Dans l’écosystème Microsoft évolueront peut-être bientôt des « utilisateurs agentiques » ayant leur identité, leur place dans l’organigramme… et leur licence.
Des informations à ce sujet seront possiblement communiquées la semaine prochaine à la conférence Ignite. En attendant, il y a des faisceaux d’indices. Notamment un message publié début novembre dans le centre d’administration Microsoft 365. Il a disparu depuis, comme l’élement de roadmap associé. On a pu y apercevoir une nouvelle marque : Agent 365.
Les agents en question seraient créés à partir de modèles préconfigurés.
Il appartiendrait aux admins de choisir lesquels de ces modèles publier. Par défaut, l’ensemble des utilisateurs du locataire y auraient accès, à deux endroits : Teams (section Apps) et le magasin d’agents Microsoft 365. Leurs demandes de création d’agents sur la base de ces templates remonteraient aux admins. Qui, en cas d’approbation, auraient à assigner une licence A365 à chaque agent.
Le message publié dans le centre d’administration évoquait un déploiement progressif à partir de mi-novembre, sur desktop (dans Teams et Microsoft 365 Copilot).
Au vu de ces quelques éléments, l’évolution qui se prépare ne semble pas tant technologique que commerciale. Il se dit d’ailleurs que la marque Agent 365 pourrait prendre le relais de Microsoft 365 Copilot. Potentiellement une manière d’atténuer la confusion que le branding actuel suscite jusqu’en interne.
Après deux ans de commercialisation, l’adoption de Microsoft 365 Copilot apparaît décevante. En tout cas d’après les affirmations d’Ed Zitron. L’intéressé, qui s’est fait une solide réputation de pourfendeur de l’IA générative, affirmait cet été que le taux de transformation au sein de la base Microsoft 365 était inférieur à 2 %. Un chiffre que Microsoft n’a pas démenti.
L’usage – mais pas forcément la conversion – a pu augmenter depuis, entre autres avec la mise à disposition gratuite de quelques fonctionnaltiés Copilot Chat dans Word, Excel, PowerPoint, OneNote et Outlook (essentiellement, des conversations basées sur le web et sur le fichier ouvert).
Divers abonnements initialement autonomes (Copilot pour les ventes, pour le service et pour la finance, par exemple) ont par ailleurs été fusionnés dans Microsoft 365 Copilot.
À consulter en complément sur le sujet Microsoft 365 Copilot :
L’Union européenne ouvre un test de marché pour évaluer les engagements présentés par SAP dans le cadre d’une enquête antitrust lancée en septembre dernier, visant des soupçons de distorsion de concurrence concernant les services de maintenance et de support pour ses logiciels installés sur site (on-premise).
L’autorité de régulation européenne s’interrogeait notamment sur quatre pratiques susceptibles d’avoir contribué à exclure la concurrence. (lire notre article sur le sujet).
Face à ces accusations, SAP a soumis cette semaine des propositions pour répondre à ses préoccupations :
> L’octroi d’un plus grand choix aux clients dans la sélection de leurs fournisseurs de services de support logiciel
> Une flexibilité accrue concernant les licences logicielles
> La suppression de certains frais de licence
Un test de marché décisif
« Dans nos remèdes proposés, nous clarifions leur fonctionnement dans le cadre de notre engagement plus large en faveur de la transparence et du choix des clients. Nous n'anticipons pas que cette procédure aura des impacts significatifs sur notre performance financière. » indique SAP dans un communiqué.
Le lancement d'un test de marché auprès des concurrents et des clients de SAP doit évaluer si les propositions de l'éditeur allemand suffisent à dissiper les inquiétudes concurrentielles. Si aucune objection majeure n'est soulevée durant cette phase, les régulateurs européens devraient abandonner la menace de sanctions financières.
La sanction maximale prévue est une amende d’un montant équivalent à 10 % de son chiffre d’affaires mondial (34 Md€ en 2024).
Il y aura bien un procès opposant Apple et OpenAI à Elon Musk.
Le juge Mark Pittman, du tribunal fédéral de Fort Worth au Texas, a décidé que la plainte intentée par X et xAI contre Apple et OpenAI pourra se poursuivre. Déposée en août dernier, elle réclame plusieurs milliards de dollars de dommages et intérêts. Le juge a demandé aux deux parties de soumettre de nouveaux documents pour défendre leurs positions respectives dans cette affaire.
Elon Musk accuse Apple d’avoir violé les lois antitrust en intégrant exclusivement ChatGPT dans les fonctionnalités Apple Intelligence sur ses plus récents iPhone, iPad et Mac. Selon les plaignants, cette décision d’Apple inhibe la concurrence et l’innovation dans l’industrie de l’IA, tout en privant les consommateurs de choix.
La plainte affirme que ce choix d’Apple inhibe la concurrence et l’innovation dans l’industrie de l’IA, tout en privant les consommateurs de choix. Elle dénonce aussi le placement de ChatGPT dans la liste des « Must-Have Apps » de l’App Store contribuant à marginaliser les concurrents.
Apple et OpenAI avaient demandé le rejet pur et simple de cette action en justice, mais leurs arguments n’ont pas convaincu le magistrat. Dans son ordonnance, le juge Pittman précise que sa décision ne devait pas être considérée comme un jugement sur le fond des allégations, et qu’il examinera les litiges factuels à un stade ultérieur de la procédure.
Les avocats d’Apple ont fait valoir que l’accord avec OpenAI n’est pas exclusif, soulignant que d’autres chatbots restent disponibles via les navigateurs et applications.
De son côté, OpenAI accuse Elon Musk de mener « une campagne de guerre judiciaire ». Le milliardaire poursuit séparément OpenAI et ses dirigeants devant un tribunal fédéral en Californie.
Le 22 novembre 2023, le premier finalisait l’acquisition du second. Il n’allait pas tarder à en bouleverser la politique commerciale, avec les conséquences que l’on sait.
Quantité de fournisseurs d’offres concurrentes se sont engouffrés dans la brèche, tentant de capter le replatforming des parcs de VM. Red Hat n’y a pas fait exception. Il a évidemment mis en avant la conteneurisation sur OpenShift. Mais aussi la brique de virtualisation intégrée à la plate-forme depuis l’été 2020. Jusqu’à en faire un produit spécifique, lancé début 2025 : OpenShift Virtualization Engine, qui n’inclut pas de droit d’usage de conteneurs applicatifs.
Topologie localnet et instances personnalisées
Au-delà de la stratégie commerciale, OpenShift Virtualization a connu des évolutions fonctionnelles notables depuis la fusion Broadcom-VMware. Six versions mineures sont sorties, à commencer par la 4.15 (publiée le 27 février 2024 ; arrivée en fin de vie le 27 août 2025).
Cette version avait notamment apporté la gestion du branchement à chaud d'interfaces réseau secondaires sur les VM (hors interfaces SR-IOV). Elle avait aussi ajouté la prise en charge de la topologie localnet pour les réseaux secondaires OVN-Kubernetes (connexion à la sous-couche physique).
Autre élément ajouté : le KSM (kernel samepage merging). Cette fonctionnalité s'enclenche lorsqu'un nœud est surchargé. Elle déduplique les données identiques trouvées dans les pages mémoire des VM.
OpenShift Virtualization 4.15 a également permis d'activer l'accès aux logs console des invités et de configurer des clusters pour les workloads DPDK (Data Plane Development Kit, délégation du traitement des paquets TCP à des processus en espace utilisateur) sur SR-IOV. La console web avait été enrichie en parallèle pour permettre l'installation et l'édition de types d'instances personnalisés. Et pour importer des secrets depuis d'autres projets lors de l'ajout d'une clé SSH publique à une VM en cours de création ou d'un secret à une VM existante.
Le 27 juin 2024 sortait OpenShift Virtualization 4.16. Cette version est actuellement en phase de maintenance, jusqu'au 27 décembre 2025. Le support étendu durera jusqu'au 27 juin 2026. Avec elle, le hotplug de vCPU est passé en disponibilité générale.
Il est aussi devenu possible d'accéder à une VM à travers des services Kubernetes headless, en utilisant son nom de domaine interne. Et d'activer la featuregate AutoResourceLimits pour gérer automatiquement les limites CPU et mémoire des VM.
OpenShift Virtualization 4.16 a aussi ajouté la possibilité de sélectionner les options sysprep à la création de VM Windows plutôt que par après. Et d'exposer certaines métriques d'hôte ou d'invité au sein des VM, en ligne de commande ou via l'outil vm-dump-metrics.
Gestion de la densité des workloads et exposition de périphériques USB
OpenShift Virtualization 4.17, sorti le 1er octobre 2024, arrivera en fin de vie le 1er avril 2026, sans phase de support étendu.
Avec cette version, Red Hat a certifié la prise en charge de Windows Server 2025 comme OS invité. Il a aussi permis de sélectionner un namespace personnalisé pour ses golden images. Et donné la possibilité d'accroître la densité de workloads dans les VM en surréservant (overcommit) la RAM. Comme d'exposer des périphériques USB dans un cluster, de sorte que les propriétaires de VM peuvent ensuite les assigner.
Le hotplug de CPU et de mémoire depuis la console est passé en disponibilité générale avec OpenShift Virtualization 4.17. Même chose pour la configuration de stratégies d'éviction de VM à l'échelle d'un cluster.
Réseaux définis par l'utilisateur et changement à chaud de type d'instance
Sorti le 25 février 2025, OpenShift Virtualization 4.18 arrivera en fin de maintenance le 25 août 2026. Le support étendu durera jusqu'au 25 février 2027.
Depuis cette version, on peut connecter une VM à un réseau défini par l'utilisateur sur l'interface primaire. On peut aussi changer le type d'instance associé à une VM en cours d'exécution, sans redémarrage.
Autre ajout : la capacité de créer des snapshots de VM auxquelles on ajoute un vTPM. Et de les restaurer à partir de ces snapshots (mais pas d'en créer de nouvelles, ni de les cloner).
La console a quant à elle évolué pour permettre de contrôler simultanément l'état de plusieurs VM. Et de visualiser des métriques de niveau workload pour les ressources disque, CPU et réseau allouées.
Protection des VM et threads I/O multiples pour le stockage flash
OpenShift Virtualization 4.19 fut publié le 17 juin 2025. Il entrera en phase de maintenance le 17 décembre 2025 et n'aura pas de support étendu.
Avec cette version, RHEL 10 rejoint la liste des OS invités certifiés. Red Hat introduit aussi un mécanisme de protection des VM contre la suppression. Et permet de mettre à jour le type de machine pour plusieurs VM à la fois depuis le CLI OpenShift.
La topologie localnet sur OVN-Kubernetes est devenue utilisable pour connecter une VM à un réseau secondaire défini par l'utilisateur. Et il est devenu possible de configurer un manifeste NodeNetworkConfigurationPolicy pour activer l'écoute LLDP sur tous les ports Ethernet d'un cluster.
Autre nouveauté : la possibilité de configurer plusieurs threads I/O pour les VM utilisant de la mémoire flash. Quant à la console, elle a évolué pour proposer davantage d'actions groupées sur les VM (gestion des étiquettes, déplacement dans un autre dossier au sein d'un même namespace...). Des métriques supplémentaires ont par ailleurs été mises à disposition, concernant les migrations, les vNIC et le stockage alloué aux VM.
Topologie NUMA et saut de versions de correction
La dernière version mineure en date (4.20) est sortie le 21 octobre 2025. Elle arrivera en fin de vie le 21 avril 2027, sans support étendu.
Avec elle, Red Hat permet de sauter des versions de correction (pas besoin d'installer toutes les versions intermédiaires lorsqu'on met à jour).
Plusieurs éléments passent en disponibilité générale, dont la possibilité d'exploiter la topologie NUMA (non-uniform memory access) pour les VM. Elle permet de définir des zones au sein desquelles les CPU bénéficient d'un accès plus rapide aux ressources locales que les CPU externes.
Le profil KubeVirtRelieveAndMigrate, qui améliore la stabilité de l'éviction de VM lors des migrations à chaud, est également passé en disponibilité générale. Idem pour la possibilité de déployer OpenShift Virtualization sur OCI et en bare metal sur cluster ARM64.
Dans la console, on peut désormais, lors de migrations à chaud, spécifier le nœud vers lequel déplacer une VM. Parallèlement, la procédure de hotplug de disques s'est enrichie d'une étape optionnelle permettant de sélectionner un type de bus.
Il y a avantage quantique lorsque l’association des méthodes quantiques et classiques est plus performante que les méthodes classiques seules.
Aux dernières nouvelles, c’est la définition que donne IBM.
Il n’en a pas toujours été ainsi. En tout cas dans la communication publique du groupe américain.
Encore récemment, il n’était pas explicitement question d’association classique-quantique. La notion était simplement décrite comme la capacité d’un ordinateur quantique à effectuer un calcul de manière plus précise, économique ou efficace (« more accurately, cheaply, or efficiently« ) qu’un ordinateur classique.
Avantage quantique : une méthodo, puis un tracker
Un livre blanc publié à l’été 2025 avec la start-up française PASQAL a témoigné de l’évolution du discours. Y est formulé le postulat selon lequel atteindre un avantage quantique à court terme suppose une intégration avec les infrastructures HPC.
Rappelant, à ce sujet, avoir publié des plug-in Slurm, les deux entreprises établissent surtout, par l’intermédiaire de ce whitepaper, une méthodologie de validation scientifique de l’avantage quantique.
Ce jalon posé, IBM a créé, avec BlueQubit (USA), Algorithmiq (Finlande) et des chercheurs du Flatiron Institute, un « tracker d’avantage quantique ». Lui et ses partenaires sur ce projet ont soumis diverses expérimentations, réparties en trois catégories :
Estimation des observables quantiques
Algorithmes quantiques variationnels (destinés à résoudre des problèmes combinatoires)
Problèmes pour lesquels la vérification quantique est efficace
À travers son API C, Qiskit se rapproche du HPC
L’un des derniers marqueurs de rapprochement vis-à-vis des environnements HPC fut l’introduction d’une fonction autonome de transpilation de circuits dans l’API C de Qiskit. C’était avec la version 2.2 du SDK, publiée en octobre 2025.
Cette API, introduite au printemps 2025 avec Qiskit 2.0, est dotée d’une interface de fonction étrangère qui permet d’exploiter d’autres langages. En première ligne, C++, particulièrement populaire pour le calcul scientifique. Et, plus globalement, les langages compilés (Qiskit a été développé à l’origine en Python, un langage interprété).
Relay-BP, Samplomatic… Des briques à l’édifice de la correction d’erreurs
Entre les deux, Qiskit 2.1 a introduit la possibilité d’ajouter des flags à des régions spécifiques d’un circuit. Une bibliothèque logicielle – Samplomatic, en bêta – y a été adossée. Elle permet de personnaliser ces régions. Et, au bout, de faciliter la construction de circuits dynamiques (qui incorporent des opérations classiques au cours de leur exécution).
Cette personnalisation est aussi censée faciliter la mise en œuvre de techniques de correction d’erreurs.
Sur ce volet, IBM compte notamment avoir assemblé, pour fin 2025, un prototype de processeur. Appelé Loon, il doit réunir divers composantes-clés dont la faisabilité a déjà été démontrée séparément : connectivité à 6 voies, accroissement des couches de routage à la surface de la puce, coupleurs physiquement plus longs, techniques de réinitialisation plus rapide des qubits…
Parmi les autres composantes-clés annoncées cette année, il y a Relay-BP, un algorithme de décodage d’erreurs. IBM en a récemment annoncé une implémentation sur FPGA AMD. Il annonce « moins de 480 nanosecondes » par tâche de décodage, en reconnaissant qu’il reste du travail dans la perspective d’un passage à l’échelle.
Nighthawk en attendant Starling
Relay-BP est arrivé en avance par rapport à la feuille de route. Il était effectivement prévu pour 2026.
À ce même horizon, IBM entend ajouter à Qiskit des outils de profilage de workloads hybrides (quantique-classique). Il prévoit aussi de lancer Kookabura, puce censée réunir unité de calcul et mémoire quantique.
En attendant, la dernière nouveauté côté processeurs s’appelle Nighthawk. Elle prend la suite de la génération Heron avec moins de qubits pour commencer (120 contre 156), mais autant de portes logiques (5000), davantage de coupleurs (218 vs 176), un taux d’erreur médian réduit… et la perspective de monter en capacité :
Pour 2026 : 7500 portes et jusqu’à 3 x 120 qubits
Pour 2027 : 10 000 portes et jusqu’à 9 x 120 qubits
Pour 2028 : 15 000 portes et jusqu’à 9 x 120 qubits
Un ordinateur quantique tolérant aux erreurs reste visé pour 2029. Avec, en ligne de mire, la puce Starling (100 millions de portes, 200 qubits). Blue Jay (1 milliard de portes, 2000 qubits) est censé suivre en 2030.
IBM prévoit un jeu d’instructions tolérant aux erreurs pour 2028
Depuis 2024, Qiskit est assorti d’un catalogue de fonctions : résolution d’équations différentielles (ColibriTD), de problèmes de classification (Multiverse Computing), de problèmes d’optimisation (Q-CTRL, Kipu Quantum), etc.
Ces fonctions trouveront une continuité sous la forme de bibliothèques d’applications quantiques. Les premières sont prévues pour 2027. IBM promet, pour la même échéance, un accélérateur pour au moins un workflow ayant démontré un avantage quantique. Puis, pour 2028, un jeu d’instructions tolérant aux erreurs.
Pour une entreprise, les données représentent la base de son activité, la confiance de ses clients, ainsi que la souveraineté numérique de son pays. Or, ces mêmes données peuvent échapper à son contrôle, non pas à cause d’une violation ou d’une erreur humaine, mais simplement parce que l’entreprise a accepté les conditions générales d’un fournisseur de cloud plusieurs années auparavant. Bien qu’elle puisse accéder à ses données et les utiliser, elle n’a désormais plus aucun contrôle sur l’écosystème qui les entoure, ni sur leur évolution et leurs changements.
Loin d’être une simple hypothèse, ce cas de figure est une réalité quotidienne pour des milliers d’entreprises partout en Europe et dans d’autres pays. Cette situation soulève alors une question cruciale : comment garantir aux entreprises la maîtrise de leurs données et la liberté de choix dans un tel contexte ?
La promesse du multicloud : entre attentes et réalité
Face à ce constat, les entreprises, notamment les PME, se sont tournées vers le multicloud. En effet, travailler avec plusieurs fournisseurs permet de gagner en flexibilité, sécurité et portabilité des workloads. L’idée consiste donc à migrer les applications existantes puis à les optimiser pour le cloud.
Or, dans la pratique, cette promesse n’est pas souvent tenue. Les entreprises sont confrontées à la nécessité de « transférer » leurs applications monolithes sur site vers le cloud, tout en composant avec de nouvelles applications cloud-first créées par une toute nouvelle génération d’ingénieurs et des silos de données fédérés et distribués.
Au cœur du problème se trouve également quelque chose de plus fondamental qu’une simple part de marché : il s’agit de l’érosion de la liberté de choix et, par conséquent, de l’érosion de la souveraineté. Cette dépendance croissante vis-à-vis des plateformes externes nuit à l’innovation.
En parallèle, les DSI sont chargés de vérifier le respect de la conformité pour les écosystèmes tiers, ce qui enferme les autorités chargées de la réglementation dans des interfaces propriétaires. L’avenir du numérique se confond alors étrangement avec le passé et se retrouve monopolisé par une poignée de personnes à la logique interne obscure et aux motivations incompatibles avec celles de la société.
Sécurité nationale, innovation et éthique : des enjeux globaux
Cette dépendance vis-à-vis de quelques fournisseurs soulève alors trois grand enjeux.
C’est d’abord une question de sécurité nationale. Les pays européens prennent conscience que dépendre d’hyperscalers étrangers pour entraîner et déployer leurs modèles d’IA représente un risque pour leur souveraineté. Plusieurs questions se posent alors : que se passerait-il en cas de changements géopolitiques ? Que se passerait-il si l’accès d’un gouvernement aux données de ses propres citoyens est restreint en raison d’obligations légales étrangères ?
C’est aussi une question d’innovation. En effet, les start-ups ne peuvent pas se permettre de payer des frais de sortie qui pénalisent l’exploration et les universités ne devraient pas avoir à adapter leurs recherches aux contraintes commerciales d’un seul fournisseur. Si l’IA est l’équivalent du « moteur à vapeur » du XXIe siècle, il est essentiel de veiller à ce que son carburant, à savoir les données et la puissance de calcul, reste à la fois accessible et portable.
Enfin, c’est une question d’éthique. L’une des plus grandes erreurs dans la gouvernance de l’IA est l’idée que l’éthique peut être superposée à des systèmes fermés. Que les biais des modèles, l’équité algorithmique et l’explicabilité peuvent être réglementés, tout en déployant les modèles les plus sensibles via des API tierces exécutées dans des environnements « Black Box ».
La véritable gouvernance de l’IA commence par la gouvernance des infrastructures. Cela signifie qu’il faut savoir où les modèles sont hébergés, qu’il faut enregistrer et auditer chaque inférence, mais aussi s’assurer que les modèles ne franchissent pas les frontières et ne transgressent pas les règles locales en matière de résidence des données. Or, le fait d’être lié à un seul fournisseur ou de dépendre de services managés purs qui fonctionnent comme des boîtes noires rend tout cela possible.
Vers un cloud souverain et portable
La prochaine évolution technologique est une plateforme qui ne se contente pas de promettre la portabilité, mais qui la met en œuvre. Là où les moteurs de calcul suivent les données et pas l’inverse. Et surtout, là où l’IA peut être exécutée de manière privée, sécurisée et en toute simplicité. Il n’est pas question d’abandonner le cloud, loin de là. Sa flexibilité, son évolutivité et son potentiel de démocratisation sont révolutionnaires. Mais les révolutions doivent être encadrées et le cloud doit avant tout être un choix.
Aujourd’hui, les entreprises sont confrontées à un choix difficile : continuer à dépendre des fournisseurs, accepter l’augmentation des coûts et la réduction de l’autonomie qui en découle, ou basculer vers un environnement où l’infrastructure est fluide, où l’IA peut être souveraine et où le cloud est une capacité qui leur appartient.
Les DSI, les CTO et les CDO doivent être les garants du contrôle absolu des données au sein de l’entreprise, tant du point de vue budgétaire que de celui de la conformité. Une chose est sûre : le droit de traiter les données doit rester entre les mains des personnes qui sont propriétaires de ces données.
*Sergio Gago est Chief Technology Officer chez Cloudera
Si aucun fournisseur d’infrastructure n’est totalement à l’abri d’un feu de datacenter ou d’une catastrophe naturelle majeure, la cyberattaque est aujourd’hui la menace n°1 pour les données. Les sauvegardes sont un moyen de redémarrer le SI… si celles-ci n’ont pas été elles-mêmes détruites par l’attaquant !
« Si les sauvegardes peuvent permettre à une entreprise de repartir, il faut encore que celles-ci soient saines , au risque de repartir sur un PRA déjà infecté. Il est donc aujourd’hui indispensable d’intégrer des solutions de sécurité dans les outils de sauvegarde » explique Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti.
Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti
« On retrouve de plus en plus de fonctions cyber intégrées dans les outils gérant les PRA. Cela va du chiffrement de bout en bout lors d’un PRA externalisé pour garantir que les données ne seront pas lues par le prestataire, à des outils avancés d’inspection des données. » ajoute-t-il.
Illustration de cette convergence entre outils de sauvegarde et cyber, Acronis qui propose désormais une plateforme MSP multi-tenant, pour assurer la sauvegarde des données et la reprise d’activité, l’activité historique de l’éditeur, mais aussi de la cybersécurité avec la protection de la messagerie, de la protection endpoint avec un EDR, du RMM management et du DLP.
Le Cloud, un coup de jeune pour les PRA
L’autre grande tendance forte qui pousse à la refonte des PRA, c’est bien évidemment le Cloud.
Stéphanie Ledoux, PDG et fondatrice d’Alcyconie.
« Les PRA modernes s’appuient de plus en plus sur des solutions hybrides combinant cloud, automatisation, et orchestration des processus de bascule » explique Stéphanie Ledoux, PDG et fondatrice d’Alcyconie. « L’automatisation des tests, la réplication temps réel des données critiques et l’utilisation de plateformes d’orchestration permettent de réduire le temps de bascule et de simplifier les tests réguliers — une étape encore trop souvent négligée. »
Et d’ajouter qu’une approche modulaire des PRA par service ou par périmètre critique doit faciliter aussi leur actualisation. « Ces technologies transforment le PRA en un processus dynamique et non plus en un simple document figé. »
Outre les ressources internes, il est devenu nécessaire d’intégrer à ces PRA les données stockées sur les infrastructures IaaS, PaaS et même SaaS.
« Un plan de reprise d’activité efficace doit pouvoir s’appliquer à l’ensemble de l’infrastructure informatique, quels que soient les environnements utilisés » résume Richard Cassidy, Field CISO EMEA de Rubrik. « Notre solution prend en charge les infrastructures sur site, les environnements cloud, hybrides et SaaS (tels que Microsoft 365 ou Salesforce). L’organisation des sauvegardes est structurée selon des règles de gouvernance adaptées aux priorités de l’entreprise, ce qui permet d’optimiser les processus de sauvegarde, de limiter les coûts d’exploitation et de moderniser les architectures existantes. »
L’éditeur pointe l’intérêt d’une solution Cloud offrant une gestion centralisée et une automatisation basée sur des règles préétablies. Un moyen aussi de contenir les coûts liés à la mise en œuvre d’un PRA. Cette approche contribue à simplifier les opérations informatiques, en s’affranchissant des contraintes associées à des outils anciens ou à des infrastructures complexes. »
Le stockage Cloud S3 est aujourd’hui totalement supporté par les principaux logiciels de sauvegarde et un PRA 100 % Cloud et managé apparaît comme une solution particulièrement intéressante pour les ETI et PME dont les moyens de sauvegarde ne sont pas toujours très fiables.
———————————————————————
Régis Karakozian, directeur Cloud chez KDDI France.
Régis Karakozian, directeur Cloud chez KDDI France
« L’analyse d’impact métier est cruciale »
« Avant tout, il est crucial d’opérer une analyse d’impact métier (BIA) pour identifier les services critiques, les priorités de reprise, et les délais tolérables d’interruption (RPO/RTO). Cette étape doit se faire en étroite collaboration avec les directions métier, car un PRA n’est pas qu’une question IT.
La documentation du plan, son automatisation, ainsi que la régularité des tests sont aussi essentielles. Un PRA n’a de valeur que s’il est testé régulièrement (au moins 1 fois par an), maintenu à jour et capable d’être activé rapidement. Il faut également prévoir une communication de crise, incluant les parties prenantes internes et externes. »
————————————————————————
Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti
Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti
« L’automatisation permet d’orchestrer un PRA de bout en bout.»
« Les nouvelles technologies ont fait fortement évoluer la gestion des PRA. L’évolution la plus intéressante est pour moi l’automatisation qui permet d’orchestrer un PRA de bout en bout. Cela permet de tester beaucoup plus facilement son PRA et de limiter les erreurs humaines. »
« Le second point clé est l’utilisation du Cloud et de l’hybridation. Il est maintenant facile d’avoir sa production On-Premise et son PRA dans le cloud, ou son infrastructure cloud et le PRA dans un autre Cloud. Cela permet de simplifier grandement les besoins en infrastructure et de limiter les investissements tout en répondant aux exigences réglementaires qui imposent d’avoir son PRA dans un environnement isolé de la production ou distant de X kilomètres. »
—————————————————————————–
Stéphanie Ledoux, PDG et fondatrice d’Alcyconie.
Stéphanie Ledoux, PDG et fondatrice d’Alcyconie
« Externaliser la solution ne doit jamais signifier externaliser la responsabilité de la continuité.»
« Un PRA 100% Cloud, 100% managé peut être pertinent, à condition de bien maîtriser les risques associés. Le cloud managé apporte agilité, scalabilité et externalisation des contraintes techniques. Mais attention aux dépendances critiques, à la localisation des données, à la conformité réglementaire et à la capacité réelle du fournisseur à garantir la disponibilité en cas de crise. Le tout managé ne dispense pas de conserver la gouvernance, le pilotage des tests et la maîtrise des scénarios. »
En parallèle de ce changement de marque, la communication autour du produit évolue. Elle se porte plus sensiblement sur les intégrations avec l’écosystème Chrome.
En la matière, on ne partait pas de zéro. Mi-2024, lorsque Google avait annoncé acquérir Cameyo, des jonctions étaient déjà en place. Essentiellement vis-à-vis de ChromeOS (intégration avec le système de fichiers local, gestion du presse-papiers, livraison d’apps en tant que PWA…).
Est désormais mise en avant l’idée d’expérience unifiée au sein de Chrome Enterprise. Les applications client lourd virtualisées avec Cameyo bénéficieraient, d’un côté, du même contexte de sécurité que le SaaS (filtrage d’URL, DLP, protection contre les menaces…). Et de l’autre, de la même couche IA, à travers l’assistant Gemini for Chrome.
Google érige désormais Cameyo au rang de plate-forme.
La virtualisation Linux, moins mise en avant sous l’ère Google
À l’exception de quelques renvois vers chez Google, le site Internet de Cameyo est demeuré tel qu’il était avant l’acquisition.
Parmi les promesses d’alors, il y avait celle de pouvoir virtualiser des applications Linux et des web apps internes sans avoir besoin d’une licence Windows Server.
Dans le giron de Google, cette possibilité n’est pas exclue, mais elle est nettement moins mise en avant, jusque dans l’assistance en ligne.
Le modèle de licence n’a pas non plus changé (abonnement par utilisateur), mais le nombre minimal d’utilisateurs a augmenté : 50 dorénavant, contre 25 auparavant (voire 15 sur la version autohébergée de Cameyo).
La version managée n’est plus déployable sur Azure : Google Cloud est maintenant l’hébergeur exclusif. Il est, dans ce cadre, responsable du déploiement des VM et de leur mise à l’échelle. Mais pas des logiciels – y compris l’OS – qui fonctionnent sur ces VM.
Des jonctions avec Drive et l’annuaire Google Workspace
Sur GCP, un serveur Cameyo peut exploiter 6 niveaux de capacité, variant en vCPU (1 à 16), en RAM (3,75 à 60 Go) et en réseau (pas d’accès Internet sur les deux premiers niveaux). Des clusters peuvent être mise en place pour l’autoscaling.
Pour l’autohébergement, il faut compter au moins 2 CPU et 8 Go de RAM, avec au minimum Windows Server 2019 (Windows Server 2025 n’est pas encore pris en charge).
D’autres jonctions avec l’écosystème Google ont été établies pour l’authentification des utilisateurs (SSO avec compte Google) et la configuration des permissions (annuaire Google Workspace). Drive a par ailleurs été intégré directement dans les sessions (explorateur et fenêtres de dialogue spécifiques).
Cameyo ne gère pas les applications qui ont besoin d’un accès direct à des périphériques locaux (webcams, imprimantes…). Ni celles qui dépendent de fonctions système (enregistrement d’écran, compression de fichiers…).
Entre Ngrok et Pinggy, pas de jaloux : les attaquants qui s’en sont pris au centre hospitalier Stell de Rueil-Malmaison ont exploité l’un et l’autre de ces services de tunneling.
C’était en mars dernier. Au bout, le déploiement d’un ransomware qui avait chiffré des serveurs Windows. La gestion administrative des patients, entre autres, s’en était trouvée indisponible pendant un temps. Des données personnelles ont par ailleurs possiblement été exfiltrées.
Un compte de test admin de domaine
Le point d’entrée fut un ancien compte de test, réactivé le 4 mars 2025 pour un audit Wi-Fi. Ce compte au mot de passe faible avait des privilèges d’admin de domaine et disposait d’un accès VPN.
L’accès initial, via ce vecteur, a lieu le 17 mars (un lundi). Le 22, une latéralisation est mise en œuvre par connexion RDP sur le contrôleur de domaine. Un mécanisme de persistance est ensuite déployé, en ajoutant Pinggy pour établir une connexion SSH sur le port 443.
Vendredi 28 mars, un canal est mis en place entre le contrôleur de domaine et le serveur de l’attaquant grâce à Ngrok. Le même jour, le ransomware est déployé et exécuté. Le lendemain, les traces de l’attaque sur les systèmes sont supprimées.
Le CH de Rueil-Malmaison passe au tiering AD
Le chiffrement n’est constaté que lundi 31 mars. À partir de là, les flux VPN sont coupés ; les serveurs impactés, isolés. Le lendemain, les sauvegardes sont mises hors réseau en vérifiant leur intégrité. L’ANSSI et le CERT Santé se déplacent sur site.
Le 2 avril, l’analyse des serveurs compromis démarre. Et du matériel (postes, clés 4G…) est demandé à l’ARS.
La reconstruction AD débute le 7, parallèlement à la fin des analyses. Le 10, la bascule est achevée. Le service de sauvegarde est relancé, les services métiers impactés sont restaurés et une formation d’administration sécurisée est dispensée.
La période d’avril-mai est marquée par le rétablissement progressif des services RH et d’admission, ainsi que le déploiement de nouveaux postes. Entre juin et septembre, un modèle par niveaux de privilège est mis en place pour l’AD.
Dans la réglementation européenne, les « données à caractère personnel » seront peut-être bientôt une notion moins absolue.
L’omnibus numérique, que Bruxelles doit présenter la semaine prochaine, va en tout cas dans ce sens. Tout du moins si on en croit le brouillon qui a filtré.
À l’heure actuelle, le RGPD définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable.
L’omnibus numérique impose d’apprécier la notion du point de vue de chaque entité : des informations n’ont pas de caractère personnel pour qui ne peut pas identifier la personne concernée à l’aide de moyens raisonnables. De même, elles ne le deviendraient pas du point de vue de cette même entité simplement parce qu’un destinataire ultérieur aurait raisonnablement les moyens de réaliser cette identification.
Traitement de catégories particulières de données : une exception à la faveur des systèmes d’IA
L’omnibus numérique modifierait une autre définition inscrite dans le RGPD : celle des « données concernant la santé ». Il ne s’agirait plus que de celles qui révèlent « directement » des informations sur l’état de santé d’une personne.
La même approche serait adoptée pour amender l’article 9 (traitement de catégories particulières de données personnelles). Ne serait plus interdit que le traitement de données personnelles révélant « directement » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, etc.
En l’état, cette interdiction ne s’applique pas si certaines conditions sont remplies. Par exemple, l’obtention d’un consentement explicite ou une nécessité pour la sauvegarde des intérêts vitaux de la personne concernée.
L’omnibus y ajoute deux possibilités, dont une touchant au développement et à l’exploitation de systèmes d’IA. Ce à condition d’avoir mis en place les mesures techniques et organisationnelles appropriées pour éviter autant que possible la collecte de catégories particulières de données personnelles. Et, le cas échéant, de supprimer ces données ou d’éviter qu’elles alimentent des outputs, soient divulguées ou soient rendues accessibles à des tiers.
Un allégement des exigences d’information des personnes concernées
L’omnibus numérique amenderait aussi l’article 13 (informations à fournir lorsque des données personnelles sont collectées auprès de la personne concernée).
Actuellement, les dispositions ne s’appliquent pas lorsque la personne concernée dispose déjà de ces informations.
À l’avenir, elles ne s’appliqueraient pas dès lors que les collectes seraient effectuées dans le cadre d’une relation « claire et délimitée » par un responsable de traitement exerçant une activité « non intensive en données ». Et qu’il existerait des motifs raisonnables de supposer que la personne connaît déjà les finalités et la base juridique du traitement, ainsi que l’identité et les coordonnées du responsable.
Tout cela ne vaudrait pas si les données étaient transmises à d’autres destinataires ou catégories de destinataires, transférées vers des pays tiers, exploitées pour de la décision automatisée, ou si le traitement pose un risque élevé pour les droits et libertés des personnes concernées.
De « interdit sauf si » à « autorisé sauf si » : une tournure plus favorable aux décisions individuelles automatisées
La décision individuelle automatisée (article 22) évoluerait aussi en conséquence de l’omnibus numérique.
Actuellement, il est établi que la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Ce droit ne s’applique pas lorsque la décision est :
Nécessaire à la conclusion ou à l’exécution d’une contrat
Autorisée par le droit de l’UE ou de l’État membre auquel le responsable de traitement est soumis
Fondée sur le consentement explicite de la personne concernée
Le fond ne changerait pas. Mais la forme, si, au profit d’une rédaction de type « traitement automatisé autorisé sauf si… ».
Violations de données personnelles : notifications restreintes et délai allongé
Un autre assouplissement est prévu sur l’article 33.
Celui-ci impose actuellement aux responsables de traitement de notifier les violations de données personnelles à l’autorité de contrôle référente sous 72 heures.
L’omnibus numérique cette obligation aux violations engendrant un risque élevé pour les droits et libertés de personnes physiques. Il porterait par ailleurs le délai à 96 heures.
Les autorités de contrôle n’établiraient plus leur liste d’AIPD
La conception de listes des types d’opérations de traitement exigeant une AIPD (analyse d’impact préalable) est actuellement à la charge des autorités de contrôle, qui les communiquent aux Comité européen de la protection des données.
L’omnibus numérique supprimerait cet échelon : la liste serait directement élaborée par ledit comité, qui la transmettrait à la Commission européenne.
Traitements de données au travail : un cadre précisé pour les données des terminaux
L’article 88, relatif au traitement des données dans le cadre des relations de travail, n’évoluerait pas en lui-même. Mais trois articles 88a, 88b et 88c viendraient le compléter.
L’article 88a encadrerait le traitement de données personnelles stockées sur ou provenant de terminaux. Il l’autoriserait s’il est nécessaire pour :
Acheminer une communication électronique
Fournir un service explicitement demandé par la personne concernée
Agréger des infos sur l’usage d’une service en ligne afin de mesurer son audience
Maintenir ou restaurer la sécurité d’un service demandé par la personne concernée ou du terminal utilisé pour fournir ce service
Pour toutes autres finalités, les traitements auraient à respecter les bases légales énoncées à l’article 6 du RGPD et éventuellement l’article 9 (catégories particulières de données personnelles). Un éventuel consentement devrait pouvoir être manifesté par un clic sur un bouton « ou par des moyens équivalents ». Le responsable de traitement aurait à respecter ce choix pour au moins 6 mois.
Une (énième) perspective d’expression automatisée du consentement
L’article 88b ouvre la voie à une expression du consentement de manière automatisée et lisible par la machine. Une solution que l’UE explore depuis bien longtemps : un amendement de 2009 à la directive ePrivacy avait déjà encouragé un tel mécanisme, notamment par l’intermédiaire des paramètres de navigateur web.
Une fois les normes harmonisées établies, les responsables de traitement auraient 6 mois pour faire en sorte que leurs services gèrent ces signaux. Les médias – tels que définis dans l’European Media Freedom Act de 2024 – n’y seraient pas tenus, « vu l’importance que les revenus publicitaires représentent pour eux ».
En cas d’adoption insuffisante par les fournisseurs de navigateurs web et de systèmes d’exploitation, la Commission européenne aurait le pouvoir de les contraindre par actes délégués.
L’article 88c concernerait les traitements dans le contexte du développement et de l’exploitation de systèmes d’IA. Ils les autoriserait s’ils sont nécessaires au sens de l’article 6(1)(f). C’est-à-dire au nom des intérêts légitimes du responsable de traitement ou d’un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Should I stay or should I go ? Voilà plusieurs mois que la question trotte dans la tête de Yann LeCun, scientifique en chef de l’intelligence artificielle chez Meta depuis 2013.
Selon le Financial Times (FT), le lauréat du prix Turing aurait informé ses proches de son intention de partir dans les prochains mois. Il serait également en discussions préliminaires pour lever des fonds destinés à sa future startup, selon des sources proches du dossier citées par le FT.
Une issue qui n’est pas vraiment une surprise tant le chercheur franco-américain, considéré comme l’un des pères fondateurs de l’IA moderne, apparait éloigné de la nouvelle stratégie souhaitée par Mark Zuckerberg pour coller à la roue d’OpenAI.
En effet, le fondateur de Meta a décidé de délaisser les travaux de recherche fondamentale menés par le laboratoire FAIR (Fundamental AI Research Lab), dirigé par LeCun, au profit d’un déploiement accéléré de modèles et produits d’IA commerciaux. Cette réorientation fait suite à la performance décevante du modèle Llama 4, qui s’est révélé inférieur aux offres concurrentes de Google, OpenAI et Anthropic.
Une réorganisation qui bouleverse les hiérarchies
L’été dernier, Mark Zuckerberg a recruté Alexandr Wang, fondateur de la startup Scale AI, pour diriger une nouvelle équipe dédiée à la « superintelligence ». Cette embauche s’est accompagnée d’un investissement de 14,3 milliards $ pour acquérir 49% de Scale AI. Conséquence directe : LeCun, qui reportait jusqu’alors au directeur produit Chris Cox, se retrouve désormais sous la supervision de Wang, âgé de 28 ans.
Le patron de Meta a parallèlement constitué une équipe exclusive, baptisée TBD Lab, chargée de développer la prochaine génération de grands modèles de langage. Pour attirer des talents d’OpenAI et de Google, des packages de rémunération atteignant 100 millions $ ont été proposés. En juillet, Shengjia Zhao, co-créateur de ChatGPT chez OpenAI, a été embauché comme scientifique en chef du laboratoire Superintelligence.
Un désaccord fondamental sur l’avenir de l’IA
Cette réorganisation met en lumière une divergence stratégique profonde. LeCun défend depuis longtemps la thèse selon laquelle les grands modèles de langage (LLM), au cœur de la nouvelle stratégie de Mark Zuckerberg, sont certes utiles mais ne permettront jamais d’atteindre des capacités de raisonnement et de planification comparables à celles des humains.
Le scientifique concentre ses travaux au sein de FAIR sur une génération entièrement nouvelle de systèmes d’IA : les « modèles du monde ». Ces architectures visent à comprendre le monde physique en apprenant à partir de vidéos et de données spatiales plutôt que de simples contenus textuels. LeCun estime toutefois qu’une décennie pourrait être nécessaire pour développer pleinement cette technologie. Son prochain projet entrepreneurial portera précisément sur l’approfondissement de ces recherches selon le FT.
Le départ annoncé de Yann LeCun n’est pas le premier des « vétérans de l’IA » à quitter Meta. En mai, c’est Joelle Pineau, vice-présidente de la recherche en IA, qui avait rejoint la startup canadienne Cohere. En octobre, ce sont environ 600 personnes de son unité de recherche qui avaient été licenciées.
L’échéance approche : le 19 novembre, la Commission européenne devrait présenter son « omnibus numérique ».
Un brouillon, non daté, a filtré avant l’heure. Il est proposé d’y amender 5 textes :
Data Act (règlement 2023/2854)
RGPD (règlement 2016/679)
AI Act (règlement 2024/1689)
ePrivacy (directive 2002/58/EC)
SRI 2 (directive 2022/2555)
Il s’agit aussi d’en abroger 4 :
Data Governance Act (règlement 2022/868)
Directive Open Data (2019/1024)
Règlement sur la libre circulation des données à caractère non personnel au sein de l’UE (2018/1807, dit FFDR)
Règlement promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (2019/150, dit P2B)
Le Data Act va « absorber » plusieurs autres textes
Data Governance Act, directive Open Data et règlement FFDR seraient consolidés au sein du Data Act. Une démarche d’autant plus logique, à en croire Bruxelles, que ces textes se chevauchent sans que leurs interactions soient toujours claires. Le FFDR, par exemple, a en partie été remplacé par le chapitre VI du Data Act (relatif au changement de services de traitement de données). Quant au chapitre II du Data Governance Act (réutilisation de certaines catégories de données détenues par des organismes du secteur public), il complète les dispositions de la directive Open Data.
La proposition d’omnibus numérique identifie quatre éléments « importants » pour assurer un équilibre entre disponibilité des données et droits/intérêts de leurs détenteurs :
Nécessité de renforcer les garde-fous contre le risque de fuite de secrets commerciaux vers des pays tiers dans le contexte des dispositions sur le partage de données des produits connectés
Risque d’ambiguïtés juridiques au vu du périmètre étendu du cadre business-to-government
Risque d’incertitude en lien avec les exigences essentielles pour les smart contracts exécutant des accords de partage de données
Insuffisance de prise en compte, dans le cadre du changement de fournisseur de traitement de données, des services adaptés aux besoin d’un client ou fournis par des PME/small caps
Vers la fin des exigences sur les smart contracts
Les exigences concernant les smart contracts se trouvent au chapitre VIII du Data Act (« Interopérabilité »). Elles touchent au contrôle de l’accès, à l’archivage des données, à la résiliation en toute sécurité, etc. L’omnibus numérique les supprimerait.
Données IoT : une protection renforcée du secret des affaires
Le chapitre II du Data Act régit le partage de données relatives aux produits connectés et aux services connexes. Actuellement, il permet à un détenteur de données de refuser de les communiquer au nom du secret des affaires s’il démontre qu’il existe un risque de préjudice économique grave.
L’omnibus numérique ajouterait un motif de refus supplémentaire : l’existence d’un risque élevé d’acquisition ou d’usage par des pays tiers qui ne garantissent pas un niveau de protection des données équivalent à celui de l’UE.
Un régime « spécial très grandes entreprises » pour l’open data public
Une simplification du cadre business-to-government serait effectuée au niveau du chapitre V du Data Act. Celui-ci régit la mise à disposition de données au bénéfice d’organismes du secteur public, de la Commission européenne, de la BCE ou d’un organe de l’UE « sur le fondement d’un besoin exceptionnel ».
L’omnibus numérique préciserait le champ d’application en remplaçant « besoin exceptionnel » par « urgence publique ».
La fusion des dispositions de la directive Open Data et du Data Governance Act en un chapitre sur la réutilisation des données du secteur public s’accompagnerait d’évolutions. Parmi elles, la possibilité de facturer plus l’accès aux très grandes entreprises – en première ligne, les « contrôleurs d’accès » tels que définis dans le DMA – et d’y assortir des conditions spécifiques.
En parallèle, les règles du Data Governance Act concernant certaines catégories de données protégées seraient introduites dans le Data Act sous forme simplifiée, avec une clarification sur les règles applicables dans les cas où des données personnelles ont été rendues anonymes.
Des facilités pour les PME qui fournissent de services traitement de données…
Le changement de fournisseur de traitement de données est encadré par le chapitre VI du Data Act.
L’omnibus numérique créerait un régime spécifique plus « léger » pour les services « personnalisés » (non commercialisés sur étagère et qui ne fonctionneraient pas sans une adaptation préalable aux besoins de l’utilisateur) à l’exception du IaaS. Ceux faisant l’objet d’un contrat signé avant le 12 septembre 2025 ne seraient soumis à aucune des obligations du chapitre (information, bonne foi, transparence sur les accès internationaux…) sauf celle relative à la suppression progressive des frais de changement.
Ce régime s’appliquerait aussi aux services fournis – dans le cadre de contrats signés avant cette même date – par des PME et des small caps. Ces dernières auraient la possibilité d’inclure, dans les contrats à durée déterminée, des pénalités de résiliation anticipée.
… et pour les fournisseurs de services d’intermédiation de données
L’omnibus numérique incorporerait dans le Data Act deux régimes actuellement inscrits dans le Data Governance Act. D’une part, le chapitre III, qui impose une notification des autorités compétentes par les prestataires de services d’intermédiation de données. De l’autre, le chapitre IV, qui établit un mécanisme d’enregistrement volontaire des organismes altruistes en matière de données au sein de registres publics nationaux.
Vu la nature émergente des services d’intermédiation de données, leurs prestataires ne devraient pas être obligés de notifier les autorités, estime Bruxelles. Le brouillon de l’omnibus numérique va dans ce sens. Il élimine par ailleurs l’obligation de séparation juridique vis-à-vis d’autres services, la remplaçant par une exigence de séparation fonctionnelle.
En ce qui concerne les organisations altruistes en matière de données, les obligations de transparence et de reporting seraient supprimées.
Règlement FFDR : un seul principe préservé
Du règlement FFDR ne serait conservé qu’un principe : celui qui interdit les exigences de localisation des données sauf si elles sont justifiées par des motifs de sécurité publique.
Ainsi en a décidé le Collins.
Le dictionnaire britannique qualifie d’argotique (slang) ce terme qui désigne « l’usage de l’intelligence artificielle en langage naturel pour aider à l’écriture de code infomatique ». Il l’attribue à Andrej Karpathy, membre fondateur d’OpenAI et ancien directeur de l’IA de Tesla. Il a également des entrées pour vibe coder (nom) et vibe-code (verbe).
Sur la shortlist figuraient aussi, entre autres :
taskmasking
« Fait de donner une fausse impression d’être productif au bureau ».
broligarchy
« Petite clique d’hommes très riches qui exercent une influence politique ». En première ligne, les milliardaires de la tech présents à l’investiture de Donald Trump pour son deuxième mandat de président des États-Unis.
clanker
« Terme péjoratif pour un ordinateur, un robot ou une source d’intelligence artificielle ». Il trouve son origine dans la franchise Star Wars et dérive du nom clank, qui désigne un cliquetis, un « bruit sec et métallique »
Les « mots de l’année » du Collins ont régulièrement trait aux technologies :
Geek en 2013 (Bitcoin et phablet étaient sur la shortlist)
Fake news en 2017
NFT en 2021 (crypto, metaverse et hybrid working étaient sur la shortlist)
AI en 2023
Je prompte, tu promptes, il prompte…
En France, les dictionnaires de référence n’ont pas encore intégré le vibe coding.
Parmi les mots nouveaux du Petit Robert 2026 (publié en mai 2025) figure l’hypertrucage.
Cette recommandation officielle pour « deepfake » vient du Canada, mais elle « se fait une place en français », nous assure-t-on. Preuve en serait de son emploi dans la version française de l’AI Act.
En parallèle, le mot hallucination voit son sens enrichi (« réponse fausse produite par une intelligence artificielle générative, avec une apparence de vérité »).
Le Petit Robert 2026 a également accueilli « apprentissage profond » (recommandation officielle pour deep learning), « clonage de voix »… et le verbe prompter.
Le substantif prompt était arrivé l’année précédente. Comme « solutionnisme (technologique) »/ »technosolutionnisme« , défini comme une « idéologie qui consiste à rechercher des solutions technologiques aux problèmes (sociaux, écologiques, etc.) sans en examiner les causes profondes ».
L’édition 2024 du Petit Robert avait accueilli métavers et minage (au sens de « validation, en échange d’une rémunération, d’un ensemble de transactions effectuées en cryptomonnaie avant inscription sur une blockchain »). Ainsi que disquette, au sens (familier) de « phrase, formule peu flatteuse, souvent lourde, destinée à séduire quelqu’un » (ou de « parole trompeuse ; mensonge »).
Le modèle de langage est entré dans le Petit Larousse
« Prompter » n’est pas encore dans le Petit Larousse, mais « prompt » y est entré cette année. Comme « modèle de langage« . Et l’adjectif haptique, se référant à une « technologie qui reproduit en temps réel la sensation du toucher dans un environnement virtuel »).
L’édition 2025 du Petit Larousse avait accueilli les noms bot et cyberattaque, l’expression « détox digitale » et le verbe cracker (« faire sauter illégalement les dispositifs de protection d’un système informatique »), venu compléter le substantif cracke(u)r. En 2024, « instagrammable », entre autres, avait fait son entrée.
La Commission européenne prévoit de suspendre temporairement certaines dispositions de sa législation phare sur l’intelligence artificielle (IA), dans un contexte de fortes pressions exercées par les grandes entreprises technologiques et le gouvernement américain, rapporte le Financial Times (FT).
Selon le FT, Bruxelles devrait alléger une partie de son règlement numérique, notamment l’AI Act, qui est entré en vigueur en août 2024, lors de l’adoption d’un « paquet de simplification » prévue le 19 novembre. Cette initiative s’inscrit dans les efforts de l’UE pour renforcer sa compétitivité face aux États-Unis et à la Chine.
Le projet de proposition intervient alors qu’un débat plus large oppose les autorités européennes à la manière dont elles devraient appliquer les règles numériques, face à une vive opposition des géants de la technologie soutenus par l’ancien président américain Donald Trump. L’UE a également dû gérer des pressions de la part de groupes européens inquiets des effets de l’AI Act, considéré comme le régime de régulation de l’IA le plus strict au monde.
D’après un responsable européen cité par le FT, l’UE a « engagé des discussions » avec l’administration Trump sur des ajustements à l’AI Act et à d’autres régulations numériques dans le cadre du processus de simplification.
Un délai supplémentaire pour appliquer les sanctions prévues dans l’IA Act
Bien que la législation soit entrée en vigueur, de nombreuses dispositions ne prendront effet que dans les années à venir. Les principales obligations pour les systèmes d’IA susceptibles de présenter des « risques sérieux » pour la santé, la sécurité ou les droits fondamentaux des citoyens sont prévues pour août 2026.
Le projet de la Commission, consulté par le FT, envisage d’accorder aux entreprises enfreignant les règles sur les usages d’IA les plus risqués un délai de grâce d’un an. Cette mesure pourrait concerner les fournisseurs de systèmes d’IA générative déjà commercialisés avant la date de mise en œuvre, afin de leur laisser « le temps de s’adapter sans perturber le marché ».
Bruxelles propose également de reporter l’imposition d’amendes pour violation des nouvelles règles de transparence jusqu’en août 2027, pour « permettre aux fournisseurs et utilisateurs d’IA de s’adapter ». Le projet vise en outre à simplifier le fardeau réglementaire pour les entreprises et à centraliser l’application de la loi via un bureau européen de l’IA.
Une porte-parole de la Commission a précisé au FT que « plusieurs options sont à l’étude » concernant un éventuel report de certaines dispositions de l’AI Act, tout en affirmant que l’UE reste « pleinement attachée à la loi et à ses objectifs ».
« Bleu et S3NS existent grâce à la circulaire ‘cloud au centre’. […] EDF ne fait que déployer la stratégie de l’État voulue par les ministres de l’époque.«
Alain Garnier, patron de Jamespot, exprime un certain fatalisme quant à la décision du groupe industriel de recourir à ces deux fournisseurs dans la perspective de compléter son cloud privé.
Yann Lechelle, ancien DG de Scaleway, lui fait écho. Il voit, en Bleu et S3NS, des joint-ventures « coercitives » au bénéfice du modèle « cloud de confiance » annoncé en 2021 par Bruno Le Maire. « Le montage répond au cahier des charges qui n’apporte qu’une réponse (très) partielle à notre situation« , ajoute l’intéressé. Non sans affirmer que si la souveraineté de la donnée est garantie (en supposant que la qualification SecNumCloud soit atteinte), la souveraineté technologique ne l’est pas.
SecNumCloud ne résout pas tout…
On retrouve ce discours chez Alain Issarni. « Comment parler de souveraineté quand la technologie sous-jacente reste à ce point contrôlée par les GAFAM ? » se demande l’ancien patron de NumSpot. EDF est, estime-t-il, dans la lignée de l’État français, « qui, sur le Health Data Hub, a refusé pendant 5 ans toute sortie d’Azure« . Il redoute que le groupe tombe dans « le même piège » que l’US Navy, qui a récemment admis qu’il lui faudrait 3 ans pour sortir du cloud de Microsoft, faute de réversibilité réelle.
Une qualification SecNumCloud ne suffit pas à effacer les dépendances structurelles, clame Alain Issarni : que se passe-t-il si Google ou Microsoft décide de couper les mises à jour ? Et comment assurer la souveraineté des « escortes numériques » (accès niveau 3), alors même que le département de la Défense des États-Unis a condamné ce modèle, jugeant Microsoft incapable d’en assurer le contrôle ?
… notamment l’exposition au FISA
« Le plan que j’imaginais se met en place« , commente Tariq Krim. Le fondateur de Netvibes et ancien vice-président du Conseil national du numérique fait référence à un billet qu’il avait publié en juin 2025 : « Comment l’État a confisqué le marché de la souveraineté numérique ».
Dns ce billet, Tariq Krim postule qu’à la fin du premier mandat d’Emmanuel Macron, trois crises (« Covid, polarisation Trump I et émotion autour de l’hébergement du HDH chez Microsoft ») ont servi de prétexte à l’État pour reprendre la main sur la « souveraineté » en écartant les acteurs historiques.
Un glissement sémantique de « souveraineté numérique » à « cloud de confiance » a neutralisé la dimension géopolitique. Trois pôles ont alors façonné la doctrine actuelle, « chacun selon son intérêt » :
La DGE et l’ANSSI ont élaboré SecNumCloud, qui a verrouillé l’accès au marché
Bercy a suivi les recommandations des grands groupes, qui réclamaient un Office 365 souverain
La présidence de la République souhaite continuer à soutenir une start-up nation très dépendante des GAFAM
Le « cloud de confiance », tel que promu par l’État, ne protège pas du FISA (Foreign Intelligence Surveillance Act), déclare Tariq Krim. Il rappelle la récente extension de la portée de cette loi américaine, qui englobe désormais la surveillance des infrastructures en plus de tout logiciel connecté à un réseau, y compris lorsqu’il est déployé sur site. Lors d’une audition au Sénat, l’ANSSI a expliqué disposer d’une solution pour garantir une immunité, mais elle n’en a pas fait de démo publique.
Michel-Marie Maudet fait remarquer qu’EDF lui-même met des guillemets autour de « cloud de confiance ». « Ce n’est pas anodin« , affirme le directeur général de LINAGORA. Il regrette à la fois, un « message désastreux envoyé au marché » et une « erreur stratégique majeure » pour le CSF « Logiciels et solutions numériques de confiance ».
Parler d’un marché des solutions de gestion du travail collaboratif a-t-il encore un sens ?
Gartner le fait encore dans le cadre de son Magic Quadrant. L’an dernier, il avait toutefois reconnu que les frontières s’estompaient avec des offres issues de segments adjacents (gestion de projets, intranets, outils de développement, suites bureautiques cloud…) tendant à développer de telles capacités.
La même dynamique est évoquée cette année, mais dans le sens inverse : à mesure que l’IA les gagne, les solutions de gestion du travail collaboratif entrent en concurrence avec des applications métier qui relèvent d’autres segments dans la nomenclature du cabinet américain.
Ce phénomène est aussi porté par la multiplication de ce que Gartner appelle des « accélérateurs de cas d’usage ». En quelque sorte, des kits de démarrage associant modèles de données, workflows et configurations prêts à l’emploi. Une proposition de valeur qui réduisent, tout du moins sur le papier, le besoin en applications spécialisées.
9 fournisseurs… tous « leaders » ou presque
D’une année à l’autre, les critères d’inclusion au Magic Quadrant ont peu évolué. Sur le volet fonctionnel, il fallait toujours, dans les grandes lignes, couvrir au minimum les aspects planification, collaboration (y compris création de contenu), workflows et automatisation, reporting et analytics, en fournissant également lesdits « accélérateurs de cas d’usage ». Un élément s’est ajouté : « assistance intelligente ». Y sont regroupées des capacités fondées sur l’IA générative, dont la création et l’édition de contenu, l’aide à l’utilisation des produits et l’optimisation de workflows.
Les offreurs sont évalués sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre censé refléter la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Les 9 fournisseurs classés sont les mêmes que l’an dernier. En 2024, ils étaient 5 dans le carré des « leaders »… et les 4 autres n’en étaient pas si loin. Un an plus tard, ils sont 7 « leaders » et les 2 autres en sont encore plus proches.
La situation sur l’axe « exécution » :
Rang
Fournisseur
Évolution annuelle
1
monday.com
+1
2
Smartsheet
– 1
3
Asana
=
4
Adobe
=
5
Airtable
+ 1
6
Wrike
– 1
7
Atlassian
=
8
ClickUp
=
9
Quickbase
=
L’expérience client et la qualité des produits ont eu un poids élevé dans la notation. La viabilité (santé financière et probabilité d’investissement continu dans la solution), un poids moyen. L’exécution commerciale et marketing, un poids bas.
Sur l’axe « vision » :
Rang
Fournisseur
Évolution annuelle
1
monday.com
=
2
Asana
=
3
Smartsheet
=
4
Airtable
=
5
Wrike
=
6
ClickUp
+ 1
7
Quickbase
+ 2
8
Atlassian
=
9
Adobe
– 3
La stratégie produit a eu un poids élevé dans la notation. L’innovation, un poids moyen. La compréhension du marché, un poids bas, comme les stratégies commerciale, marketing et géographique. La stratégie sectorielle n’a pas été notée.
Du channel aux solutions sectorielles, des éléments « en développement » chez Airtable
Airtable se distingue autant sur la composante low-code que sur la scalabilité de son socle HyperDB. Gartner salue aussi l’innovation en matière d’IA, avec une approche associant chatbot global et agents embarqués au sein des applications.
À grande échelle, il peut s’avérer difficile de maintenir une gouvernance cohérente des applications personnalisés. Attention aussi à la courbe d’apprentissage pour qui est néophyte des concepts de base de données. Gartner souligne aussi qu’Airtable développe actuellement sa présence hors de son cœur de marché (présence physique, channel, datacenters) et sur les solutions sectorielles.
Avec Asana, attention à la courbe d’apprentissage
Bon point pour Asana sur la notoriété de marque, la communauté et le taux d’adoption pour certains usages (planification du travail, en particulier). Gartner apprécie aussi l’architecture Work Graph, entre le modèle de données qui la porte et les agents IA qui y sont greffés. Il note également l’exhaustivité de l’offre sur la gestion de tâches et des projets ainsi que sur le suivi d’objectifs et résultats.
De par son exhaustivité, Asana est susceptible de présenter une certaine courbe d’apprentissage. Gartner relève aussi une marge de progression sur l’approche sectorielle : certains cas d’usage peuvent ne pas être efficacement couverts. Le cabinet américain remarque également que la croissance des revenus d’Asana a ralenti, tandis que l’effectif n’a pas augmenté. Potentiellement le signe, estime-t-il, d’une dépendance au modèle product-led (le produit comme moyen privilégié d’acquisition, par opposition au sales-led ou au marketing-led).
Atlassian : des faiblesses sur la gestion des actifs et du temps
Atlassian se distingue par son niveau de présence sur le marché ; et par sa notoriété, notamment chez les développeurs et l’IT. Il a aussi pour lui son écosystème (partenaires, marketplace fournie, certification de produits tiers…). Et sa tarification, jugée transparente et compétitive.
Certains produits ayant tendance à se chevaucher (Gartner cite Trello et Jira), l’offre d’Atlassian peut s’avérer difficile à appréhender. S’y ajoute une approche commerciale et marketing moins développée que chez les concurrents sur l’aspect sectoriel. Au niveau fonctionnel, il existe des faiblesses sur la gestion d’actifs, l’allocation de ressources et le suivi du temps.
ClickUp, pas déployé à la même échelle que les concurrents directs
Gartner note la croissance notable de la clientèle de ClickUp et du nombre d’utilisateurs actifs. Il souligne aussi la facilité d’utilisation, tant au niveau de l’interface que de par la flexibilité offerte sur la gestion de tâches, avec une configuration initiale minimale. Bon point également sur la convergence « travail-connaissances-communication », qui minimise le changement de contexte.
Hors de l’Union européenne, la présence géographique de ClickUp est limité. Ses plus gros déploiements sont plus petits que ceux des concurrents directs (moindres volumes de données et d’utilisateurs simultanés). Quant au réseau de partenaires, il est « en évolution », tout comme le ciblage de secteurs et de métiers (pas de programme commercial dédié).
Tarification, cœur fonctionnel… Les contreparties des « accélérateurs » de monday.com
monday.com jouit d’une notoriété portée par son niveau d’offre gratuit, son UX jugée intuitive et son ciblage efficace de relais d’influence dans plusieurs secteurs. Autre élément de distinction : ses « accélérateurs » (CRM, développement logiciel, service management…), qui comment à concurrencer des apps métier. Gartner apprécie aussi les investissements dans la gestion du cycle de vie des données et la personnalisation par API.
Point fort, les « accélérateurs » sont en même temps susceptibles de limiter les investissements dans le cœur fonctionnel. Ils entraînent aussi, avec leur tarification spécifique, une complexité pour qui recherche une solution multiusage. Gartner recommande par ailleurs de vérifier la disponibilité d’expertise sur les plaques géographiques où monday.com est essentiellement en indirect.
Smartsheet : les complexités du nouveau modèle de licence
Bon point sur le plan fonctionnel pour Smartsheet, qui s’avère adapté aux workflows complexes nécessitant de l’élasticité. Les briques de gestion de projet, de gestion de ressources et de reporting tendent à être appréciées des grandes entreprises. Autres points forts : la notoriété (Smartsheet est le fournisseur le plus souvent benchmarké dans les requêtes faites à Gartner) et la partie collaboration de contenu (versioning, pistes d’audit, fonctionnalité de révision avec fils de discussion).
L’an dernier, Gartner rappelait que Smartsheet allait redevenir une entreprise privée et appelait à porter attention aux impacts sur la visibilité de la stratégie, de la roadmap et des résultats. Il n’en dit pas moins cette année, même si la transition a été bouclée depuis (janvier 2025). Dans cet intervalle, la croissance des revenus et de l’effectif a été plus faible que chez les principaux concurrents. Quant à la transition vers le modèle à l’abonnement par utilisateur, elle a engendré des complexités de réconciliation et de gestion des licences ; complexités renforcées par la suppression de l’option free collaborator.
La marketplace de Wrike, en défaut de capacités-clés
L’acquisition de Klaxoon a renforcé les capacités de Wrike sur la collaboration visuelle et ouvert la voie au développement d’agents IA autour de cette brique. Gartner apprécie aussi les possibilités en matière de gestion des données (synchronisation des systèmes tiers, moteur no code avec connecteurs préconstruits…). Et la tarification, jugée transparente, compétitive et particulièrement accessible aux petites équipes comme aux déploiements multiusages.
Comme chez Smartsheet, la dynamique business n’est pas positive, tant sur la croissance des revenus et de la clientèle que sur la visibilité globale. La présence physique reste limitée dans certaines régions géographiques et le réseau de partenaires n’est pas le plus étendu sur ce marché. Des services-clés manquent par ailleurs sur la marketplace (publication en self-service, évaluations et discussions d’utilisateurs).
Microsoft poursuit ses investissements dans l’IA médicale avec la création d’une nouvelle équipe baptisée MAI Superintelligence Team. Son ambition : développer une intelligence artificielle capable de surpasser largement les capacités humaines dans des domaines spécifiques, à commencer par le diagnostic médical
Microsoft prévoit d’investir « beaucoup d’argent » dans ce projet, selon Mustafa Suleyman, directeur de l’IA du groupe et responsable de cette initiative
Premier objectif : le diagnostic médical
Son équipe se concentrera sur des modèles spécialisés atteignant ce que Mustafa Suleyman qualifie de performances surhumaines, tout en présentant « pratiquement aucun risque existentiel ». Il cite comme exemples potentiels une IA capable de développer de nouvelles molécules, faisant référence à AlphaFold, les modèles d’IA de DeepMind capables de prédire les structures protéiques.
Pour le diagnostic médical, domaine d’intérêt historique pour l’IA et sur lequel Microsoft s’est déjà penché avec son. système nommé Microsoft AI Diagnostic Orchestrator, Suleyman estime avoir « une visibilité vers une superintelligence médicale dans les deux à trois prochaines années ».
L’IA générative n’est plus seulement utilisée dans la phase de développement des malwares : elle l’est aussi lors de leur exploitation.
Google s’en fait l’écho… et en donne 5 exemples. Parmi eux, un dropper VBScript qu’il a appelé PROMPTFLUX.
Un dropper réécrit son code grâce à Gemini
Identifié début juin, le malware fait appel à la dernière version de Gemini Flash 1.5 – via l’API, la clé étant intégrée en dur – pour l’aider à obscurcir son code. Et ainsi maximiser ses chances d’éviter la détection par les antivirus.
Des variants ont été découverts. Dont un qui, toutes les heures, demande à Gemini de réécrire l’intégralité de son code source. Et de sauvegarder chaque nouvelle version dans le dossier de démarrage, afin d’établir une persistance.
PROMPTFLUX a aussi les attributs d’un ver, capable en l’occurrence de se propager sur des partages réseau et des supports amovibles. Il ne semble cependant pas à même de compromettre un réseau ou même un appareil. Certaines de ses fonctions sont effectivement commentées, dont celle par laquelle il modifie son code grâce aux éléments fournis par Gemini. Mais la présence de cette fonction, comme d’ailleurs de la journalisation des réponses IA, illustre clairement sa finalité.
Un dataminer génère des commandes Windows via Qwen
Autre exemple : PROMPTSTEAL. Lui aussi identifié en juin, il a été utilisé par APT28 (groupe à la solde de la Russie) contre l’Ukraine.
Il s’agit d’un dataminer Python déguisé en programme de création d’images. Il contient un script compilé qui fait appel à Qwen2.5-Coder-32B-Instruct via l’API Hugging Face, probablement grâce à un jeton volé. Objectif : générer des commandes Windows destinées à collecter des infos système et à copier des documents dans un dossier spécifique en vue des les exfiltrer.
Quand les outils IA de l’hôte ciblé servent à rechercher des secrets
Google évoque aussi PROMPTLOCK, un ransomware codé en Go. Jugé expérimental, il exploite un LLM (non spécifié) pour générer des scripts Lua. Il inclut des capacités de découverte de système de fichiers, d’exfiltration de données et de chiffrement sur Windows comme sur Linux.
FRUITSHELL et QUIETVAULT, au contraire, on été observés dans des opérations.
Le premier, disponible publiquement, est un reverseshell écrit en PowerShell. Il embarque des prompts censés lui éviter la détection par les systèmes de sécurité reposant sur des LLM.
Le second, codé en JavaScript, est censé exfiltrer des tokens GitHub et NPM en les poussant sur un repo public. Pour recherche d’autres secrets, il se nourrit des outils IA en ligne de commande disponibles sur l’hôte.
Google annonce son plus important accord d’achat de crédits carbone issus de la reforestation, avec la startup brésilienne Mombak sur 200 000 tonnes métriques de compensation d’émissions de CO2, soit quatre fois le volume du contrat pilote signé en septembre 2024.
Mombak transforme d’anciennes terres de pâturage dégradées en forêt amazonienne,
Les deux entreprises ont refusé de divulguer la valeur financière de la transaction. En 2023, lors de sa vente à McLaren Racing, Mombak avait facturé ses crédits en moyenne à plus de 50 dollars la tonne.
Un revirement vers la photosynthèse
L’accord marque un tournant dans la stratégie de décarbonation de Google. En 2024, l’entreprise avait initialement investi plus de 100 millions $ dans diverses technologies de capture du carbone – altération minérale, biochar, capture directe dans l’air et acidification des rivières. L’accord de septembre 2024 avec Mombak représentait sa première incursion dans les crédits carbone basés sur la nature au Brésil.
« La technologie la moins risquée dont nous disposons pour réduire le carbone dans l’atmosphère est la photosynthèse », explique Randy Spock, responsable des crédits carbone chez Google, cité par Reuters.
Cette multiplication des engagements répond à une explosion des émissions liées aux activités de Google. Selon son dernier rapport environnemental, ses émissions de scope 2 liées au marché – principalement l’électricité achetée pour ses centres de données et bureaux – ont plus que triplé entre 2020 et 2024, atteignant 3,1 millions de tonnes d’équivalent CO2.
La coalition Symbiosis élève les standards
En 2024, Google s’était associé à Meta, Salesforce, McKinsey et Microsoft – le plus gros acheteur à ce jour – pour créer la Symbiosis Coalition qui s’est engagée à contracter plus de 20 millions de tonnes de compensations carbone basées sur la nature d’ici 2030.
La coalition impose des normes strictes : comptabilité carbone conservatrice et transparente, préservation à long terme et bénéfices pour la biodiversité et les communautés locales. Sur 185 projets examinés, celui de Mombak est le premier à satisfaire ces critères.
Cette annonce intervient alors que la COP30 qui s’ouvre aujourd’hui à Belem ( Brésil) doit annoncer, entre autres initiatives, un nouveau fonds de soutien pour les forêts tropicales.
Prière de ne plus faire passer Comet pour Google Chrome.
Amazon l’intime à Perplexity… entre autres doléances consignées dans une lettre de mise en demeure rendue publique.
En toile de fond, la confrontation de deux conceptions du commerce agentique, à cheval entre liberté et protection du consommateur.
(In)satisfaction client et (in)sécurité
Amazon appelle Perplexity à cesser, sans délai, d’utiliser les agents IA de son navigateur Comet pour « s’introduire secrètement » dans son périmètre e-commerce. Il lui demande d’identifier lesdits agents de manière transparente, au nom du droit des fournisseurs de services à superviser l’activité agentique.
Ce droit de supervision doit permettre d’empêcher les comportements qui dégradent l’expérience d’achat et la confiance du client avec, tout en créant des risques pour ses données.
Avec la technologie de Perplexity, l’expérience d’achat n’est pas adéquate, affirme Amazon : Comet ne peut pas sélectionner le meilleur prix, la meilleure méthode de livraison et les recommandations. Il ne donne pas non plus la possibilité d’ajouter des produits à des commandes déjà effectuées.
Quant à la sécurité des données des clients, c’est portes ouvertes, d’après Amazon. Preuve en serait des conditions d’utilisation et la notice de confidentialité de Perplexity, qui lui donnent le droit de collecter mots de passe, clés de sécurité, méthodes de paiement, historiques d’achats et autres données sensibles… tout en excluant toute responsabilité.
Amazon pointe des contournements répétés
Les premiers faits que le groupe américain juge répréhensibles remontent au moins à novembre 2024. À partir de là, à travers la fonctionnalité « Buy with Pro », des commandes ont été réalisées au nom d’utilisateurs, en exploitant une poignée de comptes Amazon – dont des comptes Prime – gérés par Perplexity.
En plus de violer les conditions d’utilisation de Prime, cette pratique aurait engendré une mauvaise expérience client. Par exemple en compliquant les retours de produits.
Perplexity avait fini par accepter d’y mettre un terme. Et, plus globalement, de ne pas déployer d’autres agents dans le Store jusqu’à négociation d’un accord. Il aurait, depuis, renié cette promesse, en changeant de tactique, avec des agents qui se connectent aux comptes des utilisateurs.
Amazon explique avoir découvert cette activité en août. N’étant pas parvenu à faire entendre raison à Perplexity, il avait coupé l’accès à Comet… qui, dans les 24 heures, avait contourné le blocage. Les relances ultérieures n’ont pas plus porté leurs fruits, Perplexity continuant à « déguiser » ses agents en instances Chrome.
Pour Amazon, cette opacité est d’autant plus troublante que les preuves de vulnérabilité de Comet aux injections de prompts se sont accumulées ces derniers temps.
Le groupe américain regrette aussi d’avoir dû dédier des ressources aux investigations et à implémentation de contre-mesures. Soulignant que le risque s’accroîtra probablement maintenant que Comet est ouvert au grand public, il réclame des mesures injonctives et une compensation financière. Non sans prétendre qu’il y a infraction aux Codes pénaux des États-Unis et de Californie.
Perplexity brandit la liberté du consommateur
En réponse, Perplexity ne mâche pas ses mots : cette offensive juridique est « une menace pour tous les internautes ».
De son avis, Amazon devrait se montrer favorable à Comet : une expérience d’achat plus simple signifie davantage de transactions et des clients plus heureux. S’il ne réagit pas ainsi, c’est parce que « son intérêt est de vous servir de la publicité, des résultats sponsorisés, et influencer vos décisions d’achat avec […] des offres embrouillantes ».
Rappelant en filigrane que les authentifiants qu’utilise Comet ne sont jamais stockés sur ses serveurs, Perplexity appelle à ne pas confondre « expérience du consommateur » avec « exploitation du consommateur ». Les utilisateurs veulent des assistants IA qui travaillent pour eux pour pour personne d’autre, ajoute-t-il. Non sans laisser comprendre qu’Amazon, dans sa volonté de travailler à terme avec des fournisseurs d’agents, chercherait d’abord à en encadrer le fonctionnement.
Or, l’IA agentique est justement l’occasion, pour les utilisateurs, de reprendre le contrôle de leurs expériences en ligne, veut croire Perplexity. En ce sens, et au nom de la liberté de choix, une entreprise n’aurait aucunement le droit de discriminer les utilisateurs sur la base des IA qu’ils choisissent pour les représenter.
Perplexity veut croire que de telles aspirations font de lui une cible idéale à intimider. Il invite en tout cas Amazon à ne pas oublier les combats qu’il a lui-même menés pour en arriver là, précisément au nom de la liberté du consommateur et avec la même conviction d’avoir un « produit qui change le monde ». Et de conclure : « Le commerce agentique est une évolution naturelle et les gens en sont demandeurs. Nous exigeons de pouvoir l’offrir.«
Un gatekeeper remis en cause ?
Certains auront fait remarquer que Perplexity est gonflé, vu le contenu de ses propres conditions d’utilisation (l’usage de spiders, de crawlers, de scrapers et autres robots ou « processus automatisés » y est très largement proscrit).
D’autres se réjouissent au contraire de cette résistance, y voyant un moyen de remettre en cause le monopole qu’Amazon aurait sur la recherche de produits sur sa marketplace. Et par là même la position de force dans laquelle il est vis-à-vis des vendeurs tiers.
En intercalant des IA entre lui et le client, Amazon verrait plus globalement son rôle de gatekeeper un tant soit peu remis en cause. Au risque de perdre, infine, du business.
Entre autres arguments, circule aussi celui selon lequel les logiciels avec lesquels l’utilisateur accède à un service ne regardent que lui. À l’inverse, certains estiment que tout propriétaire de site(s) e-commerce doit pouvoir ne pas autoriser des IA dans son écosystème.
Connexion
