Attention, ce programme ne sera prochainement plus compatible avec votre ordinateur.
Sur les quelques modèles de Mac Intel qui la gèrent, la dernière version de macOS (26.4, actuellement en bêta) affiche de telles alertes au lancement des applications x86.
En toile de fond, la fin de vie de la couche d’émulation Rosetta 2. Comme annoncé à la dernière WWDC, macOS 27 – qu’Apple publiera possiblement en septembre 2026 – sera la dernière version à la prendre pleinement en charge.
Au-delà, n’en sera maintenu qu’un sous-ensemble, pour d’anciens jeux dépendant de bibliothèques spécifiques et pour des logiciels exécutant des binaires x86 dans des VM Linux.
Des centaines de programmes s’appuient encore sur Rosetta 2
Sur les 3729 applications que liste le site « Does it ARM? », environ la moitié ont une version native Apple Silicon. Parmi celles qui reposent encore sur Rosetta 2 (10 % des apps listées), il y quelques logiciels Adobe (After Effects, Animate, Bridge, Media Encoder), Android Studio, Audacity, AutoCAD, etc.
Parmi la centaine d’applications qui n’ont ni version native, ni compatibilité Rosetta 2 figurent essentiellement des émulateurs (BlueStacks, Genymotion, VMware Fusion, Virtualbox…) et des jeux (Crysis, GTA V, Valorant…).
Apple ne diffusera plus de nouvelles fonctionnalités pour les Mac Intel après 2026. Il fournira des correctifs de sécurité jusqu’en 2028 pour les modèles les plus récents (MacBook Pro 16 pouces 2019, Mac Pro 2019, MacBook Pro 13 pouces 2020, iMac 27 pouces 2020). Il aura commercialisé certains d’entre eux jusqu’en 2023.
La transition est (un peu) moins subite qu’elle ne le fut lors du précédent changement d’architecture (passage de PowerPC à Intel). Apple l’avait officialisée à la WWDC 2005. L’ensemble de la gamme avait basculé l’année suivante. Mac OS X Snow Leopard, publié en octobre 2007, fut le dernier à supporter PowerPC. Rosetta, première du nom, était restée fonctionnelle jusque sur Mac OS X Snow Leopard, lancé en août 2009. Avec la migration vers les puces Intel, les Mac étaient devenus incompatibles avec Mac OS Classic (Mac OS 9 et versions antérieures). Il était en revanche devenu possible d’utiliser Windows.
Tel que structuré, le Programme d’action pour la décennie numérique risque de favoriser les démarches en silos.
L’Association des villes et des municipalités finlandaises est de cet avis. Elle l’a exprimé en réponse à une consultation publique que la Commission européenne a récemment organisée. En ligne de mire, le réexamen dudit programme, à réaliser au plus tard le 30 juin 2026.
Une centaine de réponses ont été reçues. Nous en évoquons ici quelques-unes qui proposent d’ajouter, de supprimer ou de remodeler des objectifs et/ou les indicateurs associés, sur les quatre « points cardinaux » du programme. À savoir les infrastructures, les compétences, la numérisation des services publics et la transformation numérique des entreprises.
1 – Sur les infrastructures
Le gouvernement tchèque recommande que les indicateurs relatifs à la connectivité tiennent compte des réalités géographiques et économiques. L’École polytechnique de Milan en fait autant. Elle privilégie un indicateur de « reach universel » indépendant du mix technologique.
Ne pas zapper la connectivité indoor
Du côté de la Wi-Fi Alliance, on appelle à inclure une mesure des performances du Wi-Fi indoor. Même chose chez l’association professionnelle FTTH Council Europe, qui pousse aussi pour l’introduction d’indicateurs d’extinction des réseaux cuivre.
Penser à la résilience des réseaux…
Europacable (association des fabricants de fils et câbles européens) invite à inclure des indicateurs sur la résilience des réseaux : redondance, taux de pannes, délais de remise en service.
… et aux consommateurs
À l’instar du BEUC (Bureau européen des unions de consommateurs), ecta (association d’opérateurs télécoms « alternatifs ») souhaite voir apparaître des indicateurs concernant la variété des offres commerciales. Elle demande aussi de suivre le prix moyen des offres les plus populaires, année par année, en comparant avec les États-Unis, le Japon et la Corée.
Démontrer l’allégement du fardeau administratif
ecta promeut aussi des indicateurs spécifiques à la 5G autonome. Et d’autres reflétant l’allégement effectif du fardeau administratif : capacité à vendre des services numériques à travers l’UE, délai de mise en service des datacenters, des câbles sous-marins et des réseaux FTTH.
L’EWIA (association professionnelle de TowerCo) est dans le même esprit. Elle souhaite des indicateurs couvrant les procédures d’autorisation (durée entre demande et octroi) comme la disponibilité des terrains et bâtiments publics pour le déploiement d’infrastructures de communications électroniques. Pour ce qui est du CISPE (association de fournisseurs cloud), il suggère l’objectif de réduire de moitié entre 2020 et 2030 les délais d’autorisation pour les datacenters et les raccordements au réseau électrique.
Mieux mesurer les dépendances
L’Associazione Italiana Internet Provider (principale association italienne de FAI) axe sa contribution sur la souveraineté. Elle juge les objectifs actuels trop génériques pour refléter les dépendances à des clouds non européens. Il convient, estime-t-elle, d’évaluer la part de workloads traités par des acteurs européens et la proportion de datacenters que ces derniers contrôlent. Autre remarque : l’objectif de 10 000 nœuds edge « climatiquement neutres » ne correspond plus aux besoins du marché et des territoires, vu la consommation énergétique de l’IA et la concentration des capacités dans les mains de quelques fournisseurs.
Évaluer la « capacité IA » de l’Europe
Cisco aimerait que le Programme pour la décennie numérique permette de mesurer si l’Europe est capable de déployer des workloads IA à grande échelle. Pour cela, suggère-t-il, il faut des indicateurs reflétant par exemple la part des ressources de calcul optimisées.
2 – Sur les compétences
L’un des objectifs du Programme pour la décennie numérique est de développer des compétences numériques de base chez 80 % des 16-74 ans.
Suivre le taux d’insertion
L’AMETIC (association du secteur IT en Espagne) recommande de le conserver, parallèlement à l’objectif de former 20 millions de spécialistes TIC. Mais conseille d’y ajouter un prisme « qualité » (taux d’emploi à 6 et 12 mois après formation) et « équité » (taux de femmes et de plus de 45 ans).
Être plus explicite sur l’IA et la cyber
All Digital (réseau de centres de compétences numériques) appelle à une évaluation plus fine de ce « critère des 80 % », par tranches d’âge. Il invite également à intégrer plus explicitement les dimensions IA et cyber, ainsi que le bien-être numérique.
FTTH Council Europe exhorte quant à lui à porter l’objectif à 100 %. Motif : une question de cohérence avec l’ambition de numériser 100 % des services publics essentiels.
Mesurer la connaissance des stacks européennes
La Gesellschaft für Informatik (association allemande d’informaticiens) valide l’objectif de former 20 millions de professionnels. Elle aimerait toutefois qu’au moins 60 % de ces professionnels aient une expertise avancée sur des piles européennes ou open source. Et que le même taux d’entreprises développent des compétences internes en souveraineté numérique. Par exemple avec des postes de Chief Sovereignty Officer.
Assouplir la définition du « spécialiste des TIC »
La présidence du Conseil des ministres italien considère, en écho à l’École polytechnique de Milan, qu’il est nécessaire de collecter des données à fréquence annuelle, et non pas tous les deux ans. Il prône aussi une définition plus souple des « spécialistes des TIC », afin qu’elle n’exclue pas les professionnels « hybrides » ou en cours de spécialisation.
S’intéresser aux certifications sur l’open source
L’Institut économique polonais souhaiterait que soit calculée la proportion de ces spécialistes certifiés sur des systèmes open source. L’ISC2 (International Information System Security Certification Consortium), que soit introduit un objectif de 300 000 professionnels cyber supplémentaires formés d’ici à 2030.
Quand les formations accentuent les dépendances
L’European DIGITAL SME Alliance (communauté de PME du numérique) s’arrête sur les formations. Elle regrette que ces dernères se fassent surtout sur des plates-formes non européennes ; et qu’elles préparent à des technologies essentiellement non européennes.
3 – Sur la numérisation des services publics
L’European DIGITAL SME Alliance se prononce aussi sur la numérisation des services publics. Elle souhaite qu’à l’horizon 2030, 60 % de la valeur de la commande publique aille à des fournisseurs européens. La Gesellschaft für Informatik va plus loin, fixant l’objectif à 70 %. L’Associazione Italiana Internet Provider propose de viser des paliers : 20 % en 2028, 50 % en 2031, 100 % en 2035.
Penser accessibilité
La CERMI CV (association représentative de la société civile dans la Communauté valencienne, en Espagne) suggère de passer d’une logique de disponibilité des services publics à leur accessibilité. Elle souhaite que 100 % des services essentiels (« santé, justice, administration, éducation ») respectent la norme EN 301459 à l’horizon 2030.
L’École polytechnique de Milan souhaiterait des données plus granulaires sur la numérisation de la justice et de l’éducation. Elle recommande de passer d’une logique d’évaluation « client mystère » à une collecte de données administratives à grande échelle ou à des sondages utilisateurs.
Décliner les objectifs au niveau local…
La VNG (association de municipalités néerlandaises) aimerait que l’UE structure les objectifs du programme par niveaux d’administration. Les responsabilités pourraient alors être clarifiées et la contribution des autorités locales, favorisée.
… et la souveraineté aussi
L’Institut économique polonais milite pour une mesure de la souveraineté au niveau local, chaque année dans un secteur différent. Sur le volet santé, il invite à dépasser la notion de disponibilité des données pour évaluer le déploiement d’outils prédictifs, dans une perspective de médecine préventive.
4 – Sur la transformation numérique des entreprises
L’un des objectifs du Programme pour la décennie numérique est d’atteindre 75 % d’entreprises utilisant le cloud, l’IA ou le big data.
Donner une place au multicloud
L’Open Cloud Coalition le trouve imprécis. Elle considère notamment qu’il faudrait mesurer la capacité à faire du multicloud. Et par là même l’ampleur des verrouillages fournisseur.
Le CISPE aussi souhaite un indicateur plus précis : au moins 75 % des charges de travail dans le cloud par exemple. Et au moins 50 % sur des infrastructures et services souverains. Ainsi qu’au moins 90 % des PME utilisant des « services cloud de base » (e-mail, stockage, collaboration).
Suivre les licornes de la naissance à l’exit
Dans la lignée de sa proposition sur la part des fournisseurs européens dans la commande publique, La Gesellschaft für Informatik souhaiterait qu’au moins 60 % des usages cloud des entreprises se basent sur des plates-formes européennes ou open source. Elle suggère aussi de mesurer le taux de licornes nées sur des stacks européennes.
L’Institut économique polonais recommande pour sa part de s’intéresser au taux de start-up et de scale-up qui réalisent leur exit en Europe. Un indicateur qu’il juge plus pertinent que l’objectif visant à doubler le nombre de ces licornes pour démontrer la capacité à créer un environnement favorable à l’innovation.
Jauger la maturité cyber au déploiement d’architectures « modernes »
Les objectifs du programme ont été définis avant la vague GenAI, fait remarquer Crowdstrike. L’éditeur invite à les mettre à jour… pour consacrer la sécurité « augmentée par IA » comme un élément critique de l’écosystème numérique. Pour matérialiser l’objectif d’une maturité cyber de base dans les organisations publiques et privées, il conseille de mesurer l’adoption d’architectures « modernes » (zero trust, MDR…) et le déploiement des SOC transfrontaliers. Tout en intégrant des sous-objectifs : couverture EDR, déploiement de SIEM next-gen, renseignement continu sur les menaces dans les secteurs critiques, etc.
Moins de déchets, moins de CO₂, plus de longévité : transformez votre parc d’impression en mini-écosystème performant et responsable. Imprimer mieux, pour travailler durablement.
Nvidia et OpenAI sont en passe de réécrire les termes de leur alliance. Selon le Financial Times, ( FT) le leader mondial des GPU est en phase finale de négociations pour investir 30 milliards $ en capital dans l’inventeur de ChatGPT en remplacement du partenariat à 100 milliards $ annoncé en grande pompe mais qui n’avait jamais dépassé le stade d’une lettre d’intention.
OpenAI compte réinvestir une grande partie des capitaux levés dans l’achat de matériel Nvidia
L’investissement de Nvidia s’inscrit dans une levée de fonds plus large qui devrait dépasser les 100 milliards $ au total, valorisant OpenAI à 730 milliards $ hors nouveaux capitaux.
Le schéma retenu est nettement plus simple que le précédent. L’accord de septembre prévoyait que Nvidia investisse par tranches de 10 milliards $, sur plusieurs années, au fur et à mesure de la croissance des besoins en calcul d’OpenAI. En contrepartie, OpenAI s’engageait à acquérir des millions de puces Nvidia pour déployer jusqu’à 10 gigawatts de capacité de calcul. Un montage aux allures de pacte d’actionnaires croisés.
L’automne 2024 avait marqué une période de surenchère dans les alliances nouées par Sam Altman qui avait multiplié les accords complexes avec des fabricants de puces concurrents ( AMD et Broadcom) mais aussi avec Oracle. Ces montages, salués par les marchés sur le moment, avaient néanmoins inquiété certains analystes, y voyant les signes d’une bulle en formation dans le secteur de l’intelligence artificielle.
La mise au point des deux patrons
Ces inquiétudes n’ont pas tardé à se matérialiser. Depuis le début de l’année, les valeurs technologiques américaines ont perdu 17 % de leur valeur, fragilisant la crédibilité de ces engagements pluriannuels à très grande échelle. En janvier, le Wall Street Journal avait déjà signalé que l’accord à 100 milliards était « mis en suspens ».
Avant même que l’accord soit officialisé, des rumeurs de tensions entre les deux entreprises avaient commencé à circuler. Sam Altman et Jensen Huang ont tenu à les démentir publiquement. Le patron d’OpenAI a affirmé ce mois-ci sur X qu’Nvidia fabrique « les meilleures puces IA du monde » et qu’il espère rester un client majeur « très longtemps ». Le lendemain, le PDG de Nvidia balayait sur CNBC toute idée de « controverse », qualifiant ces rumeurs de « stupidités ».
600 milliards de dépenses d’ici 2030
L’investissement de Nvidia n’est qu’une composante d’une levée de fonds bien plus large. Selon le FT SoftBank s’apprête également à injecter 30 milliards $, tandis qu’Amazon pourrait contribuer jusqu’à 50 milliards dans le cadre d’un partenariat incluant l’utilisation des modèles d’OpenAI. Microsoft et MGX, le fonds souverain technologique d’Abou Dhabi, devraient aussi participer à hauteur de plusieurs milliards. Des réunions avec des fonds de capital-risque et d’autres investisseurs sont en cours pour compléter le tour.
Face à ces investisseurs, OpenAI tient un discours offensif affirmant prévoir de dépenser environ 600 milliards $ en ressources de calcul, auprès de Nvidia, Amazon et Microsoft notamment, d’ici à 2030, toujours selon le FT.
Symbole de la débrouillardise numérique, longtemps cantonné aux bancs d’écoles et aux passionnés de bidouille informatique, Raspberry Pi vit aujourd’hui un destin boursier que peu auraient imaginé. Son titre a failli doubler entre le 16 et le 18 février, avant de retomber pour clôturer en baisse d à 4,10 livres, soit une valorisation d’un peu plus de 800 millions de livres.
L’étincelle porte un nom : OpenClaw, présenté comme le premier « agent IA personnel » capable de fonctionner localement sur un ordinateur, sans recourir au cloud. Son créateur, Peter Steinberger, vient d’être recruté par OpenAI le week-end dernier, ce qui a encore amplifié l’engouement autour du projet.
L’effet OpenClaw
Or Raspberry Pi offre une porte d’entrée à prix cassé vers cet outil. Là où un Mac Mini coûte au minimum 600 $ aux États-Unis, un Raspberry Pi s’acquiert pour une centaine de dollars. Damindu Jayaweera, analyste chez Peel Hunt, résume l’équation dans une note à ses clients : le dispositif permet une fonctionnalité « suffisamment bonne à un coût marginal quasi nul », avec l’avantage décisif de « posséder la capacité de calcul plutôt que de la louer dans le cloud ».
Créé en 2012 par la fondation éponyme, le micro-ordinateur Raspberry Pi visait d’abord un objectif pédagogique : enseigner la programmation à bas coût. Proposé à moins de 50 €, il a conquis le monde de l’électronique embarquée, des makers et des chercheurs en robotique.
Mais avec l’explosion des projets d’intelligence artificielle générative, cet outil modeste est devenu une plateforme de prototypage bon marché, utilisée dans des milliers de projets mêlant vision par ordinateur, edge computing et automatisation locale.
La bourse de Londres s’est affolée
Lorsque Raspberry Pi Ltd a fait son entrée à la bourse de Londres en 2024, peu observateurs imaginaient qu’un simple fabricant de cartes Linux à faible consommation attirerait les foules. Pourtant, en quelques mois, le titre a gagné plus de 200 %, avant de connaître des phases de correction spectaculaires.
Sur les forums d’investisseurs, la marque est devenue un véritable « mème stock », comme GameStop ou AMC à l’époque de la pandémie. Les hashtags #PiAI et #TinyAI circulent sur X, Reddit et Discord, relayant des montages reliant Raspberry Pi à l’essor de l’IA embarquée. Les rumeurs vont bon train ; d’un partenariat hypothétique avec Nvidia à une intégration dans des systèmes robotiques « low cost ».
Cette frénésie illustre la façon dont la bulle IA engloutit tout l’écosystème technologique, jusqu’à ses acteurs les plus modestes. Les investisseurs cherchent fébrilement les « prochains Nvidia », quitte à surinterpréter le moindre lien avec l’intelligence artificielle.
Si la valorisation s’envole, le fabricant reste fidèle à sa philosophie d’origine : produire du matériel ouvert, abordable et responsable. Son PDG, Eben Upton, a récemment rappelé que « Raspberry Pi ne construira pas de GPU d’IA, mais continuera à rendre la technologie accessible à ceux qui innovent à petite échelle ».
Finies les fonctionnalités IA, le temps qu’on comprenne mieux ce qu’elles font des données.
Les membres du Parlement européen ont récemment reçu un e-mail interne à ce sujet. D’après ce qui en est rapporté, la DSI a mis en œuvre un blocage partiel. Il cible des fonctionnalités embarquées sur des appareils mobiles – tablettes et téléphones – utilisés à titre professionnel. Sur la liste figurent au moins les assistants virtuels, l’aide à l’écriture et à la synthèse de texte, ainsi que le résumé de pages web.
La DSI veut mesurer l’ampleur des transferts de données
Le département informatique a jugé ne pas être en mesure de garantir la sécurité des données, sachant que certaines de ces fonctionnalités IA exploitent des services cloud. Il estime plus sage de les couper le temps de clarifier l’ampleur des transferts.
Les applications tierces ne semblent pas concernées. Comme d’ailleurs la messagerie électronique, le calendrier « et les autres outils du quotidien ».
Les destinataires de l’e-mail sont encouragés à appliquer des « précautions similaires » sur leurs appareils personnels. Surtout ceux qu’ils utilisent pour le travail. Parmi les consignes : rester vigilant quant aux applications IA tierces et éviter de donner trop de permissions d’accès aux données.
On se souviendra que début 2023, le Parlement européen avait interdit l’usage TikTok. La Commission européenne et le Conseil de l’Europe avaient fait de même quelques semaines avant.
C’est une déclaration qui va faire frémir les grands éditeurs du logiciel déjà éprouvés par le désamour des analystes financiers. Dans une interview accordée à CNBC, Arthur Mensch, PDG de Mistral AI, affirme que plus de 50 % des logiciels d’entreprise actuels seraient, à terme, remplaçables par des applications bâties sur l’IA générative.
Dans le viseur ? Les outils de productivité, de workflows et les CRM légers : autrement dit, le cœur de métier de Salesforce, Workday ou ServiceNow.
La promesse du « replatforming »
Pour l’expliquer, Arthur Mensch utilise le concept de « replatforming « , soit un basculement en profondeur des architectures IT d’entreprise, qui délaisseraient les abonnements SaaS standardisés au profit d’applications sur mesure, construites directement sur des API de modèles d’IA. L’argument commercial est séduisant avec la réduction des coûts de licences, une meilleure adéquation aux processus internes, des délais de développement compressés à quelques jours là où il fallait autrefois compter en mois.
Le mouvement a déjà ses précurseurs. Klarna, la fintech suédoise, a ainsi tourné le dos à certaines briques Salesforce et Workday pour construire son propre stack dopé à l’IA. Un cas d’école qu’Arthur Mensch cite volontiers pour illustrer la faisabilité concrète de ce grand saut technologique.
Tout ne sera pas emporté dans la vague
Le patron de Mistral prend soin de nuancer. L’infrastructure de données – stockage, sauvegarde, sécurité, data platforms – n’est pas menacée. Elle sortira même renforcée de la transition, car c’est elle qui alimente les modèles.
Bipul Sinha, PDG de Rubrik, partage ce diagnostic : le « front office logiciel » sera remodelé, quand le « back office data » se consolidera comme couche critique et incontournable.
Ce basculement suppose toutefois des prérequis sérieux : des données propres et unifiées, une infrastructure cloud moderne, et des équipes capables de gouverner ces nouveaux agents. On est bien loin du confort du SaaS clé en main.
Une opportunité taillée pour Mistral
Evidemment, la sortie du patron de Mistral AI sert son business modèle. Il revendique déjà plus d’une centaine de clients grands comptes en quête de modernisation. Sa plateforme – modèles ouverts et propriétaires, assistants personnalisés, recherche d’entreprise – se positionne précisément comme l’outillage de ce « replatforming « .
La prédiction reste néanmoins contestée. Les sceptiques pointent l’inertie considérable des systèmes d’information existants, les contraintes réglementaires, et les nombreuses désillusions de projets d’IA en production. Pour beaucoup d’observateurs, l’IA s’intégrera d’abord comme une couche d’augmentation au-dessus des outils existants, plutôt que comme un bulldozer.
Mais le message envoyé aux éditeurs traditionnels est sans ambiguïté : se transformer en plateformes d’IA, ou risquer de devenir eux-mêmes les logiciels à remplacer.
Cette année, il sera difficile de se procurer des disques durs neufs chez Western Digital comme chez Seagate.
Les deux fabricants ont annoncé la couleur fin janvier, lors de la présentation de leurs résultats trimestriels. Le premier a déclaré que ses stocks pour 2026 étaient quasiment écoulés (« pretty much sold out »). Le deuxième a expliqué avoir « totalement alloué » sa capacité de production de disques durs pour serveurs – lesquels représentent 89 % de sa capacité vendue.
Western Digital dit merci à l’inférence
Western Digital affirme que ses 7 principaux clients ont des commandes fermes pour 2026. Trois d’entre eux ont des accords « robustes » pour 2027 ; un pour 2028.
La tendance est à signer les contrats plus en amont, et pour une durée plus longue. La conséquence d’une tension sur l’approvisionnement que Western Digital impute essentiellement à l’IA. En particulier à l’heure où la valeur bascule de « l’entraînement à l’inférence » : il faut stocker les données produites.
Sur le dernier trimestre fiscal, les 10 principaux clients ont représenté 76 % du chiffre d’affaires (contre 67 % un an plus tôt). En première ligne, les hyperscalers, sur lesquels Western Digital a d’ailleurs centré son organisation.
Sur le trimestre en question, le chiffre d’affaires a dépassé 3 milliards $ (dont 89 % grâce à l’activité datacenter), en progression annuelle de 25 %. La croissance est encore plus nette si on exclut l’activité de Sandisk, séparée en février 2025 (elle représentait alors environ un quart du CA).
D’autres indicateurs sont au vert : + 800 points de base pour la marge brute (45,7 %), + 680 pour la marge opérationnelle (30 %, notamment en conséquence d’une amélioration de la structure de coûts sur les nouvelles générations de disques durs) et + 62 % pour le résultat d’exploitation (908 M$). Le résultat net (1,84 Md$) est « gonflé » par un reliquat de participation dans Sandisk valorisé à 1,1 Md$ – il est question de l’exploiter pour réduire la dette. La capacité livrée a atteint 215 exaoctets (+ 22 % sur un an).
Les prévisions pour le trimestre encore font état d’une hausse de 40 % du CA (milieu de fourchette) et d’une marge brute de 47 à 48 %.
Seagate prévoit « un bon profit » sur les éventuels disques durs supplémentaires
Seagate aussi constate que ses clients – à commencer par les fournisseurs cloud – projettent leur demande à plus long terme. Ce qui « démontre qu’assurer l’approvisionnement reste leur priorité ».
Le fabricant n’exclut pas de produire un peu plus de disques. Mais il ne cache pas qu’il les commercialisera « avec un bon profit », dans un contexte de « demande exceptionnellement forte », en particulier pour les datacenters.
Les indicateurs financiers progressent dans des échelles comparables à celles de Western Digital. Sur le dernier trimestre fiscal de Seagate, le chiffre d’affaires a crû de 22 %, atteignant 2,83 Md$ (dont 79 % sur le segment datacenter). La marge brute a augmenté de 670 points de base (42,2 %) ; la marge opérationnelle, de 880 points (29,9 %) ; le résultat d’exploitation, de 72 % (843 M$).
La capacité livrée s’élève à 190 Eo (+ 26 % sur un an), dont 87 % pour le datacenter. La capacité moyenne des disques durs serveur livrés a augmenté de 22 %, avoisinant 23 To (26 To pour ceux vendus aux fournisseurs cloud).
Les prévisions pour le trimestre en cours situent le chiffre d’affaires autour de 2,9 Md$. Et la marge opérationnelle autour de 35 %. « La demande dictera le prix », a affirmé Seagate, qui estime que ses revenus et profits devraient croître de trimestre en trimestre.
La demande se reporte sur les SSD
Ces éléments confirment les signaux perçus au moins depuis l’automne dernier. Face aux difficultés d’approvisionnement en disques durs, une partie de la demande a basculé sur les SSD… dont les prix se sont envolés. A fortiori dans le contexte de la pénurie de puces mémoire.
Cette dernière découle essentiellement de la « course à l’IA » que se livrent les hyperscalers. Et de la demande en GPU qui en résultent. Pour faire tourner des modèles, ils ont besoin de mémoire à large bande passante. À mesure que la fabrication se réoriente sur ce type de DRAM, les autres modules se raréfient.
En parallèle, divers signaux accréditent l’hypothèse d’une future pénurie de CPU, notamment pour serveurs. Depuis quelques mois, Intel emploie, dans sa communication publique, le mot shortage. Qu’on peut traduire par « manque »… ou « pénurie ». Il ne le projette pas tant sur le marché dans son ensemble que sur sa propre incapacité à suivre la demande. Avant tout en processeurs Xeon (son activité datacenter vient de connaître une croissance séquentielle « sans précédent depuis plus d’une décennie »). Le phénomène est renforcé par un yield en dessous des attentes. Il l’est aussi par la difficulté des fabricants de processeurs à alterner entre les processus de gravure. Quant à TSMC, il a possiblement donné la priorité aux puces IA par rapport aux CPU. CPU sur lesquels l’IA elle-même tend à se déporter, vu la rareté et la cherté des GPU.
« L’administration fiscale ne vous demande jamais vos identifiants ou votre numéro de carte bancaire par message. »
Le ministère de l’Économie et des Finances le rappelle après des accès indésirables au fichier national des comptes bancaires (FICOBA).
Un acteur malveillant a usurpé les identifiants d’un fonctionnaire qui disposait d’accès dans le cadre de l’échange d’informations entre ministères. À partir de fin janvier 2026, il a pu consulter une partie du FICOBA. Lequel contient des données personnelles : coordonnées bancaires, identité du titulaire et, dans certains cas, numéro fiscal.
Bercy annonce 1,2 million de comptes concernés. Il promet d’informer individuellement leurs titulaires « dans les prochains jours ».
Une offre d’infrastructure pour l’IA, donnant accès à une stack privée avec une variété d’options de déploiement, du bare metal au PaaS managé. Telle était, dans les grandes lignes, la promesse de Mistral Compute à son lancement mi-2025.
Mistral AI a récemment annoncé un projet à 1,2 Md€ pour implanter, en Suède, un datacenter qui alimentera ce « cloud IA ». Il y ajoute une acquisition. La cible : Koyeb.
Cette entreprise française est née en 2019 à l’initiative de trois anciens de Scaleway*. Isai, Serena Capital et Kima Ventures, entre autres, y ont mis leurs billes. Elle présente aujourd’hui son offre comme une « plate-forme serverless pour les applications IA ». Techniquement, il s’agit d’un PaaS – d’ailleurs encore comparé à Render et à Heroku dans sa documentation.
Du H200 et du B200 depuis peu
À cette partie compute, Koyeb avait adjoint, en 2025, du PostgreSQL managé, en plus de faire la connexion avec diverses bases de données (dont MongoDB, investisseur et client). Il a surtout pris le virage de l’IA en multipliant les options GPU et autres puces accélératrices (les RTX Pro 6000, les H200 et les B200 sont arrivées début 2026). Tout en enrichissant son catalogue de composants déployables « en un clic » (n8n, Ollama, Open WebUI, Unsloth, Jupyter Notebook…) et en développant des intégrations avec les assistants de codage (serveur MCP, pack de skills).
Koyeb s’appuie sur quatre hébergeurs : Equinix, AWS, IBM Cloud et Scaleway. Son plan de contrôle se trouve en Belgique, sur GCP. L’offre se divise en quatre forfaits de base auxquels s’ajoute la consommation de ressources.
Avec le passage dans le giron de Mistral AI (16 employés seront du voyage), le forfait gratuit n’est plus proposé. La plate-forme reste commercialisée indépendamment, en attendant son intégration dans Mistral Compute.
When we first met the @MistralAI team and heard about their vision for Mistral Compute, we saw an incredible opportunity to accelerate the buildup of AI Infrastructure in Europe.
As part of Mistral AI, we’ll pursue our mission to make SOTA AI infrastructure accessible to all pic.twitter.com/HeM7cJhzqB
* Yann Léger, 35 ans, est président de Koyeb. La société a deux DG : Édouard Bonlieu (38 ans, directeur produit) et Bastien Chatelard (37 ans, directeur technique).
La souveraineté, c’est, entre autres, le « recours aux solutions fournies par des acteurs économiques français ou européens ».
La nouvelle circulaire sur les achats publics numériques établit ce lien, mais pas de manière si directe. D’une part, elle inclut la souveraineté parmi les critères structurants. De l’autre, elle présente la préférence française/européenne comme un des trois axes sur lesquels la souveraineté « s’appuie en particulier », au nom de la « maîtrise des technologies-clés ». Les deux autres axes étant l’immunité au droit européen à portée extraterritoriale et la capacité à substituer des composantes par des solutions alternative.
Une circulaire en attendant la révision du cadre européen
La souveraineté apparaît en deuxième position dans la circulaire – derrière la « performance métier » (réponse aux besoins) et devant la sécurité. Mais le texte n’institue ni hiérarchie, ni pondération entre critères. Il ne contient par ailleurs, toujours en matière de souveraineté, aucune obligation formelle, en dépit des axes mentionnés.
Parmi les éléments imposés sur les autres critères :
Prévoir des critères et clauses de sécurité à chaque fois que l’objet du marché le justifie et être vigilant quant à la pérennité du MCO et du MCS
Évaluer soigneusement le délai de disponibilité
Prendre en compte la réversibilité dans les contrats
Intégrer les capacités d’interopérabilité dans les facteurs de choix
Sur le volet adaptabilité/réversibilité, les achats d’outils fondés sur du code ouvert sont « encouragés » dans une optique de transparence de l’action publique. La circulaire recommande plus globalement de privilégier le recours à des produits open source « lorsque c’est pertinent ». Tant pour bénéficier des avancées communautaires que des possibilités accrues de détection et correction de failles de sécurité.
La doctrine de l’État doit encore s’aligner avec les textes européens en préparation sur la commande publique. Dont la révision – en cours – de la directive de 2014, qui vise elle aussi des objectifs d’autonomie stratégique.
« Au besoin », « si nécessaire », « selon les opportunités »… L’INESIA se laisse de la marge dans sa première feuille de route officielle.
Cet institut public pour l’évaluation et la sécurité de l’intelligence artificielle est né début 2025. Le SGDSN (Secrétariat général de la défense et de la sécurité nationale) et la DGE (Direction générale des entreprises) le pilotent. Il fédère l’Inria, le LNE (Laboratoire national de métrologie et d’essais), l’ANSSI et le PEReN (Pôle d’expertise de la régulation numérique).
Derrière l’INESIA, un réseau international
L’INESIA a une roadmap d’autant plus ouverte que son activité s’inscrit dans un réseau international d’AISI (AI Safety Institutes). Au dernier pointage, 9 pays en sont membres : Australie, Canada, Corée du Sud, États-Unis, France, Japon, Kenya, Royaume-Uni et Singapour. L’Union européenne l’est aussi, via son Bureau de l’IA.
Londres et Washington furent les premiers à officialiser la mise en place de leur AISI. C’était en novembre 2023. Aux États-Unis, la structure est hébergée par le NIST, rattaché au département du Commerce. Au Royaume-Uni, l’AISI a pris le relais de la Foundation Model Taskforce, établie en avril de la même année au sein du département gouvernemental pour la Science, l’Innovation et la Technologie – et rebaptisée Frontier AI Taskforce en septembre.
Une coopération formelle entre ces deux AISI avait émergé en avril 2024, « sur au moins une évaluation ». En toile de fond, la pression d’entreprises technologiques – au premier rang desquelles Meta – qui en appelaient à des règles et procédures d’évaluation communes avant d’ouvrir leurs modèles.
Entre-temps, le Japon avait créé son AISI (février 2024), au sein de l’Agence de promotion des technologies de l’information, rattachée au ministère de l’Économie. Le Canada avait suivi en avril. Puis la Corée du Sud et Singapour en mai, lors du Sommet de l’IA de Séoul.
Le réseau international des AISI avait été formalisé à la même occasion. Sa première réunion officielle eut lieu en novembre 2024. La déclaration de mission promettait une « complémentarité » et une « interopérabilité » entre les instituts, sans définir d’objectifs ou de mécanismes spécifiques à cet égard.
De la « sûreté » à la « science de la mesure » : un recentrage des activités
En décembre 2025, le réseau a officialisé le recentrage de ses travaux sur « la science de la mesure et de l’évaluation des IA ». Objectif : s’assurer de suivent le rythme des développements technologiques. Il a changé de nom en parallèle, devenant « International Network for Advanced AI Measurement ». Exit, donc l’aspect « safety ». Le Royaume-Uni a suivi le même chemin, son AI Safety Institute devenant AI Security Institute.
En amont du Sommet de l’IA qui se déroule actuellement en Inde, le réseau a publié une liste de principes d’évaluation sur lesquels ses membres se sont accordés. Parmi elles, dans les grandes lignes :
Objectifs clairs
Transparence et reproductibilité
Adaptation des paramètres au type d’évaluation
Processus d’assurance qualité intégré dans la conception et dans les résultats
Points-clés compréhensibles par des non-spécialistes
Résultats généralisables
Prise en compte de la diversité linguistique et culturelle
Des questions restent ouvertes. Entre autres sur l’intérêt d’utiliser des modèles de risque, sur les éléments à partager, sur la flexibilité des modèles de rapports d’évaluation et sur la gestion des systèmes agentiques.
Cybersécurité de l’IA, détection des contenus synthétiques… Des travaux à poursuivre
L’INESIA l’affirme : il avancera « selon le programme de travail du réseau ».
Sa feuille de route 2026-2027 s’articule en trois pôles thématiques – « Appui à la régulation », « Risques systémiques » et « Performance et Fiabilité » – auxquels s’ajoute un axe transversal.
En matière d’appui à la régulation, il s’agira notamment de fournir des outils aux autorités chargées de contrôler les systèmes d’IA à haut risque. L’INESIA compte aussi favoriser les échanges entre ses membres sur les sujets de normalisation, en soutien aux exigences de conformité de l’AI Act.
Ce pôle thématique englobe également la détection de contenus artificiels. Sur ce point, l’INESIA poursuivra les travaux du PEReN et de Viginum (service de vigilance et de protection contre les ingérences numériques étrangères, intégré au SGDSN). Ils se sont traduits par la publication, en source ouverte, de « métadétecteurs » de contenus synthétiques (texte, images). Et d’une bibliothèque pour évaluer ces détecteurs. En ligne de mire, une extension à l’audio et à la vidéo.
L’INESIA doit par ailleurs contribuer au développement de méthodes d’évaluation adaptées à la cybersécurité des systèmes d’IA et des produits de cybersécurité qui embarquent de l’IA. Dans ce domaine, il s’appuiera sur un projet que pilote l’ANSSI : SEPIA (Sécurité des produits intégrant de l’IA). Et impliquera l’AMIAD (Agence ministérielle pour l’IA de défense), ainsi que le réseau des CESTI (Centres d’évaluations de la sécurité des technologies de l’information).
Un premier socle d’expérimentations conjointes sur les risques systémiques
Les missions de l’INESIA touchent aussi au développement d’une expertise technique sur l’évaluation et l’atténuation des risques systémiques. En tête de liste, la manipulation de l’information, l’assistance aux attaques informatiques et le développement de NRBC (armes nucléaires, radiologiques, biologiques et chimiques).
De cette expertise devront résulter des protocoles d’évaluation et de détection exploitables à la fois par les développeurs et les régulateurs. Ainsi que des méthodes d’atténuation associées à des outils open source « si opportun ».
La caractérisation et l’atténuation des risques systémiques se portera également sur les systèmes agentiques. Là aussi, l’INESIA n’exclut pas de s’appuyer sur l’existant, que ce soit en termes de protocoles d’évaluation ou d’implémentations.
La poursuite des activités conduites dans le cadre du réseau des AISI vaut aussi sur ce pôle thématique. Le premier livrable avait été publié l’an dernier au Sommet de l’IA. Il rendait compte d’expérimentations conjointes. Menées principalement par Singapour, le Japon et le Royaume-Uni, elles ont testé, d’une part, la robustesse cyber de deux modèles. De l’autre, les réponses fournies en fonction de la langue de l’utilisateur. La France a fourni le jeu de données d’évaluation cyber et mesuré les risques de sécurité pour les interactions en langue française.
La perspective d’une infrastructure d’évaluation des systèmes d’IA
Le pôle « Performance et fiabilité » consiste essentiellement en l’organisation de défis sur des tâches d’évaluation spécifiques.
L’axe transverse inclut de l’animation scientifique et une mutualisation des travaux de veille des membres de l’INESIA. Il comprend surtout l’objectif principal de l’institut : constituer une infrastructure d’évaluation des systèmes d’IA à partir des cas d’usage qui auront été identifiés.
Cloudflare, comme bien d’autres, invite à privilégier ce format. Tant pour la lisibilité que pour les économies de tokens. Jusque-là, il proposait une API de conversion intégrée notamment dans son offre Workers AI*.
S’y ajoute désormais une fonctionnalité « automatisée » intégrée à la console. Dite « Markdown for Agents », elle est en bêta, sans surcoût, pour les abonnés Pro, Business et Enterprise – ainsi que sur SSL for SaaS.
Sur les zones qui utilisent des en-têtes de négociation de contenu, elle déclenche – au possible – une conversion des pages HTML à la volée lorsqu’une IA exprime sa préférence pour le format Markdown. Cela passe par l’en-tête Accept et le paramètre text/markdown. Un système qu’exploitent déjà des agents tel Claude Code.
La réponse inclut systématiquement des en-têtes x-markdown-tokens et Content-Signal. Le premier donne une estimation du poids du document Markdown en tokens. Le second signale, par défaut, que le contenu peut être utilisé pour l’entraînement d’IA comme pour l’input (inférence) et pour les résultats de recherche.
* Cette option gère la conversion d’autres formats que le HTML, ainsi que le résumé du contenu.
Ajoutez une cinquantaine de lignes de code à votre site… et il devient un serveur MCP.
À l’été 2025, un développeur, ancien d’Amazon, avait lancé un projet open source portant cette promesse : MCP-B (« MCP for the Browser »). L’idée était d’exploiter JavaScript pour exposer les fonctionnalités de pages web aux agents IA directement dans les navigateurs. Le protocole sous-jacent s’appelait WebMCP. Il reposait notamment sur un mécanisme de transport permettant la communication client-serveur au sein d’un même onglet.
Un premier brouillon de spécification W3C
L’initiative existe toujours. Mais elle est aujourd’hui emmenée par Google et Microsoft, sous la bannière WebMCP et sous l’aile du W3C. Le fondement demeure : exposer des « outils » sous forme de fonctions JavaScript, avec des schémas structurés et des descriptions en langage naturel.
Une première ébauche de spécification vient d’être publiée. Elle introduit une interface window.navigator.modelContext. Et avec elle, plusieurs méthodes pour gérer la liste des outils :
provideContext, pour l’actualiser intégralement
Idéal pour les applications monopage, où il peut être souhaitable de présenter des outils différents en fonction de l’état de l’UI.
registerTool et unregisterTool, respectivement pour ajouter et supprimer des outils sans réintialiser toute la liste
Les fonctions peuvent éventuellement être asynchrones. Il est possible d’en dédier la gestion à des workers.
Google propose depuis peu de tester WebMCP dans le programme EPP de Chrome, à travers deux API. Une déclarative pour permettre aux agents d’effectuer des actions standards définissables dans les formulaires HTML. Une impérative pour les interactions dynamiques nécessitant JavaScript.
La sécurité, pas encore au cœur des travaux
Sur le papier, WebMCP ouvre la voie à une codebase unique pour l’UI et l’intégration des agents. Tout en favorisant la confidentialité (traitement local) et la collaboration homme-machine (même interface, avec davantage de visibilité sur les actions).
L’arbitrage des accès est laissé au navigateur, qui peut appliquer ses propres politiques de sécurité. Cette intermédiation du flux de contrôle assure par ailleurs une rétrocompatibilité entre les versions de WebMCP.
Dans la pratique, il n’existe pas de mécanisme intégré pour synchroniser l’UI et l’état de l’application. Il n’en existe pas non plus pour découvrir les outils d’un site sans le visiter. Sur ce dernier point, le projet a exploré l’utilisation d’un manifeste que les agents récupéreraient en HTTP GET. Il l’a complété par un mécanisme d’exécution alternatif séparant la définition d’un outil et la fonction d’implémentation, en traitant les appels comme des événements.
La section sécurité/confidentialité de la spec est actuellement vide. Sur ce sujet, il y a, en l’état, bien plus de questions que de réponses. Des domaines d’attaque existants (CSRF, XSS…) s’appliqueraient-ils de façon spécifique à WebMCP ? Quels risques si on l’associe à d’autres fonctionnalités émergentes comme Web AI et la Prompt API ?…
C’est une guerre froide au cœur de la révolution de l’intelligence artificielle. D’un côté, Anthropic, fondée par d’anciens chercheurs d’OpenAI, qui se veut le champion de l’IA « responsable ». De l’autre, Pete Hegseth, secrétaire à la Défense de Donald Trump, déterminé à placer l’IA au cœur de toutes les opérations militaires américaines.
Entre les deux, des mois de négociations tendues, un contrat à 200 millions $, et désormais une menace de rupture fracassante, révélée par Axios.
L’ultimatum Hegseth
Selon le média en ligne, Pete Hegseth est « proche » de couper les liens commerciaux avec Anthropic et d’aller beaucoup plus loin : désigner la société comme un « risque pour la chaîne d’approvisionnement ». Une mesure radicale qui contraindrait tous les sous-traitants du Pentagone à choisir leur camp et à couper à leur tour toute relation avec Anthropic s’ils veulent conserver leurs contrats militaires. Ce type de sanction est habituellement réservé aux adversaires étrangers, comme la Chine ou la Russie.
Un haut responsable du Pentagone a confié à Axios, sans prendre de gants : « It will be an enormous pain in the ass to disentangle, and we are going to make sure they pay a price for forcing our hand like this. » Traduction libre : ce sera une immense pagaille à démêler, et le Pentagone compte bien faire payer à Anthropic le fait de l’avoir contraint à agir.
Le porte-parole en chef du Pentagone, Sean Parnell, a confirmé la mise sous revue de la relation : « Notre nation exige que ses partenaires soient prêts à aider nos soldats à gagner dans n’importe quel combat. En définitive, il s’agit de nos troupes et de la sécurité du peuple américain. »
La ligne rouge de Dario Amodei
Qu’est-ce qui a bien pu provoquer une telle escalade ? Le point de friction central est simple à énoncer, mais complexe à trancher : Anthropic refuse de laisser le Pentagone utiliser Claude « à toutes fins légales (all lawful purposes) ». La formule, apparemment anodine, recouvre en réalité deux lignes rouges qu’Anthropic refuse de franchir : la surveillance de masse des citoyens américains et les armes létales entièrement autonomes, c’est-à-dire des systèmes capables de tuer sans intervention humaine.
Mais selon une source proche du dossier citée par Axios, les hauts responsables de la défense étaient frustrés par Anthropic depuis un certain temps et ont « saisi l’opportunité de déclencher un affrontement public ». Autrement dit : la crise n’est pas totalement spontanée. Elle a été, au moins en partie, délibérément orchestrée par le Pentagone.
Pour justifier sa prudence, un responsable d’Anthropic a expliqué à Axios que les lois existantes « n’ont en aucune façon rattrapé ce que l’IA peut faire ». Le risque est concret : avec Claude, le Pentagone pourrait analyser en continu l’ensemble des publications sur les réseaux sociaux de chaque Américain, croisées avec des données publiques comme les listes électorales, les permis de port d’arme ou les autorisations de manifestation, pour établir automatiquement des profils de surveillance civile. Une perspective qui alarme bien au-delà d’Anthropic.
Claude, seul modèle dans les systèmes classifiés
L’ironie de la situation, c’est qu’Anthropic occupe aujourd’hui une position stratégique unique au sein de l’appareil militaire américain. Selon Axios, Claude est le seul modèle d’IA actuellement disponible dans les systèmes classifiés de l’armée américaine. Mieux : la technologie est profondément intégrée dans les opérations militaires, et huit des dix plus grandes entreprises américaines utilisent Claude dans leurs workflows. Rompre avec Anthropic serait, admet même un haut responsable de l’administration, « une complication » : « Les modèles concurrents sont tout simplement en retard sur les applications gouvernementales spécialisées. »
C’est précisément ce levier qu’a utilisé le Pentagone pour muscler ses négociations avec OpenAI, Google et xAI. Les trois ont accepté de lever leurs garde-fous pour les systèmes non classifiés. Le Pentagone se dit confiant qu’ils accepteront également le standard « all lawful use » pour les systèmes classifiés. Mais une source proche de ces discussions tempère : beaucoup de choses restent encore à décider avec ces trois acteurs. Et aucun n’est pour l’instant présent sur les réseaux classifiés — le domaine réservé d’Anthropic.
L’ombre de l’opération Maduro
Le bras de fer a pris une tournure plus dramatique encore avec la révélation que Claude avait été utilisé lors de l’opération militaire américaine ayant conduit à la capture du président vénézuélien Nicolás Maduro en janvier dernier, via le partenariat d’Anthropic avec la société de logiciels Palantir.
Selon Axios, un cadre d’Anthropic a pris contact avec un cadre de Palantir après coup pour s’enquérir de l’usage qui avait été fait de Claude lors du raid; Une démarche interprétée par les responsables du Pentagone comme une désapprobation implicite. « Cela a été soulevé d’une manière à suggérer qu’ils pourraient ne pas approuver l’utilisation de leur logiciel, car il y a eu des tirs réels lors de ce raid, des gens ont été blessés », a déclaré le responsable américain.
Anthropic a nié avoir « discuté de l’utilisation de Claude pour des opérations spécifiques avec le Département de la guerre », selon son porte-parole.
Face à l’escalade, Anthropic reste officiellement serein. « Nous avons des conversations productives, de bonne foi, avec le Département de la guerre pour continuer notre travail et traiter correctement ces problèmes nouveaux et complexes », a indiqué un de ses porte-parole. Et d’affirmer que l’entreprise restait « engagée dans l’utilisation de l’IA de pointe au soutien de la sécurité nationale américaine » soulignant au passage qu’Anthropic a été le premier à déployer son modèle sur des réseaux classifiés.
La souveraineté numérique n’est plus seulement un objectif stratégique optionnel pour les entreprises européennes, mais une exigence de conformité. Les différents cadres réglementaires en vigueur (NIS2, DORA, Cyber Resiliency Act au niveau européen, SecNumCloud au niveau local…) incluent des exigences précises en matière de transparence, de traçabilité et de réversibilité des infrastructures numériques.
Pour les intégrer à leur stratégie et se mettre en conformité, l’open source apparaît comme l’une des approches technologiques les plus viables pour les entreprises, car elle adresse trois piliers fondamentaux de la souveraineté numérique : offrir des solutions pour s’aligner avec la conformité réglementaire, faciliter la résilience opérationnelle et favoriser l’indépendance technologique. Le choix de l’open source, en plus d’aider à protéger les entreprises des risques réglementaires actuels, constitue une solution d’avenir sur le long terme.
Conformité réglementaire et obligations légales
L’Union européenne impose désormais un cadre réglementaire qui structure les choix technologiques des entreprises : NIS2 a pour objectif de minimiser les risques pour les SI des organisations essentielles (états, fournisseurs d’énergie ou télécoms) et impose une gestion auditable de la sécurité ; DORA, sa déclinaison pour les institutions financières, met en avant la résilience tant technique que opérationnelle et impose à ce titre de diversifier les fournisseurs tout en démontrant la réversibilité des briques de son SI ; enfin, le Cyber Resiliency Act (CRA) exige une cartographie exhaustive des composants logiciels, incluant leur cycle de vie et la mise à disposition des correctifs de sécurité.
Suivant leur secteur ou leurs enjeux en termes de souveraineté, les organisations et les entreprises peuvent être tenues de permettre un basculement rapide vers un autre prestataire de services en cas d’incident – ce qui nécessite d’éviter toute concentration chez un même fournisseur – ou encore à privilégier la portabilité des données et des applications dans un souci de réversibilité.
L’open source aide à répondre à ces obligations, car le code source ouvert permet l’auditabilité par des tiers indépendants; les licences encadrant l’usage de l’open source permettent également de continuer à utiliser les technologies indépendamment de l’existence d’un contrat de support avec des éditeurs ; enfin, la nature même du logiciel open source et la mise à disposition d’outils spécifiques facilitent grandement l’inventaire et l’audit des composants logiciels fréquemment exigés dans le cadre des réglementations.
Résilience opérationnelle et indépendance technologique
Les entreprises considérées comme critiques – notamment le secteur bancaire dans le contexte de DORA – ont l’obligation d’intégrer la notion de risques liés aux fournisseurs, et donc à éviter de concentrer leurs actifs informatiques auprès d’un seul opérateur de cloud, afin d’éviter de subir une interruption de service sur leurs activités.
Les exigences peuvent parfois être plus fortes, notamment pour les secteurs sensibles et critiques comme la défense, où les contraintes de sécurité et de souveraineté peuvent imposer de pouvoir continuer à fonctionner en cas de coupure totale d’internet, ce qui signifie que les services habituellement fournis par un cloud hyperscaler doivent pouvoir être répliqués en interne (mode “air-gapped”).
Une exigence que l’open source permet d’appliquer, car il fonctionne indépendamment d’une connexion internet ou d’une relation contractuelle avec un fournisseur, peut être déployé sur des datacenters souverains opérés par des prestataires européens, et offre une disponibilité technologique même si le fournisseur cesse ses activités.
Transparence, traçabilité et auditabilité
Sur le plan technologique, la souveraineté repose sur trois piliers : la transparence, la traçabilité et la réversibilité. Si les solutions propriétaires ne donnent pas l’accès au code source, limitant ainsi l’audit aux seuls comportements observables, les fournisseurs tout comme les utilisateurs ont beaucoup plus de difficultés à détecter les vulnérabilités cachées ; une opacité qui n’est pas acceptable pour les entreprises considérées comme critiques.
De son côté, l’open source permet l’auditabilité : le code est consultable par des tiers indépendants, les modifications sont documentées et traçables, et les vulnérabilités découvertes peuvent être corrigées sans devoir attendre la réaction du fournisseur.
Grâce à l’open source, les entreprises dont l’activité commerciale est centrée sur le logiciel peuvent également générer de façon automatique une cartographie complète de leurs composants applicatifs, une responsabilité qui leur incombe vis à vis de leurs clients et leurs utilisateurs selon les exigences du Cyber Resiliency Act, et ainsi identifier systématiquement les vulnérabilités.
Face aux risques de sécurité, aux exigences réglementaires toujours plus précises et strictes, et à la menace d’amendes prononcées par les autorités pour sanctionner les cas de non-conformité, les entreprises ont encore trop souvent tendance à choisir des solutions propriétaires. Si l’approche open source représente un territoire inconnu, notamment pour les organisations qui ne l’ont pas encore déployée et qui manquent de maturité en la matière, elle offre une véritable flexibilité.
L’Union européenne soutient d’ailleurs activement cette voie par des initiatives (notamment l’European Open Digital Ecosystem Strategy). Dans ce contexte, investir dans le logiciel open source, en particulier pour les organisations critiques et d’importance stratégique, permet de faire face aux risques réglementaires actuels et de demain.
*David Szegedi est Chief Architect – Field CTO Organisation chez Red Hat
EC2 gère désormais officiellement la virtualisation imbriquée.
L’option est activable dans toutes les régions commerciales AWS ; pour le moment sur trois familles d’instances en CPU Intel : les C8i, M8i et R8i. Elle donne le choix entre KVM et Hyper-V. Avec quelques limites, dont :
Pas d’hibernation des instances
Désactivation du mode VSM (Virtual Secure Mode) sur les instances Windows
Absence de gestion des instances Windows à plus de 192 CPU
La virtualisation imbriquée constitue une alternative économique au bare metal pour exécuter des micro-VM (par exemple avec la technologie Firecracker d’AWS, qui nécessite KVM). Ou des outils de développement et de test logiciel – WSL2, émulateurs, pipelines CI/CD manipulant des images de VM…
La virtualisation imbriquée, apparue sur Azure et Google Cloud en 2017
Intégrée dans Windows Server 2022, la virtualisation imbriquée avait été lancée sur Azure dès 2017. Elle ne gère officiellement qu’Hyper-V, sur les processeurs Intel avec extensions VT-x ainsi que sur les EPYC et Ryzen d’AMD. Entre autres limites, elle ne gère pas la mémoire dynamique (obligation d’éteindre la VM hôte pour ajuster sa mémoire).
Google aussi avait commencé à intégrer la virtualisation imbriquée dans son cloud public en 2017, à base de KVM. Initialement, c’était pour les VM Linux reposant sur des CPU Intel de génération Haswell et ultérieures. Elle est maintenant généralisée, mais toujours pas gérée sur les processeurs AMD ou Arm – et pas utilisable avec les VM E2 et H4D, ainsi que celles à mémoire optimisée.
Google donne une estimation de la surcharge qu’implique la virtualisation imbriquée. Il annonce une baisse potentielle de performance d’au moins 10 % pour les workloads liés au CPU. Et éventuellement davantage pour ceux orientés I/O.
AWS a potentiellement attendu que le hardware permette de minimiser ces pertes… et de garantir un niveau de sécurité conforme à ses standards.
OCI gère aussi la virtualisation imbriquée, à base de KVM.
Connexion
