données structurées rendues à partir de la base de connaissances CTI. Le LLM contribue le résumé d'introduction, le récit au niveau des techniques pour chaque cluster de techniques ATT&CK présent dans l'ensemble d'indicateurs, et le texte des conseils de détection.

Mise à jour du profil d'adversaire

Le profil d'adversaire est un document persistant, mis à jour lorsque la nouvelle activité de campagne fournit des connaissances incrémentielles sur un groupe d'acteurs de menace suivi. Il décrit la structure organisationnelle connue du groupe, les secteurs et géographies de ciblage primaires, l'arsenal de malwares, les TTPs préférés mappés à ATT&CK, et la chronologie des opérations historiques. Le LLM génère le delta — ce qui a changé depuis la dernière version du profil — en comparant l'ensemble d'enregistrements sources du profil précédent avec le profil actuel et en générant du contenu narratif pour les nouveaux ajouts. Le contrôle de version du document de profil est obligatoire ; chaque mise à jour porte un numéro de version de profil et un journal des modifications résumant ce qui a été ajouté ou révisé.

Chronologie des incidents

Lorsqu'un incident cyber affectant les réseaux du commandement est confirmé ou suspecté, le rapport de chronologie des incidents reconstruit la séquence chronologique des événements à partir de la télémétrie des capteurs disponibles, des correspondances de renseignement sur les menaces et de la corroboration OSINT. Le LLM synthétise une chronologie narrative à partir des enregistrements d'événements classés par horodatage, identifie les séquences de techniques ATT&CK probables (indiquant à quelle phase de la kill chain l'adversaire est parvenu), et produit un tableau structuré d'événements pour examen par le personnel de commandement. La chronologie est le produit le plus directement utile pour un débriefing de commandement post-incident et pour éclairer les mesures défensives.

Pipeline LLM pour la génération de rapports

L'architecture de pipeline qui produit des rapports CTI automatisés fiables pour une audience militaire comporte cinq étapes distinctes. Chaque étape a des exigences d'entrée spécifiques, des contrôles de qualité et des modes de défaillance qui doivent être traités avant que le pipeline opère dans un environnement de commandement.

Étape 1 — Ingestion CTI structurée. Toutes les données sources entrent dans le pipeline dans l'un des deux formats suivants : bundles STIX 2.1 issus d'abonnements à des flux et exports d'événements MISP, ou enregistrements d'événements enrichis produits par le pipeline de classification en amont. Les enregistrements IOC bruts sans mappages de techniques ATT&CK, scores de confiance et classifications TLP sont retenus à l'ingestion et acheminés vers le pipeline d'enrichissement avant la génération de rapports. Le générateur de rapports nécessite des entrées structurées — tenter de générer un récit prêt pour le commandant à partir de listes d'IOC non enrichies produit des résultats de faible qualité qui échouent aux vérifications d'hallucination et nécessitent une correction extensive de la part des analystes.

Étape 2 — Sélection du modèle et assemblage des entrées. Sur la base de la demande de rapport (déclenchée par un calendrier, un événement de seuil ou une demande d'analyste), le pipeline sélectionne le modèle de rapport approprié et assemble l'ensemble d'enregistrements d'entrée. Pour un briefing exécutif, cela signifie récupérer tous les enregistrements de campagnes actives pour la période de rapport en cours, regroupés par acteur de menace, classés par gravité. Pour une mise à jour de profil d'adversaire, cela signifie récupérer l'ensemble d'enregistrements delta — les enregistrements sources ajoutés depuis la dernière version du profil. L'assemblage des entrées est déterministe ; la même demande contre le même ensemble d'enregistrements produit la même entrée assemblée, permettant la reproductibilité et l'audit.

Étape 3 — Génération de récit ancrée par RAG. Le LLM génère du contenu narratif section par section à partir des enregistrements d'entrée assemblés. La génération augmentée par récupération (RAG) est l'architecture requise : le modèle génère du texte ancré dans les enregistrements spécifiques fournis dans le contexte du prompt, et non à partir de ses poids paramétriques. Chaque prompt instruit le modèle à citer l'ID d'enregistrement source pour chaque affirmation factuelle. La sortie est conforme à un schéma JSON strict qui correspond aux sections du modèle de rapport. La validation du schéma s'exécute immédiatement à la réception ; les échecs d'analyse déclenchent une nouvelle tentative automatique avec des instructions correctives avant l'acheminement vers l'examen par l'analyste.

Étape 4 — Détection d'hallucination et vérification de l'ancrage aux faits. Chaque rapport généré passe par une vérification automatisée de l'ancrage aux faits avant d'atteindre un réviseur humain. La vérification confirme que chaque ID d'enregistrement source cité existe dans l'ensemble d'entrées et que l'affirmation générée est sémantiquement cohérente avec le contenu de l'enregistrement cité. La cohérence sémantique est vérifiée à l'aide d'un second appel LLM avec un prompt de jugement binaire — une approche légère qui capture les schémas d'hallucination les plus courants sans nécessiter une correspondance exhaustive des entités. Les affirmations qui échouent à la vérification de cohérence sont signalées en ligne dans le rapport provisoire. Un registre des affirmations connues comme fausses (attributions réfutées, indicateurs faux positifs) est scanné contre chaque rapport ; toute correspondance bloque la diffusion jusqu'à ce que l'analyste résolve le conflit.

Étape 5 — Révision humaine et approbation. Aucun rapport CTI automatisé n'est diffusé sans qu'un réviseur humain l'approuve. L'interface du réviseur présente le rapport provisoire avec tous les indicateurs d'ancrage aux faits mis en évidence, montre les enregistrements sources étayant chaque affirmation signalée, et exige une action d'approbation explicite avant que le rapport entre dans la file de diffusion. L'identité du réviseur, l'horodatage et toutes les corrections apportées sont enregistrés dans le cadre de l'enregistrement de provenance du rapport. Ce n'est pas une formalité bureaucratique — dans un contexte CTI militaire, un rapport automatisé contenant une attribution incorrecte qui oriente une décision de commandement constitue une menace pour la sécurité opérationnelle, pas seulement une erreur de renseignement.

Exigences en matière d'entrées structurées

Le plafond de qualité des rapports CTI automatisés est fixé par la qualité des entrées structurées. Il n'existe pas de stratégie d'ingénierie de prompt qui compense des mappages de techniques ATT&CK manquants, des scores de confiance absents ou des alias d'acteurs de menace non résolus. Les exigences d'entrée suivantes sont le minimum requis pour une génération fiable de rapports.

Les bundles STIX 2.1 doivent contenir des relations d'objets résolues. Un bundle contenant uniquement des objets Indicator sans objets Relationship les reliant aux objets Threat Actor, Malware et Attack Pattern ne fournit pas le contexte d'attribution dont le générateur de rapports a besoin. Les objets Campaign reliant Threat Actor à plusieurs objets Indicator sur une plage de temps sont particulièrement précieux pour la génération de briefings exécutifs, car ils fournissent les preuves structurelles de l'attribution d'activité sans nécessiter que le LLM l'infère.

Les mappages de techniques ATT&CK doivent comporter des scores de confiance par technique. Un mappage de technique sans score de confiance est traité par défaut comme à faible confiance. Le score de confiance est utilisé pour calibrer la force de l'affirmation narrative : un mappage T1071 (Application Layer Protocol) à haute confiance oriente une affirmation spécifique sur la méthode de communication C2 de l'adversaire ; un mappage à faible confiance oriente une affirmation nuancée utilisant un langage tel que « possiblement cohérent avec » plutôt que « utilise ». Cette distinction est opérationnellement significative au niveau du commandement, où un renseignement trop confiant a historiquement conduit à de mauvaises décisions.

Les classifications TLP doivent être présentes sur tous les enregistrements sources avant la génération du rapport. Le pipeline calcule le niveau TLP du rapport comme le maximum sur tous les niveaux TLP des enregistrements sources et l'applique automatiquement. Un enregistrement source sans classification TLP est traité comme TLP:AMBER par défaut — le niveau non bloqué le plus conservateur — jusqu'à ce qu'un analyste attribue une classification explicite. Cette approche par défaut conservatrice empêche le partage accidentel excessif.

Contrôles de qualité : prévention de l'hallucination dans un contexte CTI

La prévention de l'hallucination dans un contexte CTI militaire nécessite davantage que les approches standard de validation des sorties LLM utilisées dans les applications commerciales. Trois contrôles spécifiques sont requis.

Premièrement, les affirmations d'attribution doivent être ancrées dans les preuves réelles de l'infrastructure de campagne, et non dans la connaissance paramétrique du modèle des groupes d'acteurs de menace. Un modèle formé sur des rapports CTI publics en sait beaucoup sur les groupes APT — leurs outils, leurs schémas de ciblage, leurs opérations historiques. Ces connaissances paramétriques ne doivent pas orienter les affirmations d'attribution dans un rapport militaire généré. L'architecture RAG impose ceci : le contexte du prompt contient uniquement les enregistrements spécifiques assemblés pour ce rapport, et le modèle est instruit de faire des affirmations d'attribution uniquement à partir de ce contexte.

Deuxièmement, le langage de confiance doit être calibré sur les scores de confiance des entrées, et non sur les préférences linguistiques du modèle. Les LLM tendent vers l'affirmation confiante dans une prose fluide. Dans un contexte CTI, une section de rapport générée à partir d'enregistrements avec un score de confiance moyen de 0,62 doit utiliser un langage nuancé — « évalué avec une confiance modérée », « cohérent avec mais non confirmé comme » — indépendamment du fait qu'il serait plus fluide d'écrire l'affirmation de manière assertive. L'application de cette règle nécessite des règles de mappage confiance-langage explicites dans le prompt et une vérification post-génération qui scanne la sortie pour un langage d'affirmation à haute confiance associé à des enregistrements d'entrée à faible confiance.

Troisièmement, le contrôle de version des rapports récurrents est un mécanisme de contrôle de qualité, pas seulement une commodité opérationnelle. Lorsqu'une nouvelle version d'un profil d'adversaire est générée, la comparer à la version précédente et présenter le delta au réviseur humain facilite considérablement la détection des hallucinations. Un réviseur qui voit que le nouveau profil affirme une capacité qui n'était pas attribuée au groupe dans la version précédente sait immédiatement qu'il doit vérifier les enregistrements sources étayant cette affirmation. Sans comparaison de versions, les erreurs nouvellement introduites sont invisibles dans l'arrière-plan du rapport complet.

Pour approfondir la manière dont les plateformes CTI structurent les données sur les menaces pour les produits de renseignement au niveau du commandement, consultez notre guide sur l'architecture des plateformes CTI de qualité défense.

Diffusion : faire correspondre le canal au type de rapport

Les rapports automatisés n'ont de valeur que s'ils atteignent la bonne audience via le bon canal avec des contrôles d'accès appropriés. Les environnements de commandement militaires ont des exigences de diffusion spécifiques que les plateformes CTI commerciales ne traitent pas.

XMPP et push en temps réel

Pour les briefings exécutifs sensibles au temps et les notifications d'incidents à haute gravité, le push XMPP délivre un court message d'alerte — posture de menace, groupe d'adversaires, action recommandée et lien de récupération sécurisé — au personnel de commandement dans les secondes suivant l'approbation du rapport. XMPP est le protocole préféré pour les communications de commandement tactiques dans de nombreux environnements de défense en raison de son architecture fédérée et de la mise en file d'attente des messages hors ligne. Le rapport complet est accessible via le lien de récupération ; le message XMPP est la notification, pas le rapport lui-même.

Push MISP pour la diffusion technique

Les rapports techniques sur les indicateurs sont poussés directement vers l'instance MISP du commandement sous forme d'événements structurés avec des tags de la galaxie ATT&CK, des marquages TLP et des objets STIX associés. Les règles de corrélation SIEM en aval et les outils de détection des points de terminaison s'abonnent au flux d'événements MISP et ingèrent automatiquement les nouveaux indicateurs sans nécessiter d'intervention de l'analyste pour chaque rapport. Les contrôles de distribution de MISP appliquent les restrictions TLP au niveau du groupe de partage, garantissant que les indicateurs marqués TLP:AMBER n'atteignent pas les serveurs non autorisés dans la fédération.

PDF et DOCX pour la chaîne de commandement

Les briefings exécutifs et les profils d'adversaires sont rendus en PDF pour une diffusion formelle via les systèmes de gestion de documents de commandement. La sortie PDF inclut les métadonnées de provenance du rapport — ID du rapport, horodatage de génération, version ATT&CK référencée, identité du réviseur, classification TLP — dans un en-tête standardisé. La sortie DOCX est fournie pour les rapports qui seront annotés et transférés par le personnel de commandement. Les deux formats sont générés à partir du même enregistrement JSON source, garantissant que les versions structurées et lisibles par l'humain restent synchronisées. Les modèles de formatage imposent une mise en page cohérente pour tous les types de rapports afin que le personnel de commandement se familiarise avec la structure du document plutôt que de devoir se réorienter à chaque fois.

Pour le contexte sur la façon dont les pipelines de surveillance OSINT alimentent les données CTI structurées dans les produits de renseignement au niveau du commandement, consultez notre guide sur l'architecture de surveillance OSINT des menaces de qualité défense.

Corvus.Sense : briefings structurés de renseignement sur les menaces issus de la surveillance OSINT

Le pipeline décrit dans cet article nécessite une source continue de données CTI structurées et enrichies comme entrée en amont. Les canaux Telegram, les plateformes de messagerie ouvertes et les sources OSINT figurent parmi les entrées à signal le plus élevé pour la surveillance de l'activité des adversaires dans les environnements de conflit actuels — mais ils fournissent un contenu non structuré qui nécessite une classification et un enrichissement automatisés avant de pouvoir alimenter la génération de rapports.

Corvus.Sense fournit cette couche en amont : surveillance continue des canaux Telegram et des sources OSINT, classification automatisée basée sur LLM du contenu des menaces, mappage des techniques ATT&CK avec scores de confiance, classification TLP, et enregistrements de renseignement structurés exportables en STIX. Le résultat est l'entrée CTI structurée que le pipeline de génération de rapports nécessite — enregistrements d'acteurs de menace, chronologies de techniques, ensembles d'indicateurs et données de profils d'adversaires assemblés à partir de sources ouvertes surveillées en quasi-temps réel.

Corvus.Sense surveille en continu les canaux Telegram et les sources OSINT, classe le contenu des menaces selon MITRE ATT&CK, et produit les enregistrements de renseignement structurés que les briefings de commandement automatisés requièrent — afin que vos analystes consacrent leur temps à réviser les rapports, et non à construire les données qui les alimentent.

Découvrir Corvus.Sense →

Rapports automatisés de cyber-renseignement pour le commandement militaire