Anomaly Detection (Détection d’Anomalies)
La détection d’anomalies (anomaly detection) est l’identification automatique de données, comportements ou patterns qui s’écartent significativement de la norme attendue, en utilisant des techniques de machine learning et de deep learning pour repérer les événements rares, inattendus ou potentiellement problématiques.
Une transaction bancaire inhabituelle, un capteur IoT qui dévie de ses valeurs normales, un pic de trafic réseau suspect, un défaut sur une pièce industrielle : autant de signaux qu’un système de détection d’anomalies doit identifier parmi des millions de données normales. En 2026, avec plus de 41 milliards d’appareils IoT connectés et des volumes de données qui explosent, la détection d’anomalies est devenue un pilier de la cybersécurité, de la maintenance prédictive, de la détection de fraude et du contrôle qualité industriel. Les architectures ont évolué des méthodes statistiques classiques vers des autoencoders, des Transformers et des modèles de fondation capables de détecter des anomalies complexes dans des données multivariées et multimodales.
- Définition
- Identification de données ou patterns qui s’écartent significativement du comportement normal
- Types d’anomalies
- Point (valeur isolée), contextuelle (anormale dans un contexte), collective (groupe de données)
- Approches
- Supervisée, semi-supervisée, non supervisée
- Modèles clés
- Autoencoders, Isolation Forest, LSTM, Transformers, GNN, VAE, GAN, modèles de fondation
- Applications
- Cybersécurité, fraude, maintenance prédictive, santé, IoT, industrie, finance
- Datasets référence
- CICIDS2017, NSL-KDD, Yahoo S5, NASA SMAP/MSL, MVTec AD
Types d’anomalies
Anomalies ponctuelles (Point Anomalies)
Une valeur individuelle qui s’écarte fortement de la distribution normale. Exemple : une transaction de 50 000 € sur un compte qui ne dépasse jamais 500 €. C’est le type le plus simple à détecter et le plus courant dans les cas d’usage de fraude et de contrôle qualité.
Anomalies contextuelles (Contextual Anomalies)
Une valeur qui n’est anormale que dans un contexte spécifique. Exemple : une température de 30°C est normale en été mais anormale en janvier dans un datacenter à Paris. La détection nécessite de modéliser le contexte (temporel, spatial, situationnel) en plus de la valeur brute. Les séries temporelles sont le cas d’usage principal.
Anomalies collectives (Collective Anomalies)
Un ensemble de données qui, individuellement, semblent normales, mais dont la combinaison ou la séquence est anormale. Exemple : une séquence de petites transactions bancaires dans des pays différents en quelques minutes (chaque transaction est normale individuellement, mais la séquence est suspecte). C’est le type le plus difficile à détecter, car il nécessite de comprendre les relations entre les données.
Les trois paradigmes d’apprentissage
| Paradigme | Données d’entraînement | Avantages | Inconvénients |
|---|---|---|---|
| Supervisé | Données normales ET anomalies étiquetées | Haute précision si assez d’exemples | Anomalies rares = peu d’exemples, coût d’annotation |
| Semi-supervisé | Uniquement des données normales | Pas besoin d’exemples d’anomalies, détecte les anomalies inconnues | Risque de faux positifs si la « normalité » est mal modélisée |
| Non supervisé | Données mixtes sans étiquettes | Aucune annotation nécessaire | Moins précis, hypothèse que les anomalies sont rares |
En pratique, l’approche semi-supervisée est la plus utilisée. La raison : les anomalies sont par définition rares et variées. Il est souvent impossible de collecter des exemples de toutes les anomalies possibles. En revanche, on dispose généralement de grandes quantités de données « normales ». Le modèle apprend la distribution normale, et tout ce qui s’en écarte significativement est signalé comme anomalie.
Méthodes classiques
Méthodes statistiques
Les approches les plus simples détectent les points qui s’écartent de la distribution statistique des données. Le Z-score identifie les valeurs à plus de N écarts-types de la moyenne. Les tests de Grubbs et les box plots détectent les outliers univariés. Le modèle gaussien multivariée (Mahalanobis distance) gère les corrélations entre variables. Ces méthodes sont rapides, interprétables, mais limitées aux distributions simples et aux anomalies ponctuelles.
Isolation Forest
Algorithme de machine learning non supervisé très populaire. L’intuition : les anomalies sont plus faciles à « isoler » que les données normales. L’algorithme construit un ensemble d’arbres de décision aléatoires. Les anomalies, étant rares et différentes, sont isolées en moins de partitions (profondeur faible dans l’arbre) que les données normales. Isolation Forest est rapide, scalable, et ne nécessite pas de définir la distribution des données. C’est souvent la première méthode testée sur un nouveau problème.
One-Class SVM
Un SVM (Support Vector Machine) entraîné uniquement sur des données normales. Il apprend la frontière de la distribution normale dans un espace de haute dimension. Les données qui tombent en dehors de cette frontière sont classées comme anomalies. Efficace sur des données de faible à moyenne dimension, mais ne passe pas bien à l’échelle sur les très grands volumes.
Approches deep learning
Autoencoders
L’architecture deep learning la plus naturelle pour la détection d’anomalies. Un autoencoder est entraîné à reconstruire ses données d’entrée. Entraîné uniquement sur des données normales, il apprend la distribution normale. Quand on lui présente une anomalie, l’erreur de reconstruction est élevée (l’anomalie ne correspond pas à ce que le modèle a appris), ce qui permet de la détecter.
Les variantes sont nombreuses. Les autoencoders variationnels (VAE) modélisent la distribution latente comme une gaussienne, permettant de quantifier l’incertitude. Les Denoising Autoencoders (DAE) ajoutent du bruit aux données d’entrée et apprennent à reconstruire les données propres, ce qui renforce la robustesse. Les LSTM-Autoencoders combinent autoencoders et LSTM pour les données séquentielles. Un travail de 2025 propose un bi-directional LSTM AE avec mémoire de travail pour capturer les dépendances temporelles longues dans la détection d’anomalies.
GAN (Generative Adversarial Networks)
Les GAN sont utilisés de deux façons en détection d’anomalies. Premièrement, le générateur est entraîné sur des données normales et on mesure la difficulté du discriminateur à distinguer les données réelles des données générées : les anomalies sont plus difficiles à reconstruire par le générateur. Deuxièmement, les GAN génèrent des exemples synthétiques d’anomalies pour enrichir les données d’entraînement (data augmentation), ce qui est particulièrement utile quand les anomalies réelles sont très rares. Un travail de 2026 combine un Adversarial Autoencoder (AAE) avec un Transformer amélioré pour la détection d’anomalies dans les réseaux électriques, atteignant un score FID de 28,4 avec une réduction de mémoire de 52,4 %.
Transformers
Les Transformers révolutionnent la détection d’anomalies sur les séries temporelles multivariées. Leur mécanisme d’attention capture les dépendances à longue portée entre différents capteurs ou variables, ce qui est essentiel pour détecter les anomalies collectives.
TranAD (2022) est un Transformer conçu spécifiquement pour les séries temporelles multivariées. Il utilise un encodeur-décodeur avec attention pour reconstruire les séquences temporelles. GTA combine Transformers et un graphe bidirectionnel pour modéliser les relations entre capteurs IoT, avec une propagation d’influence par convolution de graphe. TimesNet (2023) transforme les séries 1D en tenseurs 2D pour capturer les patterns temporels complexes.
Des travaux récents (2025-2026) appliquent les Transformers à des domaines variés : détection d’anomalies dans la télémétrie satellite (Acta Astronautica, jan. 2026), intrusion réseau sur appareils IoT contraints (Scientific Reports, oct. 2025 et fév. 2026), et détection de fraude énergétique dans les smart grids. Un modèle hybride Transformer-Spiking Neural Network (TASNN, Scientific Reports, fév. 2026) combine la modélisation contextuelle par attention avec une computation par impulsions neuronales à faible consommation d’énergie.
Graph Neural Networks
Quand les données ont une structure relationnelle (réseau de capteurs, graphe de transactions, réseau social), les GNN détectent les anomalies en modélisant les relations entre entités. Un capteur IoT dont le comportement diverge de ses voisins dans le graphe est signalé. Une revue systématique de 2025 recense 23 études utilisant des GNN pour la détection de menaces réseau, implémentant 19 types de modèles GNN différents sur 50 datasets distincts.
Modèles de fondation pour l’anomaly detection
La tendance émergente en 2025-2026 est l’utilisation de modèles de fondation pré-entraînés sur de larges corpus de séries temporelles pour la détection d’anomalies par fine-tuning ou inférence zero-shot. Ces modèles (généralement des Transformers ou des modèles de diffusion) capturent des patterns généralisables entre domaines. Leur avantage : efficacité sur les données limitées et généralisation cross-domain. Leurs limites : coût computationnel élevé, instabilité face aux perturbations d’anomalies, et absence de benchmarks standardisés.
Focus : anomaly detection sur séries temporelles
La détection d’anomalies sur séries temporelles est le cas d’usage le plus étudié et le plus exigeant. Les données sont séquentielles, multivariées (dizaines à centaines de capteurs), et les anomalies peuvent être ponctuelles (un pic), contextuelles (une valeur normale dans un contexte anormal) ou collectives (une dérive progressive).
Les architectures dominantes en 2026 :
| Architecture | Mécanisme | Forces | Limites |
|---|---|---|---|
| LSTM / GRU | Prédiction du prochain point, erreur de prédiction = score d’anomalie | Bon pour les dépendances temporelles | Coûteux en calcul, lent à entraîner |
| Autoencoder (AE) | Reconstruction, erreur de reconstruction = score d’anomalie | Semi-supervisé, capture la structure des données | Sensible au bruit, seuil à calibrer |
| VAE | Reconstruction + modélisation probabiliste de l’espace latent | Quantification d’incertitude, meilleure généralisation | Plus complexe à entraîner |
| Transformer | Attention sur séquences longues, capture relations inter-capteurs | Dépendances longue portée, scalable | Gourmand en données et en mémoire |
| GNN | Modélisation des relations entre capteurs/variables via un graphe | Structure relationnelle, anomalies collectives | Nécessite de définir le graphe |
| Modèles de fondation | Pré-entraînement sur corpus divers, fine-tuning ou zero-shot | Généralisation cross-domain, peu de données | Coûteux, benchmarks non standardisés |
Applications par domaine
Cybersécurité et détection d’intrusions
Les systèmes de détection d’intrusions (IDS) basés sur les anomalies identifient les comportements réseau inhabituels : scans de ports, exfiltration de données, mouvements latéraux, attaques DDoS. Contrairement aux IDS basés sur des signatures (qui ne détectent que les attaques connues), les IDS par anomalie peuvent détecter des attaques inédites (zero-day). Les modèles BERT et DistilBERT fine-tunés pour l’analyse de trafic réseau atteignent des performances élevées sur CICIDS2017. Le dataset CICIDS2017 (5,6 millions d’entrées, 80 features) est le benchmark le plus utilisé.
IoT et maintenance prédictive
Avec plus de 41 milliards d’appareils IoT prévus d’ici 2026, la détection d’anomalies dans les flux de capteurs est critique. Les capteurs de température, vibration, pression dans les machines industrielles génèrent des téraoctets de données. Une dérive subtile peut signaler une défaillance imminente. Les LSTM-Autoencoders sont particulièrement adaptés car ils capturent les patterns temporels normaux de chaque capteur. Les datasets NASA SMAP (Soil Moisture Active Passive) et MSL (Mars Science Laboratory) sont les benchmarks de référence pour la maintenance prédictive aérospatiale.
Finance et détection de fraude
La détection de fraude est un cas d’usage majeur de l’anomaly detection. Les transactions frauduleuses sont par définition des anomalies par rapport aux transactions légitimes. Les défis spécifiques sont le déséquilibre extrême des classes (moins de 0,1 % de fraude) et l’évolution constante des techniques de fraude. Les GNN sont particulièrement efficaces car ils modélisent les réseaux de transactions (qui envoie de l’argent à qui, quand, combien).
Santé
Détection d’anomalies dans les signaux physiologiques (ECG, EEG), dans les dossiers médicaux électroniques (patterns inhabituels de prescriptions), et dans les données d’imagerie médicale. Les GNN et les Transformers sont utilisés pour détecter les anomalies dans les réseaux de données hospitalières. La détection précoce d’arythmies cardiaques par anomaly detection sur ECG peut sauver des vies.
Contrôle qualité industriel
La détection de défauts visuels sur les produits manufacturés utilise la computer vision et les autoencoders. Le dataset MVTec AD est le benchmark de référence pour cette tâche. Le modèle est entraîné sur des images de produits normaux et détecte les défauts (rayures, bosses, décolorations) par erreur de reconstruction élevée.
Réseaux électriques et smart grids
La détection d’anomalies dans les smart grids identifie les fraudes à l’énergie (manipulation de compteurs), les pannes de réseau et les cyberattaques sur l’infrastructure. Les données sont fortement déséquilibrées et les séquences temporelles sont longues. Le modèle hybride Transformer + Adversarial Autoencoder (2026) avec attention LSH et Focal Loss avec température atteint un AUPRC de 0,837 sur le dataset SGSC, avec une réduction de mémoire de 52,4 %.
Défis et limites
Déséquilibre des classes. Les anomalies sont rares par définition (souvent moins de 1 % des données). Les modèles supervisés classiques échouent car ils apprennent à prédire « normal » par défaut. Les solutions incluent le sur-échantillonnage (SMOTE, ADASYN), le sous-échantillonnage, les fonctions de perte pondérées (Focal Loss), et les GAN pour la génération d’anomalies synthétiques.
Évolution des patterns (concept drift). Ce qui est « normal » change avec le temps. Le trafic réseau de 2026 est différent de celui de 2024. Les modèles doivent être mis à jour régulièrement ou conçus pour s’adapter de façon incrémentale. Les modèles de fondation pré-entraînés offrent une meilleure résilience au concept drift grâce à leur généralisation cross-domain.
Faux positifs. En production, un taux de faux positifs élevé rend le système inutilisable : les opérateurs se lassent des fausses alertes et finissent par les ignorer (« alert fatigue »). Le réglage du seuil de détection est un compromis permanent entre sensibilité (détecter toutes les anomalies) et précision (minimiser les fausses alertes). Les métriques comme l’AUPRC (Area Under Precision-Recall Curve) sont plus informatives que l’AUC-ROC pour les données déséquilibrées.
Explicabilité. Quand un modèle signale une anomalie, les opérateurs veulent savoir pourquoi. Un autoencoder qui dit « erreur de reconstruction élevée » n’est pas suffisamment informatif. Les techniques d’explicabilité (SHAP, LIME, attention visualization) et les approches basées sur des knowledge graphs (reinforcement learning sur graphe de connaissances) aident à rendre les décisions interprétables.
Contraintes embarquées. Sur les appareils IoT à ressources limitées (capteurs, microcontrôleurs), les modèles doivent être légers. La quantification, la distillation de modèles, et les architectures hybrides Transformer-Spiking Neural Network (TASNN) offrent des pistes pour réduire la consommation d’énergie tout en maintenant les performances.
Verdict
La détection d’anomalies est l’un des cas d’usage les plus polyvalents et les plus impactants du machine learning. Elle touche tous les secteurs : cybersécurité, finance, industrie, santé, énergie, IoT. Sa particularité est de devoir fonctionner avec très peu d’exemples d’anomalies (voire aucun), ce qui en fait un terrain privilégié pour l’apprentissage non supervisé et semi-supervisé.
En 2026, les autoencoders restent la brique de base la plus fiable, mais les Transformers gagnent rapidement du terrain grâce à leur capacité à capturer les dépendances longues et les relations multi-capteurs. Les modèles de fondation pré-entraînés promettent une détection zero-shot, mais leur déploiement en production reste limité par les coûts et l’absence de benchmarks standardisés.
Pour un développeur, le meilleur point d’entrée est d’implémenter un autoencoder sur un dataset public (NASA SMAP pour les séries temporelles, MVTec AD pour la vision, CICIDS2017 pour le réseau), de mesurer les performances par AUPRC, puis de tester des architectures plus avancées (LSTM-AE, Transformer) pour évaluer le gain marginal sur votre cas d’usage spécifique. La méthode la plus simple qui fonctionne est souvent la meilleure en production.
Questions fréquentes sur la détection d’anomalies
Quelle est la différence entre anomaly detection et outlier detection ?
Les deux termes sont souvent utilisés de façon interchangeable, mais une nuance existe. L’outlier detection est un terme statistique qui désigne l’identification de valeurs aberrantes dans un jeu de données statique. L’anomaly detection est un concept plus large qui inclut la détection de patterns inhabituels dans des données dynamiques (séries temporelles, flux réseau, séquences de transactions). L’anomaly detection intègre le contexte temporel, spatial et relationnel, tandis que l’outlier detection traite généralement chaque point indépendamment.
Pourquoi les autoencoders sont-ils si populaires pour la détection d’anomalies ?
Les autoencoders ont trois propriétés idéales pour cette tâche. Ils sont semi-supervisés : on les entraîne uniquement sur des données normales, sans avoir besoin d’exemples d’anomalies (qui sont rares et variées). Leur métrique de détection est naturelle : l’erreur de reconstruction. Si le modèle ne peut pas bien reconstruire une entrée, c’est qu’elle diffère de ce qu’il a appris comme « normal ». Et ils sont flexibles : on peut les combiner avec des LSTM (pour les séries temporelles), des CNN (pour les images), des GNN (pour les graphes) ou des Transformers (pour les longues séquences). Une étude de 2025 (Artificial Intelligence Review) confirme que les méthodes de reconstruction surpassent les approches par prédiction et par classification dans la majorité des benchmarks.
Comment gérer le déséquilibre des classes en anomaly detection ?
Le déséquilibre est inhérent au problème : les anomalies représentent souvent moins de 1 % des données. Trois familles de solutions existent. Le rééquilibrage des données : SMOTE et ses variantes (ADASYN, Borderline-SMOTE) génèrent des exemples synthétiques de la classe minoritaire, et les GAN créent des anomalies réalistes pour l’augmentation de données. L’adaptation de la fonction de perte : Focal Loss réduit le poids des exemples faciles (normaux) et amplifie celui des exemples difficiles (anomalies). Et l’approche semi-supervisée : entraîner le modèle uniquement sur les données normales et détecter les anomalies par déviation, ce qui contourne entièrement le problème du déséquilibre.
Les Transformers sont-ils meilleurs que les LSTM pour les séries temporelles ?
Pour la détection d’anomalies sur séries temporelles, les Transformers offrent un avantage sur les séquences longues grâce à leur mécanisme d’attention qui capture les dépendances à longue portée sans le goulot d’étranglement de la mémoire récurrente des LSTM. Les Transformers sont aussi plus facilement parallélisables, ce qui accélère l’entraînement. En revanche, les LSTM restent compétitifs sur les séries courtes et les données de faible volume, car les Transformers nécessitent plus de données pour bien performer. Les TCN (Temporal Convolutional Networks) offrent un compromis intéressant : parallélisation comme les Transformers, mais plus légers. En pratique en 2026, les architectures hybrides (LSTM-AE, Transformer-AE) combinent souvent les avantages des deux approches.
Quels datasets utiliser pour débuter en anomaly detection ?
Pour les séries temporelles : NASA SMAP et MSL (données de capteurs aérospatiaux, bien documentés), Yahoo S5 (trafic web synthétique et réel), et les datasets PeMS (trafic routier). Pour la cybersécurité : CICIDS2017 (5,6 millions d’entrées, 80 features, le plus utilisé) et NSL-KDD (version améliorée du classique KDD Cup 1999). Pour la vision industrielle : MVTec AD (images de produits avec défauts annotés, 15 catégories). Pour les données tabulaires : les datasets de détection de fraude de Kaggle (IEEE-CIS Fraud Detection, Credit Card Fraud Detection). Commencez par un dataset bien documenté avec des anomalies étiquetées pour pouvoir évaluer vos modèles.