La Commission européenne a dévoilé son projet de révision du Cybersecurity Act qui prévoit l’élimination progressive des équipements fournis par des entreprises jugées à haut risque dans les secteurs critiques.
Sans nommer explicitement de pays ou d’entreprises, ces mesures devraient principalement affecter les géants chinois des télécommunications Huawei et ZTE.
« Avec ce nouveau paquet cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques en technologies de l’information et de la communication, mais aussi pour combattre les cyberattaques de manière décisive », affirme Henna Virkkunen, la commissaire européenne chargée du numérique.
Le texte s’appliquera à dix-huit secteurs clés identifiés par la Commission, parmi lesquels les équipements de détection, les véhicules connectés et automatisés, les systèmes d’approvisionnement en électricité et en eau, les drones, les services de cloud computing, les dispositifs médicaux ou encore les semi-conducteurs.
Des délais de transition variables
Selon le projet, les opérateurs de téléphonie mobile disposeront de trente-six mois à compter de la publication de la liste des fournisseurs à haut risque pour retirer les composants essentiels provenant de ces entreprises. Les calendriers pour les réseaux fixes, incluant la fibre optique et les câbles sous-marins, ainsi que pour les réseaux satellitaires, seront annoncés ultérieurement.
Les restrictions ne s’appliqueront qu’après une évaluation des risques initiée soit par la Commission, soit par au moins trois pays membres. Les mesures prises devront s’appuyer sur une analyse de marché et une étude d’impact.
L’exécutif européen avait déjà adopté en 2020 une boîte à outils de mesures de sécurité pour les réseaux 5G visant à limiter l’utilisation de fournisseurs à haut risque comme Huawei, en raison de préoccupations relatives à d’éventuels sabotages ou actes d’espionnage. Toutefois, certains pays n’ont toujours pas retiré ces équipements, notamment en raison des coûts élevés que cela représente.
L’Espagne a même signé l’été dernier un contrat de douze millions € avec Huawei pour la fourniture de matériel destiné au stockage des écoutes autorisées par les tribunaux pour les services de police et de renseignement.
Pékin dénonce un « protectionnisme pur et simple »
La Chine n’a pas tardé à réagir. Le ministère chinois des Affaires étrangères a qualifié les restrictions imposées aux entreprises chinoises sans base juridique de «protectionnisme pur et simple », exhortant l’UE à fournir un environnement commercial équitable, transparent et non discriminatoire aux sociétés chinoises.
Pékin avait déjà déclaré en novembre qu’une telle initiative violerait les principes du marché et les règles de la concurrence loyale, soulignant que le retrait d’équipements chinois dans certains pays avait entravé leur développement technologique et entraîné des pertes financières importantes.
L’Europe entre deux dépendances
Cette initiative s’inscrit dans un mouvement plus large de Bruxelles visant à réduire sa dépendance tant vis-à-vis de la Chine que des grandes entreprises technologiques américaines. L’Allemagne a récemment nommé une commission d’experts pour repenser sa politique commerciale envers Pékin et interdit l’utilisation de composants chinois dans les futurs réseaux 6G.
Les États-Unis ont quant à eux banni en 2022 les approbations de nouveaux équipements de télécommunications de Huawei et ZTE.
Reste que la mise en œuvre de ces restrictions pourrait s’avérer complexe. Plus de quatre-vingt-dix pour cent des panneaux solaires installés dans l’UE sont fabriqués en Chine. Certains représentants de l’industrie soulignent également le manque d’alternatives viables, les opérateurs télécoms ayant mis en garde contre l’impact potentiel sur les prix à la consommation.
Le projet de loi doit encore être approuvé par les pays membres et le Parlement européen dans les mois à venir avant de devenir contraignant. Les calendriers proposés devraient faire face à la résistance de certaines capitales européennes, les États membres étant responsables de leur propre sécurité nationale.
En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.
Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.
L’avenir de la menace : piller dès aujourd’hui pour déchiffrer demain
La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.
Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.
À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.
En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.
Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.
Renforcer la crypto-agilité
La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.
Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.
Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.
À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.
Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.
Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.
Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.
L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.
L’agilité comme avantage stratégique
Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.
Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.
Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.
En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.
*Stanley Nabet est Country Manager France chez Netskope
Une opération de communication pour lever les doutes sur le modèle modèle économique et clarifier les perspectives de croissance, c’est le sens du long billet de blog publiée par Sarah Friar, la directrice financière d’OpenAI, sous le titre » Une entreprise qui évolue en fonction de la valeur de l’intelligence ».
Si l’inventeur de ChatGPT capte une grande partie de la lumière du business de la GenAI depuis trois ans, il cristallise aussi les inquiétudes sur les investissements faramineux et les craintes sur un déficit de ROI qui pourraient faire éclater « la bulle de l’IA » alimentée par les investissements titanesques dans les infrastructures.
Pour rassurer sur la capacité d’OpenAI à créer de la valeur, Sarah Friar révèle que les revenus annualisés ont bondi de 2 milliards $ en 2023 à plus de 20 milliards en 2025. Une multiplication par dix en deux ans ! Et de préciser que cette explosion des revenus est proportionnelle à celle de la puissance de calcul déployée à coup de centaines de milliards investis dans les infrastructures.
Le compute, moteur de la croissance
« Notre capacité à servir nos clients se mesure directement à notre puissance de calcul disponible », écrit Sarah Friar. Les chiffres parlent d’eux-mêmes : la capacité de calcul d’OpenAI est passée de 0,2 gigawatt en 2023 à 0,6 GW en 2024, pour atteindre environ 1,9 GW en 2025. Soit une multiplication par 9,5 en deux ans, avec un triplement annuel.
Cette corrélation parfaite entre infrastructure et revenus dessine le modèle économique d’OpenAI. « Il s’agit d’une croissance jamais vue à une telle échelle », affirme la directrice financière, qui ajoute que davantage de compute aurait permis une adoption et une monétisation encore plus rapides.
Partie des abonnements grand public, l’entreprise a progressivement étendu son offre aux entreprises, avant d’ajouter une tarification à l’usage pour les développeurs via son API. « Au fur et à mesure que l’IA s’intégrait dans les équipes et les workflows, nous avons créé des abonnements professionnels et ajouté une tarification basée sur l’usage, afin que les coûts évoluent avec le travail réellement effectué », explique-t-elle.
La semaine dernière, OpenAI a franchi un nouveau cap en annonçant l’introduction de publicités dans ChatGPT pour certains utilisateurs américains. Elle devrait également dévoiler son premier « produit Hardware » au second semestre 2026, comme l’a rapporté Axios en début de semaine.
Sarah Friar évoque de nouveaux modèles économiques au-delà des abonnements et des API : licences, accords basés sur la propriété intellectuelle et tarification basée sur les résultats. « À mesure que l’intelligence s’étend à la recherche scientifique, la découverte de médicaments, les systèmes énergétiques et la modélisation financière, de nouveaux modèles économiques émergeront », prédit-elle.
2026 : l’année de « l’adoption pratique »
L’année 2026 sera celle de « l’adoption pratique », annonce la directrice financière. « La priorité est de combler l’écart entre ce que l’IA rend désormais possible et la façon dont les gens, les entreprises et les pays l’utilisent au quotidien », écrit-elle.
L’opportunité se révèle particulièrement importante dans trois secteurs : la santé, les sciences et l’entreprise, où une meilleure intelligence se traduit directement par de meilleurs résultats. OpenAI mise sur une nouvelle génération d’agents intelligents et l’automatisation des workflows, capables de fonctionner en continu, de conserver le contexte dans le temps et d’agir sur différents outils.
Une stratégie d’infrastructure diversifiée
Face aux critiques sur ses dépenses massives, Sarah Friar défend une approche pragmatique. OpenAI maintient un bilan « léger » en privilégiant les partenariats plutôt que la propriété. Il y a trois ans, l’entreprise dépendait d’un seul fournisseur de compute. Aujourd’hui, elle collabore avec un écosystème diversifié de partenaires, incluant Microsoft, Oracle et d’autres acteurs.
Ce changement apporte de la certitude sur l’accès au compute. « Nous pouvons planifier, financer et déployer de la capacité avec confiance dans un marché où l’accès au compute définit qui peut passer à l’échelle », explique-t-elle.
Cette diversification permet à OpenAI de concentrer ses ressources sur l’innovation tout en conservant l’agilité nécessaire pour naviguer dans l’évolution rapide du secteur.
« L’infrastructure élargit ce que nous pouvons offrir. L’innovation étend ce que l’intelligence peut faire. L’adoption étend qui peut l’utiliser. Les revenus financent le prochain bond en avant », conclut Sarah Friar.
Les années passent… et il y a encore du NTLMv1 qui traîne.
Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).
Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et Cie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.
Pour quelques rainbow tables de plus
Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.
Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.
Plage de caractères
Nombre de caractères
Taux de réussite
Poids
Ascii 32 à 95
7
99,9 %
52 Go
Ascii 32 à 95
8
96,8 %
460 Go
Majuscules, minuscules, chiffres
8
99,9 %
127 Go
Majuscules, minuscules, chiffres
9
96,8 %
690 Go
Minuscules, chiffres
9
99,9 %
65 Go
Minuscules, chiffres
10
96,8 %
316 Go
NTLM, un grand chantier pour Microsoft
De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.
NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.
L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.
L’année 2026 débute sur une note préoccupante pour la cybersécurité des administrations françaises. L’Urssaf a révélé qu’une cyberattaque, ciblant spécifiquement l’interface de programmation (API) du service de déclaration préalable à l’embauche (DPAE) a permis la consultation et l’extraction des données personnelles de 12 millions de salariés français.
Que sait-on de la méthode utilisée ? « Les premières investigations révèlent que l’accès frauduleux à l’API DPAE a été opéré via un compte partenaire habilité à consulter ces informations. Les identifiants de connexion liés à ce compte avaient été volés lors d’un acte de cyber malveillance antérieur visant ce partenaire. » indique l’Urssaf en précisant que ses systèmes d’information n’ont pas été compromis.
Des données sensibles mais partiellement limitées
Les informations compromises incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro SIRET de l’employeur. Toutefois, l’Urssaf tente de rassurer les personnes concernées en précisant que les données les plus sensibles sont restées sécurisées : aucun numéro de Sécurité sociale, coordonnée bancaire, adresse postale, email ou numéro de téléphone n’a été exposé.
Malgré cette limitation apparente, les experts en cybersécurité soulignent que ces informations, même partielles, peuvent servir de base à des campagnes d’hameçonnage (phishing) sophistiquées ou être combinées avec d’autres fuites de données pour faciliter des usurpations d’identité.
La DPAE : un service essentiel au cœur de la faille
La déclaration préalable à l’embauche est une formalité obligatoire que tout employeur doit effectuer dans les huit jours précédant l’embauche d’un salarié relevant du régime général de la Sécurité sociale. Cette déclaration regroupe plusieurs formalités administratives essentielles : demande d’immatriculation de l’employeur, affiliation au régime d’assurance chômage, adhésion à un service de santé au travail, et organisation de la visite d’information et de prévention.
Les employeurs ayant effectué plus de 50 déclarations d’embauche au cours de l’année civile précédente sont obligés de réaliser leurs DPAE en ligne, soit via le portail urssaf.fr, soit via net-entreprises.fr, soit en utilisant l’API DPAE. C’est précisément cette dernière option qui a constitué le vecteur d’attaque exploité par les cybercriminels.
Face à cet incident, l’URSSAF a réagi rapidement en suspendant les accès du compte compromis et en renforçant les habilitations de ses partenaires. L’organisme a également déposé une notification auprès de la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations légales en matière de protection des données personnelles, ainsi qu’une plainte auprès du procureur de la République.
L’URSSAF assure que les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement, et que les mesures de sécurité ont été renforcées pour éviter qu’un tel incident ne se reproduise.
Un appel à la vigilance face au phishing
L’URSSAF exhorte les salariés concernés à une extrême prudence face aux tentatives d’hameçonnage. L’organisme rappelle les règles fondamentales de sécurité : ne jamais divulguer ses mots de passe ou informations bancaires par téléphone ou courriel, même si la demande semble provenir d’un organisme officiel.
Les données volées peuvent en effet permettre aux cybercriminels de mener des campagnes de phishing ultra-ciblées, en se faisant passer pour l’Urssaf ou d’autres administrations avec des informations réelles sur leurs victimes, rendant les tentatives d’escroquerie d’autant plus crédibles.
Une série noire pour les organismes publics français
Ce piratage survient dans un contexte de cybermenace accrue contre les acteurs publics français. La semaine dernière, la plateforme Hubee, opérée par la Direction interministérielle du numérique (DINUM) pour l’échange de documents administratifs, a été piratée, exposant 70 000 dossiers représentant 160 000 documents contenant des données personnelles.
La fin de l’année 2025 avait déjà été marquée par le piratage du ministère de l’Intérieur et celui des Sports. Par ailleurs, en novembre 2025, le service Pajemploi de l’Urssaf avait subi un vol de données affectant 1,2 million de salariés de particuliers employeursd’ assistants maternels et de gardes d’enfants à domicile, compromettant des informations telles que les noms, prénoms, dates et lieux de naissance, adresses postales et numéros de Sécurité sociale.
Ces incidents successifs révèlent la vulnérabilité persistante des systèmes d’information des administrations françaises face aux cyberattaques et soulignent l’urgence de renforcer la cybersécurité des services publics numériques.
Que faire si vous êtes concernés ?
Si vous avez été embauché au cours des trois dernières années, vos données figurent potentiellement parmi celles exposées.
Redoubler de vigilance face aux emails, SMS ou appels suspects prétendant provenir de l’URSSAF ou d’autres organismes.
Ne jamais communiquer d’informations personnelles ou bancaires en réponse à une sollicitation non sollicitée.
Vérifier systématiquement l’authenticité des sites web avant de saisir des informations sensibles.
Surveiller vos comptes et signaler immédiatement toute activité suspecte.
En cas de doute, contacter directement l’URSSAF via les canaux officiels.
La principale contrainte pour traiter des données à haut débit n’est plus le calcul ni le stockage, mais le réseau.
En 2017, les équipes d’AWS avaient contextualisé ainsi un article présentant les choix de conception de la base de données Aurora, lancée deux ans plus tôt.
Voilà cet article cité dans un autre, émanant de l’université technique de Munich. Ses auteurs ont analysé l’évolution des spécifications matérielles du cloud public entre 2015 et 2025. S’ils mentionnent le cas Aurora, c’est parce que, selon eux, le postulat d’alors ne tient plus. Sur la période en question, à coût normalisé, la bande passante réseau proposée par AWS a crû sans commune mesure avec les performances CPU et NVMe. Dans ce contexte, Aurora, conçu pour minimiser le trafic réseau, gagnerait peut-être à être réarchitecturé…
Une analyse axée bases de données
L’analyse n’est pas exhaustive, reconnaissent ses auteurs.
En premier lieu, elle est centrée sur les instances EC2 d’AWS, malgré quelques éléments de comparaison avec d’autres clouds publics et avec les infrastructures sur site.
Ensuite, elle se focalise sur un cas d’usage « base de données ». Aussi, les instances avec accélérateurs et FPGA ont été exclues. Et celles dotées de GPU ont été abordées séparément. N’ont pas non plus été prises en compte les instances à capacité extensible (familles T et flex).
Quant aux prix, la tarification retenue est celle à la demande dans la région us-east-1 (la principale du cloud AWS, et la moins chère). Les instances Spot ne sont pas entrées en ligne de compte en raison de leurs tarifs très variables en fonction de la demande. Les savings plans et les instances réservées n’ont pas non plus été inclus, au motif que les remises sont « largement similaires » entre types d’instances (en les retirant, on ne distord donc pas significativement la structure tarifaire d’ensemble).
L’aspect optimisation logicielle a par ailleurs été laissé de côté.
Ces restrictions appliquées, le périmètre d’analyse a englobé 742 instances, groupées en 98 familles.
CPU : une stagnation pas spécifique aux cloud providers
Comme pour les serveurs on-prem, la gamme de CPU s’est nettement diversifiée en 10 ans. En première ligne, les puces Arm : depuis 2024, plus de la moitié des instances que lance AWS sont équipées en Graviton).
En parallèle, le nombre de cœurs a largement augmenté. Exemple : la famille c4, lancée en 2015, en proposait jusqu’à 18, quand la c7a, introduite en 2023, monte à 192.
La progression du ratio coût-performance se révèle plus limitée. En tout cas sur la foi de trois benchmarks, exécutés sur diverses instances 2xlarge optimisées pour le calcul :
SPECint 2018
TPC-H in-memory (facteur d’échelle de 10) sur Umbra
TPC-C sur Leanstore (25 entrepôts)
Les résultats sont normalisés par rapport au coût et à la performance de l’instance c4.2xlarge. Bilan : sur SPECint, le ratio est multiplié par 3 environ sur la période. On serait plutôt à x2 sans les instances Graviton, vers lesquelles ont d’ailleurs basculé des fournisseurs comme Snowflake.
Sur la partie base de données in-memory, la progression est similaire (entre x2 et x2,5). La latence de la mémoire et du cache a possiblement beaucoup d’influence, reconnaissent les auteurs de l’étude, qui n’ont pas analysé ces dimensions.
Cette relative stagnation n’apparaît pas pour autant liée aux marges que prennent les cloud providers. En tout cas sur la foi d’une analyse sur les CPU serveur d’AMD sortis entre 2017 et 2025. Sur la base des prix publics, du nombre de cœurs, des fréquences d’horloge et des métriques IPC communiquées, le rapport coût-performance ne double même pas (x 1,7).
Mémoire : peu de gains en capacité comme en bande passante
À coût normalisé, la capacité de DRAM a très peu progressé. Seul changement majeur : l’introduction, en 2016, d’une famille d’instances optimisées pour la mémoire, avec environ 3,3 fois plus de GiB-heures/$ que les meilleures instances optimisées pour le calcul.
La bande passante absolue par socket mono-CPU a significativement augmenté (de 93 à 492 GiB/s). Mais une fois normalisée, le gain n’est que de x2.
Un bond en avant sur le réseau… avec les instances optimisées
En valeur absolue, le plafond de bande passante sur EC2 est passé de 10 Gbit/s en 2015 à 600 Gbit/s en 2025. Surtout, le rapport coût-performance normalisé a décuplé. En toile de fond, la mise à disposition d’instances optimisées pour le réseau. La c5n, première du genre basée sur le système Nitro, fut ajoutée au cataogue en 2018.
Si on exclut ces instances optimisées, le rapport bande passante par dollar a peu évolué entre 2015 et 2025.
Stockage : comparaison défavorable pour AWS
L’analyse s’est focalisée sur les instances avec stockage NVMe local. La première famille du genre (i3) fut introduite en 2016. La première avancée notable en termes de capacité de stockage par dollar fut le lancement de la famille i3en en 2019. Le ratio avait alors doublé. Il a peu évolué depuis.
Même réflexion si on considère le coût des I/O : les i3 demeurent les plus avantageuses, tant en lecture séquentielle qu’aléatoire.
Cette stagnation dans le cloud public contraste avec les tendances de l’on-prem : à coût normalisé, la capacité par dollar a triplé et le coût des I/O a été divisé par 5. L’arrivée de PCIe4 puis de PCIe5 a joué.
Des opportunités dans le hardware spécialisé
Un indicateur est ici analysé : le volume d’opérations 32 bits en virgule flottante à coût normalisé.
Avec les GPU, le rapport coût-performance a été multiplié par environ 4,7 entre les familles d’instances p3 et g6e.
Depuis 2019, AWS a lancé deux générations d’instances inf et trn dotées d’ASIC dédiés au machine learning. Les trn2 délivrent deux fois plus de flops/s par device que les g6e ; et le ratio coût-performance est multiplié par 15,7 par rapport aux p3.
La spécialisation du hardware peut donc se révéler avantageuse… y compris pour le traitement de données (l’étude fait référence à divers travaux* sur ce sujet).
Caches NVMe, cycles processeur… Des questions d’architecture émergent
Combinée à la démultiplication des débits réseau, la stagnation des performances du stockage pose des questions pour des solutions comme Snowflake, qui utilisent des caches NVMe plutôt que de lire directement sur S3.
Autre combinaison, autre enjeu : tandis que la bande passante réseau croît et que la vitesse des processeurs stagne, le budget en cycles CPU par paquet décline. Exploiter pleinement les ressources disponibles pourrait exiger des modifications majeures touchant par exemple au contournement du noyau.
Avec les instances Arm, l’amélioration du rapport coût-performance se constante autant sur le calcul (c8g) que sur le réseau (c8gn), la capacité mémoire (x2gd) et la capacité NVMe (is4gen).
Voir au-delà des hyperscalers
La tendance est la même dans les autres clouds… sauf que, de manière générale, les VM – Arm ou x86 – peuvent être notablement moins chères que chez les hyperscalers. Oracle et OVHcloud sont cités à ce sujet, sur la foi d’une comparaison pour des instances à CPU AMD 16 cœurs, 128 GiB de RAM et sans fonctionnalités spécifiques de type grande bande passante réseau. Hetzner l’est aussi, avec son instance CCX53, 3,7 fois moins chère que la m6a.8xlarge d’AWS. En contrepartie, ces fournisseurs ont un écosystème moins fourni, une couverture géographique plus limitée, une facturation parfois moins granulaire et un éventail plus restreint d’instances spécialisées (susceptibles de faire baisser les coûts pour certains cas d’usage).
Entre les « trois grands », il y globalement peu d’écart… avec quelques exceptions (AWS a l’avantage sur la bande passante réseau avec les instances c7gn/c8gn, Microsoft ne facture pas le trafic entre zones de disponibilité au sein d’une même région, etc.).
Un outil interactif pour dépasser l’analyse statique
Vu la nature multidimensionnelle de l’univers des instances cloud, une analyse statique est intrinsèquement limitée, admettent les auteurs de l’étude. Ils fournissent donc un outil interactif open source associant moteur SQL et visualisation R. Le service fonctionne intégralement dans le navigateur (pas de dépendance serveur). La base sous-jacente est téléchargeable (fichier DuckDB).
Début d’années riche en acquisitions pour Cloudflare. Après l’achat de Human Native, c’est l’équipe d’Astro Technology qui rejoint ses effectifs.
L’opération, dont les termes financiers n’ont pas été divulgués, marque une nouvelle étape dans la guerre d’influence que se livrent les géants du cloud pour contrôler l’écosystème du développement web.
Astro s’est imposé comme un framework JavaScript incontournable utilisé par des marques majeures comme Unilever, Visa et NBC News, ainsi que par des centaines de milliers de développeurs à travers le monde. Sa particularité ? Chaque page web ne charge que le code strictement nécessaire à son affichage dans le navigateur, une approche qui optimise drastiquement les performances.
Dans un environnement où les moteurs de recherche privilégient les sites au chargement rapide et où les consommateurs exigent une instantanéité quasi totale, cette technologie répond à un besoin critique du marché. Les sites reposant massivement sur JavaScript pour le rendu initial peinent à offrir cette vitesse, au détriment de leur référencement et de leurs taux de conversion.
L’open source comme arme stratégique
Matthew Prince, cofondateur et PDG de Cloudflare, ne s’y trompe pas en affirmant sa philosophie : « Protéger et investir dans les outils open source est essentiel à la santé d’un Internet libre et ouvert ». Contrairement aux craintes qui entourent habituellement les rachats par les grands groupes, Astro conservera sa licence MIT et restera entièrement open source.
Cette décision n’est pas anodine. Elle s’inscrit dans une stratégie éprouvée par Cloudflare, qui a déjà démontré son soutien à des projets comme TanStack et Hono sans chercher à verrouiller ces technologies. L’entreprise s’engage même à poursuivre le financement du Astro Ecosystem Fund, aux côtés de partenaires industriels comme Webflow, Netlify, Wix et Sentry.
Une intégration déjà bien avancée
Astro constitue déjà l’architecture de plateformes comme Webflow et Wix qui fonctionnent sur Cloudflare. Cette acquisition officialise donc une collaboration de longue date. Cloudflare n’a d’ailleurs jamais caché son rôle de sponsor et défenseur du projet depuis ses débuts.
Le timing de l’opération est particulièrement stratégique. Astro 6, dont la version bêta vient d’être lancée, introduit un serveur de développement repensé alimenté par l’API Vite Environments.
Cette nouvelle mouture permet aux développeurs utilisant le plugin Vite de Cloudflare de faire tourner leur environnement local avec workerd, le runtime open source de Cloudflare Workers. Une intégration technique qui facilite considérablement l’accès aux services comme Durable Objects et D1 dès la phase de développement.
Un double pari sur l’avenir
Avec Human Native, l’acquisition d’Astro dessine les contours d’une stratégie ambitieuse : contrôler l’ensemble du cycle de vie du contenu web, de sa création à sa monétisation dans l’écosystème de l’IA générative.
Cloudflare défie frontalement Vercel et Netlify, deux acteurs qui ont massivement investi dans leurs propres écosystèmes de développeurs. La bataille ne se joue plus uniquement sur les performances d’infrastructure, mais sur la capacité à offrir une expérience développeur complète et intégrée.
Reste une question cruciale : Cloudflare saura-t-il maintenir l’agilité et l’esprit innovant qui ont fait le succès d’Astro tout en l’intégrant dans son infrastructure mondiale ? Les prochains mois nous le diront.
En matière de cyber, selon qu’on est CEO ou CISO, on privilégiera la prévention des pertes financières ou la résilience opérationnelle.
Rien d’exceptionnel dans ce constat. Mais il trouve une illustration notable dans le dernier rapport Global Cybersecurity Outlook du Forum économique mondial. D’une année à l’autre, les principales inquiétudes exprimées ont effectivement divergé entre les deux fonctions.
En 2025, les ransomwares étaient en tête de liste chez les CEO comme chez les CISO. Les premiers citaient ensuite fraude / phishing et perturbations de la supply chain. Les seconds faisaient de même, mais dans l’ordre inverse.
Cette année, les ransomwares restent la principale préoccupation des CISO (devant les perturbations de la supply chain et l’exploitation de vulnérabilités logicielles). Ils ne sont, en revanche, plus dans top 3 chez les CEO, qui s’inquiètent en premier lieu de la fraude et du phishing ; puis des vulnérabilités de l’IA et des logiciels.
Des différences entre organisations, il y en a aussi en fonction du niveau de cyberrésilience estimé. Les répondants* qui le jugent élevé ont tendance à craindre avant tout les perturbations de la supply chain. Et, au contraire, à mettre les vulnérabilités IA en dernier sur leur liste. Cependant, si on restreint cet échantillon aux CEO, les vulnérabilités deviennent la crainte numéro un…
Cet « effet CEO » est moins significatif parmi les organisations dont le niveau de cyberrésilience est jugé insuffisant.
La GenAI, désormais crainte en premier lieu pour les fuites de données
Si on zoome sur la GenAI, les inquiétudes des CEO sont plus proches de celles de l’échantillon dans son ensemble.
(Une seule réponse possible)
Fuites de données
Développement des capacités des attaquants
Sécurité technique des systèmes d’IA
Complexification de la gouvernance
Risques de supply chain logicielle
Propriété intellectuelle et responsabilité
Ensemble
34 %
29 %
13 %
12 %
7 %
4 %
CEO
30 %
28 %
15 %
13 %
9 %
6 %
Sur l’ensemble de l’échantillon, l’item « fuites de données » est nettement plus sélectionné que l’an dernier (+ 12 points).
Lorsqu’on leur demande quels risques sont en croissance, les répondants choisissent majoritairement les vulnérabilités de l’IA (87 %). Viennent ensuite :
Fraude / phishing (77 %)
Perturbations de supply chain (65 %)
Vulnérabilités logicielles (58 %)
Ransomwares (54 %)
Menaces internes (32 %)
Déni de service (28 %)
Face au risque de supply chain, la fonction sécurité souvent impliquée dans le processus d’approvisionnement
Concernant le risque sur la supply chain, la hiérarchie des méthodes de gestion est similaire entre niveaux de cyberrésilience, mais avec un écart de 20 à 30 points.
Évaluation de la maturité cyber des fournisseurs
Implication de la fonction sécurité dans les processus d’achat
Paetages d’informations sur la menace avec les partenaires
Cartographie du niveau d’exposition des partenaires
Simulation d’incidents et/ou d’exercices de récupération avec les partenaires
Ensemble
68 %
65 %
38 %
33 %
27 %
Haute résilience
74 %
76 %
53 %
44 %
44 %
Résilience insuffisante
48 %
53 %
31 %
23 %
16 %
CEO, haute résilience
59 %
70 %
30 %
48 %
44 %
CEO, résilience insuffisante
31 %
31 %
38 %
31 %
6 %
L’adoption de l’IA dans la cyber sert le plus souvent la détection du phishing et des autres menaces sur la messagerie électronique (52 % des sondés ont sélectionné cette réponse parmi 3 maximum). Suivent :
Détection et réponse aux intrusions ou anomalies (46 %)
Automatisation des opérations (43 %)
Analyse du comportement des utilisateurs et détection des menaces internes (40 %)
Tri du renseignement sur les menaces et priorisation des risques (39 %)
Autres objectifs (8 %)
Dans 64 % des organisations ici représentées, les outils IA sont évalués avant déploiement (révision unique pour 24 %, périodique pour 40 %). Ce taux passe à 45 % chez celles où le niveau de cyberrésilience est jugé insuffisant.
Le manque de connaissances et/ou de compétences est le premier obstacle à l’adoption de ces outils. 54 % des répondants le citent. Ils sont 41 % à évoquer la nécessité d’une validation humaine des réponses de l’IA avant implémentation.
* 804 répondants dont 544 C-Levels parmi lesquels 316 CISO et 105 CEO.
L’annonce a mis fin à des mois de spéculations : OpenAI va tester l’insertion de publicités dans ChatGPT dès les prochaines semaines.
La nouvelle, officialisée le 16 janvier par Sam Altman, marque un virage à 180 degrés pour le patron d’OpenAI qui déclarait encore en 2024 qu’il « détestait » la publicité et trouvait l’idée de la combiner avec l’IA « particulièrement dérangeante ».
La réalité économique a eu raison des réticences… Avec 800 millions d’utilisateurs mensuels mais seulement 5% d’abonnés payants, OpenAI affiche des pertes cumulées dépassant 13,5 milliards $ au premier semestre 2025. Les projections internes tablent même sur 74 milliards de déficit opérationnel en 2028, avant un hypothétique retour à la rentabilité en 2030.
Un modèle publicitaire sous haute surveillance
Les publicités, baptisées « contenus sponsorisés », apparaîtront au bas des réponses de ChatGPT pour les utilisateurs américains de la version gratuite et de l’abonnement ChatGPT Go, récemment lancé à 8 dollars par mois. OpenAI promet que ces annonces seront clairement identifiées et séparées des réponses principales, sans jamais influencer le contenu généré par l’intelligence artificielle.
« Les réponses de ChatGPT ne seront jamais influencées par la publicité », a martelé Fidji Simo, directrice des applications chez OpenAI, dans un communiqué. L’ancienne dirigeante de Meta et d’Instacart, recrutée pour piloter cette stratégie de monétisation, insiste sur la protection de la confidentialité : aucune donnée utilisateur ne sera vendue aux annonceurs, et les mineurs ne verront aucune publicité.
OpenAI a également défini des zones d’exclusion strictes. Les annonces ne s’afficheront pas sur des sujets sensibles comme la santé, la santé mentale ou la politique. Les utilisateurs pourront désactiver la personnalisation publicitaire, supprimer leurs données de ciblage et masquer les annonces avec un système de feedback.
Le pari risqué de la publicité conversationnelle
Ce basculement vers la publicité place OpenAI en concurrence frontale avec Google et Meta sur un nouveau terrain : celui de la publicité native dans l’IA.
Google vient d’autoriser l’insertion d’offres sponsorisées dans son AI Mode, tandis que Meta utilise désormais les interactions avec son chatbot pour affiner le ciblage publicitaire.
Selon les projections d’eMarketer, le marché américain de la publicité pilotée par l’IA devrait bondir de 1,1 milliard $ en 2025 à 26 milliards en 2029. Pour OpenAI, l’enjeu est considérable : les documents internes évoquent 1 milliard $de revenus publicitaires dès 2026, pour atteindre 29 milliards en 2029, soit 20% du chiffre d’affaires total.
Reste que le modèle de la publicité conversationnelle n’a rien d’évident. Perplexity, concurrent d’OpenAI, a dû récemment suspendre l’accueil de nouveaux annonceurs après des difficultés d’intégration. Les utilisateurs, habitués à une expérience sans publicité, pourraient manifester leur mécontentement si la qualité des réponses venait à se dégrader.
Des révélations de The Information en décembre ont d’ailleurs semé le trouble : des employés auraient évoqué en interne la possibilité de donner un « traitement préférentiel » aux contenus sponsorisés dans les réponses du chatbot. Une pratique qu’OpenAI s’est empressée de démentir, mais qui illustre la zone grise entre recommandation et promotion commerciale.
Un équilibre fragile entre croissance et confiance
L’introduction de la publicité soulève aussi des questions éthiques et réglementaires. En Europe, le RGPD et la directive sur les services numériques (DSA) imposent une transparence stricte en matière publicitaire. La frontière entre conseil personnalisé et manipulation commerciale pourrait rapidement devenir un terrain miné, surtout dans un outil utilisé pour des conversations parfois intimes.
Les abonnés premium (Plus à 20 dollars, Pro à 200 dollars, ainsi que les offres Team et Enterprise) resteront à l’abri de la publicité. Une stratégie classique de différenciation qui pourrait inciter les utilisateurs gratuits à basculer vers un abonnement payant pour retrouver une expérience originelle.
À l’échelle mondiale, les organisations apparaissent plutôt confiantes quant à leur cyberrésilience.
Ce constat était ressorti de la première édition du rapport Global Security Outlook réalisé par le Forum économique mondial avec Accenture. C’était en 2022. Les deux tiers des répondants (67 %) estimaient que leur organisation atteignait les exigences minimales. Près d’un sur cinq (19 %) jugeait qu’elle les dépassait. Ils n’étaient que 14 % à déclarer un niveau insuffisant de cyberrésilience.
Depuis, en quatre autres éditions, le niveau de confiance est resté élevé. En 2026, il repart même globalement à la hausse.
Insuffisant
Remplit les exigences minimales
Dépasse les exigences
2022
14 %
67 %
19 %
2023
21 %
51 %
28 %
2024
25 %
36 %
39 %
2025
22 %
69 %
9 %
2026
17 %
64 %
19 %
La cyberrésilience des États, jugée moins positivement
Pour cette édition 2026, 804 réponses ont été retenues, issues de 92 pays. 544 proviennent de C-levels parmi lesquels 316 CISO* et 105 CEO. Le reste de l’échantillon est constitué par des membres de la société civile et du monde académique, ainsi que des « leaders en cybersécurité » du secteur public.
Si on trie les réponses par secteurs, le secteur privé apparaît plus confiant quant à sa cyberrésilience.
Insuffisant
Remplit les exigences minimales
Dépasse les exigences
Secteur privé
11 %
67 %
22%
Secteur public et « grandes organisations internationales »
23 %
54 %
24 %
ONG
37 %
55 %
8 %
Les répondants ne jugent pas aussi positivement la cyberrésilience du pays où leur organisation est basée. Ils sont en tout cas 37 % à se dire confiants quant à la capacité de réponse aux incidents touchant des infrastructures critiques (contre 42 % en 2025). Et 31 % à se déclarer non confiants (contre 26 % en 2025).
Si on s’en tient aux CEO du secteur privé, le taux de répondants confiants est un peu plus élevé (43 %, pour 31 % de non confiants).
Le risque géopolitique fait croître les budgets cyber… dans une certaine mesure
Quand on leur demande comment la géopolitique fait évoluer la stratégie de cyberrésilience de leur organisation, les répondants sélectionnent le plus souvent l’item « focus accru sur la threat intelligence liée aux acteurs étatiques » (36 %). Arrivent ensuite :
Interactions accrues avec les agences gouvernementales ou les groupes de partage de renseignements (33 %)
Augmentation du budget cyber (21 %)
Changement – ou intention de changer – de fournisseurs (19 %)
Arrêt des activités dans certains pays (14 %)
Si on zoome sur les CEO, par niveau de résilience estimé :
Acteurs étatiques
Gouvernements
Budget
Fournisseurs
Activités
Haute résilience
52 %
48 %
30 %
30 %
19 %
Résilience insuffisante
13 %
6 %
13 %
13 %
6 %
Des défis corrélés au niveau de résilience estimé
Lorsqu’on leur demande de sélectionner au maximum trois éléments qui constituent un défi à la cyberrésilience, les sondés choisissent :
À 61 %, l’évolution rapide du paysage de la menace et les technologies émergentes
À 46 %, les vulnérabilités tierces et sur la supply chain
À 45 %, le manque de compétences
À 31 %, les systèmes hérités
À 30 %, le manque de fonds
À 24 %, le manque de visibilité sur les environnements IT/OT/IoT
À 24 %, les complexités de conformité et de gouvernance
À 22 %, une planification insuffisante de la réponse à incident
Dans le secteur privé, on invoque prioritairement le paysage de la menace (59 %), les vulnérabilités tierces (53 %), le manque de compétences (38 %) et le manque de fonds (26 %).
Dans le secteur public et les grandes organisations, la hiérarchie est similaire, sinon que le manque de compétences est nettement plus cité (57 %). Même constat dans les ONG (51 %), où les répondants sont également nombreux à déplorer le manque de fonds (62 %).
Sur l’ensemble de l’échantillon, par niveau de résilience estimé :
Évolution des menaces
Vulnérabilités tierces
Compétences
Legacy
Fonds
IT/OT/IoT
Gouvernance
Réponse aux incidents
Haute résilience
67 %
71 %
35 %
22 %
14 %
17 %
31 %
15 %
Résilience insuffisante
41 %
23 %
53 %
35 %
52 %
28 %
15 %
37 %
Si on s’en tient aux CEO, toujours par niveau de résilience estimé, l’argument des fonds est plus souvent invoqué :
Évolution des menaces
Vulnérabilités tierces
Compétences
Legacy
Fonds
IT/OT/IoT
Gouvernance
Réponse aux incidents
Haute résilience
56 %
78 %
19 %
15 %
15 %
19 %
41 %
15 %
Résilience insuffisante
13 %
31 %
56 %
25 %
63 %
56 %
25 %
19 %
* Dont au moins, côté français, Christophe Blassiau (CISO groupe de Schneider Electric), qui a participé à des focus groups en complément au volet qualitatif de l’étude.
Ces quelques mots du directeur technique et juridique de Microsoft France avaient fait grand bruit en juin dernier. L’intéressé était auditionné au Sénat dans le cadre d’une commission d’enquête sur la commande publique. On venait de lui demander, en substance, s’il pouvait affirmer que les données des citoyens français confiées à son entreprise ne seraient jamais transmises, à la suite d’une injonction du gouvernement américain, sans l’accord explicite des autorités françaises.
AWS ne garantit pas non plus d’immunité totale avec son nouveau « cloud souverain européen ». Il prend, dans les grandes lignes, les mêmes engagements qu’avec son cloud commercial. D’une part, faire au mieux pour rediriger les requêtes gouvernementales directement vers les clients ou, sinon, les notifier autant qu’il est possible. De l’autre, contester ces requêtes s’il y a conflit avec la législation de l’UE ou d’un État membre. Et dans tous les cas, divulguer le strict minimum.
En principe, le contenu des clients et les métadonnées créées par leurs soins (rôles, autorisations, étiquettes de ressources, configurations) ne sortent pas de l’UE. Sauf si un client le demande… ou, donc, si c’est nécessaire pour répondre à une requête gouvernementale fondée.
De « résidents » à « citoyens » de l’UE : une politique RH en transition
Ce « contrat de confiance » lui a valu de décrocher la qualification C5 (le « SecNumCloud allemand ») en combinaison avec d’autres promesses. Parmi elles, l’autonomie opérationnelle : les systèmes et services critiques doivent pouvoir fonctionner même sans connectivité au backbone AWS. Un exercice sera réalisé au moins une fois par an, parallèlement à la définition de stratégies de réponse à incident (SOC dédié) et de reprise après sinistre (y compris en cas d’isolation géopolitique).
Le « cloud souverain européen » a des systèmes indépendants d’IAM, de facturation et de mesure de l’utilisation. Sur la partie réseau, les points de présence Direct Connect sont dans l’UE et l’instance Route 53 est dédiée, avec uniquement des TLD européens pour les serveurs de noms. Une extension territoriale est prévue via des zones locales AWS (Belgique, Pays-Bas, Portugal) qui seront connectées au datacenter principal sur réseau privé.
Tous les membres du personnel d’exploitation sont établis dans l’UE. Interpellé à ce sujet, AWS a entamé une transition pour dépasser cette notion de résidence, en introduisant un critère de citoyenneté dans son processus de recrutement.
Un préavis contractuel d’un an
Concernant les mesures techniques concourant à la « souveraineté », la journalisation est locale, comme les opérations cryptographiques et la gestion des certificats (ce cloud a sa propre racine de confiance). Les clés de chiffrement utilisées sur les services sont sécurisées au niveau logiciel ; celles destinées à la récupération après sinistre le sont au niveau physique (conservation hors ligne).
AWS conserve une réplique du code source nécessaire pour opérer les services. Cette réplique est chiffrée, soumise à des contrôles d’intégrité, cryptographiquement vérifée et mise à jour via un processus de réplication contrôlé.
Sauf si le client s’y oppose, les contrats sont gouvernés par les lois d’un État membre de l’UE. Préférentiellement l’Allemagne, semble-t-il, l’addendum de l’AWS European Sovereign Cloud invitant à s’adresser aux tribunaux de Munich en cas de litige.
On nous promet un préavis d’au moins un an avant toute modification importante des statuts de la société mère – de droit allemand et « contrôlée localement ». Sauf si cette modification est nécessaire pour se conformer à la législation applicable. Ou si le comité consultatif considère, à l’unanimité, que cela n’affecte pas significativement l’indépendance opérationnelle, les contrôles de résidence des données, les structures de gouvernance ou bien les obligations d’AWS.
Deux Français au comité consultatif…
À l’origine, on nous avait annoncé que ce comité se composerait de 4 membres, dont 1 non affilié à Amazon. Ils sont finalement 5, dont 2 non affiliés. Parmi eux, deux ressortissants français : Stéphane Ducable et Philippe Lavigne.
Stéphane Ducable est vice-président des politiques publiques d’AWS pour la région EMEA. Il fut membre fondateur du CISPE, au conseil d’administration duquel il représenta Amazon jusqu’en 2025. Ancien VP adjoint des affaires publiques chez Alcatel, il est aussi passé chez Microsoft. Entre autres comme responsable des affaires extérieures à Bruxelles, ainsi que directeur régional des affaires générales à Singapour puis au Japon).
Philippe Lavigne, général à la retraite, fut notamment chef d’état-major de l’armée de l’air et de l’espace (2018-2021) et commandant suprême allié pour la transformation de l’OTAN (2021-2024).
Les trois autres membres :
Ian McGarry
Ressortissant irlandais. Directeur d’Amazon CloudWatch chez AWS. Ancien d’Ericsson et d’Oracle.
Sinead McSweeney
Ressortissante irlandaise. Ancienne transcriptrice parlementaire puis conseillère politique au sein du Gouvernement (auprès du ministre de la Justice, notamment). Ensuite directrice des relations publiques pour le service de police d’Irlande du Nord. Puis, chez Twitter, responsable des politiques publiques EMEA puis monde.
Barbara Scarafia
Ressortissante allemande. Avocate de formation. Entrée chez Amazon en 1999 comme directrice juridique pour l’Allemagne. Aujourd’hui directrice juridique associée pour l’Europe.
… et un à la direction générale
La société mère a deux DG : Stéphane Israël et Stefan Hoechbauer. Le premier dirige les opérations. Le second supervise les décisions relatives à la gouvernance d’entreprise et à la conformité.
Stéphane Israël, 55 ans, arrive du Boston Consulting Group, où il aura passé moins d’un an.
L’intéressé fut d’abord auditeur puis conseiller référendaire à la Cour des comptes (2001-2007).
Chez EADS (2007-2012), il entra comme conseiller business du P-DG Louis Gallois et termina directeur du volet services du programme européen Copernicus au sein de la filiale satellites.
Directeur de cabinet d’Arnaud Montebourg en 2012-2013, il entra ensuite en fonction chez Arianespace (P-DG entre 2013 et 2017, puis président exécutif jusqu’en 2024). Il préside aujourd’hui la Fondation de l’ENS.
Stefan Hoechbauer, ressortissant allemand, est vice-président des ventes mondiales d’AWS pour l’Allemagne et l’Europe centrale. Il est un ancien de SAP, de PeopleSoft et d’Oracle. Ainsi que de Salesforce, où il fut vice-président exécutif et P-DG pour la zone DACH (Allemagne, Autriche, Suisse).
La nomination de Stéphane Israël avait été officialisée fin septembre 2025. Son binôme annoncé était alors Kathrin Renz. Mais l’ancienne de Siemens (directrice du développement, notamment) et de Nokia (présidente de la branche Enterprise, en particulier) a quitté AWS en décembre.
Une entité dédiée avec une gouvernance spécifique, du personnel résidant dans l’UE, une infrastructure capable de fonctionner pour l’essentiel sans connexion au backbone… Autant d’engagements qui viennent avec le nouveau « cloud souverain européen » d’AWS.
On pourrait s’attendre, dans ce contexte, à des prix plus élevés que pour les régions cloud commerciales. Il apparaît globalement que non, en tout cas par rapport à la région AWS Paris, sur la foi de la tarification publique. En voici une brève revue. Les comparatifs, notamment pour les instances, s’alignent sur la moins chère et la plus chère des options disponibles au catalogue du « cloud souverain européen » d’AWS. Pour la lisibilité, nous arrondissons au centime tout prix supérieur ou égal à 0,10 €/$.
Services de calcul
1. EC2
Les tarifs horaires listés ici valent pour des instances avec système d’exploitation Linux.
Le Go-seconde est à 0,0000164477 €/mois pour les 6 premiers milliards ; à 0,0000148029 € pour les 9 milliards suivants ; à 0,0000131582 € au-delà.
Il faut ajouter 0,20 € par million de requêtes.
– Dans la région AWS Paris
Le Go-seconde est à 0,0000166667 $/mois pour les 6 premiers milliards ; à 0,000015 $ pour les 9 milliards suivants ; à 0,0000133334 $ au-delà.
Il faut ajouter 0,20 $ par million de requêtes.
Version Arm
– Sur l’offre de cloud souverain
Le Go-seconde est à 0,0000131582 €/mois pour les 7,5 premiers milliards ; à 0,0000118424 € pour les 9 milliards suivants ; à 0,0000105265 € au-delà.
Il faut ajouter 0,20 € par million de requêtes.
– Dans la région AWS Paris
Le Go-seconde est à 0,0000133334 $/mois pour les 7,5 premiers milliards ; à 0,0000120001 $ pour les 9 milliards suivants ; à 0,0000106667 $ au-delà.
Il faut ajouter 0,20 $ par million de requêtes.
3. Fargate
Version Linux/x86
– Sur l’offre de cloud souverain
0,0459480875 €/vCPU/heure et 0,0050428421 €/Go/heure
– Dans la région AWS Paris
0,0486 $/vCPU/heure et 0,0053 $/Go/heure
Version Linux/Arm
– Sur l’offre de cloud souverain
0,0367604437 €/vCPU/heure et 0,0040362474 €/Go/heure
– Dans la région AWS Paris
0,03888 $/vCPU/heure et 0,00424 $/Go/heure
4. EKS (Elastic Kubernetes Service)
Pour le support de la version standard de Kubernetes, il faut compter 0,098685 €/cluster-heure sur l’offre souveraine, contre 0,10 $ dans la région AWS Paris.
Pour le support étendu des versions de Kubernetes, c’est 0,59 €/cluster-heure sur l’offre souveraine, contre 0,60 $ dans la région AWS Paris.
Services de stockage
1. EBS
Volumes à usage général (gp3)
– Sur l’offre de cloud souverain
Stockage : 0,0939488388 €/Go-mois
IOPS : 3000 gratuites puis 0,0059211453 €/IOPS-mois
Débit : 125 Mo/s gratuits puis 0,047 €/Mo-mois
– Dans la région AWS Paris
Stockage : 0,0928 $/Go-mois
IOPS : 3000 gratuites puis 0,0058 $/IOPS-mois
Débit : 125 Mo/s gratuits puis 0,046 $/Mo-mois
Sur l’offre souveraine : 0,0177634359 €/Go-mois de stockage provisionné.
Dans la région AWS Paris : 0,0174 $/Go-mois.
Snapshots
– Sur l’offre de cloud souverain
Standard : 0,0532903077 €/Go/mois (restauration gratuite) Archive : 0,0133225769 €/Go/mois (restauration : 0,0319741846 € par Go)
– Dans la région AWS Paris
Standard : 0,053 $/Go/mois (restauration gratuite) Archive : 0,01325 $/Go/mois (restauration : 0,0318 $ par Go)
2. EFS
Régional avec débit élastique
– Sur l’offre de cloud souverain
Stockage
0,36 €/Go-mois (Standard)
0,019737151 €/Go-mois (Standard avec accès peu fréquent)
0,0098685755 €/Go-mois (Archive)
Débit et accès
Lecture : 0,039474302 €/Go
Écriture : 0,0690800285 €/Go
Frais supplémentaires de 0,0118422906 €/Go en lecture pour l’accès peu fréquent ; de 0,0355268718 €/Go pour le niveau archive.
– Dans la région AWS Paris
Stockage
0,33 $/Go-mois (Standard)
0,02 $/Go-mois (Standard avec accès peu fréquent)
0,01 $/Go-mois (Archive)
Débit et accès
Lecture : 0,03 $/Go
Écriture : 0,07 $/Go
Frais supplémentaires de 0,011 $/Go en lecture pour l’accès peu fréquent ; de 0,033 €/Go pour le niveau archive.
Régional avec modes de débit hérités
– Sur l’offre de cloud souverain
Stockage
0,36 €/Go-mois (Standard)
0,0262504108 €/Go-mois (Standard avec accès peu fréquent)
Débit et accès
0,0592 €/Go-mois en sauvegarde tiède ; 0,0118 €/Go-mois à froid
Lectures en accès peu fréquent : 0,0118422906 €/Go-mois
– Dans la région AWS Paris
Stockage
0,33 $/Go-mois (Standard)
0,0261 $/Go-mois (Standard avec accès peu fréquent)
Débit et accès
0,055 $/Go-mois en sauvegarde tiède ; 0,011 $/Go-mois à froid
Lectures en accès peu fréquent : 0,011 $/Go-mois
3. S3
Niveau standard
Sur l’offre de cloud souverain 0,02417801 €/Go pour les 50 premiers To/mois
0,0231911524 € pour les 450 To suivants
0,0222042949 € au-delà
Dans la région AWS Paris
0,024 $/Go pour les 50 premiers To/mois
0,023 $/Go pour les 450 To suivants
0,022 $/Go au-delà
Intelligent tiering
En accès fréquent, les prix sont les mêmes qu’au niveau Standard. Pour le reste :
Sur l’offre de cloud souverain
Accès peu fréquent : 0,0133225769 €/Go
Archive : 0,0049342878 €/Go
Dans la région AWS Paris
Accès peu fréquent : 0,0131 $/Go
Archive : 0,005 $/Go
Requêtes de récupération
– Sur l’offre de cloud souverain
Niveau standard
PUT/COPY/POST/LIST : 0,005329 € par millier de requêtes
GET/SELECT : 0,0004243 € par millier de requêtes
Niveau standard avec accès peu fréquent
PUT/COPY/POST/LIST : 0,0085814 € par millier de requêtes
GET/SELECT : 0,0008581 € par millier de requêtes
– Dans la région AWS Paris
Niveau standard
PUT/COPY/POST/LIST : 0,005 $ le millier de requêtes
GET/SELECT : 0,0004 $ le millier de requêtes
Niveau standard avec accès peu fréquent
PUT/COPY/POST/LIST : 0,01 $ le millier de requêtes
GET/SELECT : 0,001 $ le millier de requêtes
4. AWS Backup
Les prix sont au Go-mois.
Sauvegarde
Cloud souverain
Paris
Sauvegarde EFS
0,0592 € (à chaud)
0,0118 € (à froid)
0,55 $ (à froid)
0,11 $ (à chaud)
Instantané EBS
0,0533 € (à chaud)
0,0133 € (à froid)
0,053 $ (à chaud)
0,01325 $ (à froid)
Instantané base de données RDS
0,10 €
0,10 $
Instantané cluster Aurora
0,0223 €
0,022 $
Table DynamoDB
0,01208 € (à chaud)
0,0362 € (à froid)
0,011886 $ (à chaud)
0,03566 $ (à froid)
Backup S3
0,0592 € depuis le stockage tiède
0,0231911524 € depuis le stockage tiède à faible coût
0,055 $
Instantané cluster Redshift
0,02417801 € (50 premiers To)
0,0231911524 € (450 To suivants)
0,0222042949 € (au-delà)
0,024 $ (50 premiers To)
0,023 $ (450 To suivants)
0,022 $ (au-delà)
Restauration
Cloud souverain
Paris
EFS
0,0237 € (tiède)
0,0355 € (froid)
0,022 $ (tiède)
0,033 $ (tiède)
EBS
Gratuit (tiède)
0,032 € (froid)
Gratuit (tiède)
0,0318 $ (froid)
RDS
Gratuit (tiède)
Gratuit (tiède)
Aurora
Gratuit (tiède)
Gratuit (tiède)
DynamoDB
0,1812 € (tiède)
0,2416 € (froid)
0,17829 $ (tiède)
0,23772 $ (froid)
S3
0,0237 € (tiède)
0,022 $ (tiède)
Redshift
Gratuit (tiède)
Gratuit (tiède)
Services d’analytique
1. Athena
Une fois n’est pas coutume, sur le prix des requêtes SQL, l’écart de prix est notable : 4,94 € par To analysé sur l’offre de cloud souverain, contre 7 $ dans la région AWS Paris.
2. Redshift
Sur l’offre de cloud souverain, le stockage managé revient à 0,0252635533 €/Go-mois. Il faut compter 0,025 $/Go-mois dans la région AWS Paris.
Sur l’offre de cloud souverain, il en coûte 4,94 €/To pour Spectrum. C’est 5,50 $/To dans la région AWS Paris.
3. Glue
Les tâches Spark / Spark Streaming, Python Shell et les sessions interactives coûtent 0,43 €/DPU-heure sur l’offre de cloud souverain.
Elles coûtent 0,44 $/DPU-heure dans la région AWS Paris.
Services d’IA
1. Bedrock
Modèles Nova
– Sur l’offre de cloud souverain
Deux modèles Amazon sont proposés : Nova Lite et Nova Pro.
Les tarifs de Nova Lite
Input : 0,0000769749 € pour 1000 jetons (0,0000192437 € depuis le cache ; 0,0000384874 € en batch)
Output : 0,0003078996 € pour 1000 jetons (0,0001539498 € en batch)
Les tarifs de Nova Pro
Input : 0,0010362004 € pour 1000 jetons (0,0002590501 € depuis le cache ; 0,000518002 € en batch)
Output : 0,0041448017 € pour 1000 jetons (0,0020724009 € en batch)
– Dans la région AWS Paris
Nova Lite : 0,000088 $ pour 1000 jetons d’entrée et 0,000352 $ pour 1000 jetons de sortie.
Nova Pro : 0,00118 $ en entrée et 0,00472 $ en sortie
Guardrails
– Sur l’offre de cloud souverain
Filtres de contenu et sujets refusés (niveau classique) : 0,26 € pour 1000 unités de texte
Filtres d’informations sensibles et vérification de l’ancrage contextuel : 0,17 € pour 1000 unités de texte
– Dans la région AWS Paris
Filtres de contenu et sujets refusés (niveau classique) : 0,15 $ pour 1000 unités de texte
Filtres d’informations sensibles et vérification de l’ancrage contextuel : 0,10 $ pour 1000 unités de texte
Demandes impliquant des clés RSA 2048 : 0,03 € les 10 000
Demandes ECC GenerateKeyDataPair : 0,10 € les 10 000
Demandes asymétriques sauf RSA 2048 : 0,15 € les 10 000
Demandes RSA GenerateDataKeyPair : 12 € les 10 000
– Dans la région AWS Paris
Demandes impliquant des clés RSA 2048 : 0,03 $ les 10 000
Demandes ECC GenerateKeyDataPair : 0,10 $ les 10 000
Demandes asymétriques sauf RSA 2048 : 0,15 $ les 10 000
Demandes RSA GenerateDataKeyPair : 12 $ les 10 000
2. Secrets Manager
Sur l’offre de cloud souverain, c’est 0,39 €/secret-mois et 0,049343 € pour 10 000 appels API.
Dans la région AWS Paris, c’est 0,40 $/secret-mois et 0,05 $ pour 10 000 appels API.
3. WAF
Cloud souverain
Paris
ACL web
4,93 €/mois
5 $/mois
Règle
0,99 €/mois
1 $/mois
Demandes
0,59 € le million
0,60 $ le million
Protection DDoS
0,15 € le million de demandes
0,15 $ le million de demandes
4. GuardDuty
Analyse d’événements CloudTrail Management
Cloud souverain : 4,54 €/million-mois
Paris : 4,40 $
Analyse des journaux de flux VPC et de requêtes DNS
Cloud souverain
1,13 €/Go (500 premiers Go/mois)
0,57 €/Go (2000 Go suivants)
0,29 €/Go (7500 Go suivants)
0,17 €/Go (au-delà)
Paris
1,10 $/Go (500 premiers Go/mois)
0,55 $/Go (2000 Go suivants)
0,28 $/Go (7500 Go suivants)
0,17 $/Go (au-delà)
Protection S3
Cloud souverain
1,03 € par million d’événements (500 premiers millions/mois)
0,51 € par million pour les 4500 millions/mois suivants
0,26 € par million au-delà
Paris
1 $ par million d’événements (500 premiers millions/mois)
0,50 $ par million pour les 4500 millions/mois suivants
0,25 $ par million au-delà
Protection EKS
Cloud souverain
2,20 € par million d’événements (100 premiers millions/mois)
1,11 € par million pour les 100 millions suivants
0,28 € au-delà
Paris
2,29 $ par million d’événements (100 premiers millions/mois)
1,15 $ par million pour les 100 millions suivants
0,29 $ au-delà
Surveillance de l’exécution d’EKS, ECS et EC2
Cloud souverain
1,89 € par processeur virtuel (500 premiers/mois)
0,95 € pour les 4500 suivants
0,32 € au-delà
Paris
2,04 $ par processeur virtuel (500 premiers/mois)
1,20 $ pour les 4500 suivants
0,34 $ au-delà
Analyse de volumes EBS
Sur l’offre de cloud souverain, c’est 0,039474302 €/Go.
Dans la région AWS Paris, c’est 0,04 $/Go.
Analyse de scans d’objets S3
Cloud souverain : 0,13 €/Go et 0,30 € pour 1000 objets.
AWS Paris : 0,14 $/Go et 0,33 $/1000 objets.
Analyse du journal d’activité Lambda
Cloud souverain
1,13 €/Go (500 premiers Go-mois)
0,57 €/Go (2000 Go suivants)
0,29 €/Go (7500 Go suivants)
0,17 €/Go (au-delà)
Paris
1,10 $/Go (500 premiers Go-mois)
0,55 $/Go (2000 Go suivants)
0,28 $/Go (7500 Go suivants)
0,17 $/Go (au-delà)
Valkey : 0,0996726126 €/Go-heure + 0,0027 € par million d’unités de traitement
Memcached et Redis OSS : 0,15 €/Go-heure et 0,004 € par million d’unités de traitement
– Dans la région AWS Paris
Valkey : 0,098 $/Go-heure + 0,0027 $ par million d’unités de traitement
Memcached et Redis OSS : 0,15 $/Go-heure et 0,004 $ par million d’unités de traitement
Dans une interview accordée à CNBC, Demis Hassabis, cofondateur et PDG de Google DeepMind, fraîchement auréolé du prix Nobel de Chimie, bouscule quelques certitudes partagées aux États-Unis sur la rivalité avec la Chine dans le domaine de l’IA.
«Je pense que l’opinion générale aux États-Unis a été un peu complaisante », déclare-t-il. L’avance occidentale ne se compterait plus en années, mais seulement en quelques mois, peut-être six à neuf mois sur certains aspects techniques.
Le patron de DeepMind cite notamment les performances récentes d’entreprises comme Alibaba, Moonshot AI ou DeepSeek pour étayer son constat. Selon lui, la Chine dispose d’une capacité d’ingénierie de classe mondiale, avec une efficacité remarquable pour optimiser les architectures existantes. Les restrictions américaines sur l’exportation des puces Nvidia, loin de paralyser les acteurs chinois, les auraient même poussés à être plus créatifs avec des ressources limitées.
L’innovation de rupture, ligne de démarcation
Cependant, il établit une distinction cruciale entre rattraper et innover. « Inventer quelque chose de nouveau est environ 100 fois plus difficile que de l’imiter ou de l’optimiser.»
Selon Demis Hassabis, la Chine excelle pour prendre une idée qui fonctionne et la rendre plus efficace. Mais il souligne qu’aucune « rupture de frontière » à AlphaFold n’est encore venue de Chine. L’innovation de « 0 à 1 » (inventer) nécessiterait une culture de recherche très spécifique, qui tolère l’échec et encourage l’exploration interdisciplinaire, estime-t-il.
Cette analyse prend une dimension stratégique lorsque Hassabis évoque les enjeux de sécurité. « Celui qui définit la frontière technologique définit aussi les normes de sécurité et d’éthique », affirme-t-il, ajoutant que ralentir par peur tandis que d’autres pays aux valeurs différentes accélèrent ferait perdre la capacité à sécuriser l’avenir de cette technologie. Une référence aux lois européennes, AI Act en tête, contre lesquelles Google, à l’instar des autres géants de la Tech, est opposé ?
Google rattrapé par OpenAI sur le terrain commercial
Le PDG de DeepMind aborder frontalement la question qui fâche : comment Google, inventeur de la majorité des technologies d’IA modernes, s’est-il fait dépasser commercialement par OpenAI et ChatGPT ?
« Google a inventé 80 à 90 % des technologies qui font tourner l’IA moderne », affirme-t-il. Mais il reconnaît que le géant de Mountain View a été « un peu lent à commercialiser et à passer à l’échelle », tandis qu’OpenAI et d’autres ont été « très agiles pour prendre ces briques de recherche et les transformer en produits de consommation immédiat ».
Et d’expliquer que son rôle, en fusionnant DeepMind et Google Brain, était précisément de résoudre cette équation : garder l’âme de « Bell Labs moderne » tout en étant capable de livrer des produits comme Gemini à une vitesse de start-up.
Entre recherche fondamentale et pression commerciale
Demis Hassabis se montre particulièrement lucide sur les tensions inhérentes à la gestion d’un laboratoire de recherche au sein d’une entreprise cotée. « Si vous ne faites que du produit, vous finissez par stagner car vous n’inventez plus les prochaines ruptures. Si vous ne faites que de la recherche, vous restez dans une tour d’ivoire », résume-t-il.
Il estime que le véritable retour sur investissement de l’IA ne se mesurera pas dans les chatbots mais dans sa capacité à révolutionner la découverte scientifique. Quand l’IA permet de découvrir de nouveaux matériaux ou des médicaments contre des maladies incurables, elle devient une infrastructure de civilisation, pas juste un gadget, affirme-t-il.
Cette vision à long terme le conduit à relativiser les craintes d’une bulle spéculative. « Il y a certainement beaucoup de bruit et de « hype » en ce moment. Mais je compare cela à l’ère du Dot-com. À l’époque, il y avait une bulle, mais Internet était bel et bien une révolution fondamentale. L’IA va transformer l’économie de manière encore plus profonde. Le véritable retour sur investissement ne se verra pas seulement dans les chatbots, mais dans la découverte de nouveaux matériaux, de nouveaux médicaments et dans la résolution de problèmes énergétiques.» affrime-t-il.
Comme à l’époque du Dot-com, il y a du bruit et de l’excès, mais l’IA représente bel et bien une révolution fondamentale qui transformera l’économie de manière encore plus profonde qu’Internet, estime le patron de DeepMind.
L’AGI toujours à l’horizon de 5 à 10 ans
Sur la question brûlante de l’Intelligence Artificielle Générale (AGI), Hassabis maintient sa prédiction. « Nous sommes à 5 ou 10 ans d’un système que l’on pourrait raisonnablement qualifier d’AGI », déclare-t-il à CNBC.
Le scientifique reconnaît que le « scaling » (l’augmentation de la puissance de calcul et des données) continue de produire des résultats, mais juge que cela ne suffira pas. Il manquerait encore des percées sur le raisonnement complexe et la planification à long terme pour atteindre une véritable AGI.
Avec ses propos nuancés sur la Chine et sa franchise sur les défis face à OpenAI, Demis Hassabis dessine les contours d’une course technologique mondiale plus serrée et imprévisible que prévu. Une course où l’innovation de rupture pourrait s’avérer plus décisive que la simple puissance de calcul.
Cloudflare rachète Human Native, une place de marché de données pour l’IA, pour structurer un nouveau modèle économique entre créateurs de contenus et développeurs de modèles génératifs.
Avec cette opération, dont le montant n’est pas communiqué, Cloudflare entend se positionner au cœur des flux de données qui alimentent l’IA tout en répondant aux tensions croissantes autour de la rémunération et du contrôle des contenus en ligne.
Cloudflare présente Human Native comme une marketplace destinée à connecter créateurs, éditeurs et développeurs d’IA autour de données « prêtes à l’emploi » pour l’entraînement et l’inférence. L’objectif affiché est de rendre plus simple et plus rapide la découverte, l’achat et l’accès à des contenus fiables, tout en offrant aux ayants droit des mécanismes transparents de prix et de rémunération.
Fondée en 2024, Human Native revendique une mission centrée sur une relation plus équitable et transparente entre créateurs de contenu et entreprises d’IA. La start-up s’appuie sur une équipe issue d’acteurs comme DeepMind, Google, Figma ou Bloomberg, avec une forte culture croisée tech–médias.
De la « Napster era » de l’IA à un modèle régulé
Pour James Smith, cofondateur et CEO de Human Native, l’ambition est de « sortir l’IA générative de son ère Napster », en garantissant contrôle, compensation et crédit aux créateurs lorsque leurs œuvres servent à entraîner des systèmes d’IA. Ce discours s’inscrit dans un climat de conflit croissant entre éditeurs, plateformes et fournisseurs de modèles, accusés de s’appuyer sur du scraping massif sans cadre contractuel clair.
L’acquisition de Human Native apparaît comme l’étape suivante : passer de la simple gestion d’accès au contenu à une monétisation structurée à l’échelle Internet.
La stratégie de Cloudflare dans l’IA
Historiquement positionné sur la performance web, la sécurité et le « connectivity cloud », Cloudflare se rapproche de plus en plus des couches applicatives liées à l’IA. En s’emparant d’une marketplace de données, l’entreprise se place en intermédiaire critique entre les détenteurs de contenu et les équipes IA, un rôle potentiellement aussi stratégique que celui de fournisseur d’infrastructure.
Pour les créateurs et les éditeurs, l’intérêt de Human Native réside dans la promesse de conserver le contrôle sur les usages tout en ouvrant un canal de revenus dédié à l’IA. La marketplace doit leur permettre de décider si leurs contenus sont accessibles, dans quelles conditions, et à quel prix, en remplaçant une logique de scraping par une logique de licence.
Pour les développeurs d’IA, l’enjeu est l’accès à des corpus fiables, traçables et juridiquement sécurisés, dans un contexte où le risque de litiges sur les données d’entraînement augmente. En centralisant découverte, négociation et flux de paiement, Cloudflare espère réduire la friction d’accès aux données tout en répondant aux attentes des régulateurs et des ayants droit.
Intégration aux outils de contrôle d’accès
Cloudflare prévoit d’intégrer progressivement les technologies et produits de Human Native à ses offres existantes. Cette fusion s’appuie sur des solutions comme AI Crawl Control, Pay Per Crawl et l’AI Index, afin de transformer des contenus non structurés en données prêtes pour l’entraînement et l’inférence des modèles IA.
Human Native complétera les mécanismes de Cloudflare permettant aux éditeurs de décider qui accède à leurs contenus via des bots IA. Les technologies de la startup transformeront les données multimédias en formats indexables et licenciables, intégrés à Pay Per Crawl pour des paiements automatisés lors de l’accès.
Cloudflare accélérera son AI Index, un système Pub/Sub où les sites publient des mises à jour structurées en temps réel, évitant les crawls coûteux et risqués. Human Native fournira les outils pour structurer et valoriser ces flux, rendant les données traçables et monétisables pour les développeurs IA.
L’acquisition soutiendra le protocole x402 et la x402 Foundation (avec Coinbase), pour des transactions machine-to-machine fluides. Les créateurs fixeront prix et conditions d’usage, intégrés aux services Cloudflare comme Workers et AI Gateway, créant un marché unifié de données IA.
Le bras de fer juridique entre Elon Musk et OpenAI vient de prendre un tour décisif. Ce 15 janvier, une juge fédérale d’Oakland a rejeté les demandes de rejet formulées par OpenAI et Microsoft, ouvrant la voie à un procès devant jury prévu fin avril.
Au cœur du litige : l’accusation selon laquelle l’inventeur de ChatGPT aurait trahi sa mission originelle en tant qu’organisation caritative.
Les origines du conflit
Elon Musk, qui a contribué au lancement d’OpenAI aux côtés de Sam Altman en 2015, lui reproche d’avoir abandonné son statut d’organisation à but non lucratif après avoir reçu des milliards de dollars de Microsoft. Et conteste la transformation d’OpenAI en société commerciale.
Dans sa décision, la juge Yvonne Gonzalez Rogers a refusé d’écarter l’accusation selon laquelle OpenAI aurait violé sa promesse de fonctionner comme une fondation caritative. Selon Elon Musk, ses contributions de 38 millions $ avaient un objectif caritatif spécifique, assorti de deux conditions fondamentales : qu’OpenAI reste open source et demeure une organisation à but non lucratif.
Des communications internes compromettantes
Selon Bloomberg, la magistrate s’est appuyée sur des échanges internes datant de 2017 pour maintenir les accusations de fraude. En septembre de cette année-là, Shivon Zilis, membre du conseil d’administration, avait indiqué à Elon Musk que Greg Brockman, cofondateur d’OpenAI, souhaitait poursuivre avec la structure à but non lucratif.
Deux mois plus tard, dans une note privée, Brockman écrivait pourtant : « Je ne peux pas dire que nous sommes engagés envers l’organisation à but non lucratif. Je ne veux pas dire que nous sommes engagés. Si dans trois mois nous passons en b-corp, ce sera un mensonge. »
Pour Marc Toberoff, l’avocat de Elon Musk, cette décision confirme « qu’il existe des preuves substantielles que les dirigeants d’OpenAI ont fait sciemment de fausses assurances à M. Musk concernant sa mission caritative, qu’ils n’ont jamais honorée au profit de leur enrichissement personnel. »
Microsoft également visée
La juge a estimé qu’il appartiendra au jury de déterminer si Microsoft a aidé OpenAI à manquer à ses responsabilités envers ses donateurs. Elle a relevé que Elon Musk avait identifié « des preuves considérables soulevant une question de fait contestable selon laquelle Microsoft avait une connaissance réelle allant au-delà d’un vague soupçon d’actes répréhensibles.»
En revanche, la juge a rejeté l’allégation selon laquelle Microsoft se serait enrichie « injustement » aux dépens de Musk, faute de relation contractuelle entre les deux parties.
OpenAI maintient sa position
De son côté, OpenAI dénonce une procédure sans fondement. « La plainte de M. Musk continue d’être sans fondement et fait partie de son modèle continu de harcèlement », a déclaré l’entreprise dans un communiqué «.Nous avons hâte de le démontrer lors du procès. »
Dans le cadre de sa restructuration intervenue en octobre 2025, Microsoft a reçu une participation de 27% dans le cadre d’une transition qui maintient l’organisme à but non lucratif d’OpenAI en contrôle de ses opérations commerciales.
L’ère de la gratuité totale semble révolue pour les leaders de l’IA. Après les accords passés avec certains groupes de médias (d’autres ont engagé des procédures judiciaires), c’est au tour de la plus grande encyclopédie collaborative de monétiser ses millions d’articles.
A l’occasion de ses 25 ans, Wikipedia vient en effet de signer, via sa maison mère la Wikimedia Foundation, des accords commerciaux avec Microsoft, Meta et Amazon, rejoignant ainsi Google, déjà signataire d’un accord depuis 2022.
Des acteurs de l’IA comme Perplexity et le français Mistral AI ont également été enrôlés dans ce dispositif qui redéfinit les règles du jeu entre communs numériques et industrie de l’intelligence artificielle.
Le montant des accords n’est pas communiqué.
Une manne de données devenue indispensable
Les chiffres parlent d’eux-mêmes : 65 millions d’articles répartis dans plus de 300 langues. Wikipedia s’est imposée comme la colonne vertébrale de l’entraînement des modèles d’IA générative. Chaque chatbot, chaque assistant virtuel développé par les mastodontes technologiques puise abondamment dans ce gigantesque corpus de connaissances structurées et vérifiées.
Mais cette exploitation massive a un coût. Le scraping intensif des contenus par les systèmes d’IA a fait exploser la demande sur les serveurs de la fondation, provoquant une hausse vertigineuse des dépenses d’infrastructure. « Wikipedia est un composant critique du travail de ces entreprises technologiques, elles doivent trouver comment le soutenir financièrement », martèle Lane Becker, président de Wikimedia Enterprise, la branche commerciale de la fondation.
Un modèle économique en pleine mutation
Face à cette situation, Wikimedia a créé une offre sur mesure : Wikimedia Enterprise. Cette plateforme commerciale propose un accès structuré et haut débit aux données de l’encyclopédie via des API payantes, avec des garanties de disponibilité pouvant atteindre 99% et des mises à jour en temps quasi réel.
Wikipedia reste gratuite pour le grand public et les usages non commerciaux, mais les exploitations industrielles doivent contribuer. Un principe que Tim Frank, vice-président de Microsoft, semble avoir intégré : « Nous aidons à créer un écosystème de contenu durable pour l’internet de l’IA, où les contributeurs sont valorisés.»
Les revenus générés restent pour l’instant modestes. En 2023, le contrat avec Google avait rapporté environ 3,2 millions $ de revenus annuels récurrents, soit 1,7% des 185,3 millions de revenus totaux de la fondation. Mais la multiplication des partenaires laisse augurer une montée en puissance significative.
Cette stratégie pourrait bien inspirer d’autres plateformes de connaissances ouvertes confrontées aux mêmes défis. La fondation franchit par ailleurs un nouveau cap avec la nomination de Bernadette Meehan, ancienne ambassadrice des États-Unis au Chili, au poste de directrice générale à compter du 20 janvier. Un profil diplomatique pour naviguer dans ces eaux nouvelles.
En cas de litige, prière de vous adresser aux tribunaux de Munich.
AWS impose cette règle aux clients de son « cloud souverain européen ». Il faut dire que l’offre a son épicentre en Allemagne. L’entité qui la porte y est basée, comme l’infrastructure initiale.
Plus de deux ans après son annonce, la démarche se concrétise : le lancement commercial vient d’être acté.
AWS fait une promesse d’équivalence fonctionnelle avec le reste de son cloud. Il ne faut toutefois pas s’attendre à retrouver immédiatement les mêmes services. En voici quelques-uns effectivement disponibles. Avec, pour chacun, les principales fonctionnalités utilisables… et celles qui ne le sont pas encore.
Compute
Sur EC2, AWS a activé, entre autres, les hôtes dédiés, les réservations de capacité, les groupes de placement de clusters et de partitions, l’hibernation, les instances Spot et les Savings Plans, l’optimisation CPU, ainsi que l’importation/exportation de VM.
En revanche, pas de SEV-SNP, de Credential Guard, d’enclaves Nitro, de configuration de la bande passante des instances, de blocs de capacité ML et de mise à l’échelle prédictive. Sur EC2 Image Builder, la gestion de cycle de vie n’est pas activée, comme la détection de vulnérabilité et l’intégration CloudFormation.
Sur Lambda, on peut notamment utiliser l’invocation asynchrone, la console d’édition de code, les extensions et SnapStart. Les images de conteneurs sont supportées, comme les puces Graviton.
Il faudra en revanche attendre pour les fonctions Lambda durables.
Stockage
AWS Backup gère pour le moment Aurora, CloudFormation, DynamoDB, EBS, EC2, EFS, RDS, Redshift et S3.
Aurora DSQL est sur la feuille de route, comme DocumentDB, FSx pour Lustre/ONTAP/OpenZFS, Neptune, RDS multi-AZ, Redshift Serverless, Storage Gateway, VMware et Windows VSS.
Sur EBS (Elastic Block Storage), l’essentiel des fonctionnalités sont disponibles : chiffrement, clonage, gestion du cycle de vie des données, corbeille, snapshots, etc.
Sur EFS (Elastic File Storage), les politiques de cycle de vie sont activées, comme le pilote CSI, l’IPv6, le mode Max I/O et plusieurs classes de stockage (Archive, Standard, Standard Infrequent Access).
En revanche, pas de classes de stockage One Zone et One Zone Infrequent Access. Ni de réplication intercomptes ou d’intégrations avec ECS et Lambda.
Sur la partie FSx, la version Lustre n’a pas de chiffrement au repos, de support des EFA (Elastic Fabric Adapter), ni des classes de stockage HDD et SSD.
Pour les versions ONTAP et OpenZFS, pas d’intégration AD, de chiffrement au repos, d’IPv6, de WORM, de classe SSD et de certains déploiements (multi-AZ, scale-out, haute disponibilité en mono-AZ).
S3 version European Sovereign Cloud gère les écritures et les copies conditionnelles, les listes de contrôle d’accès, les opérations par lots, les politiques et clés de buckets, la réplication interrégions, le tiering intelligent, l’inventaire et le cycle de vie, le verrouillage et l’étiquetage d’objets, ainsi que Glacier et Storage Lens.
Il faudra attendre pour les tables et les vecteurs S3, les autorisations d’accès individuelles, les métadonnées, la fonction Select et la classe de stockage Express One Zone.
Réseau
Sur API Gateway, REST est activé. Pas encore HTTP, ni WebSockets.
Les fonctionnalités principales de Cloud Map sont disponibles, dont l’intercomptes, la gestion des endpointsdual-stack et les attributs de services. Même réflexion pour Direct Connect, qui ne gère toutefois pas encore PrivateLink, comme beaucoup d’autres services.
Avec Route 53 aussi, l’essentiel du socle est disponible, à l’exception des domaines et – pour le DNS public – de la signature DNSSEC.
Sur les VPC, le blocage de l’accès public est activé, comme les journaux de flux, la gestion des adresses IP et la mise en miroir du trafic. La brique Route Server ne l’est pas, comme l’analyse de la connectivité et des accès réseau.
Bases de données
Aurora n’est pas encore disponible pour DSQL. Il l’est en revanche pour MySQL et PostgreSQL, y compris en version serverless. Les déploiements blue-green sont pris en charge, comme les proxys RDS et la connexion zero-ETL avec Redshift.
Les briques essentielles de DocumentDB sont disponibles. Pas de clusters globaux, cependant, ni de clusters élastiques.
Sur DynamoDB, on peut bénéficier du contrôle d’accès à base de rôles et d’attributs, des points de restauration, de l’importation/exportation S3, des index secondaires globaux ou locaux, des classes de stockage Standard et Standard Infrequent Access et du débit à la demande ou provisionné.
Le service de cache Accelerator n’est pas disponible.
ElastiCache est disponible en serverless, avec le support du JSON. Mais pour le moment sans tiering des données ni data store global.
Les principales fonctionnalités de Neptune sont accessibles, mais pas les instances serverless ni celles optimisées I/O.
Sur RDS pour MariaDB, MySQL, PostgreSQL et SQL Server, les déploiements blue-green sont pris en charge, ainsi que les lectures optimisées (sauf pour Postgre) et les proxys RDS. Les réplicas en lecture interrégions sont sur la roadmap, comme la connexion zero-ETL avec Redshift (mais pas pour MariaDB).
Analytics
Le « gros » d’Athena est disponible : console, contrôle d’accès granulaire, requêtes fédérées, réservation de capacité, etc. Même chose pour EMR, mais sans les versions EKS et serverless. Et pour Kinesis Data Strams (contrôle d’accès basé sur les attributs, accès intercomptes, quotas de service, connectivité et sécurité réseau).
Data Firehose accepte OpenSearch, Redshift, S3, Snowflake, Iceberg et HTTP en destination. Il gère l’IPv6, la transformation de données, l’ingestion PUT et le partitionnement dynamique.
L’intégration avec Secrets Manager n’est pas encore activée, ni Splunk comme destination.
Le Flink managé d’AWS est largement opérationnel, mais sans possibilité d’apporter ses propres clés. Sur le Kafka managé, c’est le serverless qui manque, ainsi que les briques Connect et Replicator.
Le cœur fonctionnel de Glue est disponible (console, connecteurs, jobs, sessions interactives).
Quantité de fonctionnalités d’OpenSearch Service sont disponibles : support du 3-AZ, détection d’anomalies, recherche asynchrone, recherche entre clusters, dictionnaires personnalisés, SAML, chiffrement au repos et en transit, supervision/alertes, compression HTTP, gestion de l’état des index, snapshots quotidiens, domaines VPC…
Il y a aussi des manques : serverless, alertes interclusters, recherche interrégions, réplication entre clusters, plug-in tiers, authentification Kibana avec Cognito, requêtage SQL, requêtes directe sur Security Lake, recherche par similarité cosinus…
Sur Redshift, l’optimisation automatique des tables et la gestion automatique des workloads sont activées. Idem pour les requêtes entre bases de données, les snapshots et les points de restauration, les procédures stockées et les fonctions définies par l’utilisateur.
Il faudra patienter pour la version serverless, l’édition et la fédération de requêtes, ainsi que l’intégration avec Bedrock.
IA/ML
Bedrock est signalé comme disponible. Mais beaucoup de composantes manquent à l’appel : agents, RAG, marketplace, évaluations, apprentissage par renforcement, gestion et optimisation des prompts…
SageMaker AI est disponible pour l’inférence et l’entraînement, avec SDK Python, JupyterLab, registre de modèles, pipelines, recherche et conteneurs deep learning.
Pas de personnalisation des modèles, ni de batching pour l’entraînement.
Conteneurs
ECR (Elastic Container Registry) est disponible avec chiffrement double couche, scan d’images, IPv6, réplication intercomptes et intégrations CloudTrail/CloudWatch.
ECS (Elastic Container Service) l’est avec gestion de Fargate et de l’attachement de tâches EBS. Pas de déploiements blue-green, en revanche, ni de découverte de services.
Les nœuds hybrides et les groupes de nœuds managés sont disponibles sur EKS (Elastic Kubernetes Service). Comme IPv6, OIDC et les add-on.
Fargate n’est pas encore pris en charge.
Sécurité, identité, conformité
L’essentiel des fonctionnalités de Cognito sont disponibles. Même chose pour GuardDuty, mais sans la console ni la connexion avec Detective et Security Hub.
Sur Certificate Manager, la supervision des certificats est disponible comme la validation DNS, l’émission et l’exportation de certificats publics, leur importation, le renouvellement managé et la création de certificats TLS privés via l’autorité de certification AWS.
La validation HTTP n’est pas disponible. Il en va de même pour la validation e-mail.
Avec Directory Service, la suprervision, l’administration et le partage d’annuaire sont activés. Même chose pour le MFA, les politiques de mots de passe, l’extension de schéma et les snapshots quotidiens.
La remontée des métriques de contrôleurs de domaine dans CloudWatch n’est pas disponible. Comme la gestion des utilisateurs et des groupes.
Sur la partie IAM, la composante STS (Security Token Service) est disponible. Comme la récupération de compte et la centralisation des accès root.
Les passkeys ne le sont pas encore. La fédération non plus. Idem pour la gestion de principaux et la simulation de politiques.
En version « cloud souverain européen », AWS KMS gère les magasins de clés externes, mais pas les magasins personnalisés.
Sur Secrets Manager, l’essentiel est activé : récupération par lots, rotation automatique, contrôle d’accès avec IAM, métriques CloudWatch, réplication interrégions, génération de mots de passe, étiquetage et chiffrement des secrets…
La sécurité post-quantique pour TLS fait exception. Il faudra aussi attendre pour pouvoir déployer Secrets Manager avec AppConfig.
Le WAF (v2) est bien disponible, mais il manque notamment la protection contre le DDoS, les bots et la fraude. Ainsi que les intégrations App Runner, AppSync et Amplify.
Gestion, gouvernance
Le service AWS Auto Scaling gère, entre autres cibles, les services ECS, les clusters EMR, les réplicas Aurora, les ressources personnalisées, les tables et les index secondaires globaux DynamoDB et les groupes de réplication ElastiCache (Redis OSS et Valkey).
Les clusters Neptune sont sur la feuille de route, comme les flottes AppStream et les tables Keyspaces pour Cassandra.
Le cœur fonctionnel de CloudFormation est disponible (hooks, générateur IaC, StackSets, quotas de service…), mais la synchro Git ne l’est pas.
Avec CloudTrail, on accède à l’historique d’événements, à la piste d’audit et au serveur MCP. Pas aux insights ni aux événements agrégés.
Sur CloudWatch, métriques, dashboard et alarmes sont activés, comme l’extension Lambda Insights. Pipeline, signaux d’applications et RUM ne le sont pas. Sur la partie logs, pas mal d’éléments manquent encore : observabilité de la GenAI, indexation de champs, enrichissement, intégration des tables S3, centralisation entre comptes et régions…
RHEL, Ansible, OpenShift… En matière de cloud « souverain », l’offre de Red Hat est traditionnellement au cœur de la proposition de valeur d’IBM.
Elle pourrait l’être encore plus mi-2026. À cette échéance est prévu le lancement commercial d’une solution appelée IBM Sovereign Core.
La preview technique doit démarrer en février. Aucune feuille de route n’est publiée pour l’heure. IBM communique néanmoins un schéma donnant une idée de ce qui pourrait, à terme, composer l’offre.
La solution fonctionnera en mode déconnecté (air-gapped), avec un plan de contrôle géré par le client ou par un partenaire local. Les premiers officiellement dans la boucle sont Cegeka (pour le Benelux) et Computacenter (pour l’Allemagne).
La télémétrie restera en local, comme l’authentification, l’autorisation et le chiffrement. Le centre de conformité sera livré avec des politiques alignées sur les cadres de souveraineté nationaux – tout en permettant de personnaliser les règles.
AWS et SAP occupent aussi le terrain
Le discours d’IBM se porte nettement sur l’aspect « IA souveraine ».
SAP a choisi la même approche avec son offre EU AI Cloud, annoncée fin novembre 2025. Elle est à la croisée de la stratégie promue depuis quelques années sous la marque SAP Sovereign Cloud et des efforts du groupe allemand en matière d’intégration de modèles et de services IA. La « souveraineté » est promise à quatre niveaux :
Données (localisation)
Exploitation (opérations sensibles effectuées en local avec du personnel situé sur place ou dans un « pays de confiance »)
Technique (plans de contrôle locaux)
Juridique (entités locales ou établies dans des « pays de confiance »)
Pour le déploiement, quatre options, pas toutes disponibles en fonction des marchés : sur l’infra SAP, chez le client (en managé), chez des hyperscalers et chez Delos Cloud – filiale de SAP – pour le secteur public.
Dans la catégorie hyperscalers, il y aura notamment le « cloud souverain européen » d’AWS, qui vient d’en annoncer la disponibilité générale. L’épicentre se trouve en Allemagne. Des zones locales y seront connectées sur réseau privé. Les premières sont prévues en Belgique, aux Pays-Bas et au Portugal.
Face à VMware, la Cnam (Caisse nationale d’assurance maladie) a fini par saisir la justice.
Il y a quelques semaines, l’établissement public est allé en référé. Objectif : obtenir un délai pour convertir des jetons HPP (Hybrid Purchasing Program)* en licences perpétuelles.
Ces jetons avaient été acquis à l’été 2021, sur le fondement d’un accord-cadre conclu entre le GIP RESAH (Réseau des acheteurs hospitaliers) et Computacenter. Son objet : la fourniture de logiciels, dont ceux de VMware.
Le 22 avril 2024, Broadcom avait informé la Cnam que la conversion des jetons HPP ne serait plus possible après le 30 avril 2024.
Le 26 septembre 2025, la Cnam avait mis Computacenter et Broadcom en demeure de rétablir cette possibilité jusqu’au 20 décembre 2025. Elle avait essuyé un refus, au motif que le modèle de souscription alors en vigueur ne le permettait pas.
La Cnam a invoqué sa mission de service public
Le 2 décembre, la Cnam avait sollicité le juge des référés pour obtenir ce rétablissement, sous astreinte de 50 000 € par jour. Fondement invoqué : l’article L. 521-3 du Code de justice administrative. Lequel dit, en substance, que le juge des référés peut, en cas d’urgence, ordonner toute mesure utile, même en l’absence d’une décision administrative préalable.
D’après la Cnam, la condition d’urgence était remplie dès lors que :
ces jetons devaient être convertis avant le 20 décembre 2025 ;
à défaut, elle perdrait son droit contractuel à la conversion ;
l’acquisition de licences perpétuelles revêtait une importance particulière pour assurer sa mission de service public, l’ensemble de son SI reposant sur les technos Vmware.
La Cnam prétendait ne pas disposer des moyens suffisants pour contraindre Broadcom… et considérait par là même que la mesure demandée était utile.
Broadcom a fini par accéder à la demande. Et le 23 décembre, la Cnam s’est désistée de sa requête.
* Le programme HPP se destinait aux clients souhaitant migrer vers le cloud tout en conservant leur infrastructure privée. Il combinait l’EPP (Enterprise Purchasing Program) et le SPP (Subscription Program) en un modèle transactionnel. Chaque euro dépensé pouvait, dans certaines limites, être réparti entre, d’un côté, licences perpétuelles + services/support, et de l’autre, services sur abonnements.
L’autorité de régulation frappe fort en ce début d’année. Suite à une intrusion massive survenue en octobre 2024 dans les systèmes d’information du groupe Iliad, la Commission nationale de l’informatique et des libertés (CNIL) inflige une amende d’un montant total de 42 millions € aux opérateurs Free Mobile (27 millions € ) et Free (15 millions €).
Retour sur les faits. En octobre 2024, un attaquant s’infiltre dans le système d’information des deux sociétés compromettant les données personnelles de 24 millions de contrats d’abonnés. Les données exposées incluaient notamment des IBAN pour les clients disposant d’abonnements auprès des deux entités simultanément.
L’ampleur de l’incident suscite plus de 2 500 plaintes d’abonnés et déclenche un contrôle approfondi de la CNIL qui identifie plusieurs manquements graves au Règlement général sur la protection des données (RGPD), chaque société étant tenue responsable du traitement des données de ses propres clients.
Des failles de sécurité élémentaires
La formation restreinte de la CNIL, organe compétent pour prononcer les sanctions, constate aussi l’absence de mesures de sécurité fondamentales qui auraient pu compliquer l’attaque. Les enquêteurs relèvent notamment que la procédure d’authentification pour accéder aux réseaux privés virtuels (VPN) des deux sociétés, utilisés pour le télétravail des employés, présentait des faiblesses importantes en termes de robustesse.
Par ailleurs, les dispositifs de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. La CNIL a jugé que ces mesures n’étaient pas adaptées au volume et à la sensibilité des données traitées par les deux opérateurs.
La commission reconnait cependant qu’ils ont renforcé leur niveau de sécurité en cours de procédure et leur impose d’achever la mise en œuvre de ces nouvelles mesures sous trois mois.
Une communication insuffisante auprès des victimes
Le régulateur pointe également du doigt les lacunes dans la communication auprès des clients. Si Free et Free Mobile ont déployé un dispositif d’information à deux niveaux (courriel initial puis numéro vert et service dédié), le courriel envoyé aux abonnés ne contenait pas toutes les informations obligatoires prévues par l’article 34 du RGPD.
Selon la CNIL, ces omissions empêchaient les victimes de comprendre directement les conséquences de la violation et les mesures de protection qu’elles pouvaient adopter pour limiter les risques.
Free Mobile épinglée pour conservation excessive de données
Un troisième manquement est retenu spécifiquement contre Free Mobile concernant la durée de conservation des données. Au moment du contrôle, l’opérateur n’avait pas mis en place de procédures permettant de trier et supprimer les données des anciens abonnés une fois leur conservation devenue inutile.
La CNIL a établi que Free Mobile conservait des millions de données d’abonnés sans justification pendant des durées excessives, en violation de l’article 5 du RGPD. L’opérateur a depuis initié un tri pour ne conserver que les données nécessaires au respect des obligations comptables pendant dix ans, et a supprimé une partie des données conservées de manière excessive. La société dispose de six mois pour finaliser cette opération de purge.
Connexion
