Google dévoile Gemini Enterprise, une nouvelle plateforme d’intelligence artificielle dédiée aux clients professionnels.

Gemini Enterprise est conçu pour offrir aux employés une interface de type conversationnelle, via laquelle ils peuvent interagir avec les données, les documents et les applications de leur entreprise.

En pratique, la plateforme combine plusieurs composantes :

• des agents pré-configurés (par Google) pour des tâches comme la recherche approfondie ou l’analyse de données ;

• la possibilité pour les entreprises de créer et déployer leurs propres agents personnalisés ;

• une connexion sécurisée aux données de l’entreprise, qu’elles résident dans Google Workspace, Microsoft 365 ou des applications professionnelles (Salesforce, SAP, etc.)

• un cadre centralisé de gouvernance pour surveiller et auditer les agents déployés.

Google présente Gemini Enterprise comme une « porte d’entrée » unique pour l’IA au sein du lieu de travail — une interface unifiée destinée à connecter les différents outils, données et processus.

Google annonce que certaines entreprises ont déjà adopté Gemini Enterprise ou sont engagées dans cette démarche. Parmi elles figurent Gap (distribution de vêtements), Figma (logiciel de design) et Klarna (service de paiement différé, BNPL)

D’autres partenariats sont également évoqués : par exemple, Accenture prévoit d’intégrer Gemini Enterprise dans ses propres opérations pour faciliter le partage des connaissances et l’automatisation de processus.

Google mentionne que le réseau de partenaires (éditeurs de logiciels et prestataires) pourra proposer des agents compatibles avec la plateforme, ce qui élargirait l’écosystème utilisable par les entreprises clientes.

Liens avec les offres de Google Cloud

Cette nouvelle plateforme s’appuie sur les acquis de Google dans le secteur professionnel, notamment Google Workspace, qui depuis quelque temps intègre des fonctionnalités d’IA basées sur Gemini.

Cependant, il ne s’agit pas simplement d’une extension ou d’un rebranding de l’offre IA de Workspace : Gemini Enterprise est déployé comme une plateforme distincte, sous l’égide de Google Cloud, avec des capacités plus larges et plus spécialisées pour l’agentique d’entreprise.

Quelques points à surveiller ou à approfondir :

• Sécurité et gouvernance : connecter des agents à des données sensibles d’entreprise implique des besoins élevés en contrôle d’accès, auditabilité et protection des données. Google met en avant un cadre de gouvernance centralisé, mais la mise en œuvre pratique à grande échelle restera un défi.

• Adoption interne : convaincre des équipes non techniques de construire et d’utiliser des agents personnalisés suppose une interface accessible (par exemple sans codage) et un accompagnement. Google évoque un « no-code workbench ».

• Interopérabilité et intégration : les entreprises ont déjà des systèmes variés (ERP, CRM, bases de données internes). La capacité de Gemini Enterprise à s’intégrer à ces environnements sera déterminante.

• Compétition et différenciation : Microsoft, OpenAI et d’autres acteurs multiplient leurs offres pour entreprises. Le succès dépendra de la valeur ajoutée offerte (modèles, agents, intégration, coût) comparée à ce que proposent les concurrents.

• Évolutivité et robustesse : pour remplacer ou compléter des processus métiers critiques, la plateforme devra garantir stabilité, performances et capacité à monter en charge.

The post Google lance Gemini Enterprise appeared first on Silicon.fr.

The post Cyberattaque : Jaguar Land Rover redémarre après plus d’un mois de paralysie appeared first on Silicon.fr.

Nomios annonce l’acquisition d’Intragen, pour un montant non commuiqué, pour consolider sa position sur le marché européen.

Intragen apporte à Nomios une expertise spécifique dans la gestion des identités numériques et des accès à privilèges (PAM). L’entreprise collabore notamment avec les éditeurs CyberArk, SailPoint, One Identity et Okta. Elle a reçu plusieurs distinctions, dont le titre de « partenaire mondial de l’année » de One Identity en 2023 et celui de « partenaire européen de l’année » d’Okta en 2025. Ses 250 experts gèrent aujourd’hui la sécurité de millions d’identités à travers l’Europe.

L’intégration d’Intragen permettra à Nomios d’élargir son offre, couvrant désormais l’ensemble des domaines de la cybersécurité, du réseau à la gestion des identités.

Trois pôles d’activité pour Nomios

Nomios structure ses activités autour de trois pôles : la Gouvernance, Risque et Conformité (GRC), qui assure l’accompagnement stratégique et la gestion des risques ; les Professional Services, dédiés à l’intégration et au déploiement de solutions de sécurité ; et les Services managés, qui garantissent la supervision et la maintenance des systèmes via les centres SOC (Security Operations Centre), NOC (Network Operations Centre) et VOC (Vulnerability Operation Centre).

Le groupe tire aujourd’hui environ 75 % de son chiffre d’affaires de la cybersécurité, contre 25 % pour les activités réseau. Plus de la moitié (55 %) de son chiffre d’affaires net provient de ses services propres, ce qui contribue à la stabilité et à la prévisibilité de son activité.

Sur le plan géographique, 60 % de l’EBITDA de Nomios est généré hors de France, principalement aux Pays-Bas, en Italie et au Royaume-Uni.

Avec cette acquisition, Nomios vise un chiffre d’affaires de 650 millions d’euros et un EBITDA de 75 millions € en 2026. L’intégration d’Intragen doit permettre d’accélérer la croissance du groupe, d’élargir son portefeuille de clients et de renforcer son offre en services récurrents, notamment dans les domaines de la gestion des identités et de la cybersécurité managée.

Intragen opérera dans un premier temps comme entité distincte sous la marque Intragen by Nomios, avant d’être intégrée comme segment autonome au sein du groupe. Les équipes existantes seront conservées, et la direction actuelle d’Intragen continuera de piloter l’activité.

The post Avec Intragen, Nomios se renforce sur le PAM appeared first on Silicon.fr.

Après le « lieu totem », la « station d’appairage ». Ainsi doit évoluer le Campus Cyber, selon son président Joffrey Célestin-Urbain.

L’intéressé parle aussi de « plate-forme de connexion multiprises ». L’idée est la même : créer du liant entre l’écosystème cyber français et les écosystèmes européens. Il en résulterait ainsi davantage de confiance… notamment au plan économique. « Derrière, si vous avez cette confiance, vous pouvez développer des mécanismes d’achats croisés. Ça ne marchera pas si nous n’avons pas un sentiment d’appartenance commune. Et ça, ça se bâtit à partir d’écosystèmes comme le Campus. »

La promesse de services « en partie harmonisés » entre les Campus Cyber

Au niveau national, il faudra compter sur les campus régionaux. « Depuis quelques mois, on a vraiment redynamisé les échanges, assure Joffrey Célestin-Urbain. La cabine de pilotage assurée par le [campus national] avait été un peu désertée, on l’a réinvestie. » Le plan d’action commun reste néanmoins en cours de définition. Tout au plus nous fait-on une promesse : « Peu importe la porte d’entrée dans le réseau des campus, [un accès] à un contenu de qualité qui vous apporte un certain nombre de services en partie harmonisés. »

La notion d’écosystème devra constituer le « complément non immobilier » à la location d’espaces, qui représente actuellement 78 % des revenus. En toile de fond, le départ de certains locataires. « La communauté a eu raison de se questionner sur ce qui était en train de se passer avec le Campus Cyber, […] une belle endormie qui vivait sur l’impulsion politique des débuts« , admet Joffrey Célestin-Urbain. Et de se projeter, en parallèle, sur ce qu’il appelle une « couche de services méta-écosystémique ». Dit autrement, un ensemble de services pour accompagner les entreprises qui veulent se créer en cybersécurité. Une « couche non marchande » s’y ajoutera. En d’autres termes, la production d’externalités positives, d’activités d’intérêt général. « Ce sera une discussion à avoir avec l’État » avec, en tête, les contraintes politiques et sur les finances publiques… « On peut se dire qu’à court et à moyen terme, il n’y a qu’un KPI : la satisfaction des résidents« , avance cependant le président du Campus Cyber.

The post Les Assises 2025 : le Campus Cyber promet un vrai fonctionnement en réseau appeared first on Silicon.fr.

Monaco – Envoyé spécial – « Le message est simple : winter is coming. »

Loin de la satisfaction qu’il avait affichée l’an dernier au sortir des JO, Vincent Strubel a ouvert les Assises de la sécurité 2025 sur une perspective pour le moins pessimiste. En l’occurrence, l’engagement de nos armées dans un conflit d’intensité à l’horizon 2030 ; avec, simultanément, une hausse massive des attaques hybrides sur le territoire français.

Le directeur général de l’ANSSI reprend en fait une hypothèse formulée dans la dernière Revue nationale stratégique, publiée en juillet. Il ne manque par d’affirmer que cet horizon « donne d’autant plus de sens à notre travail collectif de construction de la cyberrésilience ».

Ce travail conduit à fixer des règles et à préparer la gestion de crise. Il implique aussi une notion dont l’agence a fait son mantra : « changer d’échelle ». En d’autres termes, diffuser la cybersécurité dans le tissu économique. Dans cette optique, elle mobilise, entre autres, le levier de l’entraînement, illustré par l’organisation, le mois dernier, de l’exercice REMPAR25.

Dans le même esprit, l’ANSSI a fait évoluer ses référentiels PASSI (audit) et PRIS (réponse aux incidents) pour étendre leur champ d’application. Au niveau d’exigence « élevé » (cœur historique du besoin) s’est ainsi ajouté le niveau « substantiel », axé sur le besoin des plus petits acteurs.

Non, la « détection souveraine » n’est pas remise en cause

Dans les prochains mois, l’agence devrait finaliser des travaux portant sur les solutions de détection. Ils concernent aussi bien les prestataires que les produits. L’occasion pour Vincent Strubel de rappeler, comme il l’avait déjà fait voilà quelques semaines, qu’il n’est pas question de rogner sur l’exigence de souveraineté qui s’applique aux OIV. « Ce serait un contresens historique. On cherche en revanche à ouvrir le champ des possibles, à ne pas rester sur une réglementation figée qui vieillit forcément mal dans notre domaine. » Il s’agit, poursuit-il, de « se donner la chance d’avoir le meilleur résultat pour chaque type d’architecture« . En ligne de mire, notamment, les EDR et les NDR actifs.

Prendre en compte les effets de nos dépendances techniques

Au niveau européen s’ouvre un autre chantier : la révision du Cybersecurity Act. Après l’avoir étendu aux services managés (en plus des produits, services et processus TIC), la Commission européenne cherche, en particulier, à simplifier les exigences de reporting et à intégrer davantage l’aspect chaîne d’approvisionnement logicielle. Le DG de l’ANSSI y voit l’occasion de « prendre en compte des risques qualifiés de non techniques, liés à nos dépendances techniques« . Il évoque les besoins de protection contre les « accès aux données qui échappent à notre droit » comme contre « la possibilité de voir un service coupé par une décision dans laquelle on n’a pas voix au chapitre ».

Un agenda post-quantique après les premières certifications

Autre source d’inquiétude : les « mouvements de fond dans le paysage numérique qui nous forcent à changer nos approches dans tous les domaines », de la certification à la remédiation. « On ne peut pas faire un dump de la mémoire d’un cloud, patcher une IA, faire sans le dépositaire unique d’une technologie-clé« . Ces évolutions s’inscrivent toutefois dans une durée qui permet de s’ajuster, tempère Vincent Strubel.

Le discours est différent au sujet de la menace quantique : « Si on ne prend pas en compte ce risque maintenant, on sera dans une situation ou tout s’effondrera d’un coup« . Un obstacle est aujourd’hui levé, affirme-t-il : l’évaluation des algorithmes post-quantiques. L’agence a prononcé, il y a quelques jours, ses deux premières certifications, pour Thales et Samsung. En 2027, elle n’acceptera plus, en entrée de qualification, des produits ce sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur post-quantique. Elle recommande déjà de ne pus acquérir de telles solutions, mais pourrait, « si besoins dans certains cas », l’imposer à l’horizon 2030.

The post Les Assises 2025 : l’ANSSI n’oublie pas les risques « non techniques » appeared first on Silicon.fr.

Sur les éditions Pro et Famille de Windows 11, il va devenir plus difficile de créer des comptes locaux.

La dernière bêta (build 26120) en donne un aperçu. Plusieurs mécanismes jusque-là exploitables lors du paramétrage initial ne fonctionnent plus. Une décision que Microsoft justifie par les risques, en termes de support et sécurité, découlant de configurations incomplètes*.

Principal mécanisme ciblé : la commande start ms-chx:localonly. Elle permet de lancer Cloud Experience Host, qui intervient au court du paramétrage initial pour afficher certaines pop-up. Lui ajouter l’option localonly permet d’ouvrir le dialogue legacy de création de compte local.
Il existe une variante start ms-cxh://localonly utilisable dans la console développeur, qu’on peut ouvrir lors du setup grâce au raccourci Ctrl-Shift-J. On la trouve également sous la forme start ms-cxh://setaddlocalonly.

Microsoft avait déjà fermé la porte au script ByPassNRO

La « méthode Cloud Experience Host » avait pallié l’élimination, début 2025, d’un autre mécanisme également basé sur l’invite de commandes (à ouvrir avec Shift-F10). Il reposait sur l’activation d’un script ByPassNRO intentionnellement mis à disposition.

La « méthode ByPassNRO » était restée exploitable en modifiant le registre Windows (lancement de regedit lors du setup). Notamment par l’ajout, dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\OOBE, de valeurs DWORD HideOnlineAccountScreens et – éventuellement – HideWirelessSetupInOOBE. La dernière build semble les ignorer.

D’autres techniques ont existé par le passé et ont elles aussi fini désactivées. L’une d’entre elles consistait tout simplement à entrer n’importe quoi dans le champ e-mail (puis, plus tard, à renseigner une adresse fantaisiste), ce qui enclenchait la création de compte local.

It looks like Microsoft has blocked the bypass that allowed you to create a local account during Windows 11 setup by typing in a blocked email address. Now it just loops you back to typing in a different account pic.twitter.com/mKnHToLLQV

— Zac Bowden (@zacbowden) June 3, 2024

Domaines, mode audit et fichiers de réponse

Sur Windows 11 Pro, l’option « rejoindre un domaine » fonctionne toujours, même s’il n’existe pas de tel domaine.

Autre méthode qui semble toujours fonctionnelle : le mode audit, qui fait partie de Sysprep (System Preparation Tool). En l’activant (Ctrl-Shift-F3), on est connecté en tant qu’administrateur local. D’où la possibilité, entre autres, de créer un compte local.

D’autres méthodes ont émergé au fil des ans. Parmi elles, interrompre le flux de connexion au réseau avec taskkill.exe ou en ouvrant le gestionnaire de tâches. Autre solution : créer un compte local directement depuis la ligne de commande (net.ext /add, puis net.exe localgroup /add) et ensuite contourner le setup (mssoobe.exe && shutdown.exe -r).

Des outils de création de médias d’installation ont implémenté certains mécanismes. ByPassNRO en est un. Les fichiers de réponse (auto)unattend.xml, à placer à la racine du disque, en sont un autre. Avec eux, on entre dans une approche gestion de flotte, qui peut aussi mener à l’exploitation d’outils comme MDT (Microsoft Deployment Tool) ou WCD (Windows Configuration Designer).

En contrepartie à ce resserrement, Microsoft inclut, dans l’expérience de paramétrage initial, un outil en ligne de commande qui permet de personnaliser le nom du dossier utilisateur.

* Par exemple, l’absence de sauvegarde automatique de la clé de chiffrement du disque système sur OneDrive… et donc la non-activation automatique de ce chiffrement. Microsoft mentionne aussi la procédrue de récupération Windows Hello.

Illustration principale générée par IA

The post Windows 11 : l’étau se resserre sur les comptes locaux appeared first on Silicon.fr.

L’adoption fulgurante des agents d’intelligence artificielle (IA) transforme les entreprises, mais expose également leurs systèmes à de nouvelles vulnérabilités. Autonomes, interconnectés et parfois déployés sans supervision, ces agents disposent d’un accès direct à des données et infrastructures critiques.

L’essor des IA génératives, notamment les modèles de langage de grande taille (LLM), a bouleversé les pratiques professionnelles bien plus profondément qu’on ne le pense. Ces technologies, capables de comprendre et de produire du langage naturel, sont désormais utilisées au travail pour des tâches aussi diverses que la rédaction de contenus, l’analyse de données ou l’automatisation des processus d’affaires. Elles offrent des gains de productivité significatifs et transforment des secteurs entiers, de la finance à la santé. Pourtant, ce potentiel d’innovation s’accompagne de nouveaux risques pour les entreprises.

L’essor des agents IA

Déployées sous forme d’agents, ces IA agissent de manière autonome, parfois sans surveillance directe, et interagissent avec des systèmes d’information complexes. Conçues pour accomplir des tâches spécifiques en exécutant des actions sur des bases de données ou des infrastructures, elles sont désormais intégrées dans des processus décisionnels critiques. Ce qui conduit à des vulnérabilités inhérentes à leur fonctionnement et les expose à des risques de détournement ou de mauvaise utilisation. En effet, 23%1 des organisations ont déjà subi des incidents liés à des agents IA compromis.

Les dérives possibles : manipulation et mauvaise utilisation

L’un des plus grands dangers associés à l’utilisation des agents IA réside dans le jailbreak. Ce terme désigne le fait de contourner les limites de sécurité des IA pour leur faire exécuter des tâches pour lesquelles elles n’ont pas été initialement conçues ou qu’elles ne devraient pas accepter de réaliser. Dans le cas des IA génératives, un jailbreak peut permettre à un utilisateur malveillant de forcer l’IA à produire du contenu inapproprié, tel que des codes malicieux ou des deepfakes. Cette manipulation ouvre une porte d’entrée pour la création simplifiée d’attaques qui étaient jusqu’alors difficilement imaginables.

Par exemple, des attaquants pourraient entraîner un agent IA à rédiger du code capable de pénétrer les systèmes de sécurité d’une entreprise ou créer de faux documents (comme de faux contrats ou des déclarations financières frauduleuses). Le tout, sans que les mécanismes de protection habituels ne détectent l’intrusion, car l’agent IA semble légitime aux yeux des systèmes de surveillance de sécurité. Le jailbreak des IA permet ainsi de transformer un outil de productivité en un vecteur d’attaque extrêmement efficace, facile à utiliser mais difficile à repérer et à neutraliser.

Un autre danger majeur lié à l’usage des agents d’IA est la manipulation des intentions de ces IA. Contrairement à un logiciel classique, un agent IA dispose de capacités d’analyse, de contexte et de prise de décision qui peuvent être utilisées de manière malveillante. Si un utilisateur malintentionné manipule les données d’entrée de l’IA, il peut orienter l’agent pour qu’il prenne des décisions qui lui sont favorables, mais qui pourraient s’avérer dangereuses pour l’entreprise.

Par exemple, en modifiant les informations que l’IA reçoit ou en influençant ses processus d’apprentissage, un individu pourrait pousser l’agent IA à prendre des décisions qui ne respectent pas la politique de l’entreprise ou qui exposent des données sensibles à des risques de fuite. De même, la modification des réponses fournies par l’IA peut modifier le comportement global des utilisateurs au sein de l’entreprise. Cette capacité à prédire et réagir aux intentions humaines soulève des questions éthiques sur la supervision et le contrôle des agents IA dans des environnements professionnels.

Confidentialité des données : le talon d’Achille de l’entreprise

Au-delà des risques de manipulation se pose la question de la confidentialité. Dernièrement, Sam Altman (CEO d’OpenAI) alertait lors d’un podcast sur l’usage incontrôlé de ChatGPT comme outil de soutien psychologique. Il insistait sur un point fondamental : si vous confiez des données sensibles à une IA sans en comprendre les implications, cela vous fait courir un risque majeur en termes de confidentialité.

Cette alerte, bien qu’issue d’un usage personnel des IA génératives, trouve un écho immédiat dans le contexte professionnel, en particulier lorsqu’elles sont déployées sous forme d’agents autonomes. En entreprise, un agent IA, interconnecté à plusieurs sources d’information et systèmes métiers, peut accéder – volontairement ou non – à des données critiques. Or, si cet agent interagit avec un LLM mal sécurisé ou un service tiers non supervisé, les informations transmises peuvent être stockées, analysées, voire utilisées à des fins non maîtrisées.

Les risques sont multiples : violation du RGPD, perte de propriété intellectuelle, divulgation d’informations stratégiques, ou encore non-conformité aux obligations réglementaires comme la directive NIS2. Dans ce cadre, la question n’est plus simplement technique, mais également juridique et éthique. Le déploiement d’un agent IA doit ainsi s’accompagner d’un encadrement strict de l’accès aux données et d’une gouvernance claire sur la conservation et l’usage des informations sensibles.

Le spectre du Shadow IT

Avec l’avènement de l’IA grand public, on voit apparaître un phénomène nommé Shadow IA – qui fait immédiatement référence au shadow IT. Tout comme pour le Shadow IT, l’utilisation d’agents IA en dehors des canaux validés par les équipes de sécurité IT expose les entreprises à des utilisations imprévues, impliquant des risques de perte de données et d’accroissement de la surface de vulnérabilité de l’entreprise.

Ce manque de visibilité crée un risque de sécurité, car ces agents peuvent s’exécuter au sein de systèmes internes et échappent ainsi aux mécanismes traditionnels de sécurité. On retrouve donc avec le Shadow IA les mêmes dérives qu’avec le Shadow IT : l’utilisation d’outils non validés contourne les protocoles de sécurité et augmente le risque d’attaques internes ou externes.

Dans cette dynamique, il est crucial que les entreprises réévaluent leurs paradigmes de sécurité et considèrent l’IA non seulement comme un outil de productivité devenu indispensable, mais aussi comme une cible privilégiée pour les cybercriminels. Face à cette nouvelle donne, l’anticipation devient la clé : une gouvernance proactive et une gestion minutieuse de ces technologies sont les seuls moyens de prévenir des conséquences dramatiques.

C’est désormais aux entreprises de prendre conscience que l’intégration de l’IA doit passer par une stratégie de sécurité dédiée, intégrée à la PSSI (Politique de sécurité du système d’information). Celle-ci devra alors se construire avec des outils apportant de la visibilité sur les utilisations réelles, et l’implication des utilisateurs afin de comprendre leurs besoins.

*Jérome Delaville est Chief Customer Officer Olfeo, groupe Ekinops

The post { Tribune Expert } – Agents IA : nouvelle cible et source de vulnérabilité au sein des organisations appeared first on Silicon.fr.

Grâce au protocole MCP, les applications viennent à ChatGPT.

C’est l’idée de l’Apps SDK, qu’OpenAI vient de lancer en preview. Il a fait l’objet d’une phase pilote avec Booking.com, Canva, Coursera, Figma, Expedia, Spotify et Zillow. Leurs services respectifs ont été intégrés, à divers degrés, dans ChatGPT. Ils sont accessibles à tous les utilisateurs connectés sur les abonnements Free, Go, Plus et Pro… hors Union européenne. AllTrails, Doordash, Khan Academy, Instacart, Peloton, OpenTable, Target, TheFork, Tripadvisor, Thumbtack et Uber seront les prochains.

La perspective du « commerce programmatique »

Nombre de ces entreprises ont une activité qui touche au commerce en ligne. En toile de fond, la volonté d’OpenAI de se positionner en intermédiaire sur ce segment*. En a témoigné, fin septembre, l’annonce d’ACP (Agentic Commerce Protocol).

Ce protocole, développé avec Stripe, est censé ouvrir la voie à du « commerce programmatique ». Chez OpenAI, il s’incarne en la fonctionnalité « Instant Checkout ». Qui, pour le moment, permet aux utilisateurs individuels (Free, Plus, Pro) de réaliser des achats uniques chez des marchands Etsy aux États-Unis – ces derniers reversant une commission.

Encore à l’état de brouillon, ACP allie trois spécifications :

• Product Feed (diffusion d’infos produits vers des IA)
• Agentic Checkout (exécution de flux de paiement au sein des interfaces IA)
• Delegated Payment (communication avec les plates-formes de paiement ou les marchands opérant leus propres plates-formes)

Nouvel environnement, nouveau système de concurrence

Pour ce qui est de l’Apps SDK, il n’est pas encore question de monétisation, mais on nous promet des éléments à ce sujet « plus tard cette année ». En attendant, OpenAI fixe des lignes directrices pour la conception de la logique et des interfaces. Entre autres dans l’optique d’être sélectionné par ChatGPT.

Il y aura effectivement une forme de mise en concurrence. L’utilisateur pourra certes faire explicitement appel à une application en tapant son nom ou via le sélecteur (la création d’un répertoire est prévue en complément). S’il ne le fait pas, divers paramètres seront mis en balance. Parmi eux, le contexte de conversation (historique de discussion, résultats de précédents appels d’outils…) et l’éventuelle apparition de marques dans les sources/citations en réponse à une requête.

Pour se donner davantage de chances d’être sélectionnés, les développeurs devront soigner les descriptions de leurs outils – sous le capot, il y a MCP, rappelons-le – en les focalisant sur des actions.

Au niveau UI, divers modes d’affichage sont mis à disposition. Dont des cartes (widgets mono-usage avec deux actions maximum), des carrousels, du plein écran (le composeur ChatGPT restant affiché) et du picture-in-picture (incrustation).

Actions, cookies, look & feel… Des contraintes à respecter

En contrepartie à cette intégration, OpenAI demande de ne pas perturber le look & feel de l’interface de chat : pas de dégradés ou de patterns de couleurs personnalisés, pas de couleur d’arrière-plan sur les zones de texte, pas de polices de caractères personnalisées, etc. Le contenu transmis à ChatGPT ne doit, plus globalement, « pas briser son ton naturel ».

Une restriction est également imposée sur les cookies de navigation, auxquels les fournisseurs de services n’ont pas accès. Il ne leur est pas non plus permis de diffuser de publicité. Ils sont plus généralement invités à proscrire le contenu long ou statique et les workflows à plusieurs étapes.

Sur desktop comme sur mobile, les composants UI fonctionnent dans un iframe. On peut leur transférer trois types de contenus :

• Données structurées pour les hydrater (chansons pour une play-list, tâche pour un kanban…)
• Informations optionnelles communiquées verbatim au modèle
• JSON arbitraire transmis directement au composant (le modèle ne le voit jamais, de sorte que son raisonnement n’est pas influencé)

* OpenAI avance un indicateur principal : ChatGPT compte 800 millions d’utilisateurs hebdomadaires.

Illustration principale © PixieMe – Adobe Stock

The post Apps in ChatGPT : OpenAI parie sur une centralisation de l’expérience web appeared first on Silicon.fr.

Le parquet de Paris ouvre une enquête visant Apple pour des faits présumés de collecte illicite de données via son assistant vocal Siri. L’affaire a été confiée à l’Office de lutte contre la cybercriminalité.

Cette procédure fait suite à une plainte déposée par la Ligue des droits de l’Homme (LDH) rappelle Politico qui a révélé l’action du Parquet. La plainte s’appuie sur le témoignage de Thomas Le Bonniec, chercheur en technologie et ancien sous-traitant d’Apple en Irlande, qui a confirmé être à l’origine du signalement.

Selon la plainte, Apple aurait collecté, enregistré et analysé des conversations via Siri sans le consentement des utilisateurs. Thomas Le Bonniec a publiquement évoqué son expérience d’analyse d’enregistrements sensibles d’utilisateurs, incluant des conversations de patients atteints de cancer.

Apple dément l’échange de données avec des tiers

L’assistant vocal Siri, présent sur la plupart des appareils Apple, peut enregistrer et conserver des interactions audio pour améliorer ses services. Ces données peuvent être conservées jusqu’à deux ans et examinées par des « graders », des sous-traitants chargés d’évaluer la qualité des réponses.

Apple fait référence à une de ses publications (en janvier 2025) affirmant que les conversations avec Siri ne sont jamais partagées avec des spécialistes du marketing ni vendues à des annonceurs. Et de préciser qu’elle « ne conserve pas d’enregistrements audio des interactions avec Siri à moins que les utilisateurs n’acceptent explicitement d’aider à améliorer Siri, et même dans ce cas, les enregistrements sont utilisés uniquement à cette fin ».

Auditionné en juin dernier par la commission des affaires économiques du Sénat, le directeur scientifique de Renault et co-concepteur de Siri, Luc Julia, avait également rejeté la possibilité d’écoute. « Siri ne nous écoute pas […] C’est physiquement impossible, en fait. Bon, je suis assez bien placé pour vous le dire. C’est absolument impossible d’écouter tout, tout le temps et de le storer sur des disques. C’est pas possible. C’est idiot de penser que ça serait possible. Par contre, les attaques qui sont faites aujourd’hui contre Siri, ce sont des attaques qui ont du sens car, des fois, il y a des phrases qui ne sont pas bien reconnues et on considère qu’il y a une limite. Cette limite est à 70 % et quand on n’est pas sûr à moins de 70 % de la reconnaissance de la phrase ; elle est extraite, anonymisée et envoyer à des humains qui vont écouter la phrase pour savoir pourquoi elle n’a pas été reconnue correctement et comment on peut améliorer le modèle pour que la prochaine fois une phrase du même type soit mieux reconnue. Donc c’est rare. C’est très rare par rapport aux 500 millions d’utilisateurs quotidiens de Siri aujourd’hui. »

The post Apple visé par une enquête en France pour collecte de données via Siri appeared first on Silicon.fr.

Entre données personnelles et secret des affaires, la justice pourrait trouver à redire.

Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels brandissent actuellement cet argument contre Red Hat. Le groupe américain n’est a priori pas en position de force, ayant reconnu la compromission d’une de ses instances GitLab. Le voilà invité à négocier ; sans quoi, lui assure-t-on, des informations seront publiées, donnant à la justice autant de grain à moudre. L’ultimatum est fixé au 10 octobre.

Plusieurs incidents pour en arriver là

Salesforce est face à une situation similaire. Également sous la bannière SLSH, on lui a accordé le même délai pour trouver un terrain d’entente. Là aussi, en faisant planer le spectre de poursuites judiciaires. Ou plutôt d’un « coup de pouce » aux procédures déjà engagées.

Le contexte est effectivement différent du cas Red Hat. Salesforce est déjà ciblé par maintes plaintes, en premier lieu aux États-Unis. Entre autres à la suite d’un incident d’ampleur dont on a eu connaissance il y a quelques semaines : la compromission de l’intégration avec une application tierce (le chatbot Salesloft Drift). Elle a servi de point d’entrée sur des instances CRM. Les intrusions sont survenues entre mai et juillet 2025 en fonction des victimes.

Une autre campagne s’est déroulée plus en amont, à base de social engineering. Notamment de vishing. Des acteurs associés à ShinyHunters se sont fait passer pour des agents de support technique et ont convaincu des employés de connecter leur Salesforce à des applications malveillantes. Initialement, il s’agissait généralement de versions vérolées de l’outil Data Loader, destiné à l’import/export massif de données vers et depuis le CRM. Avec le temps, des applications personnalisées ont émergé, mais avec le même objectif d’exfiltration de données. D’autres techniques de phishing – un faux portail Okta, en particulier – ont été exploitées en parallèle. Dans certains cas, des mois se sont écoulés avant que la victime fasse l’objet d’une extorsion. Entre-temps, les données volées avaient pu accompagner des opérations de latéralisation. Allianz, Jaguar/Land Rover, LVMH, TransUnion et Workday font partie des entreprises s’étant déclarées touchées.

La menace d’appuyer les actions en justice

Plusieurs des dossiers montés contre Salesforce sont gérés par Berger Montague. Les cybercriminels en font un point d’appui : ils expriment leur volonté de collaborer avec le cabinet d’avocat en lui fournissant des listes de victimes ; et, pour chacune, des échantillons de données. Ils vont plus loin, expliquant vouloir  prouver à la justice U.S. que Salesforce s’est rendu coupable de négligence criminelle en ne remédiant pas à la situation alors en avait le temps et les moyens.

Salesforce n’est pas seul à s’être vu imposer un ultimatum. Il en va de même pour une quarantaine de victimes. Pour trois d’entre elles, la date de piratage annoncée remonte à l’an dernier (23 avril 2024 pour Kering, 2 mai pour Adidas, 8 septembre pour IKEA). En ce sens, l’opération apparaît comme le point culminant d’une longue série de leaks.

Si on en croit les dates affichées, les attaques sont survenues par périodes. Exemples :

• Disney, Instacart, Puma et Toyota entre le 1^er et le 2 mai
• ASICS et Gap le 17 juin
• Chanel, KFC, McDonald’s et Qantas entre le 26 et le 28 juin
• Fujifilm et Marriott le 17 août

On aura noté la présence de Stellantis et d’Air France-KLM sur la liste. Un des échantillons publiés pour le premier réunit 126 champs CRM… et des valeurs associées. Pour le second, les pirates revendiquent à la fois la fuite de données d’employés et d’interactions clients.

Illustration générée par IA

The post Les fuites de données Salesforce culminent en un leak appeared first on Silicon.fr.

The post GPU : OpenAI diversifie ses fournisseurs avec un accord massif chez AMD appeared first on Silicon.fr.

La gestion des risques est essentielle pour toute organisation exploitant une infrastructure critique. Identifier les risques et y répondre efficacement peut considérablement réduire les chances de réussite d’une attaque. Mais il est tout aussi important d’en limiter l’impact en la maîtrisant dès les premiers signes. Cette approche est aujourd’hui visible au quotidien, sur le terrain, partout en Europe, dans des secteurs comme l’énergie, la santé ou la logistique – des domaines par nature particulièrement sensibles.

La directive NIS 2 marque donc un tournant majeur dans la régulation de la cybersécurité en Europe. Pour la France comme pour l’ensemble des États membres, l’enjeu dépasse le simple respect réglementaire : il s’agit d’un véritable levier de transformation pour protéger les infrastructures critiques, dont l’activité conditionne la stabilité économique, sociale et politique.

Alors que la France accuse un certain retard dans la transposition de la directive, le débat prend une dimension stratégique : comment transformer cette contrainte en une opportunité pour renforcer la confiance numérique et consolider la souveraineté européenne ?

L’héritage français en cybersécurité : une base pour NIS 2

Pour protéger leurs actifs les plus critiques, la majorité des entreprises mettent en œuvre des contrôles rigoureux sur l’accès aux ressources et aux personnes. Cela leur permet de maintenir la continuité de leurs opérations, même en cas d’incident majeur.

En France, il convient de rappeler que le pays a été pionnier en matière de sécurité des infrastructures critiques avec la directive NIS, directement inspirée de la Loi de Programmation Militaire (LPM). Ce cadre législatif impose des mesures de sécurité strictes aux Opérateurs d’Importance Vitale (OIV) et a contribué à définir une approche claire de protection des infrastructures critiques face aux menaces cyber. Grâce à cette expérience, la conformité est relativement bien encadrée en France.

S’appuyant sur ces fondations, la directive NIS 2 vise à renforcer la résilience des organisations des secteurs d’infrastructures critiques. Son objectif est d’améliorer la réponse aux incidents pour éviter qu’une menace ne se transforme en catastrophe.

NIS 2 comme catalyseur de la maîtrise des incidents

NIS 2 met l’accent sur la résilience, la gouvernance et l’anticipation des menaces. Elle déplace l’objectif réglementaire des contrôles prescriptifs vers une résilience fondée sur les résultats, faisant de la maîtrise des incidents non plus une simple bonne pratique mais une obligation de conformité.

L’un des changements les plus significatifs est l’obligation, pour les organisations, de notifier les autorités dans un délai de 24 heures après avoir pris connaissance d’un incident majeur. Ce délai serré exige une visibilité en temps réel sur l’activité du réseau et les mouvements latéraux – des capacités souvent absentes des architectures de sécurité traditionnelles basées sur le périmètre.

La segmentation Zero Trust, approche proactive de confinement des attaques pour préserver l’intégrité opérationnelle, joue un rôle crucial dans l’amélioration de la résilience cyber grâce à plusieurs étapes clés :

> Identification des risques : repérer les vulnérabilités comme des ports ouverts à haut risque, des systèmes non corrigés ou des connexions à des IP malveillantes.

> Réduction des risques : éliminer ces vulnérabilités et établir des barrières pour contenir une attaque, par exemple en séparant les environnements IT et OT.

> Réduction de l’impact : isoler dynamiquement les ressources infectées pour les séparer du reste de l’infrastructure.

Enjeux pour les organisations et les PME

La directive NIS 2 vise à réduire les disparités en matière de résilience et à renforcer la prise de conscience collective des risques. Son changement majeur réside dans l’élargissement considérable des secteurs et des organisations concernés, notamment les PME, qui devront probablement faire face au défi de mobiliser les ressources nécessaires pour se mettre en conformité.

Ainsi, toutes les entreprises ne sont pas au même niveau de préparation. Celles qui ont déjà adopté NIS 1 sont généralement prêtes pour NIS 2, les ajustements étant principalement liés à une harmonisation entre États.

En revanche, les entreprises nouvellement concernées par NIS 2 se retrouvent dans deux situations : celles qui ont une bonne hygiène cyber trouvent souvent le processus relativement fluide, tandis que celles qui n’ont pas de politique de cybersécurité risquent de rencontrer des difficultés. Le plus grand défi réside probablement dans le manque de ressources pour se concentrer pleinement sur la conformité.

Heureusement, la plupart des pays ont fixé l’échéance de conformité à 2030 au plus tard, laissant aux entreprises un délai supplémentaire. L’ANSSI a mentionné une période de tolérance après la transposition, et une conformité totale pourrait être exigée d’ici fin 2027.

Il reste à voir comment chaque État transposera la directive et quelles seront les procédures de certification. Le principal défi résidera sans doute dans la protection des équipements anciens.

Investissements prioritaires pour construire la résilience

Bien que de nombreux contrôles de sécurité soient déjà en place, beaucoup d’organisations devront probablement investir davantage dans la gestion des incidents pour renforcer leur résilience et répondre aux exigences de NIS 2.

Les domaines clés d’investissement incluent :

> Analyse des risques : identification des zones de vulnérabilité susceptibles d’entraîner un compromis ;

> Gestion des incidents : confinement des attaques et mise en quarantaine des ressources infectées ;

> Continuité d’activité : réduction de l’impact d’une attaque ;

> Sécurité de la chaîne d’approvisionnement : contrôle de l’accès aux ressources par les tiers ;

> Gestion des vulnérabilités : désactivation des services à haut risque et des systèmes non corrigés.

L’étape la plus importante est de comprendre les risques au sein de l’organisation, ce qui implique de :

> Comprendre et cartographier l’ensemble des flux de trafic dans l’organisation ;

> Identifier et fermer les services à haut risque inutiles ;

> Corriger les vulnérabilités ;

> Segmenter et séparer les environnements pour éviter la propagation d’une attaque.

Une approche stratégique fondée sur les risques

Malgré les défis liés à la conformité, NIS 2 est une évolution positive en ce qu’elle encourage une meilleure prise en compte de la résilience et de la continuité d’activité. Elle rehausse le niveau d’exigence en cybersécurité et impose une approche proactive et structurée de la gestion des incidents, y compris leur confinement.

Pour les entreprises, il est crucial d’adopter une approche fondée sur les risques, en identifiant les actifs critiques et en mettant en place des contrôles supplémentaires, comme la segmentation, pour les protéger. Par exemple, si votre plus grande crainte est l’arrêt de votre chaîne de production, concentrez-vous sur la sécurisation des systèmes de contrôle industriel, puis remontez les vecteurs d’attaque possibles.

Dans cette approche, deux erreurs sont fréquentes : la première est de chercher à appliquer toutes les exigences à la lettre, ce qui peut s’avérer coûteux et inefficace. La seconde est de négliger l’importance de s’entourer d’experts, car la conformité à NIS 2 peut être complexe selon le niveau de maturité de l’entreprise.

Une approche stratégique, fondée sur les risques et appuyée par des experts, est essentielle pour répondre efficacement aux exigences de NIS 2 tout en renforçant, sur le long terme, la résilience et la sécurité des organisations face aux défis numériques.

*Damien Gbiorczyk est expert cyber résilience Illumio

The post { Tribune Expert } – NIS 2 : un levier pour renforcer la résilience des infrastructures critiques appeared first on Silicon.fr.

Un groupe cybercriminel peut en cacher un autre… susceptible de lui griller la politesse.

La situation semble s’être récemment présentée entre Cl0p et SLSH (Scattered LAPSUS$ ShinyHunters). Le premier a pris pour cible des instances Oracle E-Business Suite en utilisant… un exploit que le second l’accuse de lui avoir volé.

Dans la lignée de cette campagne, des utilisateurs de la suite ont fait l’objet de tentatives d’extorsion. Les sommes demandées ont atteint 50 M$.

Oracle n’avait pas tout de suite évoqué une 0-day

Oracle avait d’abord fait le lien entre les revendications de Cl0p et des vulnérabilités corrigées en juillet dans le cadre des patchs trimestriels pour ses produits sur site.

Il a finalement mis son post à jour, éliminant toute référence à ces vulnérabilités au profit d’une seule, nouvelle (CVE-2025-61882), qu’il ne qualifie toutefois pas de 0-day. Elle se trouve au niveau de l’intégration avec Analytics Publisher (ex-BI Publisher ; solution de reporting qui fait partie de Fusion Middleware). Un score de 9,8 lui a été attribué, autant pour ses conséquences potentielles (exécution de code à distance, avec impact possiblement élevé sur la confidentialité, l’intégrité et la disponibilité) que pour la facilité à l’exploiter (pas d’authentification).

Dans le cas présent, la faille a permis, sur les instances E-Business Suite exposées à Internet, l’accès à des comptes locaux facilitant le contournement du SSO.

Certains IOC partagés par Oracle correspondent à des éléments que SLSH avait diffusés en amont sur Telegram. Plus particulièrement les fichiers composant l’exploit (deux scripts Python dans une archive zip). On trouve, dans leur nom, la chaîne « scattered_lapsus », donnant un probable indice de provenance.

Un template YAML pour le scanner de vulnérabilités Nuclei a été publié. Il détecte les instances vulnérables en vérifiant si une page contient le texte « E-Business Suite Home Page » et, le cas échéant, si la date dans l’en-tête Last-Modified est antérieure au 4 octobre 2025.

À consulter en complément, un point sur une campagne plus ancienne ayant impliqué Cl0p. Elle a ciblé le logiciel de transfert de fichiers MOVEit Transfer. Deux failles SQLi au niveau du front-end web furent utilisées pour injecter un ransomware. Majorel, acteur de la GRC, avait fait partie des victimes. On l’avait appris par l’intermédiaire de Pôle emploi, dont il était prestataire.

Illustration générée par IA

The post Oracle E-Business Suite au cœur d’une campagne d’extorsion appeared first on Silicon.fr.

 La société française de cybersécurité Filigran annonce une levée de fonds de série C de 58 millions $, portant à plus de 100 millions $ le total des financements obtenus depuis sa création en 2022. Ce nouveau tour de table a été mené par Eurazeo, avec la participation de Deutsche Telekom (T.Capital) et des investisseurs historiques Accel et Insight Partners.

Un an après une série B de 35 millions $, cette opération illustre la forte dynamique commerciale de Filigran et la croissance soutenue de son chiffre d’affaires, portée par une demande croissante pour ses solutions à travers le monde.

Ce financement a pour objectif de soutenir la croissance de Filigran et d’accélérer son expansion internationale. L’entreprise prévoit de s’implanter dans de nouvelles régions, notamment en Asie-Pacifique (avec une présence au Japon) et au Moyen-Orient (en Arabie saoudite).

Expansion internationale et renforcement des équipes

Filigran entend également renforcer ses marchés américains et européens, en particulier en France et en Allemagne, grâce à l’intégration de nouveaux talents et à un engagement accru auprès de la communauté open source, qui a doublé en deux ans.

Cette levée de fonds soutient également le développement d’OpenGRC, le troisième module de la suite eXtended Threat Management (XTM) de Filigran. Ce nouvel outil permettra aux organisations de hiérarchiser leurs risques cyber et d’agir en priorité sur les plus critiques.

L’entreprise prévoit par ailleurs d’accélérer l’intégration de l’intelligence artificielle via la création de XTM One, une plateforme d’agents IA, et de renforcer ses équipes R&D sur les solutions OpenCTI (renseignement sur les menaces) et OpenBAS (simulation et validation de la sécurité).

« Ce tour de table de série C marque une étape importante dans le parcours de Filigran », a déclaré Samuel Hassine, PDG et cofondateur. « Notre mission reste claire : permettre à toutes les organisations d’être plus proactives face aux menaces et de rendre le renseignement sur les menaces accessible et exploitable dans le monde entier. »

Fondée en 2022 par Samuel Hassine et Julien Richard, Filigran développe des solutions open source qui permettent aux organisations d’anticiper les menaces cyber. Sa suite XTM regroupe OpenCTI, qui structure et opérationnalise le renseignement sur les menaces, et OpenBAS, qui simule des attaques pour identifier les failles de sécurité en temps réel.

Les solutions de Filigran sont aujourd’hui utilisées par de grandes entreprises internationales comme Marriott, Rivian et Bouygues Telecom, ainsi que par des organismes publics tels que la Commission européenne, le FBI, plusieurs agences fédérales américaines et australiennes, et diverses institutions européennes.

The post Filigran lève 58 millions $ pour accélérer sa croissance et son expansion internationale appeared first on Silicon.fr.

Les fichiers que nous vous avons volés relèvent clairement du secret des affaires. Vous vous exposez à des poursuites au nom de la directive européenne 2016/943 et du Code des États-Unis, titre 18, paragraphe 1836.

Red Hat fait face à des accusations de cet acabit, proférées par… un groupe cybercriminel. En toile de fond, la compromission d’une de ses instances GitLab, liée à son activité de conseil.

Le groupe américain a admis l’exfiltration de données. À l’en croire, cela comprend « par exemple » des spécifications de projets, des fragments de code, des communications internes et des infos de contact.

Une montagne potentielle de secrets d’infrastructure

Les cybercriminels en question vont plus loin. Échantillons à l’appui, ils affirment avoir dérobé, entre autres :

• Jetons d’authentification et des clés d’API
• Playbooks Ansible et blueprints OpenShift
• Résultats d’audits de sécurité
• Inventaires, profils VPN, topologies réseau, etc.

Il y en aurait pour plusieurs To de données (570 Go compressé) réparties à travers quelque 28 000 repos. Une arborescence publiée en parallèle des échantillons de données suggère qu’environ 800 organisations clientes de Red Hat sont concernées.

Deux collectifs semblent impliqués. D’une part, un certain Crimson Collective, apparu sur Telegram fin septembre et qui, pour commencer, avait revendiqué le défacement d’un site de Nintendo. De l’autre, SLSH, aka Scattered LAPSUS$ ShinyHunters. Il est à la croisée de Scattered Spider, LAPSUS$ et ShinyHunters. Trois groupes qui ont chacun ses origines et son historique, mais qui entretiennent des connexions voire des collaborations directes ; jusqu’à l’association de leurs noms, concrétisée à l’été 2025.

Red Hat intimidé sur les secrets d’affaires et les données personnelles

Crimson Collective et SLSH datent l’attaque au 13 septembre. Ils affirment avoir pris contact avec Red Hat… et avoir reçu, en réponse, un message les invitant à suivre la procédure de communication d’informations sur des vulnérabilités.

Plusieurs milliers de dossiers incluent un fichier CONFIDENTIALITY.md indiquant explicitement que les fichiers liés doivent être considérés comme confidentiels, avec un accès limité à Red Hat et au client. C’est dans ce contexte que Crimson Collective et SLSH brandissent la menace de poursuites judiciaires. Non sans y ajouter un défaut de protection des données personnelles – car il s’en trouve dans les données volées.

Cette technique d’intimidation est également exploitée en ce moment contre Salesforce, mis face à la même deadline que Red Hat : le 10 octobre 2025. Le leader mondial du CRM fait lui aussi face à la fuite potentielle de plusieurs To de données. Résultant, semble-t-il, de l’agrégation de multiples campagnes survenues depuis le printemps 2024 et ayant impliqué diverses méthodes d’attaque, du vishing à la compromission d’applications tierces.

Illustration principale générée par IA

The post Red Hat piraté : des projets IT confidentiels exfiltrés appeared first on Silicon.fr.

Il y a SWIPO et OpenAPI ; point n’est besoin de réinventer la roue.

On pourrait résumer ainsi les recommandations de l’Arcep sur l’interopérabilité et la portabilité des services cloud.

En toile de fond, la loi SREN (« sécuriser et réguler l’espace numérique »), promulguée en mai 2024. Elle a introduit de manière anticipée dans le droit français certaines mesures du Data Act, qui ne serait applicable qu’au 12 septembre 2025.

L’article 28 impose aux CSP de se conformer à des exigences d’interopérabilité et de portabilité, tout en fournissant gratuitement des API pour mettre en œuvre ces exigences. L’idée est de favoriser à la fois les usages multiclouds et le changement de fournisseur.

La loi SREN charge l’Arcep de préciser les règles et les modalités de mise en œuvre des exigences. Notamment par l’édiction de spécifications.
L’autorité a finalement opté pour des bonnes pratiques, en l’objet de cette recommandation « dépourvue de toute portée normative ». Elle laisse ainsi la main à la Commission européenne pour élaborer les spécifications en question. Plusieurs éléments ont motivé ce choix. Les contributions à la consultation publique menée entre octobre et décembre 2024 en sont un. Le calendrier d’application de la loi SREN en est un autre (les dispositions sur l’interopérabilité ne s’appliqueront que jusqu’au 12 janvier 2027). Tout comme les délais que supposerait la mise en conformité à d’éventuelles règles contraignantes auxquelles pourraient, de surcroît, se superposer des actes d’exécution de Bruxelles.

L’Arcep s’en remet au socle SWIPO

En matière d’interopérabilité et de portabilité, une majorité de contributions à la consultation publique a suggéré de prendre en compte des travaux déjà menés au sein du secteur. En première ligne, les codes SWIPO (Switching Cloud Providers and Porting Data). L’initiative a pris fin, mais l’écosystème en reconnaît encore largement la pertinence. L’Arcep en a par conséquent repris les grandes lignes, à commencer par celles du code relatif au IaaS. Elle invite les CSP à publier, dans un format libre (page web ou PDF) et dans un format lisible par ordinateur, les informations suivantes :

1. Données (brutes ou dérivées) et actifs numériques qui peuvent être transférés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs
2. Procédures pour initier une migration depuis le service cloud
3. Procédures pour initier une migration vers le service cloud
4. Méthodes (téléversement, API, expédition de disques) disponibles pour la migration et l’utilisation simultanée des services de différents fournisseurs, y compris les protections disponibles (chiffrement) et les restrictions et limitations techniques connues ; méthodes pour garantir la sécurité des données lors du transfert (contrôle d’accès, authentification des utilisateurs, confidentialité et intégrité)
5. Procédures pour tester les différents mécanismes de migration, notamment ceux de sauvegarde (snapshot), de restauration (rollback) et de vérification de l’intégrité des données
6. Processus disponibles pour garantir l’intégrité des données, la continuité de service et prévenir la perte de données pendant la migration
7. Processus de résiliation d’un service cloud existant, lorsque le client souhaite mettre fin à son utilisation du service après la migration
8. Outils de supervision disponibles pour la migration et coûts associés à leur usage
9. Formats disponibles, recommandés ou utilisés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs, ainsi que les spécifications et la documentation relatives à ces formats
10. Référence de la documentation des API permettant de la mise en œuvre de la portabilité et de l’interopérabilité
11. Description et documentation des dépendances, dont les bibliothèques de code, les données connectées à d’autres services cloud du fournisseur, et les services et outils tiers nécessaires à l’export des données dans le cadre d’une migration ou d’une utilisation multicloud

API : un préavis de 12 mois pour les mises à jour sans rétrocompatibilité

Pour ce qui est de la mise à disposition d’API stables et documentées, des contributions ont mis en avant la spécification OpenAPI, utilisée par quantité de fournisseurs cloud. L’Arcep a considéré que la promouvoir permettrait d’éviter des adaptations majeures et d’assurer une certaine flexibilité. Elle laisse toutefois la voie ouverte à l’adoption de specs équivalentes, notamment dans le cas d’API ne reposant pas sur le protocole HTTP.

Par rapport à la version préliminaire de ses recommandations, soumises à consultation en juin-juillet 2025, l’autorité a précisé la notion de rétrocompatibilité. Elle estime que celle-ci n’est pas garantie si une mise à jour :

• provoque l’échec d’une requête ou d’une opération qui aurait préalablement réussi ;
• obliger les clients ou les fournisseurs tiers à prendre des mesures pour éviter une interruption de service ;
• ou suppriment une caractéristique ou une fonctionnalité du service utilisée par les clients ou les fournisseurs tiers.

L’Arcep conseille, en cas d’exécution de mises à jour sans rétrocompatibilité, d’avertir les utilisateurs au moins 12 mois en amont. Sauf s’il existe des obligations légales ou des impératifs en matière de sécurité (découverte d’une faille dans une API).

Illustration © VICHIZH – Adobe Stock

The post Loi SREN : l’Arcep se raccroche à SWIPO et OpenAPI appeared first on Silicon.fr.

La start-up française MokN, fondée en 2024 et spécialisée dans la détection proactive d’identifiants compromis a levé 2,6 millions €, en amorçage, auprès de Moonfire, OVNI Capital, Kima Ventures et plusieurs business angels.

MokN développe une technologie de « phish-back » qui récupère les identifiants volés avant qu’ils ne soient exploités ou revendus sur le dark web. La solution repose sur la mise en place de faux portails d’accès (VPN, messagerie web, etc.) imitant l’environnement de l’entreprise. Lorsqu’un cybercriminel tente d’utiliser les identifiants obtenus via hameçonnage, ceux-ci sont transmis aux équipes de sécurité, qui peuvent neutraliser la menace en amont.

En un an, la start-up a converti un projet autofinancé en une solution adoptée par plus de 20 clients, dont plusieurs groupes du CAC40. Elle revendique plus de 500 000 utilisateurs protégés et un revenu annuel récurrent supérieur à 1 million d’euros.

MokN a également obtenu plusieurs distinctions dans l’écosystème cybersécurité, notamment le Prix du Public aux Assises de la Sécurité. Elle fait partie des trois jeunes pousses sélectionnées pour la 4ᵉ édition du programme d’accélération Hexatrust.

« Il y a seulement 18 mois, MokN signait ses tout premiers contrats. Aujourd’hui, atteindre 1M d’ARR semble encore un peu surréaliste… Mais nous sommes plus déterminés que jamais à continuer d’aller plus loin  », affirme Gautier Bugeon, co-fondateur et CEO de MokN, sur LinkedIn.

Avec cette levée de fonds, la start-up prévoit de structurer son développement en France et de concentrer ses efforts commerciaux aux États-Unis, marché qu’elle identifie comme prioritaire et sur lequel elle n’observe pas de concurrence directe. Une partie de l’équipe dirigeante s’installera sur place pour accompagner l’expansion.

MokN prévoit en parallèle de renforcer ses capacités de recherche et développement et d’élargir son effectif, notamment sur les fonctions produit en France et sur les postes commerciaux et marketing pour l’international.

Photo : L’équipe de MokN – De gauche à droite : Adrien Casteleiro – Alexis Georges – Gautier Bugeon – Antoine Coudoux – Crédit photo : ©DenisGrudet

The post MokN lève 2,6 millions € pour développer sa solution de “phish-back” appeared first on Silicon.fr.

Un peu de Transformers, beaucoup de Mamba : avec les modèles de langage Granite 4.0, IBM opère une transition architecturale.

Mamba est censé pallier les limites des modèles transformateurs lors du traitement de longues séquences. Dans ces scénarios, le mécanisme d’attention constitue un goulet d’étranglement, du fait qu’il utilise une forme de cache clé-valeur permettant à chaque token d’accéder aux précédents lors de la prédiction. Plus la taille de contexte augmente, plus l’empreinte mémoire et la latence augmentent, de façon quadratique.
Des méthodes telles que la fenêtre glissante et l’attention flash peuvent atténuer cet effet. Mamba va plus loin en remplaçant le composant d’attention par un mécanisme inspiré de la théorie du contrôle : les SSM (State Space Models). Avec eux, la montée en charge est linéaire. On permet aux paramètres SSM d’être fonction de l’input, de sorte qu’une sélection des informations à conserver s’opère au moment de la mémorisation – et non au moment de la remémoration, comme c’est le cas pour les transformeurs.

Transformers réduit à la portion congrue

IBM n’écarte pas totalement Transformers, mais le réduit à la portion congrue : seules 4 couches sur 40 dans chacun des modèles Granite 4.0 aujourd’hui publiés (open-weight, licence Apache 2.0). Sont plus précisément combinés, de façon séquentielle, un groupe de 9 blocs Mamba, un bloc Transformers unique, et ainsi de suite. Les blocs Transformers sont maintenus notamment en ce qu’ils apportent des avantages sur les tâches avec apprentissage en contexte (few-shot prompting, typiquement).

Les modèles ainsi architecturés n’utilisent pas d’encodage positionnel : de par son fonctionnement, Mamba préserve intrinsèquement l’ordre des tokens. Ce n’est pas le cas de Transformers. On a donc tendance à y allier cet encodage positionnel… au détriment de la capacité des modèles à travailler sur des séquences plus longues que celles sur lesquelles on les a entraînés.

Des versions thinking à venir

Comme leurs prédécesseurs, les modèles Granite 4.0 sont destinés à générer du texte et du code. On en compte actuellement 4, tous déclinés en versions base et instruct (versions thinking à venir « d’ici à fin 2025 ») :

• H-Small
  Hybride Mamba/Transformers en MoE (32 milliards de paramètres dont 9 milliards actifs, soit 10 experts sur 72).
• H-Tiny
  Hybride Mamba/Transformers en MoE (7 milliards de paramètres dont 1 milliard actifs, soit 6 experts sur 64).
• H-Micro
  Hybride Mamba/Transformers dense (3 milliards de paramètres).
• Micro
  Variante « classique » (Transformers) de H-Micro.

L’ensemble est disponible dans des versions quantisées (GGUF, avec également du FP8 pour H-Small instruct).
En précision 8 bits, H-Small nécessite 33 Go de RAM ; H-Tiny, 8 Go ; H-Micro, 4 Go, contre 9 Go pour sa variante Transformers. IBM ne manque pas de mettre en avant ce gain pour l’inférence, surtout dans les tâches à contexte long et/ou à sessions multiples (agent de service client traitant plusieurs tickets en parallèle, par exemple).

Tous les modèles Granite 4.0 ont été validés pour des séquences de 128k. L’entraînement des versions de base a suivi un pipeline en 4 étapes (cf. tableau ci-dessous), sur des serveurs GB200 NVL72 chez CoreWeave. Le fine-tuning a reposé sur « des jeux de données ouverts sous licence permissive », des datasets synthétiques internes et des données annotées par l’humain.

Intégrer Mamba dans l’écosystème

H-Small et H-Tiny ont une autre forme d’hybridité : ils sont les premiers modèles MoE d’IBM à utiliser des « experts partagés ». En d’autres termes, des paramètres toujours actifs qui permettent aux autres experts de mieux se spécialiser.

Des modèles Nano et Medium sont sur la feuille de route. Il s’agira aussi de pousser la prise en charge de Mamba dans l’écosystème. Des outils comme llama.cpp ne la gèrent pas encore. C’est dans cet esprit qu’IBM a conservé un modèle « classique » dans sa gamme.

Le catalogue open-weight d’IBM comprend des modèles multimodaux, dont :

• Granite Speech (reconnaissance vocale ; dernière version publiée en août, à 2B et 8B)
• Granite Vision (dernière version – 2B – publiée en juin, avec un dérivé pour l’embedding ajouté en août)
• Granite Guardian (modération de contenu ; dernière version – 8B – publiée en septembre)
• Granite Docling (extraction de données structurées ; dernière version – 258M – publiée en septembre)

Ses derniers modèles « spécial code » remontent à 2024. Il existe aussi des modèles Granite pour le traitement de données géospatiales et de séries chronologiques.

À consulter en complément, notre brève revue des LLM Granite 3.0. Sortis il y a près d’un an, ils introduisaient alors, au catalogue des modèles IBM, des techniques telles que ScatterMoE (une implémentation n’imposant pas de plafond de tokens par expert) et Evol-Instruct (génération de données synthétiques à partir de questions racines dont on crée des versions améliorées à renfort de prompt engineering).

Illustration principale générée par IA

The post Les derniers LLM d’IBM n’ont plus grand-chose de transformateurs appeared first on Silicon.fr.

Architecture hybride Mamba/Transformers, modèles spécifiques pour le raisonnement, mécanisme d’experts partagés… IBM a quelques nouveautés à mettre en avant avec la dernière génération des LLM Granite.

Celle-ci a une autre particularité : une certification ISO 42001. IBM l’a obtenue mi-septembre* pour le système de management sous-jacent.

Cette norme, publiée fin 2023, encadre effectivement la conception, l’implémentation et l’exploitation d’un système de management de l’IA. Elle est, en quelque sorte, ce que l’ISO 27001 est à la sécurité de l’information, l’ISO 9001 à la qualité et l’ISO 27701 à la protection de la vie privée. Y être conforme est censé témoigner d’une approche éthique et responsable.

L’ISO 42001 est potentiellement applicable à toute organisation qui développe, fournit ou utilise des produits ou services reposant sur des systèmes d’IA. Nombre des exigences qu’elle contient s’apparentent aux mesures que l’AI Act a imposées. Autant sur la gouvernance que sur la documentation, l’analyse de risque ou l’information des parties intéressées.

La norme impose de prendre en compte à la fois le contexte interne (gouvernance, procédures, obligations contractuelles…) et externe (législation, environnement culturel et concurrentiel, impact sur les tiers…). Elle aborde, entre autres :

• Implication du top management
  Compatibilité de la politique IA avec la stratégie de l’organisation, intégration des exigences du système de management dans les processus métiers, etc. 
• Planification
  Analyses d’impact, plans d’amélioration continue et de traitement des risques, gestion des exceptions, etc.
• Support
  Fourniture des ressources nécessaires au système de management (data, outils, systèmes informatiques, compétences humaines).
• Relations avec les tiers
  Documentation à leur adresse, mécanismes de recours/signalement, communication des incidents, gestion des fournisseurs, etc.

La certification est valable 3 ans et soumise à audit annuel. La procédure aura duré 3 mois, affirme IBM, qui met l’annonce en parallèle de son partenariat bug bounty avec Hacker One et de la généralisation de la signature cryptographique des checkpoints des modèles Granite.

D’AWS à Zendesk, quelques autres titulaires de la certification 42001

Parmi les fournisseurs de modèles de fondation, Anthropic a obtenu la certification ISO 42001 en janvier 2025. Elle englobe les LLM Claude sur l’API, au sein de l’offre Claude Enterprise ainsi que dans Amazon Bedrock et Vertex AI.
Cohere l’a quant à lui obtenue en juin 2025.

AWS avait été certifié en novembre 2024 pour les services Amazon Bedrock, Q Business, Textract et Transcribe. Google l’avait été en décembre, pour dix produits dont Vertex AI, Gemini pour Google Workspace et les API Cloud Translation et Document AI. Microsoft les a rejoints en mars 2025, pour Copilot et Copilot Chat dans Microsoft 365. Red Hat, en septembre, pour OpenShift AI.

365Talents et Workday sont respectivement ISO 42001 depuis février et juin 2025. Autodesk l’est depuis août, pour sa plate-forme centrale destinée à développer des produits et fonctionnalités d’IA. Zendesk l’est depuis septembre, pour tout son cœur IA, à l’exception de deux acquisitions récentes (Local Measure et HyperArc). Snowflake l’est depuis juin.

Des dizaines de plus petits éditeurs ont obtenu la certification. Pour en citer quelques-uns : Scrut Automation (Inde, GRC, février 2025), Noxtua (ex-Xayn ; Allemagne, logiciels juridiques, décembre 2024), FloQast (USA, comptabilité, janvier 2025), Gpi (Italie, logiciels pour la santé, juillet 2025) et Swimlane (USA, SOAR, juin 2025). Des ESN également, comme Datamatics (Inde, juin 2024).

Illustration générée par IA

The post Qu’est-ce que la certification ISO 42001, que revendiquent des fournisseurs d’IA ? appeared first on Silicon.fr.

Si les tendances actuelles se poursuivent, la trajectoire climatique est alarmante.

On peut résumer ainsi les observations de The Shift Project – aka « Le think tank de la décarbonation de l’économie » – sur la filière datacenter.

L’Irlande, aperçu des futurs possibles

L’Irlande est un bon indicateur de ce qui pourrait se passer en Europe, affirme-t-il. Par sa politique fiscale, le pays a attiré énormément de datacenters, essentiellement d’acteurs américains. Le tout de façon peu qualifiée, sans anticipation des conséquences. La consommation du parc a crû de façon remarquable : environ 20 % de l’électricité du pays en 2022, contre 5 % en 2015 – alors que tous les autres secteurs ont plutôt vu stagner leur consommation.

À Dublin, où on ne sait plus fournir l’ensemble de la production électrique pour tous les usages, on a dû arrêter des projets immobiliers. Un moratoire de fait s’est installé : l’opérateur électrique irlandais a décidé de ne plus connecter de datacenters au réseau dans cette zone tant qu’il n’y aurait pas de désaturation.

La filière datacenter met les gaz

Cela n’a pas pour autant résulté en un arrêt de l’installation de datacenters. Une voie de contournement a effectivement été trouvée. Une quizaine sont aujourd’hui raccordés directement raccordés au réseau de gaz ou en ont fait la demande, avec le projet de mettre en place des centrales électriques dédiées.

Dans les scénarios de transition énergétique de l’Europe, il est prévu, à l’horizon 2035, de se passer de 200 TWh d’électricité produite à partir de gaz. Or, c’est précisément la consommation supplémentaire que représenteraient ces datacenters… et qui, aujourd’hui, n’est pas planifiée.

Perpétuer cette alimentation au gaz, c’est aussi prolonger une dépendance énergétique de l’Europe envers les États-Unis, fait remarquer The Shift Project. Il existe par ailleurs des risques de conflit d’usages avec les secteurs dont la décarbonation complète ne peut passer que par l’électrification. Transports et chauffage, notamment.

Stratégie bas carbone : « Le numérique est bien un secteur »

Au regard de l’empreinte croissante de la filière datacenter, The Shift Project appelle à l’intégrer dans la SNBC 3 (troisième stratégie nationale bas carbone, en cours d’élaboration par le Secrétariat général à la planification écologique), avec sa propre trajectoire.

Récemment, les datacenters étaient encore fondus dans le secteur tertiaire. Dans la catégorisation RTE, ils en ont finalement été sortis pour être intégrés au sein du secteur de l’industrie. Et pour cause : certains atteignent désormais une puissance unitaire du même ordre que celle des sites industriels.

La partie terminaux est quant à elle intégrée dans la consommation des logements (secteur résidentiel). Au même titre, donc, que l’éclairage ou l’électroménager.

Au final, le numérique est disséminé, intégré de façon partielle, de sorte qu’on « loupe des morceaux », pour reprendre les mots de The Shift Project. Or, d’après l’association, c’est bien un secteur : il a ses infrastructures, ses services, ses acteurs, ses lobbys même.

L’intégration du numérique en tant que secteur dans la SNBC a normalement déjà été décidée en 2023 par le Haut Comité sur le numérique responsable*. Pour The Shift Project, il faut maintenant « passer aux faits ». Tout en n’oubliant pas que les datacenters validés aujourd’hui n’atteindront possiblement leur consommation maximale que dans 10 à 15 ans.

D’Enedis à OpenAI, une transparence à construire

Au niveau européen, la directive EED (efficacité énergétique) impose que les datacenters de plus de 500 kW communiquent certaines de leurs données. À peu près un tiers le font effectivement. Un suivi à l’échelle nationale apparaît donc d’autant plus opportun. L’énergie est d’ailleurs considérée comme un secteur qui relève d’abord de la compétence des États plutôt que de la Commission.

La transparence, dans l’ensemble, ne se mettra probablement en place que si on l’impose de façon réglementaire, estime-t-on chez The Shift Project.

L’association est en discussion avec RTE, qui s’occupe des « gros » datacenters. Avec Enedis, qui gère les « petits », c’est plus compliqué : ces datacenters sont certes dédiés, mais pas forcément connus comme tels. Un meilleur référencement est nécessaire.

Concernant les modèles d’IA génératifs, ce qui a été publié ne suffit pas à se faire une idée véritable. Les chiffres sont très peu comparables d’un point de vue méthodologique. Google, notamment, utilise l’approche market-based, donc se sert de ses contrats d’énergie verte. Contrairement, entre autres, à Mistral AI, dont The Shift Project salue la démarche, portée par une approche scientifique et validée par des pairs. Il n’en dit pas autant au sujet d’OpenAI, tancé pour son « opacité ».

On a également très peu de données sur les empreintes énergétique et carbone embarquées des hardwares. Vu le rythme d’évolution technologique, les informations à leur sujet deviennent vite très obsolètes. À date, il y aurait environ 9 millions d’accélérateurs IA – essentiellement des GPU – dans le parc mondial de datacenters. On en compterait 60 millions en 2030.

Ces phénomènes sont aujourd’hui clairement tirés par l’offre, clame The Shift Project. Plus précisément par des acteurs à la capacité de financement immense et pour qui la question à court terme ne semble pas être la recherche de rentabilité, mais plutôt l’installation d’une domination hégémonique pour ensuite inventer un modèle économique. Il faut « savoir y résister », avance le think tank, également en gardant à l’esprit le risque de dépendance numérique.

* Alors composé de Jean-Noël Barrot (ministre délégué chargé de la transition numérique et des télécommunications), Dominique Faure (secrétaire d’État chargée de la ruralité) et Christophe Béchu (ministre de la Transition écologique et de la Cohésion des territoires).

The post Comment The Shift Project a construit sa réflexion sur les datacenters appeared first on Silicon.fr.