Maîtrise des données, indépendance technologique, autonomie stratégique : trois dimensions pour évaluer la souveraineté numérique.

En septembre 2025, Bechtle avait annoncé développer une méthodologie ainsi structurée. Il entendait la mettre en œuvre dans le cadre de son activité de conseil, à l’appui d’un « logiciel propriétaire ». Il était question d’un déploiement au premier trimestre 2026.

La semaine dernière, le distributeur informatique a donné des nouvelles de cet « index de souveraineté » : le voilà en pilote dans trois pays (Allemagne, Autriche, Suisse). Pour ce qui est du contenu, il n’en dit mot.

SUSE, au contraire, a joué l’ouverture. Il a publié, fin janvier, un outil d’autoévaluation aligné sur le Cloud Sovereignty Framework. Ce document, édité à l’initiative de la Commission européenne, doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Il formule 8 objectifs et liste les enjeux qui les sous-tendent. Pour chaque objectif, on détermine un niveau d’assurance, sur 5 échelons. En complément, on calcule un « score de souveraineté », avec une pondération par objectif.

L’examen de souveraineté, version SUSE

SUSE reprend la structure du Cloud Sovereignty Framework et en tire 32 questions. Nous en reprenons ici les grandes lignes, en conservant tant que possible la formulation qui en est faite.

Objectif	Points évalués
Souveraineté stratégique	– Autorité décisionnaire ultime localisée dans l’UE – Protections en cas de passage d’un fournisseur sous contrôle non européen – Transparence des fournisseurs sur les investissements dans l’UE et la feuille de route associée – Capacité à poursuivre l’exploitation si une entité étrangère exige la suspension d’un service
Souveraineté juridique	– Support opérationnel par du personnel localisé dans l’UE et dont le contrat est soumis à une juridiction de l’UE – Exposition des fournisseurs à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Existence de canaux juridiques ou techniques permettant à des autorités hors UE d’accéder à des données – Contrats désignant explicitement un tribunal de l’UE comme juridiction exclusive
Souveraineté data/IA	– Capacité à vérifier indépendamment qu’on contrôle seul les clés de chiffrement – Stockages et traitements localisés dans l’UE – Visibilité sur les accès aux données et aux métadonnées – Modèles IA et pipelines data développés, entraînés et exploités par des entités de l’UE, sur de l’infrastructure localisée dans l’UE
Souveraineté opérationnelle	– Capacité à migrer ses workloads vers des solutions européennes alternatives sans lock-in – Accès au code source et à la documentation – Capacité à gérer et à patcher la stack sans implication de fournisseurs hors UE – Garanties contractuelles de support sous juridiction UE et basé sur place
Souveraineté de la supply chain	– Capacité à obtenir un SBOM complet de l’environnement cloud – Degré de dépendance à des technos propriétaires non européennes sur les « chemins critiques » – Capacité à vérifier à quelle(s) juridiction(s) sont soumis firmware et code embarqué – Activités de développement, packaging et distribution de logiciels placées sous juridiction UE – Droit contractuel d’effectuer des audits indépendants de la supply chain, dont sous-traitants ultérieurs
Souveraineté technologique	– Cœur logiciel open source avec droits d’audit, modification et redistribution – Utilisation d’API non propriétaires et de standards à gouvernance publique (SUSE cite CNCF et OCI) – Visibilité sur l’architecture, les flux de données et les dépendances – Contribution active des fournisseurs à la gouvernance de communautés open source
Souveraineté en sécurité/conformité	– SOC et équipes de réponse aux incidents opérant sous juridiction UE – Détention de certifications de sécurité par les fournisseurs – Capacités, pour des entités de l’UE, à effectuer des audits de sécurité indépendants – Capacité à appliquer des correctifs de sécurité indépendamment des calendriers de fournisseurs hors UE
Soutenabilité environnementale	– Publication de cibles environnementales (PUE, carbone, eau) par les fournisseurs – Pratiques d’économie circulaire – Optimisation énergétique de la pile logicielle

L’utilisateur est censé estimer son niveau d’assurance en suivant les 5 échelons du Cloud Sovereignty Framework. Ceux-ci sont évidemment contextualisés pour chaque question. Cela donne par exemple, pour la toute première (localisation des prises de décisions) :

Niveau 0	Toutes les décisions opérationnelles (réponse aux incidents, changements d’architecture, gestion des données, provisionnement d’infra) sont prises par du personnel localisé hors de l’UE.
Niveau 1	Les opérations du quotidien sont gérées par du personnel basé dans l’UE. Mais les escalades et les décisions stratégiques nécessitent l’accord de personnes localisées hors de l’UE.
Niveau 2	L’autorité opérationnelle appartient à une filiale basée dans l’UE et des protections contractuelles sont en place. Mais la maison mère garde un droit de veto sur les décisions majeures.
Niveau 3	Il existe une entité basée dans l’UE et autonome pour prendre des décisions sur la plupart des opérations. Des entités hors UE s’implique, mais sont limitées à un rôle de conseil ou à une représentation minoritaire au conseil d’administration.
Niveau 4	Toute l’autorité décisionnelle (C-level, board, opérationnel) est dans les mains de personnel basé dans l’UE, avec une gouvernance établie sur place.

Chez Red Hat, une structure plus éloignée du Cloud Sovereignty Framework…

Red Hat a également son service d’autoévaluation, qu’il a mis en ligne mi-février, sur la base des travaux d’un de ses ingénieurs.

Moins « flexible » que celui de SUSE (on ne peut pas sauter des questions pour y revenir ensuite), cet outil est aussi structuré différemment. En l’occurrence, en 7 domaines. Avec, pour chacun, 3 questions, auxquelles on doit répondre « oui », « non » ou « je ne sais pas ». Il en résulte, en plus du score global, un niveau de maturité pour chaque domaine, sur 4 échelons dépendant du nombre de « oui ». En voici les grandes lignes :

Objectifs	Points évalués
Souveraineté des données	– Respect des exigences locales et sectorielles en matière de résidence des données – Contrôle exclusif des clés de chiffrement – Capacité à empêcher que les données sensibles traversent des limites géographiques spécifiques
Souveraineté technique	– Capacité à atténuer les risques de lock-in – Priorisation des standards open source par rapport aux API propriétaires – Capacité à migrer les applications critiques vers d’autres clouds
Souveraineté opérationnelle	– Capacité à poursuivre l’exploitation des systèmes critiques en cas d’indisponibilité de services cloud externes – Expertise interne pour gérer l’infrastructure souveraine – Intégration de l’aspect géopolitiques dans les stratégies de récupération après sinistre
« Assurance » de souveraineté	– Capacité à vérifier indépendamment la sécurité, l’intégrité et la fiabilité des systèmes, données et infras – Contrôle du lieu de stockage des journaux de sécurité et des pistes d’audit – Connaissance des standards de souveraineté applicables au niveau national
Open source	– Politique formelle favorisant les logiciels open source – Capacité à maintenir des logiciels indépendamment d’un fournisseur tiers – Contribution active à des projets open source importants pour l’activité de l’entreprise
Supervision exécutive	– Sponsoring exécutif ou comité de pilotage pour les initiatives de souveraineté numérique – Intégration explicite de la souveraineté numérique dans la stratégie corporate ou IT – Budget dédié aux initiatives de souveraineté
Services managés	– Capacité à restreindre les déploiements cloud à des régions ou datacenters spécifiques – Contrôle et suivi des accès administratifs des cloud providers – Test ou validation de la capacité à migrer des workloads vers d’autres clouds

… mais un outil « spécial UE » en toile de fond

L’ingénieur à l’origine de l’outil de Red Hat en a aussi développé un « spécial UE ». Il s’inspire assez nettement du Cloud Sovereignty Framework, en reprenant ses 8 objectifs… mais en les déclinant assez différemment de ce qu’a fait SUSE. En voici le récapitulatif. Les éléments spécifiques sont grands caractères. Les ajouts significatifs, en gras.

Objectif	Points évalués
Souveraineté stratégique	– Fournisseurs établis dans l’UE et siège social localisé sur place – Protections en cas de passage d’un fournisseur sous contrôle non européen – Fournisseurs financés principalement par des investisseurs ou des institutions basés dans l’UE
Souveraineté juridique	– Contrat placé explicitement sous juridiction UE – Fournisseurs non soumis à des lois étrangères à portée extraterritoriale pouvant entraîner la divulgation de données – Désignation explicite de lieux dans l’UE pour la résolution des litiges
Souveraineté data/IA	– Contrôle exclusif sur les clés de chiffrement – Stockages et traitements dans l’UE – Garanties contractuelles interdisant l’utilisation sans consentement des données et des modèles d’IA à des fins d’entraînement ou de profilage
Souveraineté opérationnelle	– Documentation et test de stratégies de migration – Capacité à opérer et restaurer des systèmes critiques sans dépendre de tierces parties hors UE – Équipes administratives et de support technique localisées dans l’UE
Souveraineté de la supply chain	– Visibilité sur la supply chain des composants critiques – Composants logiciels critiques essentiellement sourcés de fournisseurs européens ou open source – Stratégie de diversification des fournisseurs
Souveraineté technologique	– Usage de standards ouverts et de technologies interopérables – Capacité à migrer les workloads critiques sans modification significative – Exploitation de technologies open source et contribution à des projets soutenus par l’UE
Souveraineté en sécurité/conformité	– SOC localisé(s) exclusivement dans l’UE – Droit contractuel d’effectuer des audits et des évaluations de sécurité inopinés du fournisseur – Stockage des journaux de sécurité, des pistes d’audit et des preuves de conformité sous juridiction UE
Soutenabilité environnementale	– Fournisseurs utilisant des énergies issues de sources renouvelables basées dans l’UE – Évaluation de l’impact environnemental des services cloud et stratégie de réduction carbone – Alignement sur les réglementations environnementales et les cadres de développement durable de l’UE

Illustration générée par IA

The post Souveraineté numérique : les outils d’évaluation pleuvent appeared first on Silicon.fr.

En matière d’IA agentique, la com de NVIDIA est métronomique.

Ce 16 mars, jour d’ouverture de la GTC, quantité de clients ont repris, à la vigule près, la description que l’entreprise fait de son service NemoClaw. En l’occurrence, « une pile open source qui simplifie l’exécution d’assistants OpenClaw, de façon sûre, en une seule commande. »

Atlassian, Box, Cohesity, Dassault Systèmes, Red Hat et Siemens font partie de ces clients. Ils ont repris une autre partie de la description de NemoClaw : « Composante de NVIDIA Agent Toolkit, il installe le runtime OpenShell – un environnement sécurisé pour exécuter des agents autonomes – et des modèles open source comme NVIDIA Nemotron. »

On connaîssait déjà les modèles ouverts Nemotron. OpenShell est plus récent. Publié début mars, il isole l’exécution des agents et y greffe un moteur de politiques YAML ainsi qu’un système de routage qui conserve les données sensibles dans la sandbox. Toutes ces briques fonctionnent comme un cluster K3s à l’intérieur d’un conteneur Docker.

Agent Toolkit, lui, est tout neuf. Il ne s’agit pas d’un produit, mais d’une marque. Une ombrelle pour des services jusque-là regroupés sous différentes bannières telles que la suite logicielle NeMo.

NVIDIA présente ainsi Agent Toolkit comme une « plate-forme ouverte de développement d’agents ». Outre OpenShell et les modèles Nemotron, il y met en lumière son blueprint AI-Q (recherche d’entreprise, illustré ci-dessous) et son moteur d’optimisation cuOpt.

Siemens, Cadence, Synopsys… Tendance agentique dans la CAO électronique

Atlassian (Jira, Confluence) compte exploiter NemoClaw pour donner un prolongement agentique à sa technologie de recherche sémantique. Box l’envisage aussi, en alternative à MCP pour permettre aux agents de récupérer du contexte « sur l’interface la plus appropriée » entre son CLI, ses skills et son système de fichiers.

Dassault Systèmes travaille également sur OpenClaw, notamment dans le cadre de l’émergence, sur 3DEXPERIENCE, d’assistants virtuels fondés sur des world models. Chez Siemens, on s’y intéresse pour automatiser l’EDA (conception électronique assistée par ordinateur). À commencer par l’ingénierie front-end, mais il se projette aussi sur la phase d’implémentation physique.

D’autres fournisseurs communiquent des ambitions dans l’EDA. Synopsys en est. Idem pour Cadence, lequel entend s’appuyer sur Agent Toolkit pour renforcer son ChipStack AI Super Agent. Dit « en production chez beaucoup de leaders de l’industrie » (on sait qu’Altera, Qualcomm et NVIDIA, entre autres, l’ont testé), ce système cible la phase d’ingénierie de base. Un des objectifs est de l’ouvrir à la conception analogique.

OpenShell, un appel d’air pour les acteurs de la cyber

Des annonces, il y en a aussi dans la sécurité informatique. Cohesity, par exemple, veut exploiter OpenShell pour automatiser le scan des snapshots. L’idée est avant tout de confier à la machine l’examen des rapports sur les menaces ; puis le tri et les corrélations, pour en arriver à des suggestions de remédiation. Dans cette perspective, OpenShell permettrait de cadrer les accès des agents aux endpoints de threat intelligence et aux API de Cohesity. Il pourrait aussi recommander les permissions adéquates en combinant les caractéristiques des données et les patterns d’accès des agents. En parallèle, Cohesity explore l’agentique pour le prototypage de connecteurs.

Cisco et CrowdStrike se positionnent en complément aux garde-fous qu’OpenShell apporte au niveau de l’infrastructure. Le premier promet, sous sa marque AI Defense, le contrôle de l’usage de skills et d’outils par les agents. Le second pousse ses solutions Falcon – EDR, IAM et AIDR, essentiellement – dans OpenShell à travers un blueprint.

En marge de la GTC, Salesforce aussi parle d’architectures de référence. Pas d’OpenShell ni de NemoClaw dans son discours, mais les modèles Nemotron. Et plus précisément leur combinaison avec Agentforce (couche de raisonnement), Data 360 (couche de contexte), Slack (couche collaborative) et Slackbot (couche de coordination entre agents).

Adobe mentionne à la fois OpenShell et Nemotron. Ils alimenteront des « boucles agentiques hybrides » à la fois sur la créa et sur le marketing. L’entreprise, qui prépare le départ prochain de son patron, souhaite aussi évaluer Agent Toolkit pour sa CDP.

Chez ServiceNow, Agent Toolkit – dont AI-Q – alimente les « spécialistes IA » déployés dans le cadre de l’offre Autonomous Workforce. Le premier, lancé fin février, assure le service desk niveau 1.

Illustration principale générée par IA

The post D’OpenShell à NanoClaw, un NVIDIA tentaculaire sur l’agentique appeared first on Silicon.fr.

Un collège utilisateurs avec le CESIN, le CIGREF et le GITSIS ; un industriel avec l’ACN et Hexatrust ; un étatique avec l’ANSSI, la DGA et la DGE : depuis ses origines, France Cybersecurity a gardé la même structure de gouvernance.

Le label, né dans le cadre du programme de la Nouvelle France industrielle, a aussi gardé le même objectif. En l’occurrence, promouvoir l’offre française de produits et de services de cybersécurité à l’export.

Les premiers lauréats avaient été annoncés en janvier 2015, au FIC. Il y en avait 18, pour 25 solutions labellisées. Atos était sur la liste, pour son smartphone Hoox et son HSM TrustWay Proteccio. Thales aussi, pour ses offres Teopad (gestion des terminaux mobiles), ELIPS (diode réseau) et MISTRAL (chiffrement). Ainsi qu’Orange Cyberdefense, pour ses services de conseil.

Arkoon et Netasq, alors tous deux filiales d’Airbus Defence and Space, étaient également lauréats. Ils fusionneraient un an plus tard pour donner Stormshield.
Ercom, distingué pour sa solution Cyrptosmart, passerait quant à lui dans le giron de Thales en 2019. Amossys, labellisée pour ses prestations d’audit et de conseil, serait acquis par le groupe Almond en 2023. DenyAll deviendrait pour sa part Rohde & Schwarz Cybersecurity en 2018, puis UBIKA en 2022.

Une garantie d’origine contrôlée plus qu’un visa de sécurité

L’ANSSI, la DGA et la DGE ont chacune un représentant au collège étatique de France Cybersecurity. Même système pour le CESIN, le CIGREF et le GITSIS au collège utilisateurs. Au collège des industriels, l’ACN et Hexatrust ont chacun deux sièges.

Cette structure définit l’évolution des critères pour l’attribution, effectuée par une commission où siègent deux représentants de chaque collège. Les délibérations s’appuient notamment sur le rapport d’un « tiers instructeur », ainsi que sur « des certifications existantes » et « des retours d’utilisateurs ». Le label ne s’apparente donc pas à un visa de sécurité.

Au-delà des éventuelles exigences spécifiques à des catégories de produits ou de services, il y a quatre grands critères :

• Produits et services fournis et/ou délivrés par une entreprise française
• Produits conçus et développés en France
• Services fournis de France et hébergés en France le cas échéant
• Produits et services commercialisés et qui ont des clients identifiables

Les éléments à renseigner dans le dossier de candidature s’en ressentent. Fournisseurs, éditeurs et prestataires de services sont par exemple invités à lister leurs principaux actionnaires et leurs parts, leur traitement de données clients et employés, ainsi que le(s) droit(s) applicables aux contrats de travail.

De même, pour les produits, est demandée la localisation principale de la R&D, de la production et du support. Pour les services managés, celle du stockage comme des équipes de management, de build et d’exploitation. Pour le conseil, celle du principal centre d’expertise, des moyens matériels, des équipes de mission et du knowledge management.

6cure, Cyberwatch, Olfeo et Pradeo, « vétérans » du label France Cybersecurity

Le label est valable un an. Il en coûte 2500 € HT pour l’obtenir (1250 € pour les PME). Et 1500 pour le renouveler s’il est en cours de validité (750 € pour les PME). L’officialisation des lauréats se fait traditionnellement au Forum INCYBER (ex-FIC).

Pour la « promo 2026 », il fallait postuler avant le 30 octobre 2025 (ou le 1^er décembre pour les renouvellements).
Renouvellements compris, 85 entreprises sont détentrices du label, pour 91 solutions. Un volume stable depuis quelques années.

Des lauréats de janvier 2015, il n’en reste aucun. Demeurent toutefois quelques « anciens », tels Olfeo et Pradeo, distingués pour la première fois en octobre 2015, à l’heure où France Cybersecurity effectuait encore deux labellisations par an. Autres « vétérans » : 6cure et Cyberwatch, respectivement lauréats en janvier et juin 2016.

Oodrive, lauréat pendant plusieurs années, n’est pas de la « promo 2026 ». Il fait partie des fournisseurs qui ont régulièrement revendiqué le label dans leurs communications à la presse. Comme, entre autres, Tixeo, Olfeo et Docaposte, tous trois bien présents sur la liste 2026. Docaposte y figure comme l’an dernier pour son Pack Cyber ; elle avait été lauréate en 2021 pour une autre offre : L’Identité Numérique.

Un pendant européen… en mode autodéclaratif

Aux commandes de France Cybersecurity, l’ACN (Alliance pour la confiance numérique, organisation professionnelle née en 2013) décerne un autre label : Cybersecurity Made in Europe. Elle en est chargée en tant que membre fondateur de l’association ESCO (European Cyber Security Organisation).

Au contraire de France Cybersecurity, la démarche est essentiellement autodéclarative. Moyennant contribution financière*, le label peut être obtenu en répondant à des critères sur deux axes. D’une part, l’origine européenne (entre autres, plus de 50 % du capital sous contrôle européen et au moins 50 % des effectifs et de la R&D sur place). De l’autre, des exigences cyber de base : security by design, moindre privilège, authentification forte, sécurité de la supply chain, etc.

Il ne s’agit donc pas de mesurer la qualité des produits et des services, au contraire de ce que garantit, dans une certaine mesure, France Cybersecurity.

* Candidatures évaluées tout au long de l’année. Coût public : 1500 € HT. Les associations émettrices sont libres de pratiquer un prix préférentiel pour leurs membres. L’ACN l’a fixé à 750 € HT par an.

Illustration générée par IA

The post France Cybersecurity officialise sa promo 2026 : qu’est-ce que ce label ? appeared first on Silicon.fr.

Réglage du moteur de recherche par défaut, certification des boutiques d’applications tierces, sideloading… En matière de conformité DMA, Android est une surface encore sujette à pas mal de travaux.

La version publique du dernier « rapport de transparence » de Google donne une idée des chantiers en cours.

Vers davantage d’options pour le moteur de recherche par défaut

Un de ces chantiers vise à mieux s’aligner sur l’article 6(3). Celui-ci impose, dans les grandes lignes, de permettre aux utilisateurs finaux de modifier les paramètres de l’OS, de l’assistant virtuel et du navigateur Internet.

Google prévoit d’intégrer, au niveau du paramétrage des applications par défaut, une option pour modifier le moteur de recherche. Le choix se propagera aux widgets sur l’écran d’accueil. En parallèle, les moteurs de recherche auront de quoi demander à l’utilisateur de les définir comme application par défaut.

Autre élément à venir : une mise à jour du parcours utilisateur permettant de modifier l’assistant par défaut. Au menu, un écran pour changer, un autre pour ajuster les permissions… et une « formulation plus claire » des infos relativesà la vie privée.

De la matière issue du procès Epic

L’article 6(4) impose de permettre l’installation d’applications tierces ou de magasins d’applications tierces.

Sur ce volet, Google envisage un programme de certification des marketplaces, moyennant « des frais raisonnables » pour leurs éditeurs. Il affirme ne pas avoir encore finalisé les détails d’implémentation.

Autre piste : implémenter des modifications sur le sideloading. En l’occurrence, celles sur lesquelles Google s’est engagé aux États-Unis dans le cadre de son litige avec Epic Games. Elles réduisent le nombre d’écrans nécessaires pour autoriser une application à en charger une autre. Les détails sont là aussi à finaliser.

Des « résumés par IA » pour répondre au DMA

Dans les cartons, il y a également un service développé avec Apple pour faciliter le basculement d’iOS vers Android et vice versa. Il est en bêta depuis décembre 2025. En toile de fond, l’article 6(9) du DMA, qui impose la portabilité des données.

Pour y répondre, Google a deux options : le service Takeout et l’API Data Portability. Cette dernière a été enrichie en 2025 avec, en particulier :

• Intégration des données des appareils Pixel et Nest
• Possibilité, pour les utilisateurs, d’accorder à des tiers un accès à durée déterminée (30 ou 180 jours)
• Possibilité, pour les développeurs, de filtrer les exportations par plages de dates

L’article 6(10) impose de fournir aux entreprises un accès aux données générées dans le cadre de leur utilisation des services soumis au DMA. En 2025, Google y a ajouté, entre autres, le nombre d’ouvertures et de réouvertures des Shorts sur YouTube (sans exigence de durée minimale de lecture). En parallèle, il a intégré divers « résumés par IA » dans les consoles de certains produits. Par exemple Google Play.

Des abonnements aux téléchargements, le programme External Offers s’étend doucement

Google Play continue aussi à évoluer pour répondre aux exigences de l’article 5(4). Lequel impose notamment de permettre aux entreprises utilisatrices de conclure des contrats hors des plates-formes soumises au DMA.

La réponse de Google s’appelle External Offers. Ce programme s’adresse aux développeurs qui proposent des applications aux utilisateurs situés dans l’Espace économique européen (UE + Islande, Liechtenstein et Norvège). En y adhérant, ils sont censés pouvoir afficher des liens vers des offres contractualisables sur leurs propres sites web. En août 2025, le mécanisme fut mis en place pour l’achat d’abonnements et de contenus numériques intégrés. Il l’a été en décembre 2025 pour le téléchargement d’applications.

Consentement : des engagements en Italie portés à l’échelle de l’UE

En 2025, Google a avancé sur la mise en conformité avec un autre article du DMA : le 6(12). Celui-ci lui impose de fournir des conditions générales d’accès équitables aux entreprises utilisatrices de son moteur de recherche et de sa boutique d’applications. Cela doit inclure la mise en place d’un mécanisme de règlement extrajudiciaire des litiges. Confié au CEDR (Centre for Effective Dispute Resolution, organisation à but non lucratif basée à Londres), il est en place pour Google Search depuis avril 2025. Il l’est pour Google Play depuis novembre 2024.

Sur la feuille de route, il y a aussi l’implémentation, à l’échelle de l’EEE, des engagements que Google a pris auprès de l’autorité de la concurrence italienne. Acceptés en novembre 2025 à la suite d’une enquête, ils visent à clarifier les effets du consentement – ou de son absence – pour le partage de données entre ses services.

Illustration principale © JuliusKielaitis – Shutterstock

The post L’écosystème Google reste en travaux pour le DMA appeared first on Silicon.fr.

Désinstallation d’applications, fournisseurs tiers de recherche web, modification des paramètres par défaut… Microsoft continue à ajuster Windows pour le rendre conforme au DMA. Son dernier « rapport de transparence » en témoigne.

Les fournisseurs des plates-formes soumises à ce règlement doivent fournir de tels rapports à la Commission européenne au minimum une fois par an. Et les accompagner d’une synthèse accessible au public.

Microsoft avait publié son premier en mars 2024. La mise à jour de mars 2025 avait illustré l’ampleur des modifications apportées dans l’intervalle, des collectes de données à la synchronisation des comptes. L’ensemble s’applique à Windows 11 et à la dernière version majeure de Windows 10 (22H2). Ce sur les PC localisés, lors de leur paramétrage initial ou après réinitialisation d’usine, dans l’Espace économique européen (UE + Islande, Liechtenstein et Norvège).

Depuis mars 2025, Windows a continué à évoluer, mais les changements ont été nettement moins nombreux.

Applications désinstallables

Microsoft a ajouté à Windows une application Start Experiences qui alimente les widgets. Il en permet la désinstallation dans l’EEE.

En parallèle, le Microsoft Store est devenu désinstallable, bien qu’encore identifié en tant que composant système.

Applications par défaut

Dans les paramètres de Windows 11, on peut définir en un clic le navigateur par défaut – un bouton « Définir par défaut » s’affiche en haut à droite lorsqu’une application signale prendre en charge http(s).

À l’origine, ce bouton associait le navigateur aux liens http, https, htm et html. Il le fait désormais aussi pour ftp, read, mht, mhtml, shtml, svg, xht, xhtml et xml. Sur les nouveaux appareils, Edge est configuré par défaut pour tous ces types de liens et de fichiers.

Le bouton a aussi pour effet d’épingler le navigateur au menu Démarrer et à la barre des tâches. Sauf si l’utilisaeur décoche les cases.

Pour les applications qui gèrent à la fois http(s) et pdf, le bouton associe aussi l’extension .pdf.

Microsoft a appliqué les mêmes changements à Windows 10 22H2.

Il peut arriver, pour des questions fonctionnelles ou d’expérience utilisateur, que des programmes – de Microsoft ou de tiers – ouvrent des liens et/ou des fichiers dans d’autres applications que celles par défaut*. Bing et Start Experiences, préchargés et respectivement activés comme fournisseur de recherche et de flux/widgets, sont dans ce cas. Désormais, toutefois, ils ouvrent le contenu web dans le navigateur par défaut et non plus dans Edge.

Windows procure une API exploitable pour demander à l’utilisateur de définir une application par défaut (elle ouvre les paramètres système). Dorénavant, Edge ne demande plus à être défini comme app par défaut que lorsqu’on l’ouvre « directement en tant que navigateur ». Pas quand on le lance à une autre fin, comme la lecture d’un PDF.

Recherche, widgets et flux

Le champ de recherche dans la barre des tâches permet à des applications – MSIX – de fournir des résultats web à l’appui d’API publiques.

Désormais, lorsqu’on installe une application qui implémente un tel fournisseur de recherche, il est automatiquement activé. Une notification en informe l’utilisateur.

Dans les paramètres Windows, on peut activer, désactiver et réordonner les fournisseurs.

La Recherche Windows présente les résultats en accord avec l’ordre prédéfini.

Windows 11 permet aussi à des applications – MSIX et PWA – d’alimenter les widgets et les flux via des API publiques.
Les widgets apparaissent maintenant sur l’écran de veille. On peut en ajouter, en supprimer et les réordonner.

* Dans l’EEE, Windows 10 et 11 ouvrent quant à eux systématiquement l’application par défaut. Idem globalement dans le reste du monde, avec des exceptions pour les contenus d’aide et ceux que Spotlight affiche sur l’écran de veille. Les uns et les autres s’ouvrent dans Edge.

Illustration principale générée par IA

The post DMA : Microsoft règle (encore) un peu la mire pour Windows appeared first on Silicon.fr.

Sans surprise, l’idée d’une fondation MySQL ne plaît pas à Oracle.

L’entreprise a opposé une fin de non-recevoir à Percona, qui l’avait sollicitée par lettre ouverte.

L’éditeur invitait à restructurer la gouvernance de MySQL, face à une popularité et une part de marché « en déclin ». PostgreSQL est le choix par défaut pour beaucoup de nouveaux projets et de jeunes développeurs, constate-il. « Vieillissante », la communauté est aussi « fragmentée » : faute d’une entité neutre pour porter la voix, forks et extensions propriétaires se sont multipliés

Percona regrette aussi un manque de transparence et de confiance. Il l’attribue, entre autres, à la visibilité limitée sur la roadmap et sur les prises de décisions associées, ainsi qu’à l’absence de système de suivi public des problèmes de sécurité. Autre élément dénoncé : la priorisation, par Oracle, de fonctionnalités propriétaires. Et par là même, l’indisponibilité, dans l’édition communautaire, de fonctionnalités désormais « nécessaires pour les workloads modernes », comme la recherche vectorielle native.

Oracle invité à s’inspirer d’OpenELA

Trois modèles de gouvernance étaient proposés.

En tête de liste, un système « à la OpenELA », sous forme d’association professionnelle favorisant la collaboration d’organisations concurrentes sur un cœur fonctionnel. Oracle formerait l’entité, aurait la direction stratégique et inviterait des acteurs de l’industrie à la rejoindre en tant que membres fondateurs, leur distribuant le travail de maintenance.

Deuxième option : une approche fédérée, en mode « partenariat collaboratif ». L’industrie mettrait sur pied la fondation, Oracle étant membre principal du conseil d’administration et partenaire stratégique. La communauté gérerait la logistique et l’administration. Un accord serait négocié pour que la fondation utilise la marque MySQL exclusivement dans un but de promotion à des fins non lucratives.

Troisième possibilité : la communauté organiserait indépendamment la fondation, toujours sous forme d’association professionnelle. Laquelle gérerait les dépôts et la promotion. Oracle participerait « de la manière qui lui [conviendrait] ».

500 signataires… dont quelques Français

La lettre a réuni un peu plus d’un demi-millier de signataires. Outre des dizaines travaillant chez Percona, on trouve du personnel de chez Couchbase, GitHub, Salesforce, NVIDIA, Meta, Huawei, PayPay, Zoho, Shopify, EA, Alibaba, etc. Côté français, il y a notamment :

• Sylvain Arbaudie, architecte data ; sa société est sponsor argent de la fondation MariaDB
• Matthieu Aubry, fondateur de Matomo Analytics
• Yoann La Cancellara, ingénieur support chez Percona
• Jean Lararrigue, webdesigner indépendant
• Aurélien Lequoy, expert MariaDB / MySQL indépendant
• Vincent Levigneron, product owner bases de données structurées et semi-structurées à la MACIF

Vers une roadmap publique de développement

Fin janvier, en amont de la FOSDEM, la communauté s’est réunie à Bruxelles. Ayant pris acte du climat, accentué par une coupe claire dans l’équipe MySQL, Oracle a annoncé des engagements. Parmi eux, associer une roadmap publique – incluant « certains worklogs » et les rapports de bugs – à l’édition communautaire. Et intégrer dans cette dernière des fonctionnalités jusque-là réservées aux versions commerciales. Il faut également s’attendre à des « collaborations avec les distributions Linux », à commencer par Ubuntu. L’allocation des ressources n’est pour le moment pas évoquée.

Planet MySQL évoluera lui aussi. Avec, entre autres :

• Portail de soumission de contenus
• Mise en avant de projets et d’outils de l’écosystème
• Amélioration de la recherche et du filtrage
• Agenda
• Guide de contribution pour les développeurs

Côté fonctionnel, Oracle promet des fonctions vectorielles dans MySQL 9.7 LTS, attendu pour avril (en l’état, leur prise en charge est limitée à HeatWave). Il compte aussi activer par défaut l’optimiseur Hypergraph, intégrer du monitoring via OpenTelemetry et proposer des binaires PGO (optimisés pour des profils d’utilisation).

Quant à une éventuelle fondation, Oracle rétorque que ce sera sans lui…

Illustration © your123 – Adobe Stock

The post Oracle s’engage pour MySQL mais dit non à une fondation appeared first on Silicon.fr.

Certes, il y a le contrat avec NVIDIA. Avec AMD aussi. Et peut-être avec Google. Mais il y a encore de la place pour des puces IA maison.

Si Meta n’avance pas les choses ainsi, difficile d’oublier le contexte dans lequel il annonce une feuille de route pour les puces en question.

L’annonce avec NVIDIA était tombée mi-février. Objet : un « partenariat pluriannuel ». Qui impliquerait, dans les grandes lignes, le déploiement de CPU Grace (potentiellement Vera à l’horizon 2027)… et surtout de « millions de GPU » Blackwell et Rubin.

Une semaine plus tard, Meta déclarait avoir signé avec AMD pour déployer l’équivalent de 6 GW en GPU Instinct. La tranche initiale (1 GW) doit être mise en place au deuxième semestre 2026, sur la base d’un MI450 custom. Le deal s’assortit, pour Meta, d’une option d’achat de 160 millions d’actions AMD – environ 10 % du capital – à une valeur unitaire de 1 centime.

Quelques jours après l’annonce avec AMD, on apprenait – sans confirmation de la part de Meta – la possible signature d’un accord avec Google pour lui louer voire lui acheter des TPU. On apprenait surtout, en parallèle, que Meta aurait abandonné sa puce maison la plus avancée (Olympus) à cause de problèmes de conception.

Pour concevoir ses puces, Meta s’est rapproché de Broadcom. Ce dernier présentait, la semaine dernière, ses résultats trimestriels. Son patron Hock Tan s’est employé à rassurer les investisseurs : « à rebours de récents rapports d’analystes », la roadmap de Meta est « bien en vie » (« well alive ») et des livraisons sont en cours.

Deux puces « spécial GenAI » prévues pour 2027

Meta vient appuyer ces propos en communiquant des perspectives de déploiement pour quatre générations de ses puces MTIA (Meta Training and Inference Accelrator).

La plus ancienne (MTIA 300) est déjà en production, pour l’entraînement des modèles de recommandation.

La MTIA 400, à usage « général », est en voie de déploiement (tests en laboratoire bouclés).
Pour les MTIA 450 et MTIA 500, axées inférence GenAI, ce sera en 2027 (début d’année pour la première).

Meta avait officialisé son premier accélérateur IA en 2023. Il s’agissait du MTIA 100, doté en cœurs RISC-V Andes Technology AX25-V100. Il insistait alors sur les performances « presque » au niveau des GPU pour ses workloads. Et sur le moindre coût par rapport aux CPU, qui constituaient alors son principal véhicule d’inférence (modèles de deep learning).

Deux ans plus tard, il y eut le MTIA 200 (devenu depuis MTIA 2i). Ces deux générations confondues, Meta a déployé des « centaines de milliers » de puces.

	MTIA 100	MTIA 200
Gravure	7 nm	5 nm
Surface	373 mm²	420 mm²
TDP	25 W	85 W
SRAM	128 Mo 800 Go/s	256 Mo 2,7 To/s
DRAM	32-64 Go LPDDR5 176 Go/s	64-128 Go LPDDR5 204,8 Go/s
Mémoire par unité de traitement	128 ko 400 Go/s	384 ko 1 To/s
Bande passante PCIe	16 Go/s	32 Go/s
INT8	102,4 Tflops	354 Tflops
FP16	51,2 Tflops	177 Tflops

HBM généralisée et conception modulaire

Meta met en avant la « multiplication par 25 » de la puissance de calcul entre MTIA 300 et MTIA 500. Il s’agit en fait de la différence entre le premier en MX8 et le second en MX4. Une comparaison destinée à mettre en lumière l’importance de ce format faible précision pour l’inférence GenAI. Elle s’accompagne d’ailleurs d’autres chiffres : + 75 % en MX4 entre MTIA 400 et MTIA 450, puis + 43 % avec le MTIA 500.

Autre élément mis en relief pour l’inférence GenAI : l’augmentation de la capacité DRAM (doublée entre MTIA 400 et MTIA 450, puis encore accrue de moitié avec le MTIA 500).
Avec les MTIA 100 et 200, Meta avait misé sur une grande quantité de SRAM associée à de la LPDDR. À partir des MTIA 300, il bascule sur de la HBM.

Au-delà des améliorations architecturales entre générations (réseau sur puce, calcul near-memory, moteurs de messagerie spécifiques…) est restée la modularité. Chaque puce s’appuie sur la précédente, avec des chiplets amovibles (calcul, I/O, réseau) censés permettre de « livrer une puce tous les 6 mois environ ». Et de mieux s’adapter à l’évolution des workloads (architectures des modèles, types de données, techniques d’inférence…) tout en intégrant plus vite les nouveaux processus de gravure

Les MTIA 400, 450 et 500 utilisent aussi le même châssis, les mêmes racks et la même infra réseau.

	MTIA 300	MTIA 400	MTIA 450	MTIA 500
TDP	800 W	1200 W	1400 W	1700 W
HBM	216 Go (6,1 To/s)	288 Go (9,2 To/s)	288 Go (18,4 To/s)	384-512 Go (27,6 To/s)
MX4		12 Pflops	21 Pflops	30Pflops
FP8/MX8	1,2 Pflops	6 Pflops	7 Pflops	10 Pflops
BF16	0,6 Pflops	3 Pflops	3,5 Pflops	5 Pflops
Bande passante scale-up	2 To/s	2,4 To/s	2,4 To/s	2,4 To/s
Bande passante scale-out	400 Go/s	200 Go/s	200 Go/s	200 Go/s

Face à Ironwood, MAIA et Inferentia

Chez AWS, la plus récente des puces maison orientées inférence est Inferentia2,commercialisée depuis 2023. Le TDP n’est pas communiqué (des estimations autour de 100 W circulent). Elle embarque 32 Go de mémoire HBM (820 Gio/s). Performances annoncées : 380 Tops en INT8, 190 Tflops en FP16/BF16/FP32 et 47,5 Tflops en FP32.

Chez Google, la dernière en date exploitée pour l’inférence est la 7^e génération des TPU Ironwood, lancée en 2025. Pas non plus de TDP communiqué, mais des estimations autour de 600 W. La puce embarque 192 Go de HBM (7,4 To/s), pour une bande passante scale-up de 2,4 To/s. Performances annoncées : 4614 Tops en FP8 et 2307 Tflops en BF16.

Chez Microsoft, la petite dernière est la puce MAIA 200. Officialisée début 2026, elle est pour le moment réservée à des services internes. Gravée à 3 nm pour une surface de 836 mm² et un TDP de 750 W, elle embarque 216 Go de HBM3e (7 To/s). La bande passante scale-up atteint 2,8 To/s. Les performances, 10 145 Tops en FP4, 5072 Tops en FP8 et 1268 Tflops en BF16.

Illustrations © Meta

The post Dans l’expectative, Meta lâche une roadmap pour ses puces IA appeared first on Silicon.fr.

Où vont tous ces capitaux que lève OpenAI ?

La principale réponse, c’est l’infrastructure. Aux dernières nouvelles, l’entreprise entend y consacrer jusqu’à 600 Md$ d’ici à 2030.

En filigrane, elle réalise des acquisitions. En voici une quinzaine, bouclées entre 2023 et 2026.

Promptfoo (mars 2026)

Cette start-up américaine née en 2024 a développé des outils qui automatisent le test et l’évaluation des applications IA. Elle revendique 130 000 développeurs actifs par mois.

Sa suite est open source – et elle le restera malgré l’acquisition par OpenAI, qui compte en intégrer les composantes dans sa plate-forme agentique Frontier.

Au socle open source (CLI + bibliothèque), Promptfoo a greffé une version commerciale. Elle donne accès à des fonctions collaboratives, à du monitoring, à l’API et à la personnalisation des profils d’attaques, entre autres.

OpenClaw (février 2026)

OpenAI n’a pas tant acquis la technologie derrière OpenClaw qu’embauché son créateur Peter Steinberger. L’intéressé avait déjà vendu une entreprise, constituée autour de son projet PSPDFKit (bibliothèque JavaScript pour l’édition de PDF).

OpenClaw sera confié à une fondation et demeurera indépendant, nous promet-on.

Crixet, Torch Health et Convogo (janvier 2026)

Critex, start-up américaine née en 2023, a développé un espace de travail pour la rédaction et la collaboration scientifiques, basé sur LaTeX. OpenAI l’a rendu gratuit et y a intégré GPT-5.2.

À l’image d’OpenClaw, Torch Health est un acqui-hire. La start-up avait été fondée en 2025 par des anciens de Forward Health. N’ayant pas réussi à imposer leurs « kiosques de santé » alimentés par IA, ils avaient pivoté vers une « mémoire médicale unifiée ». Plus précisément, l’orchestration des données du parcours des patients : résultats d’analyse en laboratoire, ordonnances, comptes rendus de rendez-vous médicaux… L’ensemble est venu nourrir ChatGPT Health. OpenAI y aurait investi 60 M$.

Acqui-hire également avec Convogo. Cette start-up est née en 2023. Elle a exploité l’IA pour faciliter le travail documentaire des consultants (analyse des entretiens, enquêtes et autres éléments de feed-back). Adobe, Expedia, HP, Logitech et X ont fait partie de ses clients.

Neptune (décembre 2025)

Né dans les années 2010, Neptune – marque de l’entreprise CodiLime – était initialement un outil DSML (data science et machine learning). Il a évolué pour couvrir plus largement le cycle l’entraînement des modèles d’IA. OpenAI a promis d’en intégrer les capacités dans sa stack.

Début mars, l’offre SaaS a fermé, comme les dépôts où récupérer les images de conteneurs. Les utilisateurs ont été invités à basculer vers des solutions comme GoodSeed, Pluto, Lightning AI, ZenML et Comet.

Software Applications Incorporated et Roi (octobre 2025)

En 2023, des anciens d’Apple fondaient Software Applications Incorporated. Ils allaient développer Sky, un assistant IA pour Mac. Sam Altman avait financé l’entreprise. OpenAI s’en est emparé pour enrichir ChatGPT.

Né en 2022, Roi avait développé un assistant pour la gestion des finances personnelles. Il a fermé en octobre, ses créateurs rejoignant OpenAI.

Alex et Statsig (septembre 2025)

Encore un acqui-hire avec Alex. Cette start-up américaine née en 2024 avait développé de quoi exploiter des modèles d’IA dans Xcode. C’était avant qu’Apple décide de créer sa propre interface (en 2025).
L’équipe a rejoint la division Codex d’OpenAI. Son produit existe toujours, mais ne reçoit plus de mises à jour et n’accepte pas de nouveaux utilisateurs.

L’acquisition de Statsig aurait coûté plus d’un milliard $. Avec elle, OpenAI s’est doté d’une solution d’A/B testing. Elle reste commercialisée, avec des références clients comme Atlassian, Microsoft et Decathlon. Il existe une version gratuite, limitée toutefois en volume mensuel d’événements et de rejeux de sessions, comme sur la durée de conservation des données. La version Pro donne par ailleurs accès à l’API. La version Enterprise, au SSO, à un support prioritaire et au déploiement natif sur data warehouse.

Crossing Minds (juin 2025)

Né en 2017, Crossing Minds accompagnait les entreprises du e-commerce dans l’évolution de leurs systèmes de recommandation. OpenAI n’était pas tant intéressé par cette techno que par ses développeurs. Qui, depuis l’acquisition, ont produit le module Company Knowledge, lequel permet à CharGPT de travailler sur des connaissances internes.

iO (mai 2025)

OpenAI aurait déboursé 6,5 Md$, intégralement en actions, pour s’emparer de cette start-up derrière laquelle on trouve des anciens d’Apple. Nommément, Jony Ive, ancien Chief Design Officer de la maison. Mais aussi Evans Hankey, qui fut son successeur. Et Tang Tan, ancien concepteur principal de l’iPhone.

Né en 2024, iO s’est donné l’objectif de repenser l’interaction homme-machine en concevant des interfaces physiques adaptées à l’usage de l’IA. Avant l’acquisition, il était déjà en partenariat avec OpenAI, qui était aussi son actionnaire.

Context.ai (avril 2025)

Née en 2023, cette start-up anglaise avait développé un outil d’analyse de la performance des applications IA, sur la base des interactions en langage naturel dans les interfaces de chat. Depuis le passage dans le giron d’OpenAI, ses produits n’existent plus. Une autre entreprise, à l’origine d’une plate-forme de développement de modèles, a repris le nom de domaine.

Multi et Rockset (juin 2024)

Remotion était une couche collaborative pour macOS. En août 2023, elle était devenue Multi, en conséquence d’un recentrage sur les équipes techniques. Elle fermerait en juillet 2024, peu après qu’OpenAI l’ait acquise.

Rockset était né en 2016 sous l’impulsion d’anciens de Facebook. Comptant dans son équipe un des fondateurs de Hadoop, elle avait développé une base de données orientée documents, reposant sur une déclinaison du moteurs RocksDB.
Le produit était présenté sous l’angle de la recherche hybride au moment où OpenAI a mis la main dessus, pour renforcer ses technologies de RAG. Sa commercialisation a pris fin en septembre 2024.

Global Illumination (août 2023)

Des anciens de Facebook, de Google et de Riot Games, entre autres, s’étaient réunis pour créer cette entreprise en 2023. Ils avaient conçu diverses « expériences numériques ». Il en reste aujourd’hui Biomes, un MMORPG open source.

Illustration générée par IA

The post Les milliards d’OpenAI alimentent aussi des acquisitions appeared first on Silicon.fr.

En performance par thread, les instances Arm rattrapent les instances Intel et AMD.

À l’automne 2024, Dimitrios Kechiagas, développeur chez SpareRoom (site de colocation entre particuliers), avait fait la remarque. Il venait de tester 30 références de VM cloud, de 7 fournisseurs (Akamai, Amazon, DigitalOcean, Google, Hetzner, Microsoft et Oracle).

Ce comparatif a récemment été mis à jour. Avec les 7 mêmes fournisseurs, mais davantage de références de VM (44). Le focus reste sur les workloads CPU (« usage générique »). Et sur les configs à 2 vCPU, la plupart des instances Intel et AMD ayant désormais le multithreading activé par défaut.

La méthodologie de test

La composition du benchmark – disponible en image Docker – a légèrement évolué. Geekbench 5 en fait toujours partie. Les tests OpenSSL et 7-zip de Phoronix aussi, mais pas la compilation du noyau Linux, remplacée par un test nginx. Dimitrios Kechiagas y a ajouté du transcodage FFmpeg. Le cœur du benchmark reste reconduit sa suite maison DKbench. Elle réunit une vingtaine de tests parmi lesquels :

• Intégrer du CSS sur des pages de wiki
• Appliquer des filtres à une image (bruit gaussien, masque flou, fractales…)
• Calculer des nombres premiers
• Compter les codons dans une séquence bactérienne
• Trouver une constellation à partir d’une position céleste (coordonnées équatoriales pour une époque donnée)

Au possible, on associe 2 Go de RAM à chaque vCPU et on ajoute un SSD de 30 Go comme volume d’amorçage. Dans la plupart des cas, l’OS est Debian 13 64 bits (parfois Ubuntu 24.04, et Oracle Linux sur les VM Arm d’OCI). Avec les quelques types d’instances qui imposent un minimum de 4 vCPU et sur lesquels on ne peut pas en désactiver, les résultats sont extrapolés. Pour disposer d’intervalles représentatifs, on essaye de créer deux ou trois instances à différents moments, et dans diverses régions si possible.

Nous présentons ici une partie des résultats. En l’occurrence, les ratios coût/performance, exprimés en points DKbench par $. Les fournisseurs sont classés selon le ratio maximal sur la meilleure de leurs instances parmi celles testées*.

Tarification à la demande

Est prise en compte la région cloud au coût le plus bas entre États-Unis et Europe.

En monothread

Fournisseur	VM	Min.	Max.
Hetzner	CCX13 (AMD Milan, 8 Go RAM, 80 Go SSD)	53,80	70,70
Oracle	Standard.E6 (AMD Turin, 4/30)	54,40	55,10
Akamai	Linode 4GB (AMD Milan, 4/80)	29,20	37,70
Google	n4d-2 (AMD Turin, 4/30)	30,10	30,60
DigitalOcean	PremAMD 2/4 (AMD Rome, 4/80, cœur partagé)	23,60	27,90
Microsoft	D2pls_v6 (Azure Cobalt 100, 4/32)	21,90	22,50
Amazon	c8a.large (AMD Turin, 4/30)	19,40	19,90

 

Grâce aux puces AMD Turin, Oracle se rapproche de Hetzner. AWS est globalement le moins bien-disant.

Dans l’absolu, on trouve des ratios encore meilleurs chez Hetzner avec les instances à cœurs partagés CAX11 (Ampere Altra ; 122,30 à 130,80 points par $), CPX22 (AMD Genoa ; 134,10 à 142,10) et CX23 (souvent Intel Skylake ; parfois AMD Rome, auquel cas le ratio est dans la fourchette de 144,20 à 175,70). Mais leur disponibilité limitée n’en fait pas de vraies concurrentes, estime Dimitrios Kechiagas, qui ne les a par là même pas incluses dans les résultats.

En multithread

Fournisseur	VM	Min.	Max.
Oracle	Standard.A4 (Ampere AmpereOne M, 4/30)	89,40	90,23
Hetzner	CCX13	63,47	84,84
Akamai	Linode 4GB	57,63	73,96
DigitalOcean	PremAMD 2/4	44,61	55,61
Microsoft	D2pls_v6	42,89	44,69
Google	c4a-2 (Google Axion, 4/30)	42	42,09
Amazon	c8a.large	38,72	39,26

Sur ce plan, trois instances Arm dominent, toutes de chez Oracle. La Standard.A4, donc, ainsi que la Standard.A2 (79,33 à 80,54 points par $) et la Standard.A1 (69,57 à 71,54). L’instance Turin la plus intéressante (65,93 à 66,86) se trouve aussi sur OCI. AWS est plus proche des configurations Arm de Google (Axion) et de Microsoft (Cobalt 100) qu’en monothread.

Sur certaines VM x64, le multithreading est désactivé. Dans ce cas, 2 vCPU équivalent à 2 cœurs physiques. C’est le cas, par exemple, pour les c7a d’Amazon.

Les VM PremAMD 2/4 de DigitalOcean, à cœurs partagés, utilisent des CPU AMD Rome. Avec les Linode 4GB d’Akamai, elles aussi à cœurs partagés, le type de processeur assigné peut varier. Le plus souvent, c’est de l’AMD Milan.

Tarification avec 1 an d’engagement

En monothread

Fournisseur	VM	Min.	Max.
Hetzner	CCX13	53,80	70,71
Oracle	Standard.E6	54,38	55,14
Google	n4d-2	46,89	47,71
Microsoft	D2pls_v6	35,84	36,95
Akamai	Linode 4G	29,21	37,67
Amazon	c8i.large (Intel Granite Rapids, 4/30)	26,85	27,64
DigitalOcean	PremAMD 2/4	23,64	27,86

La remise que consent Google lui permet d’être au niveau d’Oracle avec les puces AMD Turin. Azure se révèle intéressant en Cobalt 100 comme en AMD Genoa.

En multithread

Fournisseur	VM	Min.	Max.
Oracle	Standard.A4	89,40	90,23
Hetzner	CCX13	63,47	84,84
Microsoft	D2pls_v6	70,31	73,27
Akamai	Linode 4GB	57,63	73,96
Google	c4a-2	62,75	62,88
Amazon	c8a.large	53,03	53,77
DigitalOcean	PremAMD 2/4	44,61	55,61

Oracle est en tête avec ses instances Arm, comme à l’automne 2024. Mais celles de Microsoft (Cobalt 100) s’en rapprochent et celles de Google (Axion) ne sont pas si loin. Le rapport coût/performance a nettement progressé chez AWS.

Tarification avec 3 ans d’engagement

En monothread

Fournisseur	VM	Min.	Max.
Google	n4d-2	64,43	65,55
Hetzner	CCX13	53,80	70,71
Oracle	Standard.E6	54,38	55,14
Microsoft	D2pls_v6	53,19	54,82
Amazon	c8i.large	39,29	40,45
Akamai	Linode 4GB	29,21	37,67
DigitalOcean	PremAMD 2/4	23,64	27,86

L’avantage que Google a avec 1 an d’engagement se retrouve avec 3. Toujours grâce aux AMD Turin, qui rendent aussi l’offre de Microsoft intéressante. AWS a une longueur de retard, mais reste mieux-disant qu’Akamai et DigitalOcean.

En multithread

Fournisseur	VM	Min.	Max.
Microsoft	D2pls_v6	104,34	108,73
Google	c4a-2	90,22	90,41
Oracle	Standard.A4	89,40	90,23
Amazon	c8a.large	77,94	79,02
Hetzner	CCX13	63,47	84,84
Akamai	Linode 4GB	57,63	73,96
DigitalOcean	PremAMD 2/4	44,61	55,61

En multithread, le nombre de cœurs physiques fait la différence. AWS est dans le coup, même si c’est Microsoft qui s’en sort le mieux, avec une instance en Cobalt 100.

Tarification Spot (VM « préemptibles »)

Sont ici considérés les prix les plus bas obtenus aux États-Unis en janvier 2026.

En monothread

Fournisseur	VM	Min.	Max.
Google	c3d-4/2 (AMD Genoa, 4/30, extrapolé de 4 à 2 vCPU)	111,46	114,89
Oracle	Standard.E6	104,23	105,68
Microsoft	D2pls_v6	93,20	96,06
Hetzner	CCX13	53,80	70,71
Amazon	c8a.large	54,09	55,53
Akamai	Linode 4GB	29,21	37,67
DigitalOcean	PremAMD 2/4	23,64	27,86

Avec sa remise fixe de 50 %, Oracle est systématiquement intéressant (instances environ deux fois moins chères qu’avec 3 ans d’engagement).

En multithread

Fournisseur	VM	Min.	Max.
Microsoft	D2pls_v6	182,83	190,52
Oracle	Standard.A4	167,79	169,35
Google	t2d-2 (AMD Milan, 8/30)	138,55	153,54
Amazon	c8a.large	108,23	109,74
Hetzner	CCX13	63,47	84,84
Akamai	Linode 4GB	57,63	73,96
DigitalOcean	PremAMD 2/4	44,61	55,61

Les deux meilleures instances ont des processeurs Arm (Cobalt 100 et AmpereOne M). Déjà distinguée à l’automne 2024, la t2d de Google (en AMD Milan) se classe troisième.

Au global, les instances CCX13 de Hetzner sont celles dont la performance varie le plus selon le datacenter où on les crée.

Microsoft a eu du retard sur Amazon et Google pour la mise à disposition des puces AMD Turin (GA fin janvier 2026). Les Intel Granite Rapids sont encore en preview.

La flotte de DigitalOcean fait son âge. Mais les prix bas – et stables entre régions – demeurent intéressants pour les workloads où le rapport coût/performance n’importe pas.

* 12 VM testées chez Google, 11 chez Amazon, 6 chez Microsoft, 5 chez Hetzner, 4 chez Oracle, 3 chez Akamai comme chez DigitalOcean.

Illustration générée par IA

The post VM cloud : AMD reste dans le match du rapport coût-performance appeared first on Silicon.fr.

L’ouverture de Google Workspace aux agents IA passe par la ligne de commande.

On a pu s’en convaincre ces derniers temps avec l’émergence de divers projets. Par exemple, gogcli et workspace-cli. Tous deux sont nés fin 2025. Ils donnent accès à l’essentiel des API de la suite, avec une conception pensée pour ces agents.

Leur avenir apparaît incertain désormais que Google a son propre outil : gws. En l’état, il n’en assure pas officiellement le support. Mais le code a été versé dans l’organisation GitHub dédiée à Google Workspace

Écrit en Rust comme workspace-cli, gws adapte lui aussi le format d’entrée aux agents IA, en privilégiant le JSON brut. Il fait de même avec les réponses API ; en intégrant notamment, pour limiter la consommation de tokens, de la pagination et des masques de champs.

L’ingénieur qui en est à l’origine insiste sur l’approche spécifique retenue pour la documentation API. Plutôt que de demander à un modèle de la rechercher en ligne ou de l’intégrer dans son prompt système, on lui présente, à la demande, des schémas JSON. Le document de découverte des API Google Workspace – sorte de catalogue dynamique qui décrit la surface des API et la manière de les utiliser – sert de source de vérité.

Une hiérarchie de skills… et une jonction avec OpenClaw

À l’instar de workspace-cli, gws permet le dry run (validation des requêtes en local) et le contrôle des réponses de l’API via Model Armor (service hébergé sur Google Cloud).

Un autre point commun fut la disponibilité d’un serveur MCP, mais cette option a fini par disparaître sur gws. Comme le multicompte (les agents pouvaient basculer en fonction du contexte).

Les instructions pour OpenClaw intégrées au README sont quant à elles restées. Le système de skills aussi. Il y en a une grosse centaine, déclinées sur quatre niveaux d’abstraction :

• Services (le socle productivité de Google Workspace, mais aussi la gestion des identités, des licences, des groupes et des alertes, entre autres)
• Opérations fréquentes (gws-mail-send, gws-drive-upload…)
• « Recettes » (combinaisons d’opérations : audit de fichiers partagés sur Drive, envoi d’e-mails personnalisés sur la base d’une feuille de calcul…)
• Personnalités (product manager, commercial, coordinateur événementiel, administrateur IT…)

Illustration générée par IA

The post Google Workspace s’ouvre aux agents IA par la voie du CLI appeared first on Silicon.fr.

« More agents is all you need. »

En octobre 2024, le labo IA de Tencent avait publié un article ainsi intitulé. Il y présentait une méthode permettant d’accroître la performance d’un LLM en augmentant le nombre d’agents instanciés.

La technique, dite « forêt d’agents », est simple dans son principe : envoyer une requête à plusieurs agents (instances d’un LLM) et les faire voter à la majorité sur les outputs.

Google Research y fait référence dans un autre article… qui en prend partiellement le contrepied. Il y propose des principes de mise à l’échelle des systèmes agentiques.

3 familles de LLM, 4 benchmarks, 5 architectures

Ces principes découlent de l’analyse de 180 configurations. En l’occurrence, 5 architectures agentiques appliquées à 3 familles de modèles et testées sur 4 benchmarks.

Les architectures en question :

• Mono-agent
• Agents indépendants (aucune communication entre eux)
• Centralisé (plusieurs agents, chacun communiquant avec un orchestrateur)
• Décentralisé (communication entre pairs)
• Hybride (orchestrateur + P2P limité)

L’orchestrateur détermine la manière dont sont agrégés les outputs des agents et s’il a le droit de passer outre. Il gère aussi la mémoire.

Ces architectures ont été appliquées à des modèles d’Anthropic (Claude Sonnet 3.7, 4.0 et 4.5), de Google (Gemini 2.0 Flash, 2.5 Flash et 2.5 Pro) et d’OpenAI (GPT-5, 5 mini et 5 nano).

Les benchmarks étaient les suivants :

• Finance Agent (2025 ; analyse financière sur dépôts SEC)
• BrowseComp-Plus (2025 ; « recherche approfondie » sur le web)
• Plancraft (2024 ; planification en environnement Minecraft)
• WorkBench (2024 ; exécution de tâches en environnement de bureau)

Les tests se sont faits à paramètres fixes (outils, prompts, budgets de calcul). En sont ressorties 8 métriques, le taux de réussite étant la principale.

À partir de ces métriques, ainsi que de trois autres indicateurs (propriétés des tâches, nombre d’agents, capacités de modèles de base), Google Research a élaboré un modèle prédictif. Son rôle : identifier l’architecture optimale pour une tâche donnée.

Ce n’est pas (vraiment) le nombre qui compte

Là semble effectivement résider le véritable enjeu. Si on en croit les résultats communiqués, ce n’est pas tant le nombre d’agents qui importe que l’adéquation entre la tâche et l’architecture agentique.

La complexité des tâches joue moins que la capacité à les décomposer. Les résultats sur Finance Agent et Plancraft en témoignent.

Fait d’informations statiques et structurées, Finance Agent se prête à une division du travail. Toutes les architectures multi-agents apportent effectivement un gain important par rapport au mono-agent.

Plancraft est, au contraire, intrinsèquement séquentiel (chaque action modifie potentiellement l’environnement). Le multi-agent y est systématiquement moins efficace que le mono-agent. Diviser le travail implique que chaque agent synchronise l’état du système. Dans un tel environnement dynamique, cela impacte significativement le budget de calcul disponible. Les agents compressent alors d’autant plus les informations qu’ils (se) transmettent, au risque de perdre de l’information.

Sur WorkBench, la différence est plus marginale. Idem sur BrowserComp-Plus, où l’approche décentralisée, adaptée à l’exploration parallèle de pages web (espaces de recherche à forte entropie), affiche le meilleur score de précision.

Google perçoit un modèle généralisable

La surcharge liée à la coordination des agents pèse démesurément sur les tâches qui impliquent beaucoup d’outils. L’étude ne révèle pas, en revanche, de corrélation entre l’augmentation de cette surcharge et celle de la complexité des tâches. À performance équivalente, le multi-agent consomme bien plus de tokens que le mono-agent (+ 58 % en mode « indépendant », + 263 % en décentralisé, + 285 % en centralisé, + 515 % en hybride.

Dès qu’un agent seul dépasse les 45 % de taux de réussite, en ajouter a des effets négatifs. Quant à la redondance des tâches (en confier une à plusieurs agents), elle n’a, à l’échelle, qu’un bénéfice marginal.

La présence ou l’absence de points de validation engendre une grande différence dans l’amplification des erreurs. En centralisé, elles sont multipliées par 4,4 par rapport au mono-agent ; en décentralisé, par 7,8 ; en hybride, par 5,1 ; en indépendant, par 17,2.

Les architectures centralisée et décentralisée tendent à réduire le taux moyen d’erreurs par rapport au mono-agent. Notamment pour ce qui est de l’omission de contexte. Et, dans une moindre mesure, les contradictions de logique. C’est n’est pas toujours le cas pour les architectures hybrides, avec lesquels ce taux s’accroît même parfois. En particulier sur les dérives numériques (découlant d’arrondis ou de mauvaises conversions en cascade).

La hiérarchie des architectures est relativement stable entre domaines. Google Research y voit la preuve que son modèle est généralisable. Sur labase de ses expérimentations, il affirme qu’à budget constant, au-delà de 3 ou 4 agents, la qualité de raisonnement de chacun se dégrade.

Illustration principale générée par IA

The post « More agents is all you need »… ou pas : une esquisse de lois d’échelle pour l’IA agentique appeared first on Silicon.fr.

Tous les clients ARTESCA bénéficient désormais d’une « garantie cyber » de 100 000 $.

Jérôme Lecat, président-fondateur de Scality, présente les choses ainsi, en anglais dans le texte.

En pratique, cette garantie ne s’applique pas à tous les clients. Elle concerne les titulaires de licences commerciales – matérielles, perpétuelles ou à durée indéterminée – d’une capacité de stockage d’au moins 50 To.

Scality s’engage à verser les 100 000 $ en question (ou l’équivalent dans d’autres devises) si survient un « incident cybernétique admissible ». En l’occurrence, « le cryptage ou la suppression démontrable de données résidant sur un volume de stockage géré par le logiciel, conséquence directe et unique d’une cyberattaque externe non autorisée ».

Les exfiltrations de données sont exclues. L’incident ne doit par ailleurs pas découler, en tout ou partie :

• De la compromission des identifiants d’accès stockés, transmis ou gérés en dehors du logiciel
• D’identifiants d’accès obtenus par des tiers via l’ingénierie sociale, le phishing, des logiciels malveillants ou le vol
• Des actes malveillants et répréhensibles commis par des utilisateurs autorisés
• D’une des responsabilités d’indemnisation du client

Coopération, maintenance, conformité…

Pour prétendre à une indemnisation, il faut utiliser la dernière version majeure d’ARTESCA (actuellement, la 4.1), « en stricte conformité avec la documentation […] et les directives de sécurité ». Et avoir installé l’ensemble des mises à jour / mises à niveau (dernière release en date : 4.1.3) et des correctifs dans les 30 jours suivant leur mise à disposition.

Quant aux données, elles doivent avoir été stockées dans des compartiments avec Object Lock (immuabilité) activé en mode conformité (aucun utilisateur, y compris root, ne peut les modifier ou les supprimer). Et être, au moment de l’incident, dans une période de conservation active.

La garantie constitue une pénalité forfaitaire unique. Son paiement est le seul recours en cas d’incident admissible (le client ne peut réclamer aucun autre dommage). Il n’interviendra qu’à condition que le client ait notifié l’incident par écrit dans les 48 heures suivant sa découverte. Et qu’il ait par la suite « coopéré pleinement » en fournissant les informations et les accès demandés.

Illustration générée par IA

The post Comment fonctionne la nouvelle « garantie ransomware » de Scality appeared first on Silicon.fr.

Pas facile de suivre l’évolution du cadre réglementaire, de sorte qu’il a fallu modulariser les formations.

IDEMIA Public Security en a témoigné en tant que signataire du Pacte sur l’IA.

Depuis septembre 2024, la Commission européenne promeut ce dispositif censé aider à préparer la mise en conformité avec l’AI Act. Les échanges qu’elle a organisés dans ce cadre ont notamment guidé l’élaboration de l’omnibus numérique. Ils ont aussi contribué à alimenter un « répertoire des pratiques d’alphabétisation en matière d’IA ».

Toile de fond à ce répertoire : l’article 4 de l’AI Act. Entré en application en février 2025, il impose aux fournisseurs et aux déployeurs de systèmes d’IA de garantir un « niveau suffisant de maîtrise de l’IA » pour leur personnel. Ainsi que pour quiconque s’occupe du fonctionnant de ces systèmes pour leur compte.

La première version publique de ce répertoire (janvier 2025) réunissait des retours d’expérience d’une quinzaine d’organisations. Aux dernières nouvelles, on en est à 40. Dont deux pour la France : Criteo et, donc, IDEMIA Public Security.

Criteo, entre bootcamps et « cafés IA »

Pour tous les employés qui exploitent l’IA dans leur travail au quotidien, Criteo a mis en place des cours en ligne destinés à l’acquisition des bases et d’un vocabulaire commun. Il y a associé des ambassadeurs aux RH, au juridique, aux achats, aux marketing et à l’IT. Il organise par ailleurs des événéments, dont des « cafés IA » et des webinaires (par exemple sur l’utilisation de Copilot dans Office).

Les personnels techniques ont, de longue date, accès à des bootcamps, mis au goût de l’IA. Suivies sur la base du volontariat, les leçons sont données par des employés qui développent des systèmes d’IA internes ou qui mènent des recherches sur des sujets importants pour Criteo. La première semaine permet – en présentiel à Paris ou bien à distance – de se familiariser avec la stack IA de lamaison et d’appréhender un usage responsable. Les trois suivantes, de réaliser un projet individuel sur un cas d’usage interne, avec supervision par un chercheur et un ingé.

IDEMIA juge la formation en ligne « plus difficile et moins efficace »

Au-delà de ses sessions « Tech Talk » et « Meet the Experts », ses partenariats académiques et sa contribution aux évaluations NIST, IDEMIA Public Security insiste sur la formation de ses clients.
Pour les systèmes non classés à haut risque, la formation est en ligne, en anglais. Le contenu est adapté au niveau d’expertise.
Pour ceux qui entrent dans la catégorie « à haut risque », l’objectif est de former 100 % des clients en personne avant déploiement.

IDEMIA Public Security reconnaît qu’il est délicat de gérer le turnover, des deux côtés. Il considère globalement qu’il est plus difficile et moins efficace de former en ligne, « en particulier pour les systèmes d’IA à haut risque ». S’y ajoute le sujet du maintien des contenus à jour. Il a été décidé de les segmenter afin de pouvoir actualiser des sections spécifiques.

230 adhérents volontaires

Le « répertoire d’alphabétisation » est un des livrables les plus visibles du Pacte sur l’IA. Parmi ses 120 premiers signataires, annoncés en septembre 2024, il y avait une quinzaine d’organisations françaises. Dont Amadeus, Cegid, Dassault Systèmes, Docaposte, Lefebvre Sarrut, Mirakl, Orange, OVHcloud et Sopra Steria. Depuis, 365Talents, l’AFNOR, Capgemini et Groupe Rocher, entre autres, ont rejoint la boucle. Laquelle comprend désormais environ 230 signataires. Près de deux tiers sont européens ; un quart, étatsuniens. La majorité (63 %) sont à la fois fournisseurs et déployeurs. 37 % évoluent dans le logiciel ; 19 %, dans les services IT ; 13 % dans le cloud et/ou les télécoms.

L’adhésion reste volontaire et non contraignante. Elle suppose toujours trois grands engagements :

• Définir une stratégie de gouvernance de l’IA
• Cartographier les systèmes susceptibles d’être classés à haut risque
• Promouvoir la sensibilisation du personnel et plus globalement des parties impliquées

D’autres engagements sont adoptables « à la carte », en fonction de la position occupée dans la chaîne de valeur de l’IA. Par exemple :

• Identifier les risques pour la santé, la sûreté et les droits fondamentaux
• Implémenter une journalisation cohérente vis-à-vis des finalités
• Donner la possibilité d’étiqueter les contenus générés

7 webinaires sous la bannière du Pacte pour l’IA

L’autre catégorie de livrables « visibles » comprend les 7 webinaires que le Bureau de l’IA a organisés jusque-là. Tous sont disponibles en replay.

Le premier (novembre 2024) a exploré les objectifs de l’AI Act, son approche basée sur les risques et les mécanismes de gouvernance qu’il instaure.

Le suivant (décembre 2024) s’est focalisé sur les dispositions qui entreraient en application en février 2025. Ainsi que sur la régulation des modèles d’IA à usage général, qui seraient quant à eux encadrés à partir d’août 2025.

Le troisième webinaire (février 2025) avait abordé les exigences de « maîtrise de l’IA » inscrites à l’article 4. Et le répertoire associé.

En avril 2025, les deux sujets principaux furent les pratiques interdites et la définition des systèmes d’IA. Sur ce dernier point, l’UE venait de publier des lignes directrices.

Des bacs à sable aux gigafactories

Le 5^e webinaire, tenu en mai 2025, avait englobé divers dispositifs. Parmi eux, les (giga-)usines d’IA, l’initiative InvestAI et la stratégie pour l’union des données.
Il fut aussi question de la stratégie pour l’application de l’IA, que la Commission européenne adopterait en octobre. Elle se déploie sur trois axes : mise en place d’initiatives phares sectorielles, résolution de défis transversaux et mécanisme de gouvernance unique.

Parmi les initiatives phares, l’UE entend porter, pour les soins de santé, des centres européens de dépistage avancés. Pour la mobilité, une initiative Autonomous Drive Ambition Cities dans le cadre de bancs d’essai transfrontaliers. Pour la culture, des microstudios spécialisés dans la production virtuelle assistée par IA.
Les « défis transversaux » couvrent, dans les grandes lignes, l’attractivité de l’IA pour les PME, la formation d’une main-d’œuvre adaptée et la garantie d’une confiance dans le marché européen.
L’aspect gouvernance unique doit reposer sur la transformation de l’Alliance européenne pour l’IA en forum de coordination.

Lors du 6^e webinaire (septembre 2025), il fut à nouveau question des modèles d’IA à usage général. Et du code de bonnes pratiques associé (publié en juillet).

Le dernier webinaire en date (novembre 2025) a traité des dispositifs d’innovation pour les PME. Essentiellement, les bacs à sable réglementaires, les installations sectorielles d’essai et d’expérimentation, la plate-forme unique d’information sur l’AI Act et les pôles européens d’innovation numérique.

Illustration générée par IA

The post Pacte sur l’IA : un « répertoire d’alphabétisation » comme principal livrable appeared first on Silicon.fr.

Dans la tech française, le taux de féminisation s’élève à 17 %.

Dans la perspective de la Journée internationale des droits des femmes, les acteurs de l’IT sont nombreux à reprendre cette statistique. Moins à la sourcer.

Elle semble tirée d’un des volets de l’enquête Gender Scan, que réalise Global Contact, un cabinet parisien d’études et de conseil. Plus précisément de l’édition 2022. Les 17 % en question valent pour l’année 2020.

En fonction des acteurs de l’IT, la formulation varie. Ippon Technologies annonce que les femmes représentent environ 17 % des effectifs de la tech en France. Tandis qu’Acer affirme que 17 % des postes techniques dans l’IT sont occupés par des femmes.
Le premier ajoute que dans ce même secteur, les femmes occupent 10 % des postes à responsabilité. Le second, que seules 3 % des lycéennes choisissent la spécialité numérique et sciences informatiques.

L’IA, ou les deux côtés de la médaille

Chez Tanium, on rappelle qu’à l’échelle mondiale, dans le domaine des technologies, 14 % des cadres supérieurs sont des femmes. On souligne aussi l’opportunité que l’IA présente pour « égaliser les chances » en contribuant à réduire l’épuisement professionnel… y compris pour les femmes qui reprennent le travail. « L’avantage pour les femmes viendra des organisations qui utiliseront l’IA pour renforcer la filière de leadership et non pour la réduire », ajoute Melissa Bischoping, directrice de recherche en sécurité.

iCIMS, éditeur de logiciels RH, voit dans l’IA un « levier puissant » pour objectiver certaines décisions de recrutement, harmoniser les critères et limiter les biais humains.

Il y a deux ans, en marge de la Journée internationale des droits des femmes, l’UNESCO avait elle aussi exprimé des espoirs quant à l’IA. Plus précisément au sujet des LLM open source. Qui, par leur ouverture, pouvaient favoriser l’atténuation des biais embarqués.

Car des biais, il y en avait. Des tests sur GPT-2, Llama 2 et GPT-3.5 avaient révélé, entre autres, une propension à produire des stéréotypes de genre. Par exemple en y associant certains concepts (à « femme », « famille », « enfants » et « mariage » ; à « homme », « entreprise », « cadre », « salaire », « carrière »…). Ou certains emplois (« chauffeur », « enseignant », « jardinier », « employé de banque » pour les hommes ; « serveuse », « intendante », « mannequin », « prostituée » pour les femmes).

« Même de légers préjugés sexistes dans le contenu [généré] peuvent amplifier de manière significative les inégalités dans le monde réel », avait commenté Audrey Azoulay, alors directrice générale de l’UNESCO.

Du freelancing aux perceptions sociétales, une « trajectoire positive »

Ces inégalités se renforcent d’autant plus qu’elles sont visibles, postule Cynthia Overby, directrice des solutions de sécurité informatique chez Rocket Software. Des postes de direction aux conférenciers qui interviennent lors d’événements tech majeurs, le manque de diversité en façade « renforce la perception que l’industrie des technologies n’accueillera pas ceux qui ne correspondent pas à cette image », estime-t-elle.

« Dans les années 80, les femmes étaient beaucoup plus représentées dans les métiers de l’IT, explique LeHibou (plate-forme de freelancing IT). Un basculement s’est produit pendant cette décennie, quand l’informatique est devenue un produit grand public », constate-t-elle.
En 2023, 14 % de ses freelances furent des femmes. Minoritaires, donc, mais sur une « trajectoire positive » (elles étaient 9 % en 2018). Leurs principales fonctions : chef de projet MOA, product owner, consultante AMOA, chef de projet IA et business analyst. Trois de ces métiers ont affiché, en 2023, un taux journalier moyen équivalent à celui des hommes. Mais alors que ces derniers privilégiaient la rémunération, leurs homologues féminines citaient le choix des missions et la quête d’un meilleur équilibre pro/perso comme leurs principales sources de motivation pour faire du freelancing.

La même année, Ironhack (formation au numérique) avait lui aussi évoqué une forme de trajectoire positive. En comparant deux enquêtes sur le panel BuzzPress France, il avait notamment relevé que :

• 63 % des Français déclaraient que les femmes pouvaient être aussi douées que les hommes dans les métiers liés au numérique (+ 4 points par rapport à 2022)
• 32 % ne considéraient pas que les femmes n’étaient pas élevées ou éduquées pour s’intéresser à ces métiers (+ 6 points)
• 49 % seraient prêts à inciter leur fille à choisir un métier dans la tech (+ 7 points)

Au-delà de la diversité, garantir l’inclusion

« Dans un environnement technique, la mixité apporte des regards différents et contribue à un meilleur équilibre collectif », assure Laetitia Martzolff, HR Business Partner chez DEEP France (ex-DIGORA).

Stephanie Aceves, ancienne de Tanium, allait plus loin l’an dernier. Elle appelait à porter attention aux « qualités uniques » des femmes : « capacité à diriger avec intuition, à résoudre les problèmes avec une vision large et à créer une communauté au sein des équipes ». Au-delà du recrutement diversifié, il faut garantir l’inclusion, ajoutait-elle. Or, pour un même rôle, on attend plus d’une femme. Souvent, en particulier, qu’elles prennent en main le sujet de la féminisation lorsqu’elles sont seules dans leur équipe.

Dans certains contextes, les femmes doivent encore démontrer leur compétence avec une intensité supérieure, confirme Céline Delaugère. Cette exigence souvent implicite se manifeste dans l’accès au financement, à la visibilité médiatique ou aux postes de décision, résume la fondatrice de MyDataMachine. Elle poursuit : parler de droits des femmes implique de regarder concrètement leurs accès à l’IA, à la data et aux infrastructures numériques, en ce qu’elles façonnent nos sociétés (modèles économiques, usages culturels, équilibres de pouvoir). Et d’appeler à ne plus analyser les parcours féminins à travers des catégories restrictives : scientifique ou créative, technique ou artistique, rationnelle ou sensible… Cette lecture binaire ne correspond plus à la réalité de trajectoires hybrides.

Brevets STEM : le taux de féminisation aussi sous les 20 %

D’après l’Office européen des brevets, dans les STEM, 16,7 % des inventeurs mentionnés dans les demandes de dépôt de brevet en France entre 2018 et 2022 étaient des femmes. Soit à peu près autant que sur la période 2013-2017 (16,4 %). Le Val-de-Marne se distingue. Le taux (25,4 %) y est parmi les plus élevés chez les régions européennes à forte densité d’innovation.

En mathématiques et informatique, l’Institut Mines-Télécoms arrive en tête des établissements d’enseignement supérieur pour le taux de femmes dans les demandes de dépôt de brevet pendant le doctorat (10 %). L’Université Paris Sciences et Lettres domine pour les dépôts ultérieurs (8 %).

Sur l’ensemble des dépôts à l’INPI entre 2021 et 2023, 14 % des inventeurs français étaient des femmes. Le taux atteignait 16 % dans les établissements publics et les entreprises détenues par l’État. Contre 11 % dans les grandes entreprises et 9 % dans les PME. Il avoisinait 30 % dans le secteur de la chimie.

Illustration générée par IA

The post Femmes et numérique : malgré les biais, l’IA donne espoir appeared first on Silicon.fr.

Dans un an, il n’y aura plus de Quip au catalogue de Salesforce.

Les abonnements resteront actifs jusqu’à échéance, mais ne pourront pas être renouvelés après le 1^er mars 2027.

Salesforce ouvre grand la porte à Slack et à Agentforce Sales. Il explique avoir décidé d’y « réimaginer les principaux cas d’usage de Quip ». Il en mentionne quatre : planification de compte, notes de réunion, documentation d’aide, rédaction collaborative.

Pour les clients concernés, une procédure en trois temps s’enclenchera au terme de l’abonnement :

• Passage en lecture seule pour 90 jours ;
• blocage des logins pour 30 jours ;
• suppression des données, généralement sous 30 jours.

La transition ne sera pas automatique. Salesforce fournira cependant de quoi convertir des documents Quip en canevas Slack et exporter d’autres types de contenus vers des applications tierces. Il promet aussi des outils de gestion du changement.

Live Data, Live Apps… Quip, un « canevas unifié » avant Slack

Quip est le fruit d’une acquisition. Salesforce s’en était emparé à l’été 2016, pour 750 M$. Il s’agissait alors d’une application de productivité combinant les aspects communication et collaboration. Un de ses créateurs n’était autre que Bret Taylor, ancien CTO de Facebook… et futur COO, puis co-CEO de Salesforce.

La première passerelle avait été établie au niveau du SSO (connexion à Quip avec un compte Salesforce). La fonctionnalité Live Data avait suivi début 2017. Elle permit d’intégrer, dans les documents et les feuilles de calcul Quip, des données issues de Salesforce et mises à jour « en temps réel ». En parallèle, un composant Lightning fut mis à disposition pour pouvoir, dans Salesforce, rechercher, consulter et créer du contenu Quip.

Fin 2017 étaient arrivées les Live Apps. Elles permirent d’effectuer, dans Quip, des actions sur des objets issus de Salesforce (enregistrements, calendriers et kanbans pour commencer) et de services tiers (Atlassian, DocuSign, Lucidchart, New Relic…). En combinaison avec Live Data, elles concrétisaient le principe du « canevas unifié », que Salesforce promouvrait aussi plus tard avec Slack.

Et vint – l’éphémère – Salesforce Anywhere

Ces jonctions effectuées, la marque Quip for Salesforce était née début 2019. Rapidement devenue Quip for Customer 360, elle donnait accès à Quip dans les offres Sales Cloud et Service Cloud, grâce au composant Lightning en question. Au deux types de contenus initialement pris en charge – traitement de texte et du tableur – s’étaient ajoutés les diapositives (intégrées à Quip en 2018) et les salons de discussion.

Toujours en 2019, Salesforce avait établi une connexion avec Process Builder et Flow Builder. Il s’agissait d’automatiser la création de documents à partir des données du CRM. L’année suivante, Quip devenait capable de créer des slides embarquant des dashboards Einstein Analytics. Amazon, Autodesk, Cisco, DHL, HPE, Qantas et Ticketmaster faisaient alors partie de la clientèle.

Mi-2020, Quip s’était retrouvé intégré dans le package Salesforce Anywhere. La marque, adoptée en réaction au « phénomène télétravail », reprenait le coeur Customer 360. Elle y associait, entre autres, les technologies héritées d’un rachat bouclé quelques mois plus tôt : Vlocity, qui avait développé des CRM « verticaux » sur Salesforce. Elle reposait surtout sur une application mobile et de bureau – alors en bêta – censée centraliser l’expérience de travail autour des workflows Salesforce. En particulier grâce à une brique chat et visio alimentée par Amazon Chime et par une intégration avec Zoom. Quip y avait sa place en tant que couche collaborative. Tanium était aussi dans la boucle pour aider à « passer à l’échelle » le support IT.

Salesforce Anywhere allait assez rapidement disparaître des radars. Et la marque Quip, réapparaître en conséquence, en septembre 2021. Quelques semaines plus tôt, Salesforce avait bouclé l’acquisition de Slack.

Illustration générée par IA

The post Salesforce éteint Quip : la suite sur Slack et Agentforce appeared first on Silicon.fr.

Mi-janvier, la nouvelle tombait : fin 2025, Société Générale avait décommissionné SoGPT. Après plus d’un an d’exploitation, un constat s’était imposé : ce GPT interne n’avait pas pu suivre la cadence des principales solutions du marché.

Le groupe français n’était pas à l’origine de cette annonce. Il ne l’a cependant pas démentie. Son P-DG s’en est même expliqué début février. Son postulat : puisque entre opportunités et menaces, les choses ne sont « pas encore totalement claires », il convient d’utiliser les meilleurs outils disponibles.

En interne, trois grandes typologies d’usages IA « fonctionnent », a-t-il ajouté. Premièrement, le résumé et la traduction de texte. Deuxièmement, l’extraction de données « plus ou moins structurées ». Troisièmement, les tâches informatiques, à commencer par le codage. Pour tous ces aspects, Société Générale préfère recourir à une technologie externe qui a « prouvé sa fiabilité » et sa « capacité à favoriser l’adoption ».

Cette techno, c’est Copilot, de Microsoft. Elle n’est pas, et de loin, une nouvelle venue dans la boîte à outils de Société Générale. Le groupe l’avait déployée en parallèle de son GPT interne. Sa directrice de l’innovation l’évoquait déjà en septembre 2023. Elle dénombrait alors quelque 600 cas d’usage de l’IA « classique », générant environ 340 M€ de valeur.

Un an plus tard, à l’occasion de la conférence Everyday AI Paris, l’intéressée avait mentionné SoGPT. Elle recensait alors 650 « cas d’usage data », dont plus de la moitié impliquant de l’IA. Le volet génératif était abordé sous le prisme « 4C » : client, contenu, concision et code. L’objectif était de dégager une valeur globale de 500 M€ à l’horizon 2025.

SocGen AI, une entité pour porter des développements internes « lorsque pertinent »

Pour industrialiser les solutions d’IA, Société Générale a créé, en mars 2025, une entité transversale : SocGen AI. Sa présidente est Laura Mather, COO du groupe. Son DG Nicolas Méric est un ancien de DreamQuark et de Linedata, fournisseurs de solutions data/IA pour le secteur financier.

L’AG de mai 2025 avait été l’occasion de revenir sur SocGen AI. Et, notamment, de promettre une ouverture aux expertises externes. Société Générale précisait alors avoir une stratégie de fournisseurs diversifiés… et opter pour des développements internes « lorsque pertinent ».

En septembre 2025, le groupe avait porté plainte auprès de l’Organisation mondiale de la propriété intellectuelle. Sa cible : une petite entreprise britannique qui avait déposé, trois ans plus tôt, le nom de domaine socgen.ai. Il avait obtenu raison en invoquant le dépôt de la marque SOCGEN au niveau européen en 1998 puis international en 2001.

Fin novembre, des offres d’emploi mentionnaient encore SoGPT. Par exemple, pour un poste de stagiaire à Monaco. Une des missions consistait en l’accompagnement des métiers par le déploiement et le support de SoGPT… ainsi que de Copilot.

Début décembre, un média indien publiait une interview de la DRH pour la zone Asie-Pacifique. Était évoqué, en particulier, l’usage de l’IA au sein du LMS (système de gestion de la formation) et de la marketplace interne de talents. SoGPT l’était aussi, comme Copilot. L’un et l’autre aident à l’interprétation des textes de loi, expliquait la DRH. Elle parlait aussi du recours à Copilot pour synthétiser les enquêtes de satisfaction employés.

Illustration © GoodPics – Adobe Stock

The post Du GPT interne à Copilot, une bascule pas si radicale pour Société Générale appeared first on Silicon.fr.

Cinq fois le mot « souveraineté » dans un même post : sur le blog d’Alibaba Cloud, c’est inhabituel, pour ne pas dire quasi inédit.

Ce post, publié début février, dresse un « bilan annuel » de l’offre de cloud privé Apsara Stack. Dans la pratique, il s’agit d’une plaquette commerciale. Elle a, donc, la particularité de comporter de nombreuses références à la notion de « souveraineté ». Avec des exemples. Parmi eux, le Sénégal. Sur place se dérouleront, du 31 octobre au 13 novembre 2026, les Jeux olympiques de la jeunesse. Les principaux SI sous-jacents doivent être migrés chez Alibaba Cloud, nous explique-t-on. Apsara Stack portera des « applications critiques » à l’image de la billetterie et de la gestion du parcours de la flamme. Il est surtout censé contribuer, par après, à la mise en place d’une « infrastructure cloud nationale souveraine »…

Alibaba Cloud donne un autre exemple : celui de l’Algérie, qui s’est appuyée sur ses services pour déployer une « infrastructure cloud souveraine pour les services publics ».

Alibaba Cloud mise sur les partenariats telcos

Pour trouver trace d’un autre emploi du mot « souveraineté » sur le blog principal de l’entreprise chinoise, il faut remonter à septembre 2025. Elle avait félicité un client et un partenaire intégrateur malaisiens qui venaient de remporter des prix d’innovation décernés par une association représentative du secteur IT.

La notion de souveraineté apparaît épisodiquement sur d’autres canaux de com d’Alibaba Cloud. Illustration sur Facebook en novembre 2025, dans le cadre d’un forum gouvernemental en Arabie saoudite. L’entreprise avait organisé un atelier à ce sujet avec Atos.

Quelques mois plus tôt, son directeur secteur public avait appelé les pays émergents à investir dans le « cloud souverain ». Il avait évoqué les alliances montées dans cette perspective avec des opérateurs télécoms. Et en avait mentionné une : en Afrique du Sud, avec BCX, qui assure une « exploitation indépendante » du cloud.

Alibaba Cloud avait fait son entrée sur le marché sud-africain grâce à ce partenariat. C’était en 2022. Promettant d’accompagner le développement de compétences locales, il a mis sur pied , avec BCX, une Alibaba Cloud Academy.

Des certifications européennes… surtout en Allemagne

Dans son trust center, Alibaba Cloud détaille sa conformité à diverses réglementations nationales… mais exclusivement sur la plaque Asie (+ Australie). Toutefois, parmi les certifications dont il dispose, certaines ont été délivrées en Europe. Notamment C5 (le « SecNumCloud allemand »), obtenu pour la première fois en 2020. L’Allemagne lui a aussi attribué l’AIC4 (AI Cloud Service Compliance Criteria Catalog), qui évalue la sécurité des services d’IA. Sur place, il en a également obtenu une de la part de l’industrie automobile : TISAX (Trusted Information Security Assessment Exchange).

En Europe, Alibaba Cloud détient par ailleurs la certification EU CoC. Elle est censée témoigner du respect des obligations de l’article 28 du RGPD, relatif aux sous-traitants.

Illustration générée par IA

The post Alibaba Cloud se fait plus explicite sur la souveraineté appeared first on Silicon.fr.

Ne dites plus GAGSI, mais MAGNum.

Ce changement « marque le passage d’une vision centrée sur le SI à une approche globale du numérique », assure le Cigref.

L’association est à l’origine de ce document, élaboré avec deux pairs : l’AFAI-ISACA (Association française de l’audit et du conseil informatique ; aujourd’hui ISACA France) et l’IFACI (Institut français de l’audit et du contrôle internes).

L’intégration d’un modèle de maturité

La version initiale fut publiée en 2011. Une première mise à jour intervint en 2019, toujours sous le nom de GAGSI (guide d’audit de la gouvernance des SI). Elle avait notamment ajouté la culture de l’innovation et la gestion des données comme vecteurs d’analyse.

Le Cigref et ses pairs viennent d’en sortir une nouvelle révision. Elle aussi ajoute un axe d’analyse : la RSE. Surtout, donc, elle se focalise sur la notion de « numérique ». Et positionne les bonnes pratiques de gouvernance au niveau de l’ensemble de l’organisation – plus seulement de la DSI. D’où l’acronyme MagNUM, pour « modèle de maturité et d’audit de la gouvernance numérique ».

Des travaux antérieurs avaient ouvert la voie à cette approche. Ils avaient permis de classer les « bonnes pratiques » de chaque vecteur par niveaux de maturité.
Le MAGNum reprend ce système. Mais de façon plus fine, en l’appliquant à tous les critères composant chacune des bonnes pratiques. Les niveaux dépendent de l’effort de mise en place. Le Cigref et C^ie y associent un outil de mesure, la notation consolidée devant permettre d’obtenir un « radar de maturité ».

Parallèlement à l’ajout de la RSE, l’axe « risques » s’enrichit de bonnes pratiques de conformité et met davantage d’accent sur la cybersécurité. L’IA se diffuse de surcroît dans tous les vecteurs, à commencer par celui relatif à la data.

Les lignes bougent, leur contenu aussi

Du GAGSI au MAGNum, les évolutions structurelles sont nombreuses. Le premier axe (« Stratégie ») est une bonne illustration, entre précision, fusion, division et ajout de critères.

La première bonne pratique – participation du DSI à l’élaboration de la stratégie de l’entreprise – demeure. Mais le critère de communication des résultats de la veille technologique est scindé en deux, correspondant à la mise en place du dispositif de veille et au partage des résultats.
En « version MAGNum », cette même bonne pratique a des critères supplémentaires. D’une part, décliner le plan stratégique de l’organisation sous forme de feuille de route numérique. De l’autre, assurer que les sujets de transformation numérique bénéficient d’un sponsoring au plus haut niveau de l’organisation.

Des ajouts, il y en a aussi sur la bonne pratique consistant à intégrer, dans le volet numérique du plan stratégique, les cibles métiers et technologiques ainsi que la planification des ressources nécessaires à leur atteinte. Apparaît notamment un critère appelant à décrire les paliers d’évolution vers les objectifs. En parallèle, le MAGNum fusionne le critère relatif à la stratégie de sourcing dans celui qui invite à préciser les ressources nécessaires.

Pour trouver des critères que le MAGNum précise, on peut aller voir sur la partie communication du volet numérique. La nouveauté : une exigence d’adapter cette com aux publics cibles. Autre exemple de précision : l’instance de pilotage stratégique du SI mise en place pour valider ce même volet et en effectuer le suivi. Elle le sera typiquement au niveau de la DG… mais pourra, le cas échéant, être assurée par la direction de la BU concernée.

Innovation : penser aux dispositifs de repriorisation

Les mêmes types de modifications structurelles se retrouvent sur le deuxième axe (« Innovation »). Témoin la bonne pratique relative à l’encadrement des efforts par une politique et une gouvernance adaptées. Il n’y est plus question d’une instance en charge de l’effort d’innovation, mais d’une structuration des activités, déclinable « de différentes façons plus ou moins formelles ». Le MAGNum mentionne, à ce sujet, le rapprochement entre DSI et marketing stratégique. L’ensemble n’était pas absent du GAGSI, mais figurait dans une autre bonne pratique.

Avec la disparition du critère d’existence de ladite instance, les suggestions de responsabilités associées glissent dans un autre critère (définition claire des rôles et responsabilités dans la politique d’innovation).

Du GAGSI au MAGNum, la notion de PMO (Product Management Office, censé faciliter l’innovation par les technologies émergents) disparaît aussi (elle perdure toutefois sur l’axe « Portefeuille de projets »). Tandis que la bonne pratique relative à la communication et à la performance est divisée en deux, pour couvrir séparément chacun de ces aspects.

La bonne pratique sur le traitement agile des initiatives d’innovation ne change quasiment pas. Si ce n’est qu’y apparaît la notion de dispositifs de repriorisation, dans une logique de souplesse budgétaire.

Une plus grande surface pour la protection cyber et la conformité

Le GAGSI dédiait une bonne pratique à l’identification et à la documentation des contrôles dans les applications. Avec le MAGNum, elle disparaît… pour se retrouver intégrée dans une autre, nouvelle, relative à la protection des données.

La conformité a donc désormais sa bonne pratique spécifique. Laquelle englobe, entre autres, élaboration d’une charte, compliance by design, documentation des écarts et reporting.
Même remarque pour la protection contre les cyberattaques (identification d’une fonction RSSI, définition d’une PSSI, formation et sensibilisation, tests et certifications par tiers, etc.). Et pour la protection des infrastructures numériques (redondance, politique de sauvegarde, processus de gestion de l’obsolescence et des vulnérabilités…).

Sur la partie « identification et évaluation des risques », le GAGSI avait un sous-critère SOC. Le MAGNum n’en a pas, même s’il inclut l’identification des menaces suffisamment importantes. À la place, il appelle les organisations à prendre en compte les risques impactant leur écosystème. Ainsi que l’influence de leurs propres évolutions internes.

Pour ce qui est du cadre de gestion des risques, le MAGNum mentionne, au contraire du GAGSI, l’aspect certifications professionnelles. Il précise par ailleurs la nécessité d’intégrer les risques tiers dans la cartographie. Et cite davantage de référentiels pour l’inventaire de risques (ISO 31000, EBIOS RM, COSO ERM, NIST CSF, OCTAVE et MEHARI rejoignent Risk IT Framework, COBIT et ISO 27005).

IT for green et accessibilité numérique, nouveautés dans la version 2026

L’axe RSE est plus synthétique que les précédents. Il comprend 5 bonnes pratiques :

• Gouvernance
  Sponsorship de la DG en matière de numérique responsable, intégration de la politique RSE de l’organisation dans la stratégie numérique, instance de pilotage du numérique responsable…
• Programme de sensibilisation et de formation
  Référents numérique responsable dans les BU, intégration de cette dimension dans les compétences recherchées pour les candidatures IT…
• Écoconception numérique
  Pilotage dédié de la performance écologique du SI, actions dédiées à l’accessibilité numérique, accompagnement des métiers à l’élaboration de solutions IT for green…
• Politique d’achats numériques responsables
  Critères RSE explicites dans les cahiers des charges, préférence pour le matériel labellisé ou certifié RSE, challenger les fournisseurs sur la fin de vie des équipements…
• La filière numérique pilote se contribution à la RSE de l’organisation

La data pour l’IA… et l’inverse

Sur la partie data, le GACSI s’articulait en cinq bonnes pratiques. Dans les grandes lignes, gestion, valorisation, sécurisation, réglementation et éthique.

Le MAGNum divise l’aspect gestion en deux bonnes pratiques. Au sein de la première, il combine les aspects cartographie et analyse de la chaîne de valeur. Dans la deuxième, il fusionne des critères de maintien d’un référentiel et d’un dictionnaire de données ainsi que de contrôle de la data quality. Il y ajoute une mention de l’IA, en tant qu’elle est utilisable pour « rendre le processus [de gestion] plus efficace ».

Une bonne pratique reste dédiée à la valorisation. Avec deux précisions. D’un, les initiatives peuvent concerner tant les données structurées que non structurées. De deux, la mesure de leur efficacité doit englober l’usage de moteurs d’IA (RAG, par exemple).

La bonne pratique « sécurisation » demeure, mais sans le critère d’intégration de la dimension data dans les PCA/PRA.

Reflet du nouvel axe RSE et du complément conformité, la réglementation et l’éthique ne font plus l’objet de bonnes pratiques dédiées. L’IA, au contraire, a désormais la sienne, entre politique d’utilisation, critères spécifiques dans le processus de décision relatifs aux investissements, actions de promotion, valorisation des compétences et feuille de route pour le passage à l’échelle.

Illustration générée par IA

The post De la gouvernance des SI à celle du numérique : comment le Cigref a révisé son guide d’audit appeared first on Silicon.fr.

BYOD, IA, réseaux sociaux professionnels, logiciels à usage industriel… Les derniers « flashs ingérence » de la DGSI ont souvent fait la part belle au numérique.

Le service de renseignement avait institué ce format en 2012. Il y présente brièvement des cas réels d’ingérence économique et y associe des préconisations. Le dernier en date (février 2026) évoque les risques de captation d’informations lors de déplacements à l’étranger.

Deepfakes, shadow AI… et due diligence sans vigilance

Le « flash ingérence » précédent (décembre 2025) est consacré à l’usage de l’IA dans le monde professionnel.

L’un des cas présentés est une tentative d’escroquerie par deepfake. Elle a visé le responsable d’un site industriel d’un groupe français. L’intéressé a reçu un appel visio. Son interlocuteur avait l’apparence physique et la voix du dirigeant du groupe. Il n’a cependant pas accédé à la demande qui lui a été faite de transférer des fonds dans le cadre d’un prétendu projet d’acquisition.

Les deux autres cas présentés touchent respectivement à l’usage d’IA sans autorisation et sans vérification. Le premier implique la traduction régulière de documents confidentiels à l’aide d’un outil « grand public » développé par une société étrangère, sans aval de la hiérarchie. Le second concerne le recours à un autre outil d’origine étrangère, pour de la due diligence. La société utilisatrice a systématiquement orienté ses décisions en fonction du retour fait par l’outil, sans contrôle complémentaire.

Des approches indésirables sur les réseaux sociaux professionnels

Le « flash ingérence » précédent (novembre 2025) est dédié aux approches malveillantes sur les réseaux sociaux professionnels.

La DGSI y expose le cas d’une start-up en difficulté financière évoluant dans un secteur sensible. Son dirigeant est approché par un prétendu cabinet de conseil étranger qui déclare opérer en qualité d’intermédiaire pour un fonds d’investissement. Convaincu, il lui dévoile des informations, dont un projet de conception d’un nouveau produit. Le service juridique de la start-up finit toutefois par détecter la supercherie. Ni le cabinet ni le fonds n’avait d’existence légale. Et on n’en trouvait trace dans aucune base de données de leurs pays d’origine déclarés.

Autre fausse promesse de financement : celle qui a ciblé le responsable d’un centre de recherche. Elle provenait du soi-disant chargé de com d’une célébrité internationale. Elle était d’autant plus crédible que cette célébrité avait récemment effectué des actions de soutien dans le domaine d’activité du centre – actions largement relayées sur les réseaux sociaux. La discussion n’est pas allée plus loin lorsque l’individu a demandé le règlement préalable d’une taxe locale de plusieurs milliers d’euros.

Le troisième cas exposé est celui de salariés piégés par un faux profil. L’escroc s’est d’abord fait passer pour un comptable interne, sans succès (le dirigeant avait repéré la supercherie). Il a eu plus de réussite quelques mois plus tard. Avec un autre faux profil, il est parvenu à engager des discussions avec des salariés. Dont un qui lui a révélé des infos stratégiques relatives au calendrier de développement de certaines activités de l’entreprise et à l’état de ses progrès technologiques.

Les points faibles des logiciels industriels

En octobre, il y avait eu un « flash ingérence » concernant les risques associés à l’absence de protection des logiciels à usage industriel.

La DGSI y présente le cas d’une entreprise française développant des systèmes industriels. Un de ses clients avait, avec l’aide d’une entreprise concurrente étrangère, détourné le programme embarqué et l’avait installé sur une machine tierce. Or, ni le programme ni la machine ne bénéficiaient d’une protection par brevet. L’entreprise française avait considéré qu’en déposer un aurait publiquement exposé ses inventions. Le client a justifié la démarche par des temps de livraison jugés trop longs.

Deuxième cas : celui d’une entreprise française commercialisant un logiciel à intégrer dans des machines-outils. Un client étranger, prétextant un défaut de mise à jour, a fait une sauvegarde totale des données et du programme. Ce sans respecter les procédures de l’entreprise française, qui, habituellement, se déplace pour faire elle-même la mise à jour.
En l’absence de possibilité de protection par brevet des logiciels en tant que tels, l’entreprise craint notamment une revente à un concurrent.

La DGSI mentionne aussi un cas d’exfiltration de code source non protégé, survenu dans une entreprise ayant développé un logiciel applicatif pour un secteur industriel de pointe. Deux anciens salariés, qui avaient eu accès à ce code source développé dans le cadre de leurs fonctions, avaient créé une société concurrente pour l’exploiter. Ce quand bien même leurs contrats de travail comprenaient des clauses de confidentialité et de non-concurrence.

Entre phishing et keyloggers, la DGSI n’oublie pas le « facteur humain »

Un peu plus tôt dans l’année était paru un « flash ingérence » intitulé « Le facteur humain, principal vecteur de compromission des systèmes d’information ».

Le premier cas présenté est celui d’un salarié d’une société hébergeant des données sensibles. L’intéressé a accédé à sa messagerie professionnelle à partir d’outils personnels, alors même que la charte informatique de son employeur l’interdisait. Cela a permis à des attaquants de pénétrer le SI puis d’exploiter une faille 0-day.

Autre entreprise, autre salarié, quant à lui approché sur un réseau social professionnel par un soi-disant chargé de recrutement dans un grand groupe étranger. Invité à ouvrir une pièce jointe dans un de ses e-mails, il a ouvert la porte à un virus qui a permis d’extraire des centaines de fichiers sensibles. Ainsi que des fichiers appartenant à son ancien employeur.

La DGSI y ajoute une action malveillante d’un salarié travaillant chez un prestataire d’un grand groupe industriel. Il a installé un keylogger sur une clé USB personnelle. Puis l’a mise à disposition de ses collègues en tant que support de stockage professionnel. Cela lui a permis de récupérer les identifiants des personnes qui l’avaient connectée à leur ordinateur.

Le BYOD, consultants compris

En mars 2025, la DGSI avait publié un « flash ingérence » sur les risques associés à l’utilisation d’outils numériques personnels à des fins professionnelles.

Premier cas évoqué : un salarié ayant utilisé à de multiples reprises son ordinateur personnel pour se connecter à la plate-forme commerciale de son entreprise. Sans dispositif d’anonymisation ni chiffrement des échanges. Un membre de sa famille utilisait régulièrement cet ordinateur. Qui, pendant une courte période, a eu un fonctionnement inhabituel, non expliqué. Plusieurs mois après, le RSSI de la société a constaté que l’identifiant et le mot de passe du salarié étaient sur le darkweb. Faute d’authentification forte sur la plate-forme commerciale, des tiers ont accédé à la base de données clients.

Autre cas : celui d’un consultant d’un prestataire informatique d’une société sensible. À son domicile, il s’est fait voler son ordinateur personnel. Il y avait transféré des données de la société depuis son poste de travail pro. Elles étaient stockées sans protection particulière et l’ordinateur n’était sécurisé que par un mot de passe. Le presta n’avait pas avisé la société de ce transfert de fichiers.

La DGSI mentionne aussi une entreprise qui encourageait le BYOD sans l’avoir encadré clairement. Et sans posséder de systèmes de gestion des appareils mobiles à distance. Elle n’a pas pu déterminer ce qui est arrivé au téléphone d’un salarié lors d’un contrôle aéroportuaire. Les autorités étrangères l’ont saisi, ont obtenu son déverrouillage et l’ont emporté dans une autre pièce…

Illustration générée par IA

The post Numérique en entreprise : les mises en garde de la DGSI appeared first on Silicon.fr.

Dessiner un cuboïde, créer un raccourcisseur d’URL, lire des variables dans un fichier de configuration, implémenter le code de César… Autant de tâches de programmation qui figurent au catalogue de Rosetta Code.

Le projet en réunit plus d’un millier. Il cherche à collecter des solutions dans un maximum de langages. Son dataset a servi de base à une expérimentation dont un des fondateurs de CatchMetrics (optimisation des sites web) a récemment rendu compte. L’objectif était de déterminer quels langages sont frugaux en tokens – et donc susceptibles de moins encombrer la fenêtre de contexte des agents de codage.

Les langages dynamiques (juste) devant les langages fonctionnels

Le travail de comparaison a été confié à Claude Code, à l’appui d’un portage communautaire du tokenizer de GPT-4. L’agent avait, au préalable, sélectionné 19 langages « populaires » et avait récupéré les tâches ayant des solutions dans chacun de ces langages.

L’auteur de l’expérimentation admet les limites et les biais potentiels de son approche, qu’il reconnaît dépourvue de « rigueur scientifique » (pas de communication du prompt, entre autres). Il en souligne toutefois quelques enseignements. Entre autres, la plus grande efficacité des langages dynamiques (Clojure, Julia, Ruby, Perl et Python occupent les 5 premières places). Ne pas avoir à déclarer de types explicites aide, considère-t-il.

L’intéressé s’étonne de l’efficacité de langages fonctionnels comme Haskell et F#. L’un et l’autre consomment à peine plus de tokens que les langages dynamiques. C’est sans doute dû mécanisme d’inférence de types, estime-t-il.

La frugalité des langages orientés tableaux

Ses conclusions ont fait réagir. On lui a notamment rappelé les garanties qu’apportent les annotations de type… et le coût – en efforts comme en tokens – nécessaire pour en apporter de comparables dans les langages à typage dynamique.

On lui a aussi suggéré de tester des langages orientés tableaux. Ce qu’il a fait, avec APL et J.
APL se classe au 4^e rang, consommant 110 tokens en moyenne. Sa syntaxe concise est un plus. Au contraire de son jeu de caractères, riche en glyphes (⍳, ⍴, ⌽…) auxquels le tokenizer est mal adapté.
Limité à de l’ASCII, J se révèle plus frugal, descendant à 70 tokens de moyenne.

L’expérience a ses limites en ce qu’elle se focalise sur de petites tâches. De même, le tokenizer est fixe, alors qu’on pourrait le réentraîner pour mieux gérer le code. L’auteur ne dit pas ailleurs pas si son comparatif a pris en compte les éventuelles erreurs à l’exécution et les tokens qu’elles ont consommés. Il n’aborde pas non plus les spécificités syntaxiques des langages. Par exemple, le fait que certains intègrent du code de formatage de texte dans des chaînes littérales comptées comme des tokens, tandis que d’autres ont un usage important des espaces – on peut citer les indentations de blocs dans Python – quant à eux possiblement pas comptés comme des tokens.

Illustration générée par IA

The post Codage IA : les langages les plus frugaux en tokens appeared first on Silicon.fr.