Android et ChromeOS fusionnés, qu’est-ce que ça peut donner ?

Sous le nom de code Aluminium, Google a entrepris la démarche, avec les Chromebooks en première ligne. Pour le moment, il n’en a pas fourni d’aperçu… sinon dans un rapport de bug qui fut brièvement accessible au public. Assez pour qu’on en extraie deux captures d’écran vidéo. Elles laissent entrevoir une UI proche de ce qu’est actuellement Chrome OS. Avec toutefois quelques différences :

• Date et heure situées en haut à gauche (et non pas en bas à droite)
• Barre d’état localisée en haut à droite (et non pas, là aussi, en bas à droite)
• Icônes centrées sur la barre des tâches (comportement par défaut sur le mode bureau d’Android 16, vs alignement à gauche sur ChromeOS)
• Icônes Wi-Fi et batterie d’Android 16
• Apparence du pointeur de souris légèrement modifiée

Autre particularité : la mise à jour de Chrome se fait depuis l’application Play Store, sans fermeture du navigateur.

Le numéro de build inclut l’identifiant ALOS, probablement pour « Aluminium OS ». Une référence à Android 16 apparaît sur la page de version de Chrome.

Sans Chromebook Plus, point de salut ?

L’appareil est un Chromebook de 2022, qu’on ne trouve plus à la vente neuf : le HP Elite Dragonfly 13.5. Ce convertible tactile fut livré avec une sélection de processeurs Intel Core de 12^e génération et au minimum 8 Go de RAM. Soit exactement le palier de specs pour bénéficier du sceau Chromebook Plus.

De là à supposer qu’Aluminium soit réservé aux Chromebook Plus, il n’y a qu’un pas… que la rumeur a déjà franchi.

Pour ce qui est du hardware à venir, on a vu émerger, dans les dépôts Chromium, les références Sapphire et Ruby.
Sapphire pourrait être une tablette haut de gamme en MediaTek Kompanio Ultra, avec barre LED, stylet et capteur d’empreintes. Ruby, un laptop lui aussi haut de gamme, en Panther Lake (plate-forme des Core Ultra série 3).

Pour l’un et l’autre, il existe des commits signés d’adresses en @lcfc, attribuables à du personnel d’une filiale de Lenovo fabricante d’ordinateurs portables. Surtout, le logo de l’entreprise chinoise a été ajouté dans la configuration de leurs écrans de démarrage respectifs (ici pour Sapphire, là pour Ruby).

L’IA « au cœur du système » : Disco, un avant-goût potentiel

L’offre d’emploi qui avait permis de découvrir le nom de code Aluminium en novembre dernier ne fermait pas la porte à des appareils en entrée et milieu de gamme. Ni à des PC de bureau, en plus des clamshells, des détachables et des tablettes. On y apprenait par ailleurs que l’IA serait au cœur du système. L’expérimentation Disco, ouverte aux utilisateurs de 18 ans et plus aux États-Unis, pourrait en être une avant-première. Il s’agit d’un navigateur où Gemini crée des applications « GenTabs » ancrées sur le contenu des onglets ouverts.

Google a assuré qu’il n’abandonnerait en tout cas pas ChromeOS. Les fenêtres de support des appareils existants resteront en tout cas valables. Pour autant, on ne nous détaille pas quel sera le niveau de ce support.

Le rapprochement de ChromeOS et d’Android avait démarré par l’unification des piles Bluetooth en 2024. L’intégration du mode desktop sous sa forme actuelle s’est faite en parallèle. Fin 2024, le fenêtrage du bureau était arrivé sur les tablettes. Avec Android 16, Google a poussé des fonctionnalités de gestion des écrans externes.
Dans le même esprit de convergence, des travaux sont en cours sur une version de Chrome pour Android gérant les extensions.

Illustration principale générée par IA

The post Fusion Chrome OS-Android : Google sème des indices… potentiels appeared first on Silicon.fr.

Une dizaine d’applications connectées à Claude sont désormais « interactives ».

En toile de fond, la stabilisation de la spécification MCP Apps. Elle avait pris forme il y a quelques semaines, à la croisée du projet MCP-UI et de l’Apps SDK d’OpenAI, avec Anthropic dans la boucle. La promesse : standardiser la déclaration de ressources UI par les serveurs MCP.

La spec initiale se concentre sur le contenu text/html. Elle sépare les données des templates pour permettre aux applications hôtes de contrôler ces derniers avant exécution. Le rendu passe par un iframe. Les communications se font sur JSON-RPC et sont donc auditables.

Lors de la connexion à un serveur MCP, l’hôte signale s’il gère ou non ces composants UI. Dans la négative, les outils associés ne délivrent que du texte. Il communique aussi diverses préférences : locale et timezone, thème (clair ou sombre), mode d’affichage (inline, plein écran ou incrustation), plate-forme (mobile, web ou desktop)…

9 applications interactives pour commencer

Microsoft a intégré MCP Apps dans Visual Studio Code pour les bêtatesteurs. L’agent de codage Goose a aussi franchi le pas. Comme OpenAI, censé officialiser dans la semaine ses premières « applications interactives » fondées sur cette spécification.

En attendant, on peut en expérimenter une dizaine sur les versions payantes de Claude (Pro, Max, Team, Enterprise).

Amplitude

Mis à jour avec le support de MCP Apps, le connecteur pour Amplitude permet de créer des graphes et de les explorer (modification du format, affichage d’informations au survol, lien pour les ouvrir dans le navigateur).

Asana

Avec MCP Apps, le connecteur Asana peut créer des projets à partir de prompts et/ou de documents. Pour chaque tâche, les assignations et les dates d’échéance sont modifiables sur l’interface, où on peut aussi afficher une vue calendrier.

Box

MCP Apps permet au connecteur Box d’avoir un aperçu d’un fichiers et de poser des questions à son sujet. L’IA de Box peut prendre le relais de Claude pour résumer des documents et en extraire des actions ou des données structurées.

Canva

MCP Apps pour le connecteur Canva donne la possibilité de créer divers types de contenus (diagrammes, présentations, templates…), de les éditer, d’y faire des recherches et des les redimensionner/exporter.

Clay

En plus des visualisations interactives, MCP Apps apporte, entre autres possibilités, la génération et l’édition de texte, ainsi que la consultation de cartes de profils avec possibilité d’envoyer un message.

Figma

La création de diagrammes – y compris à partir de documents – arrive aussi dans l’application Figma. L’interface permet également d’implémenter un design en HTML/CSS et d’implémenter des composants en s’appuyant sur les standards d’une codebase.

Hex

MCP apporte diverses visualisations interactives (diagrammes, tables, étapes de raisonnement). Les réponses héritent du contexte et des contrôles d’accès de l’espace de travail Hex, nous précise-t-on.

Monday.com

Les visualisations apportées par MCP Apps permettent de créer des tableaux (boards), de mettre à jour le statut de certains éléments et d’obtenir des suggestions pour l’attribution de tâches.

Slack

Telle que présentée, l’intégration Claude-Slack à la mode MCP Apps permet de composer/éditer des messages et de les envoyer dans des canaux ou à des membres d’équipe.

Toutes ces fonctionnalités sont accessibles sur le web et la version de bureau. Pas sur l’app mobile Claude. Anthropic affirme qu’il les étendra « bientôt » à son produit Cowork.

Illustration principale générée par IA

The post Les premières applications MCP « interactives » arrivent appeared first on Silicon.fr.

Après Facebook et Instagram, voilà WhatsApp soumis au DSA.

Meta a 4 mois pour mettre le service en conformité. Pas dans son ensemble, néanmoins : uniquement sur les chaînes (la messagerie n’entre pas dans le champ du règlement).

Ces dernières ont dépassé le seuil des 45 millions d’utilisateurs uniques par mois. En conséquence de quoi WhatsApp a été désigné comme « très grande plate-forme en ligne » (VLOP, Very Large Online Platform). Il en rejoint 24 autres. Nous les listons ci-dessous, avec une synthèse des enquêtes éventuellement ouvertes contre elles.

AliExpress

Au dernier pointage, la plate-forme compte 104,3 millions d’utilisateurs uniques par mois dans l’UE. Elle a fait partie des 17 premières VLOP désignées. C’était en avril 2023, quelques jours avant l’entrée en application du DSA.

En mars 2024, la Commission européenne avait ouvert une enquête. Elle s’intéressait notamment aux systèmes de lutte contre la mise en vente de produits illégaux, généralement contrefaits. Le système de gestion des réclamations était aussi dans son collimateur, comme la transparence des systèmes de publicité et de recommandation. La procédure englobait également la mise à disposition de données publiques pour la recherche.

Alibaba a fini par prendre des engagements, que Bruxelles a acceptés en juin 2025. Le groupe chinois a promis, entre autres, de renforcer le processus de vérification des vendeurs et des membres de son programme d’affiliation. Il s’est aussi engagé à permettre aux utilisateurs – y compris ceux non connectés – de faire appel de décisions de modération de contenu par l’intermédiaire d’un lien intégré dans lesdites décisions. Et à signaler clairement toutes les publicités, y compris là aussi pour les utilisateurs non connectés. Tout en proposant une API dédiée à l’accès aux données publiques, assortie de la fourniture de jeux de données personnalisés sur demande.

Amazon

Sa marketplace fait partie des VLOP désignées en avril 2023.
Elle compte 181,3 millions d’utilisateurs uniques par mois dans l’UE.

App Store

Le magasin d’applications d’Apple est aussi VLOP depuis avril 2023.
Il réunit 123 millions d’utilisateurs uniques par mois dans l’UE.

Bing

Le moteur de recherche de Microsoft est VLOP depuis avril 2023. Il réunit 119 millions d’utilisateurs uniques par mois dans l’UE.

Booking.com

La Commission européenne ne fournit pas de chiffres précis sur la fréquentation du site de réservation touristique, VLOP depuis avril 2023.

Facebook et Instagram

Pour l’un et l’autre, désignés en avril 2023, on nous annonce 259 millions d’utilisateurs uniques par mois dans l’UE.

La Commission européenne a ouvert deux enquêtes coup sur coup, en avril et mai 2024. La première englobe la gestion des publicités trompeuses et de la désinformation. Elle touche aussi au mécanisme de signalement des contenus, jugé insuffisamment intuitif. Ainsi qu’aux obligations de transparence concernant les contenus à caractère politique. Sur ce point, Bruxelles s’est indigné de l’abandon, par Meta, de l’outil CrowdTangle, qui favorisait la en veille période électorale.

L’enquête lancée en mai 2024 porte sur la protection des mineurs. La Commission européenne a des inquiétudes sur la vérification d’âge et sur les risques de comportements d’addiction.

Google Maps, Play, Search et Shopping

Toutes ces plates-formes sont des VLOP depuis avril 2023.
Maps : 275,6 millions d’utilisateurs uniques par mois dans l’UE.
Play : 284,6 millions.
Search : 364 millions.
Shopping : 70,8 millions.

LinkedIn

Désigné VLOP en avril 2023, le réseau social fédère 45,2 millions d’utilisateurs actifs connectés par mois dans l’UE. S’y ajoutent 132,5 millions de visites par mois en mode déconnecté.

Pinterest

Le réseau social fait partie des VLOP depuis avril 2023. Il annonce 124 millions d’utilisateurs uniques par mois dans l’UE.

Pornhub, XNXX et XVideos

Pas de chiffres de fréquentation précis pour Pornhub, VLOP depuis décembre 2023. Ni pour XNXX, qui l’est depuis juillet 2024. XVideos, désigné en décembre 2023, en est à 160 millions d’utilisateurs uniques par mois dans l’UE.

En mai 2025, la Commission européenne a ouvert une procédure ciblant également Stripchat (qui n’est plus VLOP aujourd’hui), XNXX et XVideos. Elle s’inquiète notamment de l’absence de dispositifs efficaces de vérification d’âge. Et, plus globalement, de mesures appropriées pour garantir la sûreté, la sécurité et la vie privée des mineurs.

Shein

La plate-forme e-commerce est VLOP depuis avril 2024. Elle fédère 108 millions d’utilisateurs uniques par mois dans l’UE.

Snapchat

Snapchat est de la première vague des VLOP, désignées en avril 2023. Son compteur en est à 102 millions d’utilisateurs uniques par mois dans l’UE.

Temu

La plate-forme e-commerce est VLOP depuis mai 2024. Elle compte 75 millions d’utilisateurs uniques par mois dans l’UE.

En octobre 2024, la Commission européenne a ouvert une enquête. Elle s’intéresse aux mesures prises contre la vente de produits non conformes dans l’UE et aux risques de comportements addictifs que présentent les programmes de récompenses. La procédure touche aussi aux systèmes de recommandation (entre autres, la nécessité de donner au moins une option non fondée sur le profilage) et à la fourniture de données en accès public pour la recherche.

TikTok

Désigné VLOP en avril 2023, TikTok compte 135,9 millions d’utilisateurs actifs par mois dans l’UE.

Plusieurs enquêtes ont été menées à son encontre. La première, ouverte en février 2024, a examiné les risques de comportements d’addiction (et avec eux, les dispositifs de vérificaton d’âge), les paramètres de vie privée par défaut pour les mineurs, la transparence publicitaire et l’open data.

Une autre enquête est en cours depuis décembre 2024. Le sujet : l’intégrité de la plate-forme en périodes électorales. En toile de fond, les présidentielles roumaines… et la forte suspicion d’interférences étrangères. Bruxelles se focalise notamment, dans ce cadre, sur les risques de manipulation des systèmes de recommandation.

Les deux parties sont parvenues, en décembre 2025, à une conciliation partielle sur la transparence publicitaire. TikTok a accepté de publier, dans un répertoire spécifique et sous 24 heures maximum, les annonces telles qu’elles apparaissent dans les flux, tout en précisant les critères de ciblage sélectionnés par les annonceurs et en fournissant divers filtres de recherche.

Sur la partie open data, qui intéresse aussi la Commission européenne, on en reste aux conclusions préliminaires de cette dernière. Elle estime que les procédures de demande d’accès sont lourdes. Et qu’elles résultent souvent en l’obtention de données partielles ou non fiables.

Entre les deux enquêtes, une autre procédure fut lancée en avril 2024. Le contexte : l’arrivée de TikTok Lite en France et en Espagne. Au nom du risque d’addiction, Bruxelles avait demandé le retrait du programme « Task and Reward » récompensant les utilisateurs pour effectuer certaines tâches. TikTok avait quasi immédiatement accepté de le suspendre. D’abord pour 60 jours. Un engagement devenu permanent au mois d’août.

WhatsApp

Petit nouveau sur la liste des VLOP (désigné le 26 janvier 2026). Ses chaînes comptent 51,7 millions d’utilisateurs uniques par mois dans l’UE.

Wikipédia

L’encyclopédie est VLOP depuis avril 2023. Elle réunit 151,1 millions d’utilisateurs actifs par mois dans l’UE.

X

Le réseau social et VLOP depuis avril 2023. Il en est à 115,1 millions d’utilisateurs uniques par mois dans l’UE.

La Commission européenne avait ouvert une enquête en décembre 2023. La lutte contre la dissémination de contenu illégal était dans son viseur, ainsi que le mécanisme de signalement associé. Le système de modération Community Notes l’était aussi. Comme la « coche bleue », jugée trompeuse : tout le monde pouvant l’obtenir en prenant un forfait payant, elle compromettrait la capacité à distinguer l’authenticité des comptes.

Bruxelles considérait aussi que X n’était pas dans les clous en matière de transparence publicitaire. Ni d’open data (interdiction des accès indépendants dans les conditions d’utilisation, tarification onéreuse de l’API).

La sanction est finalement tombée en décembre 2025 : 120 M€, pour des manquements sur ces différents aspects. Une enquête vient par d’ailleurs d’être ouverte sur l’IA Grok et sur les systèmes de recommandation.

YouTube

La plate-forme est VLOP depuis avril 2023. Elle compte 416,6 millions d’utilisateurs mensuels actifs dans l’UE.

Zalando

La plate-forme e-commerce est VLOP depuis avril 2023. Elle compte 74,5 millions d’utilisateurs uniques actifs par mois sur la partie retail (26,8 millions sur les contenus tiers).

Illustration © Bartek – Adobe Stock

The post DSA : après bientôt 3 ans, où en est la mise en application appeared first on Silicon.fr.

Dix ans déjà que « La bonne alternance » a émergé chez France Travail, dans la lignée de « La bonne boîte ».

Ces services font chacun intervenir un algorithme qui analyse les recrutements passés pour prédire ceux à venir. Ils ont fait partie des premiers cas d’usage de l’IA au sein de l’établissement public.

Depuis, deux programmes se sont organisés. D’abord, « Intelligence emploi », mis en œuvre en 2019 et 2022. Il a permis la constitution d’une plate-forme technologique sur base open source et d’une équipe au sein de la DSI. Ensuite, « Data IA », engagé depuis 2024. Il est motivé par l’IA générative, le renforcement du pilotage de la donnée et l’élargissement des missions de France Travail avec la loi plein emploi.

La Cour des comptes s’est intéressée au déploiement de l’IA par l’agence d’emploi publique sur la période 2017-2025. Voici quelques éléments tirés de son rapport.

87 cas d’usage

La Cour des comptes a relevé 87 cas d’usage déployés ou testés sur la période en question.

Parmi eux, 27 sont utilisés à grande échelle. 16 sont en test. 25 sont en cours de conception. 17 ont été abandonnés au stade du test ou après déploiement. Plusieurs sont les variantes d’un même outil. Notamment de ChatFT (chatbot généraliste).

L’essentiel de ces 87 cas d’usage – 61, dont 26 déployés – ont pour seuls bénéficiaires directs les agents de France Travail. L’illustration, selon la Cour des comptes, d’une volonté de développer d’abord une culture de l’IA en interne.

Les principaux cas d’usage dont les demandeurs d’emploi sont bénéficiaires directs visent à :

• Faciliter le remplissage du profil dans l’espace personnel
• Suggérer des métiers en fonction des compétences
• Lire automatiquement les documents téléchargés et extraire des informations

Ces cas d’usage présentent des résultats plutôt positifs. Parmi eux, l’analyse automatique des CV, qu’utilisent 75 % des demandeurs d’emploi.

Des 6 cas d’usage bénéficiant directement aux entreprises, 3 ont été abandonnés en 2017. L’un touchait à l’analyse prédictive de l’attractivité des offres d’emploi.
Les deux seuls actuellement déployés consistent à :

• Prévoir le délai de pourvoi d’une offre à 30 jours (peu utilisé)
• Présenter, sur un site public, des données générales sur l’emploi à l’échelon territorial (peu de valeur ajoutée dans les projets de recrutement)

9 % d’utilisateurs quotidiens de l’IA

L’effectif de France Travail avoisine 54 000 agents.

Sur 34 945 ayant répondu à une enquête interne menée en mars 2025, 9 % ont déclaré utiliser chaque jour l’IA mise à leur disposition. 18 % ont affirmé s’en servir plusieurs fois par semaine. 39 % ont dit ne pas y recourir.

ChatFT est accessible à tout le personnel depuis novembre 2024. À fin juin 2025, 37 600 agents l’avaient utilisé au moins une fois. Ce mois-là, 17 400 s’en étaient servis au moins trois journées distinctes.
Sur la fin de la phase de test, une étude interne sur environ 700 conversations avait révélé que l’usage principal consistait à formuler des réponses à des e-mails (51 % des conversations), loin devant la recherche d’informations générales (10 %).

108 millions d’euros de coûts

En retenant une estimation basse des coûts de développement, France Travail a mobilisé 93 M€ pour l’IA entre 2017 et 2024.

Période	Montant des dépenses
Avant 2018	3 M€
Intelligence emploi 2018-2022	64 M€
Data IA 2019-2022	9 M€
Data IA 2023-2024	16 M€
Autres dépenses non rattachées	1 M€

Les « autres dépenses non rattachées » correspondent aux budgets pour une application « Reconnaissance des émotions ».

On en arrive aux 93 M€ sus évoqués. En y ajoutant le budget prévisionnel de 15 M€ pour 2025, le coût total du développement de l’IA sur la période considérée s’élève à 108 M€. La Cour des comptes compare ce montant aux 66 M€ que le ministère de l’Économie et des Finances a engagés sur 2015-2023 et explique la différence par un plus grand nombre de relations directes avec les usagers.

120 M€ de gains d’efficience

On atteint ce montant en retenant une estimation haute des gains réalisés depuis 2017. Cela inclut trois gains directs attendus :

• Cas d’usage du programme « Intelligence emploi » : 205 ETP par an à partir de 2023
• Service « Upload simplifié » (reconnaissance de documents) : 350 ETP/an à partir de 2024
• Service MatchFT (préqualification de profils par échange de SMS avec une IA) : 100 ETP en 2025

Soit, sur l’ensemble de la période étudiée, un total de 1415 ETP, que la Cour des comptes estime valorisables à 85 M€.

Les gains « indirects » liés à une charge de travail évitée par les conseillers seraient de 375 ETP. D’un côté, pour l’analyse automatique de CV, 27 ETP e 2023 et 48 par an à partir de 2024. De l’autre, 84 ETP par an à partir de 2023 pour le service « Lego », qui identifie les offres d’emploi illégales et empêche leur diffusion. L’ensemble serait valorisable à 23 M€.

Il faut y ajouter les coûts évités du fait du remplacement de logiciels par certains cas d’usage. En première ligne, la reconnaissance automatique de documents avec « Upload simplifié ».

14,4 M€ de dépassement pour « Intelligence emploi »

Le budget prévu pour ce programme était de 49,5 M€.
Le budget exécuté s’est élevé à 63,9 M€ (29 M€ de masse salariale, 33,9 M€ de dépenses de fonctionnement et 1 M€ de dépenses d’investissement).

France Travail justifie ce dépassement par l’allongement de 10 mois de la durée du projet, essentiellement en raison :

• De la crise Covid
• Du développement de cas d’usage initialement non prévus (Lego, analyse des CV, aide à la recherche d’info sur les sites de Pôle emploi…)
• De la comptabilisation de dépenses liées aux capacités techniques communes à d’autres développements de solutions d’IA non intégrées au programme

Dès janvier 2020, donc avant l’épisode Covid, la Dinum avait alerté quant au montant de dépenses de prestations intellectuelles envisagé (22,7 M€). Elle l’avait jugé « surdimensionné pour une démarche exploratoire dont le retour sur investissement n’est pas garanti ».
Les prestations extérieurs ont, en définitive, coûté 33,9 M€.

La Dinum avait aussi anticipé, à raison, le potentiel incertain d’appropriation, par les conseillers, du cas d’usage « Gestion automatisée des mails et assistant virtuel ». Pôle emploi avait refusé d’y mettre un terme, au motif que des gains d’efficience et de satisfaction pourraient être constatés à court terme.

205 ETP gagnés avec « Intelligence emploi »

En 2018, Pôle emploi prévoyait un gain annuel de 164 ETP à l’horizon 2022 (87 grâce à « Contact via mail » et 77 par l’utilisation d’un chatbot).

Le gain a finalement atteint 205 ETP (107 grâce à « Contact via mail », le reste via Lego). Objectif dépassé, donc ; mais qui, a posteriori, apparaît peu ambitieux. La Cour des comptes en veut pour preuve le ROI significativement plus faible que pour une sélection de projets IA du ministère de l’Économie et des Finances.

Ces gains ne se sont pas traduits par une réduction nette des effectifs, mais par des « redéploiements intra-postes ».

De 18 à 4 mois pour déployer un cas d’usage

Avant le premier programme, il fallait 18 mois pour déployer un cas d’usage. Il en faut maintenant 4. En parallèle, le recours à des intervenants extérieurs est passé de 60 % des prestations globales sur 2019-2020 à 40 % sur 2021-2022.

Des six cas d’usage principaux réalisés sur la durée du programme « Intelligence emploi », trois étaient consacrés essentiellement à faciliter le travail des conseillers. Un déséquilibre entre les publics ciblés qui allait s’accentuer avec le programme « Data IA ».

Avant le lancement du programme « Intelligence emploi », France Travail avait détecté plus de 80 cas d’usage potentiels. 90 % se sont révélés inadéquats. Essentiellement du fait de difficultés au niveau de la data ou de l’intégration au SI, ou à cause d’une surestimation de la valeur.

30 minutes de moins pour remplir un profil

Les cas d’usage mis en place lors du premier programme ont entraîné des gains d’efficience assez limités. Quelques minutes par jour pour la gestion des e-mails, par exemple.

La valeur ajoutée réside surtout dans le service rendu. L’analyse automatique du CV réduit ainsi de 45 à 15 minutes le temps nécessaire au demandeur d’emploi pour remplir son profil de compétences.

779 ETP à libérer sur 2025-2027

Le travail de transformation engagé pour répondre à l’élargissement des missions de France Travail est formalisé dans un programme, prolongé dans un plan d’efficience sur 3 ans (2025-2027).

Aux dernières nouvelles, ce plan vise à dégager un gain équivalant au minimum à 3192 ETP. L’IA doit y concourir à hauteur de 779 ETP.
En avril 2025, il était question de 822, dont 78 % provenant de trois cas d’usage :

• Aide rédactionnelle via ChatFT (226 ETP)
• Préparation d’entretiens via Néo, moteur de recherche d’infos dans les dossiers des demandeurs d’emploi (241 ETP)
• Alimentation plus facile de la GED via Panoptes (157 ETP), dont « Upload simplifié » est la déclinaison sur le site Internet de France Travail (en agence, cela s’appelle « Scanner », la version proposée aux services de l’État se nommant « Scanlab »)

Une analyse éthique pour 18 cas d’usage

Le respect des engagements pris dans la charte éthique publiée en avril 2022 n’est pas garanti, note la Cour des comptes. Seuls 18 cas d’usage ont fait l’objet d’un début d’analyse éthique formalisé.

Le recours à l’IA s’inscrit dans un contexte de numérisation de la relation avec France Travail. Entre 2017 et 2024, le nombre de visites annuelles en agence a chuté de 42 %. Tandis que le volume d’e-mails a augmenté de 72 %.

Illustration générée par IA

The post 10 chiffres sur le déploiement de l’IA chez France Travail appeared first on Silicon.fr.

Microsoft, désormais au niveau de Google et d’Amazon sur les puces IA ?

La deuxième génération des accélérateurs Maia – tout juste annoncée – s’accompagne en tout cas d’un comparatif de performance. Cela n’avait pas été le cas pour la première, présentée fin 2023.

D’une génération à l’autre, on est passé de 5 à 3 nm, de la HBM2 à la HBM3… et d’une approche généraliste à un message centré sur l’inférence, avant tout à faible précision (4 et 8 bits).

Vu ce focus, on aurait pu penser que Microsoft ferait la comparaison avec les puces Inferentia2 d’Amazon. Mais celles-ci ont, il est vrai, un certain âge (introduites fin 2022). L’accélérateur Maia 200 est donc opposé aux Trainium3 (dévoilées en décembre 2025 ; dédiées à l’entraînement). Ainsi qu’à la dernière génération de TPU de Google (Ironwood, introduite en avril 2025).

	Maia 200	Trainium3 (specs disponibles ici)	TPUv7x (specs disponibles ici)
Mémoire HBM	216 Go	144 Go	192 Go
Bande passante HBM	7 To/s	4,9 To/s	7,4 To/s
Bande passante scale-up	2,8 To/s	2,56 To/s	1,2 To/s
BF16	1268 Tflops	671 Tflops	2307 Tflops
FP8	5072 Tops	2517 Tops	4614 Tops
FP4	10 145 Tops	2517 Tops	n/a

Microsoft annonce une enveloppe thermique de 750 W pour Maia 200, tandis que les puces d’Amazon et de Google fonctionnent à environ 1000 W. Au final, il prétend que son accélérateur est « 40 % moins cher que les autres »…

Les puces Maia, pas exposées directement au client

Maia 100 n’est pas exposé directement aux clients finaux : il porte des services comme Copilot et Azure OpenAI, ainsi que des workloads HPC. La même stratégie se dessine avec les accélérateurs Maia 200. La division Microsoft Superintelligence en sera la première utilisatrice. On nous parle aussi d’une exploitation dans le cadre de Microsoft 365 et d’Azure AI Foundry. Mais pas d’une mise à disposition dans l’offre de compute.

Physiquement parlant, les premières puces seront localisées dans la région US Central (Iowa). La région US West 3 (Arizona) suivra. Elles sont déployables en configuration à refroidissement liquide ou à air.

De Maia 100 à Maia 200, on retrouve une couche réseau basée sur Ethernet, avec un protocole type RoCE. Une topologie intranœud est mise en place, connectant des groupes de 4 puces « en direct », sans switch. Un cluster peut accueillir au maximum 6144 puces.

La couche mémoire évolue, avec un partitionnement de la SRAM (272 Mo par puce) en deux niveaux logiques, chacun ayant son sous-système DMA. Le premier (TSRAM) alimente les tiles (plus petite unité autonome de calcul et de stockage local, embarquant moteurs matriciel et vectoriel) ; le deuxième (CSRAM), les clusters.
Cette approche favorise diverses stratégies de data management en fonction des noyaux. Les kernels d’attention, par exemple, peuvent épingler des tenseurs en TSRAM pour minimiser l’overhead. Tandis que les pipelines cross-kernel peuvent exploiter la CSRAM comme tampon pour le chaînage à haut débit.

Illustrations © Microsoft

The post Puces IA : face à Amazon et Google, Microsoft se replace appeared first on Silicon.fr.

Les services natifs du cloud provider pour les métriques et les alertes, OpenTelemetry pour les traces.

Un article paru il y a quelques semaines dans l’International Journal of Computer Techniques propose cette stratégie d’observabilité pour le serverless. On le doit à une ancienne de Microsoft, qui fut notamment directrice scientifique au sein de l’activité Azure AI.

Son analyse porte plus précisément sur un sous-ensemble du calcul sans serveur : le FaaS (functions as a service). Dans ces environnements, les ressources sont généralement éphémères, distribuées et à haute concurrence. Les points d’intégration peuvent par ailleurs être nombreux… et inclure des services managés « en boîte noire » qui exigent de l’instrumentation.

Natif, full OpenTelemetry ou hybride ?

Les conclusions n’ont pas valeur de vérité absolue : l’expérimentation a été effectuée à petite échelle – de sorte qu’on peut la reproduire en local ou dans un compte de test – et tous les paramètres étaient sous contrôle.

Le cas d’usage exploré reposait sur des traces synthétiques de type e-commerce. Le workflow – présenté uniquement à haut niveau – comprenait 4 étapes : passerelle API -> fonction A -> fonction B (appel HTTP à une API externe non spécifiée) -> DynamoDB. Il s’agissait d’y adosser diverses stratégies d’observabilité, en mesurant 4 indicateurs :

• Allongement médian de la durée d’exécution des fonctions
• Proportion de traces complètes
• Délai médian pour découvrir la cause racine sur des simulations d’erreurs à partir de la télémétrie disponible
• Coût par million de requêtes (base : tarification publique de X-Ray et CloudWatch + estimations pour un back-end Jaeger autohébergé)

La première stratégie évaluée reposait intégralement sur les outils d’observabilité d’AWS (CloudWatch pour métriques et alertes, X-Ray pour les traces). La deuxième était full OpenTelemetry. La troisième, hybride, associait CloudWatch (télémétrie pilotée par les SLO) et OpenTelemetry (back-end Jaeger/Tempo ou managé), avec un échantillonnage adaptatif.

	Overhead	Traces complètes	MTRC	Coût
Natif	9 – 12 ms	82 %	18 min	6,20 $
OTel	18 – 25 ms	95 %	9 min	4,80 $
Hybride	11 – 15 ms	93 %	10 min	5,10 $

 

La méthode native est celle qui entraîne le moins de surcharge. Mais elle produit le plus de traces incomplètes, sauf à ajouter de l’instrumentation. Et s’il simplifie l’exploitation, X-Ray implique un certain verrouillage (limites de portabilité et de conservation de la télémétrie).
En centralisant sur OpenTelemetry, les traces sont plus « riches ». Mais l’overhead augmente. Comme les coûts, en plus des compétences nécessaires.
L’approche hybride orientée SLO (on ne collecte en haute fidélité que pour les éléments critiques de ce point de vue) n’est ni la plus « légère », ni la plus précise, ni la plus économique. Mais elle constitue un compromis.

À consulter en complément, une étude universitaire qui pointe – et chiffre – divers facteurs techniques et contractuels générateurs de surcoûts sur les principales plates-formes serverless.

Illustration © Aryan – Adobe Stock

The post Serverless : faut-il privilégier l’observabilité native ? appeared first on Silicon.fr.

Capturer sélectivement des paquets réseau sans tout transmettre vers l’espace utilisateur : telle fut la première raison d’être de BPF (Berkeley Packet Filter). C’était dans les années 90, sur les systèmes UNIX-BSD. La technologie permettait, à l’appui d’un jeu d’instructions virtuel RISC-like et d’un interpréteur, d’injecter des programmes dans le noyau pour en étendre les capacités à l’exécution.

Les premiers usages au-delà du réseau avaient émergé au début des années 2010. À commencer par l’outil seccomp-bpf, servant à filtrer les syscalls. Les travaux de modernisation lancés dans ce contexte aboutirent à eBPF (extended BPF). Cette nouvelle incarnation fut intégrée à Linux en 2014. À la clé, entre autres, des instructions et des structures de données supplémentaires, davantage de registres, un compilateur JIT et des points d’attache additionnels pour les programmes. La promesse demeurait : apporter de l’extensibilité au kernel sans passer par des modules ou changer le code source.

Sur ce socle, des projets sont d’abord nés dans le domaine du traçage. Des couches d’abstraction ont pris corps en parallèle, comme la boîte à outils BCC (BPF Compiler Collection), associant front-end Python/Lua et back-end C pour faciliter l’écriture de programmes. Tandis que le compilateur fut intégré dans LLVM.

Cilium, une couche d’abstraction devenue référente

Facebook fut l’un des premiers à industrialiser eBPF, avec un équilibreur de charge L4 pour ses datacenters : Katran, aujourd’hui open source. La possibilité d’attacher eBPF très en amont sur le chemin de réception – en l’occurrence, au niveau du piote NIC – permet d’effectuer le load balancing à la source, sans NAT (paquets traités avant interception par le noyau).

Google a quant à lui contribué à faire avancer les choses dans le champ de la sécurité. Dans le cadre de l’extension de son offre Kubernetes vers les infrastructures sur site (sous les marques Anthos et GDC), il a donné naissance au framework BPF LSM. Celui-ci adapte le principe des modules de sécurité à l’écosystème eBPF, en permettant d’utiliser les mêmes hooks (points d’attache) que SELinux.

Pour rendre la technologie plus accessible, le projet Cilium fut lancé en 2016. Avec, pour le porter, une société aujourd’hui référente dans l’écosystème eBPF : Isovalent, qui appartient à Cisco depuis 2024. Il assurait initialement la mise en réseau de conteneurs. Dans ces environnements où les adresses IP tournent beaucoup, ses tables de hachage en ont fait une alternative plus « élastique » à Iptables/netfilter.

Et vint l’observabilité

Après la mise en réseau vint l’observabilité, favorisée par la multiplicité des points d’attache exploitables. En plus de ceux prédéfinis (appels système, entrées/sorties de fonctions, tracepoints…), on peut utiliser des sondes noyau (kprobes) et utilisateur (uprobes). Mais aussi des fonctions arbitraires, en les étiquetant. L’exécution est orientée événements : les programmes eBPF se déclenchent lorsque le noyau ou une application passe par ces hooks.

Ce modèle ouvre la porte à la collecte de données sans instrumentation (pas de modification du code des applications ou des agents d’observabilité) et consommant potentiellement moins de ressources système. Cilium l’implémente via une plate-forme intégrée : Hubble, qui cartographie les services et donne une visibilité des flux grâce aux identités de workloads. Il y a ajouté une brique pour sécuriser l’exécution : Tetragon, qui met en œuvre des politiques de contrôle d’accès sur les fonctions noyau, les syscalls, etc.

S’économiser l’instrumentation… dans certains cas

Datadog aussi a un usage assez transversal d’eBPF : analyse de performance des applications (Universal Service Monitoring), visibilité sur le trafic réseau (Cloud Network Monitoring), détection des menaces (Workload Protection), supervision d’intégrité des fichiers (application de règles pour limiter les envois)…

« Sans eBPF, on aurait probablement besoin de consentir un effort de modification de la configuration des agents », fait remarquer Pejman Tabassomi, Field CTO EMEA, concernant le monitoring réseau. Sur la partie APM (surveillance des performances des applications), l’approche traditionnelle d’instrumentation « permet d’aller loin dans les détails, mais c’est contraignant parce qu’on est dépendant d’un framework ou d’un runtime », explique l’intéressé. eBPF « permet d’arriver à un objectif par tout à fait identique mais comparable, sans avoir à recourir à une librairie », déclare-t-il.

Pas tout à fait identique, donc. « Il y a une sorte de compromis entre le niveau d’introspection et la facilité de mise en œuvre », résume Pejman Tabassomi. Il l’illustre par un cas d’observation des temps de réponse entre deux services. Pour mesurer le nombre et la durée des appels, eBPF peut suffire. En revanche, s’il y a besoin de comprendre les lignes de code qui peuvent poser problème, les appels de fonctions et de méthodes qui sont en cause, « à ce moment-là, on va plutôt faire de l’APM. » Non sans surveiller des initiatives communautaires tel le profiler de code en cours de développement dans l’univers OpenTelemetry.

Chez Splunk, « l’histoire avec eBPF a démarré lors du rachat de Flowmill » en 2020, fait savoir Stéphane Estevez, EMEA Market Advisor pour l’observabilité. Cet outil de monitoring réseau a alimenté la stratégie « full OpenTelemetry » de l’éditeur. « Être chez Cisco nous a donné l’accès à Isovalent pour l’observabilité et la sécurité », précise Stéphane Estevez. Tetragon, par exemple, alimente des dashboards TCP et DNS dans la composante Network Explorer.

Chez IBM, Instana est le principal terrain d’implémentation d’eBPF. La technologie présente une utilité particulière pour la détection des crashs système, selon Éric Cattoir, membre d’une équipe au niveau EMEA qui couvre les sujets regroupés sous la bannière IT Automation. En écho à Pejman Tabassomi, il déclare, sur le volet instrumentation : « Ça rend la vie plus facile pour notre produit : on a moins à suivre l’évolution des technologies (nouvelles versions de langages, de compilateurs…) ». Instana a toujours eu une approche d’auto-instrumentation, rappelle-t-il, « mais c’est difficile à mettre en place pour certains langages : eBPF facilite cela en permettant d’obtenir de manière standard des informations de profilage ».

On trouve aussi de l’eBPF dans le produit SevOne (observabilité réseau), pour la couche overlay de Kubernetes.

Des programmes composables et portables

Avec les années, les programmes eBPF sont devenus composables : ils peuvent appeler des fonctions (forme de gosub)… et d’autres programmes en remplaçant le contexte d’exécution (goto). Un mécanisme CO-RE (« Compile Once, Run Everywhere ») a été instauré à partir d’un format spécifique de métadonnées (BTF, BPF Type Format) pour procurer une portabilité entre les versions du kernel. Et des passerelles se sont créées avec l’espace utilisateur, à travers une des structures de données que gère eBPF : les magasins clé-valeur dits maps. Des outils sont par ailleurs apparus pour exécuter des programmes en userspace (rBPF, uBPF, bpftime). Ils ont accompagné l’émergence de langages de jaut niveau tel bpftrace – inspiré de DTrace, avec LLVM en back-end et BCC pour interagir avec le sous-système eBPF.

Sauf à activer le mode sans privilèges avec accès limité au noyau, les processus qui chargent des programmes eBPF doivent s’exécuter en mode admin ou avoir la capacité CAP_BPF. La mémoire est protégée en lecture seule et les accès sont masqués pour limiter les effets secondaires observables de l’exécution spéculative. Si une entité tente de modifier le programme, le noyau plante.

Le code passe dans tous les cas par un vérificateur statique. Lequel contrôle, en particulier, que le programme est d’une complexité finie, qu’il se terminera bien et qu’il n’entraînera pas de deadlock ni d’accès mémoire hors limites. Dans la pratique, l’outil reste sujet aux faux positifs. Jusqu’à Linux 5.3, les boucles étaient d’ailleurs proscrites dans les programmes eBPF, le vérificateur étant jugé capable de les évaluer efficacement.

Une fondation où convergent les Big Tech

Depuis 2021, il existe une Fondation eBPF. Google, Meta et Isovalent en sont membres platine. CrowdStrike – qui exploite la techno pour détecter les mouvements de données non autorisés – l’est aussi. Ainsi que Huawei, Intel, Microsoft – qui développe eBPF pour Windows tout en l’exploitant en remplacement du fournisseur d’événements AuditD dans Defender pour Linux – et Red Hat. Datadog est membre argent. Netflix, qui avait pris très tôt le train eBPF, l’est aussi.

Conjointement aux initiatives du marché, cette fondation soutient des projets académiques, à l’instar d’eBPF Governor, alternative aux sous-systèmes de gestion de l’alimentation sur Linux. Des recherches sont également en cours sur la vérification formelle des programmes, en complément à la réécriture du vérificateur en Rust.

Plusieurs projets devenus référents dans l’écosystème eBPF sont maintenant sous l’aile de la CNCF (Cloud Native Computing Foundation). Outre Cilium, on peut citer Falco (détection de menaces), confié en 2018 par Sysdig. Dans le champ de l’observabilité, il y a Pixie, que New Relic a reversé à la CNCF en 2021, quelques mois après en avoir fait l’acquisition (il en propose aujourd’hui une version SaaS).

Pièce maîtresse du réseau mondial de Cloudflare, eBPF a aussi investi les clouds hyperscale. À l’instar de Google sur GKE, AWS s’en sert sur son Kubernetes managé (Caretta pour la cartographie réseau, Hubble pour l’analyse du trafic). Il l’a aussi intégré dans CloudWatch (composante Network Flow Monitor) et de GuardDuty (EC2 Runtime Monitoring). Microsoft l’exploite pour contourner Iptables sur les data planes de offre AKS (Azure Kubernetes Services).

Pour le monitoring, Dynatrace a choisi de s’appuyer sur Inspektor Gadget, framework CNCF qui encapsule les programmes eBPF sous forme d’images OCI. Il le met à contribution dans un module de découverte de services.

Chez Elastic, eBPF alimente le profilage continu, ainsi que la protection de Linux et de Kubernetes dans le cadre de l’offre SIEM/XDR.

Illustration principale © kwanchaift – Adobe Stock

The post Observabilité : eBPF, un atout dans la main des DevOps appeared first on Silicon.fr.

La nouvelle a quelques mois, mais voilà qu’elle dépasse l’île de Guam : Microsoft a fourni des clés BitLocker au FBI.

Sur place, 7 individus sont inculpés de fraude organisée à l’assurance-chômage dans le cadre d’un programme fédéral instauré lors de la crise Covid.

En octobre 2025, la presse locale s’était fait l’écho d’un mandat de la justice. Le destinataire : Microsoft, qui s’y est conformé… en communiquant les clés de récupération BitLocker pour trois ordinateurs saisis 6 mois plus tôt.

Le déchiffrement semble avoir fonctionné, apprend-on désormais. En tout cas à en croire les propos rapportés d’une des avocates de la défense. Le procureur lui aurait fourni des éléments comprenant des informations issues de l’ordinateur de sa cliente et incluant des références aux clés en question.

Les serveurs de Microsoft, option de sauvegarde « par défaut »

Microsoft a confirmé avoir accédé à cette demande – et précisé qu’il en reçoit une vingtaine de ce genre par an. Son message, en substance : utilisateurs, vous êtes les mieux placés pour décider comment vous gérez vos clés BitLocker.

La sauvegarde sur les serveurs de Microsoft n’est effectivement pas la seule option… même si elle est généreusement mise en avant sur les éditions « grand public » de Windows. Il est également possible de la sauvegarder dans un fichier texte, de la créer sur un média amovible (format .bek) ou simplement de choisir de l’imprimer. En environnement d’entreprise, on peut la stocker dans Active Directory.

Cette clé – un mot de passe de 48 chiffres, répartis en 8 groupes – est le dernier étage d’un mécanisme de chiffrement en enveloppe. Elle protège une autre clé (dité « clé principale de volume ») qui en protège elle-même une autre (dite « clé de chiffrement de volume »). L’une et l’autre demeurent sur le lecteur chiffré.

Depuis Windows 11 24H2, BitLocker s’active automatiquement pour qui utilise l’expérience de paramétrage par défaut du système. Si un compte Microsoft est disponible, y sauvegarder la clé de récupération BitLocker est la première option proposée. Elle n’apparaît pas si on opte pour un compte local – ce qui est néanmoins de plus en plus difficile, en tout cas sur les éditions Famille et Pro.

Illustration générée par IA

The post Microsoft confirme avoir transmis des clés BitLocker aux forces de l’ordre appeared first on Silicon.fr.

« Et puis il y a eu ce post LinkedIn qui a attiré l’attention d’Octave Klaba […] »

Jérôme Masurel, président de 50 Partners, contextualise ainsi l’acquisition de SEALD par OVHcloud. L’accélérateur connaît bien cette entreprise francilienne : il avait participé, en 2018, à sa levée d’amorçage.

Depuis lors, SEALD est resté sur le même créneau : le chiffrement de bout en bout. Sa technologie se décline en logiciels bureautiques et sous forme de SDK. Elle avait obtenu le visa CSPN en décembre 2020 (trois ans de validité).

Les premières briques de SEALD posées en Californie

Créé en 2016, SEALD s’est d’abord appelé STASH. Ce pendant quelques semaines, le temps qu’une agence marketing française portant le même nom lui adresse une mise en demeure.

Les quatre fondateurs étaient alors dans leur vingtaine. Trois d’entre eux avaient convergé à UC Berkeley, dans le cadre d’un programme en partenariat avec l’École polytechnique. Les jalons de SEALD furent posés sur place par Timothée Rebours (32 ans aujourd’hui), qui prendrait la présidence de l’entreprise. Aux côtés de trois directeurs généraux : Mehdi Kouen (33 ans, CTO), Maxime Huber (34 ans, CPO) et Dan Lousqui (37 ans, directeur de la sécurité informatique).

Quelques semaines avant l’obtention de la CSPN, SEALD avait fait partie des finalistes du prix de l’innovation des Assises de la sécurité. Plus récemment (2023), il a figuré dans les lauréats de l’appel à projets « Suites bureautiques collaboratives cloud », en consortium avec Linagora, WaToo, Wimi et XWiki. Entre-temps, il y avait eu une alerte : une continuation d’activité malgré la perte de la moitié du capital.

Framatome et Stellantis comme références

La déclinaison « bureautique » de SEALD est basée sur une application desktop (Windows, Mac, Linux) qui permet de chiffrer des fichiers, d’assurer leur suivi et de contrôler les accès. La technologie couvre aussi les e-mails et leurs pièces jointes, en éventuelle conjonction avec les moteurs de DLP.

La version « bibliothèque logicielle » permet d’intégrer du chiffrement côté client dans des apps web, mobiles et de bureau. La promesse par rapport aux bibliothèques open source : supprimer les difficultés de gestion des clés, des appareils multiples, des droits d’accès sur les données, etc. Des SDK sont disponibles pour JavaScript, Android, iOS et Flutter.

Framatome y a fait appel pour sécuriser une application interne collectant des données sensibles. L’opérateur télécoms belge Proximus, pour une application de téléconsultation médicale (Doktr). Recare, pour son outil de bed management (orchestration des transferts interhospitaliers). Lovehoney Group, pour protéger une messagerie de couple basée sur CometChat. Stellantis et Lefebvre Sarrut font aussi partie des clients.

Le ticket d’entrée est à 250 €/mois pour 5000 utilisateurs protégés. Au-delà, SEALD facture un supplément dégressif par utilisateur (0,04 €jusqu’à 20 000 ; 0,03 € jusqu’à 50 000 ; 0,02 € au-delà).

« Ensemble, nous allors démocratiser [la] sécurité dans les services [collaboratifs] (et pas que…) », commente Octave Klaba.

Illustration générée par IA

The post SEALD absorbé par OVHcloud : ce qu’apporte cette acquisition appeared first on Silicon.fr.

Ceci n’est pas un concurrent du programme CVE de MITRE, mais un complément.

En façade, telle a toujours été la position du CERT luxembourgeois depuis l’annonce du projet GCVE (Global CVE Allocation System). C’était en avril 2025. On nous promettait alors le développement d’un système décentralisé : les autorités de numérotation allaient pouvoir attribuer des identifiants et gérer la divulgation sans passer par un organisme central.

Neuf mois plus tard, l’initiative, cofinancée par l’UE, a effectivement pris corps… dans une certaine mesure. Une base de vulnérabilités vient notamment d’y être adossée. Plusieurs bonnes pratiques ont par ailleurs été publiées pour assurer le fonctionnement du système. Et une vingtaine d’entités, de natures assez diverses, ont été désignées autorités de numérotation.

Autorité	Identifiant
CIRCL (CERT luxembourgeois)	1
EUVD	2
Red Hat	3
Swisscom	79
VulDB	100
Ericsson	101
EAGC	102
Schutzwerk	103
AboutCode Europe	104
OPC Foundation	105
SK-CERT	106
Thales PSIRT	107
Securin	108
Concinnity Risks	109
Vulnetix	110
Mogwai Labs	111
CERT-QC	112
VulnCheck	404
DFN-CERT Services	680
Austin Hackers Anonymous	1337
Pentagrid	2342
Cisco Talos	31337

Cette diversité reflète les critères d’admission : en théorie, quiconque a une politique de divulgation publique de vulnérabilités peut prétendre devenir autorité de numérotation.

L’identifiant 1 a été réservé au CIRCL, porteur du projet. Le 2, à la base EUVD (EU Vulnerability Database), opérée par l’ENISA (Agence européenne pour la sécurité). L’identifiant 0 est quant à lui dédié au mapping des CVE.

GCVE, contre les aléas géopolitiques

L’annuaire des autorités de numérotation est publié au format JSON. Ces dernières ont deux options pour communiquer les données sur les vulnérabilités. D’un côté, un endpoint statique fournissant un fichier. De l’autre, une API REST avec des points de terminaison recent et latest, éventuellement assortis de filtres (sources et nombre de résultats). Le projet GCVE n’impose pas de format, mais recommande de s’aligner sur CVE Record.

Les bonnes pratiques publiées concernent la vérification de l’intégrité du fichier d’annuaire, la divulgation coordonnée de vulnérabilités et l’attribution d’identifiants. Trois autres sont à l’état de brouillon. Elles abordent les formats de déclaration des vulnérabilités et le protocole de publication décentralisée.

Un outil open source sert d’implémentation de référence pour ces bonnes pratiques : vulnerability-lookup… qu’on doit aussi au CIRCL. C’est sur lui que repose la base GCVE*. L’EUVD aussi, d’ailleurs.

Pas d’opposition frontale avec MITRE, donc, mais un enjeu de résilience non dissimulé. Il s’agit à la fois d’éviter le « point de défaillance unique »… et de moins dépendre des aléas géopolitiques. En toile de fond, l’avenir un temps très incertain du programme CVE. L’an dernier, le gouvernement américain l’avait refinancé in extremis.

* Base hébergée dans les datacenters du CERT luxembourgeois.

Illustration générée par IA

The post L’Europe tient son programme CVE décentralisé appeared first on Silicon.fr.

Pour faire tomber la barrière de la langue, il y a OpenAI.

ServiceNow présente les choses ainsi. En toile de fond, un accord sur 3 ans qui le verra, entre autres, exploiter GPT-5.2 pour développer des technologies de compréhension et de synthèse vocales. Au bout, nous promet-on, il y aura des agents multilingues qui fonctionneront sans passer par la modalité texte.

Les modèles GPT seront également mis à contribution sur la partie computer use (« agent utilisateur d’ordinateur »). En ligne de mire, notamment, l’orchestration des outils bureautiques et l’automatisation des systèmes hérités (ServiceNow évoque les mainframes).

Les modèles OpenAI, déjà bien ancrés dans ServiceNow

Dans la pratique, ServiceNow a déjà établi de multiples passerelles avec OpenAI.

Sur sa plate-forme, les fonctionnalités conversationnelles, génératives et agentiques sont majoritairement regroupées sous la marque Now Assist.

Les produits Now Assist s’installent comme des plug-in. Ils donnent accès à trois types de composantes : des skills génératives, des agents et des flux agentiques. Ces briques ciblent généralement un usage au sein d’une application. Par exemple, pour les skills, la génération de documentation sur la partie gestion du travail collaboratif. Pour les workflows agentiques, l’obtention de conseils de gouvernance dans la CMDB.

Certains flux agentiques opèrent au niveau de la plate-forme : enquêter sur des incidents, créer des tâches à partir d’images, proposer des réponses à un sondage…

Par défaut, Now Assist repose sur un service interne, qui associe des modèles maison spécialisés* et des modèles ouverts « sélectionnés, configurés ou améliorés par ServiceNow, sa communauté ou ses partenaires ».

Pour certaines skills, il est possible de basculer sur des fournisseurs alternatifs : Google (Gemini 2.5 Flash et 2.5 Pro), Anthropic (Claude 3.7 Sonnet sur Amazon Bedrock)… ou OpenAI (GPT-4.1 et GPT-4.1-mini sur Azure OpenAI).

Avec toute application est installé un « contrôleur d’IA générative ». Il permet d’interfacer des LLM externes par API, au niveau des concepteurs de flux, d’agents et de scripts. En standard, cela donne quatre possibilités :

• Générer du texte à propos d’un topic ServiceNow
• Résumer un topic
• Créer un use case et un prompt associé
• Faire de l’analyse de sentiment

Ce contrôleur fait la passerelle avec OpenAI et Azure OpenAI. Ainsi qu’avec Google, Aleph Alpha, Amazon (Bedrock) et IBM (watsonx). Il inclut aussi un connecteur générique.

* En tête de liste, un modèle 12B à usage général (création de flux, modération, écriture de code…) fondé sur Mistral Nemo Instruct.

Illustration générée par IA

The post ServiceNow et OpenAI embrayent sur le vocal… et le legacy appeared first on Silicon.fr.

Terraform est efficace pour gérer de l’infrastructure ; pas des workflows data.

À force de s’en servir en conjonction avec Snowflake, Accor en est arrivé à ce constat. Entre absence de validation locale, gestion manuelle des dépendances et nécessité d’outils externes pour contrôler la qualité des données, la mise à l’échelle et la collaboration s’en trouvaient limitées.

Le groupe hôtelier a fini par basculer vers une stack associant dbt Core pour les transformations et un Airflow managé (Astro) pour l’orchestration, avec la bibliothèque Cosmos – proposée par le fournisseur d’Astro – pour faire la passerelle. Cette dernière déduit automatiquement le lignage des tâches et déclenche les contrôles de data quality immédiatement après la matérialisation d’une table ou d’une vue lors d’un dbt run.

Une déploiement Airflow « léger » qui rafraîchit uniquement les DAG

Le passage au tandem dbt-Airflow a impliqué un changement des pratiques de data engineering. Entre autres, passer d’étapes séparées pour la création et le peuplement de tables à une action unique utilisant exclusivement la commande SQL SELECT.

Chaque équipe possède son repo et déploie indépendamment. Tout part d’un template géré avec Copier. L’ensemble est réconcilié dans le projet principal, poussé vers Astro. Les scripts CI/CD sont centralisés dans un dépôt étiqueté.

Par défaut, Astro reconstruit l’image Docker à chaque modification. Le déploiement : dure alors environ 5 minutes. Il existe toutefois un mode « léger » dont Accor a tiré parti. Celui-ci synchronise simplement les DAG (graphes acycliques dirigés, représentant les tâches à exécuter) et évite ainsi un rebuild.

Pour exploiter ce mécanisme, le pipeline CI/CD place chaque projet dbt dans le répertoire dags/ du projet principal. Le déploiement dure alors environ 1 minute. Il couvre 95 % des exécutions. L’autre option reste utilisée pour l’upgrade des dépendances et les changements sur l’image de base (i.e. modification des fichiers include, requirements.txt ou Dockerfile).

Imbriquer chaque projet dbt dans le répertoire dags/ permet à Cosmo de générer automatiquement les tâches Airflow correspondantes. Et de construire des DAG sans intervention manuelle. Les tests peuvent se faire en local, avec dbt run et dbt test.

Accor vise un pipeline pour chaque équipe

Avec une telle configuration multilocataire, les cycles d’upgrade d’Airflow peuvent ralentir. Il n’y a, par ailleurs, pas moyen de prioriser des jobs. Et l’existence d’un seul chemin CI/CD vers la prod pose la question du point unique de défaillance, en plus des risques de conflit de noms et de bibliothèques.

Accor réfléchit donc à donner à chaque équipe son pipeline et à découpler la propriété du code. Tout en permettant l’hibernation des workflows à faible trafic.

Illustration générée par IA

The post Accor a écarté Terraform de sa stack data engineering appeared first on Silicon.fr.

Au tour d’Argo et de cert-manager de dépasser les 50 % de taux d’usage en production.

C’est tout du moins ce que donne à voir le dernier sondage annuel de la CNCF (Cloud Native Computing Foundation). L’échantillon comprend 628 répondants, interrogés en septembre 2025.

L’édition précédente avait recueilli 750 réponses à l’automne 2024. Six projets CNCF dépassaient alors les 50 % de taux d’usage en production : Kubernetes, Helm, etcd, Prometheus, CoreDNS et containerd.

Les 10 projets de l’écosystème Kubernetes les plus utilisés en production

34 projets ont désormais atteint le plus haut stade de maturité à la CNCF. Le sondage s’en est tenu au 30 premiers à y être arrivés (de Kubernetes en mars 2018 à CubeFS en décembre 2024).

	Taux d’usage en prod 2024	Taux d’usage en prod 2025	Évolution	Nature du projet	Sandbox	Incubation	Gradué
Kubernetes	85 %	87 %	+ 2 pts	Orchestrateur de conteneurs		Mars 2016	Mars 2018
Helm	77 %	81 %	+ 4 pts	Gestionnaire de paquets		Juin 2018	Mai 2020
etcd	70 %	81 %	+ 11 pts	Magasin clé-valeur distribué		Décembre 2018	Novembre 2020
Prometheus	73 %	77 %	+ 4 pts	Monitoring		Mai 2016	Août 2018
CoreDNS	59 %	76 %	+ 17 pts	Serveur DNS	Février 2017	Février 2018	Janvier 2019
containerd	62 %	74 %	+ 12 pts	Runtime		Mars 2017	Février 2019
cert-manager	48 %	58 %	+ 10 pts	Gestionnaire de certificats TLS	Novembre 2020	Septembre 2022	Septembre 2024
Argo	43 %	52 %	+ 9 pts	Déploiement GitOps		Mars 2020	Décembre 2022
Fluentd	39 %	41 %	+ 2 pts	Journalisation		Novembre 2016	Avril 2019
Istio	31 %	36 %	+ 5 pts	Maillage de services		Septembre 2022	Juillet 2023

Les projets classés 11 à 20

	Taux d’usage en prod 2024	Taux d’usage en prod 2025	Évolution	Nature du projet	Sandbox	Incubation	Gradué
CRI-O	25 %	34%	+ 9 pts	Interface de runtime		Avril 2019	Juillet 2023
Envoy	22 %	33 %	+ 11 pts	Proxy		Septembre 2017	Novembre 2018
Harbor	20 %	32 %	+ 12 pts	Registre	Juillet 2018	Novembre 2018	Juin 2020
Cilium	20 %	29 %	+ 9 pts	Mise en réseau		Octobre 2021	Octobre 2023
Open Policy Agent	18 %	25 %	+ 7 pts	Moteur de politiques	Mars 2018	Avril 2019	Janvier 2021
Flux	17 %	23 %	+ 6 pts	Déploiement GitOps	Juillet 2019	Mars 2021	Novembre 2022
Jaeger	14 %	22 %	+ 8 pts	Traçage distribué		Septembre 2017	Octobre 2019
KEDA	16 %	22 %	+ 6 %	Autoscaler piloté par les événements	Mars 2020	Août 2021	Août 2023
Falco	8 %	13 %	+ 5 pts	Détection d’intrusions	Octobre 2018	Janvier 2020	Février 2024
Rook	6 %	12 %	+ 6 pts	Orchestration du stockage	Janvier 2018	Septembre 2018	Octobre 2020

Les projets classés 21 à 30

	Taux d’usage en prod 2024	Taux d’usage en prod 2025	Évolution	Nature du projet	Sandbox	Incubation	Gradué
Linkerd	8 %	11 %	+ 3 pts	Maillage de services	Janvier 2017	Avril 2018	Juillet 2021
CloudEvents	5 %	9 %	+ 4 pts	Spécification pour la description de données d’événements	Mai 2018	Octobre 2019	Janvier 2024
KubeEdge	6 %	5 %	– 1 pt	Kubernetes pour l’edge	Mars 2019	Septembre 2020	Septembre 2024
SPIFFE	5 %	5 %	=	Framework de gestion des identités	Mars 2018	Octobre 2019	Janvier 2024
Dapr	3 %	5 %	+ 2 pts	Runtime piloté par les événements		Novembre 2021	Octobre 2024
CubeFS	2 %	3 %	+ 1 pt	Stockage distribué	Décembre 2019	Juin 2022	Décembre 2024
SPIRE	3 %	3 %	=	Mise en œuvre de référence de SPIFFE	Mars 2018	Juin 2020	Août 2022
Vitess	1 %	3 %	+ 2 pts	Base de données compatible MySQL		Février 2018	Novembre 2019
TUF	2 %	2 %	=	Framework de sécurisation des systèmes de mise à jour logicielles		Octobre 2017	Décembre 2019
TiKV	1 %	2 %	+ 1 pt	Base de données clé-valeur		Août 2018	Septembre 2020

Pour quelques projets, le taux d’expérimentation (pilotes/tests) a aussi augmenté. En tête de liste :

• KEDA (+ 5 pts, à 16 %)
• Open Policy Agent (+ 3 pts, à 20 %)
• Harbor (+ 3 pts, à 12 %)

À consulter en complément sur le sujet Kubernetes :

Les premières distros Kubernetes « certifiées IA »
L’arrivée à maturité de Knative, couche serverless pour Kubernetes
Les choix de Databricks pour le load balancing Kubernetes
Michelin a réinternalisé son Kubernetes après 3 ans chez VMware

The post Kubernetes : les projets CNCF les plus déployés en production appeared first on Silicon.fr.

Infrastructures, licences, accès aux données, ingénierie… L’IA a des coûts évidents. Mais entre évolution des compétences, refonte des processus et gestion des risques, elle implique aussi des coûts cachés.

Ces derniers pourraient représenter une charge supplémentaire de l’ordre de 30 à 40 % des coûts génériques. Telle est en tout cas l’estimation d’IBM. Le Cigref y fait référence dans une note consacrée à l’évaluation du ROI des solutions d’IA générative et agentique.

Se concentrer sur l’utilisation du temps libéré

L’association mentionne une autre donnée chiffrée : les IA horizontales – les « assistants » – feraient gagner 50 minutes par jour à certains profils. Cela ne dit rien, néanmoins, de la manière dont ce temps libéré est utilisé.

Le Cigref appelle justement à se concentrer sur cet aspect. Il s’agit « que les gains de productivité d’aujourd’hui ne deviennent pas une fin en soi, mais le levier d’une compétitivité pour demain ». On distinguera, dans ce cadre, ce qui relève de la modernisation (efficience opérationnelle) et ce qui relève de la véritable transformation.

Dans cet esprit, des entreprises font la différence entre les hard savings (économies tangibles, mesurables dans un compte de résultat) et les soft savings (porteuses de gains futurs : réduction des erreurs, accélération des workflows…).

Entre arbres de valeur et suivi des nouvelles activités

Pour se focaliser sur la création de valeur rendue possible, le Cigref suggère l’approche « gestion de portefeuille ». Les cas d’usage n’y sont pas évalués isolément, mais au sein d’un ensemble équilibré d’initiatives, chacune ayant ses métriques de succès.

Concernant les actions de transformation prérequises (modernisation des logiciels, gouvernance des données, etc.), la métrique est le time-to-market pour de futurs cas d’usage, et la réduction des risques.

Pour les IA horizontales, des entreprises ont prévu de traiter l’enjeu de réallocation du temps par l’intermédiaire d’enquêtes qualitatives à propos de la nature des nouvelles activités.
L’une d’entre elles a décidé, pour les IA verticales, de coconstruire des arbres de création de valeur avec les métiers. L’objectif stratégique est décliné en leviers opérationnels sur lesquels l’IA peut agir. L’impact est ainsi mesuré sur des KPI existants.

Quelques éléments à intégrer dans l’évaluation des coûts et des bénéfices

Le Cigref distingue quatre catégories de coûts :

• Liés aux IA (matériel, licences, ingénierie, intégration, services…)
• Maintenance et supervision
• Gestion des risques et des échecs
• Transformation (modernisation de logiciels, refonte de processus métier, reskilling…)

Quatre catégories également pour ce qui est des éléments à prendre en compte dans l’estimation des bénéfices (opérationnels, organisationnels, stratégiques, financiers).

Sur le volet opérationnel, aux gains de productivité et à l’optimisation du temps d’implémentation s’ajoute la détection proactive des fraudes et des anomalies.

En matière organisationnelle, il y a l’exploitation et la valorisation des données (amélioration des modèles prédictifs, passage à l’échelle rendu possible…). Il y a aussi l’attractivité de l’organisation (mise en place de principes éthiques, engagement des employés…). La réduction du nombre d’outils par personne participant à un processus de décision fait partie des autres indicateurs pertinents.

Côté stratégique, le Cigref évoque, d’une part, l’expérience client (réduction du temps de réponse, personnalisation des interactions…). De l’autre, l’engagement et l’innovation (réduction du lead time, création de modèles économiques…).

La partie financière se partage entre génération de revenus (diminution du churn, optimisation du pricing…) et réduction des coûts et des risques.

L’ensemble peut être industrialisé en s’inspirant des modèles de centre d’excellence IA ou d’AI Factory. À condition notamment de définir des standards et de fournir des outils d’observabilité.

À consulter en complément :

Pourquoi il devient difficile de choisir une solution de gouvernance des données
L’Agentic AI Foundation veut des standards de l’IA autonome
En France, l’Autorité de la concurrence s’intéresse à l’aval de la chaîne GenAI
De prompt en vibe coding, le lexique de l’IA générative entre dans l’usage

Illustration générée par IA

The post ROI de l’IA générative : la tentation du prisme court-termiste appeared first on Silicon.fr.

La contribution financière de l’UE à EuroHPC peut désormais officiellement dépasser les 4 Md€.

En toile de fond, l’élargissement des missions de cette coentreprise.
Établie en 2021, elle fut d’abord chargée de développer un réseau de supercalculateurs.
En 2024, son périmètre d’activité avait été étendu aux « fabriques d’IA » (AI Factories). Des entités définies comme fournissant des « supercalculateurs optimisés par l’IA », conçus « principalement pour entraîner des modèles d’IA à usage général et à grande échelle ainsi que des applications d’IA émergentes ».

Depuis quelques jours, ce périmètre englobe les « gigafabriques d’IA » (AI GigaFactories). Elles sont définies comme des installations « [dotées] d’une capacité suffisante pour gérer l’ensemble du cycle de vie […] de très grands modèles et applications d’IA ».

La Commission européenne avait ouvert la voie à cette extension des responsabilités d’EuroHPC en juin 2025. Les AI GigaFactories embarqueraient « plus de 100 000 puces avancées » (en équivalent H100), contre 25 000 pour les plus grandes AI Factories, avait-elle affirmé.

Dans ce contexte, la notion de consortium, présente à la marge en 2021 et précisée dans une certaine mesure en 2024, devient centrale. Avec elle arrive la notion de gigafabrique multisite, étendue sur un ou plusieurs pays mais fonctionnant en tout cas comme une « entité technique intégrée » – avec au moins un site « correspondant à l’échelle d’une GigaFactory ».

L’informatique quantique en filigrane

En parallèle, le développement d’un écosystème d’informatique quantique apparaît dans les missions, les objectifs et les piliers d’activité d’EuroHPC.

L’enveloppe financière dédiée à la coentreprise augmente en conséquence. Elle passe de 3 081 300 000 € à 4 122 300 000 €, à raison de :

• 760 000 € de plus sur le programme Horizon Europe (dont 160 k€ pour le quantique)
• 161 000 € sur le programme pour une Europe numérique
• 120 000 € sur le mécanisme pour l’interconnexion en Europe

Le soutien des piliers d’activité – administration exceptée – via d’autres programmes de l’UE reste possible.

Pour les AI Factories, l’UE finance jusqu’à la moitié des dépenses d’investissement et des coûts d’exploitation. Il en va de même pour les ordinateurs et les simulateurs quantiques. Mais pas pour les AI GigaFactories : c’est au maximum 17 % des CAPEX. Un ou plusieurs États participants doivent apporter un montant au minimum équivalent. Les investissements restants sont à la charge du consortium, tout comme l’entièreté des OPEX. Au cas où une AI Factory deviendrait une AI GigaFactory, le soutien financier reçu en première phase serait reporté sur la seconde (pas de cumul, donc).

* États membres de l’UE + Albanie, Islande, Israël, Macédoine du Nord, Moldavie, Monténégro, Royaume-Uni, Serbie, Suisse et Turquie.

Illustration générée par IA

The post L’Europe enclenche le passage à l’échelle de ses « fabriques d’IA » appeared first on Silicon.fr.

Les années passent… et il y a encore du NTLMv1 qui traîne.

Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).

Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et C^ie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.

Pour quelques rainbow tables de plus

Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.

Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.

Plage de caractères	Nombre de caractères	Taux de réussite	Poids
Ascii 32 à 95	7	99,9 %	52 Go
Ascii 32 à 95	8	96,8 %	460 Go
Majuscules, minuscules, chiffres	8	99,9 %	127 Go
Majuscules, minuscules, chiffres	9	96,8 %	690 Go
Minuscules, chiffres	9	99,9 %	65 Go
Minuscules, chiffres	10	96,8 %	316 Go

NTLM, un grand chantier pour Microsoft

De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.

NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.

L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.

Illustration générée par IA

The post Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables appeared first on Silicon.fr.

La principale contrainte pour traiter des données à haut débit n’est plus le calcul ni le stockage, mais le réseau.

En 2017, les équipes d’AWS avaient contextualisé ainsi un article présentant les choix de conception de la base de données Aurora, lancée deux ans plus tôt.

Voilà cet article cité dans un autre, émanant de l’université technique de Munich. Ses auteurs ont analysé l’évolution des spécifications matérielles du cloud public entre 2015 et 2025. S’ils mentionnent le cas Aurora, c’est parce que, selon eux, le postulat d’alors ne tient plus. Sur la période en question, à coût normalisé, la bande passante réseau proposée par AWS a crû sans commune mesure avec les performances CPU et NVMe. Dans ce contexte, Aurora, conçu pour minimiser le trafic réseau, gagnerait peut-être à être réarchitecturé…

Une analyse axée bases de données

L’analyse n’est pas exhaustive, reconnaissent ses auteurs.

En premier lieu, elle est centrée sur les instances EC2 d’AWS, malgré quelques éléments de comparaison avec d’autres clouds publics et avec les infrastructures sur site.

Ensuite, elle se focalise sur un cas d’usage « base de données ». Aussi, les instances avec accélérateurs et FPGA ont été exclues. Et celles dotées de GPU ont été abordées séparément. N’ont pas non plus été prises en compte les instances à capacité extensible (familles T et flex).

Quant aux prix, la tarification retenue est celle à la demande dans la région us-east-1 (la principale du cloud AWS, et la moins chère). Les instances Spot ne sont pas entrées en ligne de compte en raison de leurs tarifs très variables en fonction de la demande. Les savings plans et les instances réservées n’ont pas non plus été inclus, au motif que les remises sont « largement similaires » entre types d’instances (en les retirant, on ne distord donc pas significativement la structure tarifaire d’ensemble).

L’aspect optimisation logicielle a par ailleurs été laissé de côté.

Ces restrictions appliquées, le périmètre d’analyse a englobé 742 instances, groupées en 98 familles.

CPU : une stagnation pas spécifique aux cloud providers

Comme pour les serveurs on-prem, la gamme de CPU s’est nettement diversifiée en 10 ans. En première ligne, les puces Arm : depuis 2024, plus de la moitié des instances que lance AWS sont équipées en Graviton.
En parallèle, le nombre de cœurs a largement augmenté. Exemple : la famille c4, lancée en 2015, en proposait jusqu’à 18, quand la c7a, introduite en 2023, monte à 192.

La progression du ratio coût-performance se révèle plus limitée. En tout cas sur la foi de trois benchmarks, exécutés sur diverses instances 2xlarge optimisées pour le calcul :

• SPECint 2018
• TPC-H in-memory (facteur d’échelle de 10) sur Umbra
• TPC-C sur Leanstore (25 entrepôts)

Les résultats sont normalisés par rapport au coût et à la performance de l’instance c4.2xlarge. Bilan : sur SPECint, le ratio est multiplié par 3 environ sur la période. On serait plutôt à x2 sans les instances Graviton, vers lesquelles ont d’ailleurs basculé des fournisseurs comme Snowflake.
Sur la partie base de données in-memory,  la progression est similaire (entre x2 et x2,5). La latence de la mémoire et du cache a possiblement beaucoup d’influence, reconnaissent les auteurs de l’étude, qui n’ont pas analysé ces dimensions.

Cette relative stagnation n’apparaît pas pour autant liée aux marges que prennent les cloud providers. En tout cas sur la foi d’une analyse sur les CPU serveur d’AMD sortis entre 2017 et 2025. Sur la base des prix publics, du nombre de cœurs, des fréquences d’horloge et des métriques IPC communiquées, le rapport coût-performance ne double même pas (x 1,7).

Mémoire : peu de gains en capacité comme en bande passante

À coût normalisé, la capacité de DRAM a très peu progressé. Seul changement majeur : l’introduction, en 2016, d’une famille d’instances optimisées pour la mémoire, avec environ 3,3 fois plus de GiB-heures/$ que les meilleures instances optimisées pour le calcul.

La bande passante absolue par socket mono-CPU a significativement augmenté (de 93 à 492 GiB/s). Mais une fois normalisée, le gain n’est que de x2.

Un bond en avant sur le réseau… avec les instances optimisées

En valeur absolue, le plafond de bande passante sur EC2 est passé de 10 Gbit/s en 2015 à 600 Gbit/s en 2025. Surtout, le rapport coût-performance normalisé a décuplé. En toile de fond, la mise à disposition d’instances optimisées pour le réseau. La c5n, première du genre basée sur le système Nitro, fut ajoutée au catalogue en 2018.

Si on exclut ces instances optimisées, le rapport bande passante par dollar a peu évolué entre 2015 et 2025.

Stockage : comparaison défavorable pour AWS

L’analyse s’est focalisée sur les instances avec stockage NVMe local. La première famille du genre (i3) fut introduite en 2016. La première avancée notable en termes de capacité de stockage par dollar fut le lancement de la famille i3en en 2019. Le ratio avait alors doublé. Il a peu évolué depuis.
Même réflexion si on considère le coût des I/O : les i3 demeurent les plus avantageuses, tant en lecture séquentielle qu’aléatoire.

Cette stagnation dans le cloud public contraste avec les tendances de l’on-prem : à coût normalisé, la capacité par dollar a triplé et le coût des I/O a été divisé par 5. L’arrivée de PCIe4 puis de PCIe5 a joué.

Des opportunités dans le hardware spécialisé

Un indicateur est ici analysé : le volume d’opérations 32 bits en virgule flottante à coût normalisé.

Avec les GPU, le rapport coût-performance a été multiplié par environ 4,7 entre les familles d’instances p3 et g6e.

Depuis 2019, AWS a lancé deux générations d’instances inf et trn dotées d’ASIC dédiés au machine learning. Les trn2 délivrent deux fois plus de flops/s par device que les g6e ; et le ratio coût-performance est multiplié par 15,7 par rapport aux p3.
La spécialisation du hardware peut donc se révéler avantageuse… y compris pour le traitement de données (l’étude fait référence à divers travaux* sur ce sujet).

Caches NVMe, cycles processeur… Des questions d’architecture émergent

Combinée à la démultiplication des débits réseau, la stagnation des performances du stockage pose des questions pour des solutions comme Snowflake, qui utilisent des caches NVMe plutôt que de lire directement sur S3.

Autre combinaison, autre enjeu : tandis que la bande passante réseau croît et que la vitesse des processeurs stagne, le budget en cycles CPU par paquet décline. Exploiter pleinement les ressources disponibles pourrait exiger des modifications majeures touchant par exemple au contournement du noyau.

Avec les instances Arm, l’amélioration du rapport coût-performance se constante autant sur le calcul (c8g) que sur le réseau (c8gn), la capacité mémoire (x2gd) et la capacité NVMe (is4gen).

Voir au-delà des hyperscalers

La tendance est la même dans les autres clouds… sauf que, de manière générale, les VM – Arm ou x86 – peuvent être notablement moins chères que chez les hyperscalers. Oracle et OVHcloud sont cités à ce sujet, sur la foi d’une comparaison pour des instances à CPU AMD 16 cœurs, 128 GiB de RAM et sans fonctionnalités spécifiques de type grande bande passante réseau. Hetzner l’est aussi, avec son instance CCX53, 3,7 fois moins chère que la m6a.8xlarge d’AWS. En contrepartie, ces fournisseurs ont un écosystème moins fourni, une couverture géographique plus limitée, une facturation parfois moins granulaire et un éventail plus restreint d’instances spécialisées (susceptibles de faire baisser les coûts pour certains cas d’usage).

Entre les « trois grands », il y globalement peu d’écart… avec quelques exceptions (AWS a l’avantage sur la bande passante réseau avec les instances c7gn/c8gn, Microsoft ne facture pas le trafic entre zones de disponibilité au sein d’une même région, etc.).

Un outil interactif pour dépasser l’analyse statique

Vu la nature multidimensionnelle de l’univers des instances cloud, une analyse statique est intrinsèquement limitée, admettent les auteurs de l’étude. Ils fournissent donc un outil interactif open source associant moteur SQL et visualisation R. Le service fonctionne intégralement dans le navigateur (pas de dépendance serveur). La base sous-jacente est téléchargeable (fichier DuckDB).

* Boeschen et al., 2024 : « GOLAP: A GPU-in-Data-Path Architecture for High-Speed OLAP »
Kabic et al., 2025 : « Powerful GPUs or Fast Interconnects: Analyzing Relational Workloads on Modern GPUs »
Wu et al., 2025 : « Terabyte-Scale Analytics in the Blink of an Eye »

Illustration générée par IA

The post Dans le cloud public, le rapport coût-performance stagne appeared first on Silicon.fr.

En matière de cyber, selon qu’on est CEO ou CISO, on privilégiera la prévention des pertes financières ou la résilience opérationnelle.

Rien d’exceptionnel dans ce constat. Mais il trouve une illustration notable dans le dernier rapport Global Cybersecurity Outlook du Forum économique mondial. D’une année à l’autre, les principales inquiétudes exprimées ont effectivement divergé entre les deux fonctions.

En 2025, les ransomwares étaient en tête de liste chez les CEO comme chez les CISO. Les premiers citaient ensuite fraude / phishing et perturbations de la supply chain. Les seconds faisaient de même, mais dans l’ordre inverse.

Cette année, les ransomwares restent la principale préoccupation des CISO (devant les perturbations de la supply chain et l’exploitation de vulnérabilités logicielles). Ils ne sont, en revanche, plus dans top 3 chez les CEO, qui s’inquiètent en premier lieu de la fraude et du phishing ; puis des vulnérabilités de l’IA et des logiciels.

Des différences entre organisations, il y en a aussi en fonction du niveau de cyberrésilience estimé. Les répondants* qui le jugent élevé ont tendance à craindre avant tout les perturbations de la supply chain. Et, au contraire, à mettre les vulnérabilités IA en dernier sur leur liste. Cependant, si on restreint cet échantillon aux CEO, les vulnérabilités deviennent la crainte numéro un…
Cet « effet CEO » est moins significatif parmi les organisations dont le niveau de cyberrésilience est jugé insuffisant.

La GenAI, désormais crainte en premier lieu pour les fuites de données

Si on zoome sur la GenAI, les inquiétudes des CEO sont plus proches de celles de l’échantillon dans son ensemble.

(Une seule réponse possible)	Fuites de données	Développement des capacités des attaquants	Sécurité technique des systèmes d’IA	Complexification de la gouvernance	Risques de supply chain logicielle	Propriété intellectuelle et responsabilité
Ensemble	34 %	29 %	13 %	12 %	7 %	4 %
CEO	30 %	28 %	15 %	13 %	9 %	6 %

Sur l’ensemble de l’échantillon, l’item « fuites de données » est nettement plus sélectionné que l’an dernier (+ 12 points).

Lorsqu’on leur demande quels risques sont en croissance, les répondants choisissent majoritairement les vulnérabilités de l’IA (87 %). Viennent ensuite :

• Fraude / phishing (77 %)
• Perturbations de supply chain (65 %)
• Vulnérabilités logicielles (58 %)
• Ransomwares (54 %)
• Menaces internes (32 %)
• Déni de service (28 %)

Face au risque de supply chain, la fonction sécurité souvent impliquée dans le processus d’approvisionnement

Concernant le risque sur la supply chain, la hiérarchie des méthodes de gestion est similaire entre niveaux de cyberrésilience, mais avec un écart de 20 à 30 points.

	Évaluation de la maturité cyber des fournisseurs	Implication de la fonction sécurité dans les processus d’achat	Paetages d’informations sur la menace avec les partenaires	Cartographie du niveau d’exposition des partenaires	Simulation d’incidents et/ou d’exercices de récupération avec les partenaires
Ensemble	68 %	65 %	38 %	33 %	27 %
Haute résilience	74 %	76 %	53 %	44 %	44 %
Résilience insuffisante	48 %	53 %	31 %	23 %	16 %
CEO, haute résilience	59 %	70 %	30 %	48 %	44 %
CEO, résilience insuffisante	31 %	31 %	38 %	31 %	6 %

L’adoption de l’IA dans la cyber sert le plus souvent la détection du phishing et des autres menaces sur la messagerie électronique (52 % des sondés ont sélectionné cette réponse parmi 3 maximum). Suivent :

• Détection et réponse aux intrusions ou anomalies (46 %)
• Automatisation des opérations (43 %)
• Analyse du comportement des utilisateurs et détection des menaces internes (40 %)
• Tri du renseignement sur les menaces et priorisation des risques (39 %)
• Autres objectifs (8 %)

Dans 64 % des organisations ici représentées, les outils IA sont évalués avant déploiement (révision unique pour 24 %, périodique pour 40 %). Ce taux passe à 45 % chez celles où le niveau de cyberrésilience est jugé insuffisant.

Le manque de connaissances et/ou de compétences est le premier obstacle à l’adoption de ces outils. 54 % des répondants le citent. Ils sont 41 % à évoquer la nécessité d’une validation humaine des réponses de l’IA avant implémentation.

* 804 répondants dont 544 C-Levels parmi lesquels 316 CISO et 105 CEO.

Illustration générée par IA

The post Cybersécurité : entre CISO et CEO, les priorités divergent appeared first on Silicon.fr.

À l’échelle mondiale, les organisations apparaissent plutôt confiantes quant à leur cyberrésilience.

Ce constat était ressorti de la première édition du rapport Global Security Outlook réalisé par le Forum économique mondial avec Accenture. C’était en 2022. Les deux tiers des répondants (67 %) estimaient que leur organisation atteignait les exigences minimales. Près d’un sur cinq (19 %) jugeait qu’elle les dépassait. Ils n’étaient que 14 % à déclarer un niveau insuffisant de cyberrésilience.

Depuis, en quatre autres éditions, le niveau de confiance est resté élevé. En 2026, il repart même globalement à la hausse.

	Insuffisant	Remplit les exigences minimales	Dépasse les exigences
2022	14 %	67 %	19 %
2023	21 %	51 %	28 %
2024	25 %	36 %	39 %
2025	22 %	69 %	9 %
2026	17 %	64 %	19 %

La cyberrésilience des États, jugée moins positivement

Pour cette édition 2026, 804 réponses ont été retenues, issues de 92 pays. 544 proviennent de C-levels parmi lesquels 316 CISO* et 105 CEO. Le reste de l’échantillon est constitué par des membres de la société civile et du monde académique, ainsi que des « leaders en cybersécurité » du secteur public.

Si on trie les réponses par secteurs, le secteur privé apparaît plus confiant quant à sa cyberrésilience.

	Insuffisant	Remplit les exigences minimales	Dépasse les exigences
Secteur privé	11 %	67 %	22%
Secteur public et « grandes organisations internationales »	23 %	54 %	24 %
ONG	37 %	55 %	8 %

Les répondants ne jugent pas aussi positivement la cyberrésilience du pays où leur organisation est basée. Ils sont en tout cas 37 % à se dire confiants quant à la capacité de réponse aux incidents touchant des infrastructures critiques (contre 42 % en 2025). Et 31 % à se déclarer non confiants (contre 26 % en 2025).
Si on s’en tient aux CEO du secteur privé, le taux de répondants confiants est un peu plus élevé (43 %, pour 31 % de non confiants).

Le risque géopolitique fait croître les budgets cyber… dans une certaine mesure

Quand on leur demande comment la géopolitique fait évoluer la stratégie de cyberrésilience de leur organisation, les répondants sélectionnent le plus souvent l’item « focus accru sur la threat intelligence liée aux acteurs étatiques » (36 %). Arrivent ensuite :

• Interactions accrues avec les agences gouvernementales ou les groupes de partage de renseignements (33 %)
• Augmentation du budget cyber (21 %)
• Changement – ou intention de changer – de fournisseurs (19 %)
• Arrêt des activités dans certains pays (14 %)

Si on zoome sur les CEO, par niveau de résilience estimé :

	Acteurs étatiques	Gouvernements	Budget	Fournisseurs	Activités
Haute résilience	52 %	48 %	30 %	30 %	19 %
Résilience insuffisante	13 %	6 %	13 %	13 %	6 %

Des défis corrélés au niveau de résilience estimé

Lorsqu’on leur demande de sélectionner au maximum trois éléments qui constituent un défi à la cyberrésilience, les sondés choisissent :

• À 61 %, l’évolution rapide du paysage de la menace et les technologies émergentes
• À 46 %, les vulnérabilités tierces et sur la supply chain
• À 45 %, le manque de compétences
• À 31 %, les systèmes hérités
• À 30 %, le manque de fonds
• À 24 %, le manque de visibilité sur les environnements IT/OT/IoT
• À 24 %, les complexités de conformité et de gouvernance
• À 22 %, une planification insuffisante de la réponse à incident

Dans le secteur privé, on invoque prioritairement le paysage de la menace (59 %), les vulnérabilités tierces (53 %), le manque de compétences (38 %) et le manque de fonds (26 %).
Dans le secteur public et les grandes organisations, la hiérarchie est similaire, sinon que le manque de compétences est nettement plus cité (57 %). Même constat dans les ONG (51 %), où les répondants sont également nombreux à déplorer le manque de fonds (62 %).

Sur l’ensemble de l’échantillon, par niveau de résilience estimé :

	Évolution des menaces	Vulnérabilités tierces	Compétences	Legacy	Fonds	IT/OT/IoT	Gouvernance	Réponse aux incidents
Haute résilience	67 %	71 %	35 %	22 %	14 %	17 %	31 %	15 %
Résilience insuffisante	41 %	23 %	53 %	35 %	52 %	28 %	15 %	37 %

Si on s’en tient aux CEO, toujours par niveau de résilience estimé, l’argument des fonds est plus souvent invoqué :

	Évolution des menaces	Vulnérabilités tierces	Compétences	Legacy	Fonds	IT/OT/IoT	Gouvernance	Réponse aux incidents
Haute résilience	56 %	78 %	19 %	15 %	15 %	19 %	41 %	15 %
Résilience insuffisante	13 %	31 %	56 %	25 %	63 %	56 %	25 %	19 %

* Dont au moins, côté français, Christophe Blassiau (CISO groupe de Schneider Electric), qui a participé à des focus groups en complément au volet qualitatif de l’étude. 

The post Cyberrésilience : des organisations plus confiantes en elles-mêmes qu’envers les États appeared first on Silicon.fr.

« Non, je ne peux pas le garantir ».

Ces quelques mots du directeur technique et juridique de Microsoft France avaient fait grand bruit en juin dernier. L’intéressé était auditionné au Sénat dans le cadre d’une commission d’enquête sur la commande publique. On venait de lui demander, en substance, s’il pouvait affirmer que les données des citoyens français confiées à son entreprise ne seraient jamais transmises, à la suite d’une injonction du gouvernement américain, sans l’accord explicite des autorités françaises.

AWS ne garantit pas non plus d’immunité totale avec son nouveau « cloud souverain européen ». Il prend, dans les grandes lignes, les mêmes engagements qu’avec son cloud commercial. D’une part, faire au mieux pour rediriger les requêtes gouvernementales directement vers les clients ou, sinon, les notifier autant qu’il est possible. De l’autre, contester ces requêtes s’il y a conflit avec la législation de l’UE ou d’un État membre. Et dans tous les cas, divulguer le strict minimum.

En principe, le contenu des clients et les métadonnées créées par leurs soins (rôles, autorisations, étiquettes de ressources, configurations) ne sortent pas de l’UE. Sauf si un client le demande… ou, donc, si c’est nécessaire pour répondre à une requête gouvernementale fondée.

De « résidents » à « citoyens » de l’UE : une politique RH en transition

Ce « contrat de confiance » lui a valu de décrocher la qualification C5 (le « SecNumCloud allemand ») en combinaison avec d’autres promesses. Parmi elles, l’autonomie opérationnelle : les systèmes et services critiques doivent pouvoir fonctionner même sans connectivité au backbone AWS. Un exercice sera réalisé au moins une fois par an, parallèlement à la définition de stratégies de réponse à incident (SOC dédié) et de reprise après sinistre (y compris en cas d’isolation géopolitique).

Le « cloud souverain européen » a des systèmes indépendants d’IAM, de facturation et de mesure de l’utilisation. Sur la partie réseau, les points de présence Direct Connect sont dans l’UE et l’instance Route 53 est dédiée, avec uniquement des TLD européens pour les serveurs de noms. Une extension territoriale est prévue via des zones locales AWS (Belgique, Pays-Bas, Portugal) qui seront connectées au datacenter principal sur réseau privé.

Tous les membres du personnel d’exploitation sont établis dans l’UE. Interpellé à ce sujet, AWS a entamé une transition pour dépasser cette notion de résidence, en introduisant un critère de citoyenneté dans son processus de recrutement.

Un préavis contractuel d’un an

Concernant les mesures techniques concourant à la « souveraineté », la journalisation est locale, comme les opérations cryptographiques et la gestion des certificats (ce cloud a sa propre racine de confiance). Les clés de chiffrement utilisées sur les services sont sécurisées au niveau logiciel ; celles destinées à la récupération après sinistre le sont au niveau physique (conservation hors ligne).

AWS conserve une réplique du code source nécessaire pour opérer les services. Cette réplique est chiffrée, soumise à des contrôles d’intégrité, cryptographiquement vérifée et mise à jour via un processus de réplication contrôlé.

Sauf si le client s’y oppose, les contrats sont gouvernés par les lois d’un État membre de l’UE. Préférentiellement l’Allemagne, semble-t-il, l’addendum de l’AWS European Sovereign Cloud invitant à s’adresser aux tribunaux de Munich en cas de litige.

On nous promet un préavis d’au moins un an avant toute modification importante des statuts de la société mère – de droit allemand et « contrôlée localement ». Sauf si cette modification est nécessaire pour se conformer à la législation applicable. Ou si le comité consultatif considère, à l’unanimité, que cela n’affecte pas significativement l’indépendance opérationnelle, les contrôles de résidence des données, les structures de gouvernance ou bien les obligations d’AWS.

Deux Français au comité consultatif…

À l’origine, on nous avait annoncé que ce comité se composerait de 4 membres, dont 1 non affilié à Amazon. Ils sont finalement 5, dont 2 non affiliés. Parmi eux, deux ressortissants français : Stéphane Ducable et Philippe Lavigne.

Stéphane Ducable est vice-président des politiques publiques d’AWS pour la région EMEA. Il fut membre fondateur du CISPE, au conseil d’administration duquel il représenta Amazon jusqu’en 2025. Ancien VP adjoint des affaires publiques chez Alcatel, il est aussi passé chez Microsoft. Entre autres comme responsable des affaires extérieures à Bruxelles, ainsi que directeur régional des affaires générales à Singapour puis au Japon).

Philippe Lavigne, général à la retraite, fut notamment chef d’état-major de l’armée de l’air et de l’espace (2018-2021) et commandant suprême allié pour la transformation de l’OTAN (2021-2024).

Les trois autres membres :

• Ian McGarry
  Ressortissant irlandais. Directeur d’Amazon CloudWatch chez AWS. Ancien d’Ericsson et d’Oracle.
• Sinead McSweeney
  Ressortissante irlandaise. Ancienne transcriptrice parlementaire puis conseillère politique au sein du Gouvernement (auprès du ministre de la Justice, notamment). Ensuite directrice des relations publiques pour le service de police d’Irlande du Nord. Puis, chez Twitter, responsable des politiques publiques EMEA puis monde.
• Barbara Scarafia
  Ressortissante allemande. Avocate de formation. Entrée chez Amazon en 1999 comme directrice juridique pour l’Allemagne. Aujourd’hui directrice juridique associée pour l’Europe.

… et un à la direction générale

La société mère a deux DG : Stéphane Israël et Stefan Hoechbauer. Le premier dirige les opérations. Le second supervise les décisions relatives à la gouvernance d’entreprise et à la conformité.

Stéphane Israël, 55 ans, arrive du Boston Consulting Group, où il aura passé moins d’un an.
L’intéressé fut d’abord auditeur puis conseiller référendaire à la Cour des comptes (2001-2007).
Chez EADS (2007-2012), il entra comme conseiller business du P-DG Louis Gallois et termina directeur du volet services du programme européen Copernicus au sein de la filiale satellites.
Directeur de cabinet d’Arnaud Montebourg en 2012-2013, il entra ensuite en fonction chez Arianespace (P-DG entre 2013 et 2017, puis président exécutif jusqu’en 2024). Il préside aujourd’hui la Fondation de l’ENS.

Stefan Hoechbauer, ressortissant allemand, est vice-président des ventes mondiales d’AWS pour l’Allemagne et l’Europe centrale. Il est un ancien de SAP, de PeopleSoft et d’Oracle. Ainsi que de Salesforce, où il fut vice-président exécutif et P-DG pour la zone DACH (Allemagne, Autriche, Suisse).

La nomination de Stéphane Israël avait été officialisée fin septembre 2025. Son binôme annoncé était alors Kathrin Renz. Mais l’ancienne de Siemens (directrice du développement, notamment) et de Nokia (présidente de la branche Enterprise, en particulier) a quitté AWS en décembre.

Illustration principale générée par IA
Portraits © DR, Amazon Web Services

The post Cloud européen d’AWS : la gouvernance et les engagements juridiques appeared first on Silicon.fr.