Ces dernières années, les analystes doivent faire face à des obstacles grandissants dans leur activité. Non seulement les données à investiguer sont hétérogènes, contiennent trop de dimensions, ou sont incomplètes, mais les attaques et attaquants se multiplient, créant une pénurie d'experts du domaine. De nombreux outils visent à soulager leur charge de travail, notamment pendant la réponse à incident, mais ce n'est pas suffisant. Les travaux de la thèse réalisée par Romain Brisse consistent à trouver des méthodes pour faciliter la phase investigative de la réponse à incident. Ils se focalisent notamment sur l'utilisation de systèmes de recommandation proposant des chemins d'exploration dans les journaux d'événements à investiguer. Les contributions de la thèse comportent deux systèmes de recommandation. Le premier, KRAKEN, utilise des connaissances expertes de la communauté cyber, permettant de reconnaître l'attaque observée et de recommander les champs les plus pertinents à explorer. La seconde contribution s'inscrit dans la continuité de la première, car ayant remarqué la difficulté pour un système de recommandation à comprendre l'intention d'un analyste, un deuxième système de recommandation (MIMIR) se base sur une modélisation de ces intentions pendant une investigation afin de recommander la marche à suivre dans la suite de celle-ci. Finalement, s'intéressant aux problématiques d'évaluation et de manque de données cyber, une dernière contribution est faite sous la forme d'un exercice (CERBERE) pendant lequel des données permettant non seulement l'évaluation mais aussi l'amélioration des systèmes de recommandation sont générées et investiguées par les participants.