## Impact du paramètre ε (epsilon) sur la robustesse du modèle

### Rôle du paramètre ε

Le paramètre ε (epsilon) contrôle l’amplitude maximale de la perturbation appliquée aux images lors de la génération d’exemples adversariaux avec l’attaque **FGSM (Fast Gradient Sign Method)**.

Dans FGSM, une perturbation est ajoutée à l’image d’entrée dans la direction du gradient de la fonction de perte par rapport aux pixels :

$$
x_{adv} = x + \varepsilon \cdot \text{sign}(\nabla_x L(x, y))
$$

Un ε faible correspond à une perturbation quasi imperceptible à l’œil humain, tandis qu’un ε plus élevé peut fortement altérer l’image mais augmente l’efficacité de l’attaque adversariale.

---

### Influence de ε sur les modèles entraînés classiquement

Les modèles entraînés uniquement sur des données *clean* se révèlent extrêmement sensibles à la valeur de ε.

- Sur **MNIST** et **Fashion-MNIST**, une augmentation modérée de ε suffit à faire chuter drastiquement la précision adversariale, passant de valeurs élevées à des performances proches de zéro.
- Sur **CIFAR-10**, cette sensibilité est encore plus marquée en raison de la complexité visuelle des images (textures, couleurs, détails fins).

Cette vulnérabilité s’explique par le fait que les modèles standards apprennent des frontières de décision très locales, fortement dépendantes de variations au niveau des pixels, ce qui les rend particulièrement sensibles à de petites perturbations dirigées.

---

### Impact de ε dans le cadre de l’entraînement adversarial

Dans l’entraînement adversarial, ε joue un rôle central dans le compromis entre **robustesse aux attaques** et **performance sur données propres (clean accuracy)**.

- **ε trop faible** : les perturbations générées sont peu informatives, ce qui limite le gain en robustesse.
- **ε modéré** : le modèle apprend des représentations plus stables, avec une amélioration notable de la précision adversariale et une baisse modérée de la précision clean.
- **ε trop élevé** : les exemples adversariaux deviennent trop éloignés des données originales, ce qui dégrade la performance sur données propres et la généralisation.

Dans nos expériences, les valeurs choisies (ε = 0.1 pour **Fashion-MNIST** et ε = 0.03 pour **CIFAR-10**) correspondent à un compromis empirique permettant d’améliorer significativement la robustesse sans perte excessive de précision sur données propres.

---

### Dépendance de ε au dataset

- **Datasets simples (MNIST, Fashion-MNIST)** : les images en niveaux de gris tolèrent des valeurs de ε relativement plus élevées sans altérer la sémantique.
- **Datasets complexes (CIFAR-10)** : les images RGB sont plus sensibles aux perturbations, nécessitant des valeurs de ε plus faibles.

Cela montre que ε ne peut pas être choisi de manière universelle et doit être adapté à la complexité visuelle et aux caractéristiques du dataset.

---

### Limites et perspectives

La robustesse acquise pour une valeur donnée de ε reste spécifique à cette valeur. Un modèle entraîné avec un ε fixe peut rester vulnérable à des attaques utilisant d’autres amplitudes ou des méthodes plus puissantes comme **PGD**.

Des pistes d’amélioration incluent l’utilisation d’un ε variable durant l’entraînement, l’évaluation sur une plage de valeurs de ε et la combinaison avec des attaques multi-étapes.

---

### Conclusion

Le paramètre ε constitue un hyperparamètre clé de l’entraînement adversarial. Il détermine l’intensité des perturbations, influence directement la robustesse du modèle et conditionne le compromis fondamental entre précision sur données propres et résistance aux attaques adversariales.
