La Commission européenne a dévoilé son projet de révision du Cybersecurity Act qui prévoit l’élimination progressive des équipements fournis par des entreprises jugées à haut risque dans les secteurs critiques.

Sans nommer explicitement de pays ou d’entreprises, ces mesures devraient principalement affecter les géants chinois des télécommunications Huawei et ZTE.

« Avec ce nouveau paquet cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques en technologies de l’information et de la communication, mais aussi pour combattre les cyberattaques de manière décisive », affirme Henna Virkkunen, la commissaire européenne chargée du numérique.

Le texte s’appliquera à dix-huit secteurs clés identifiés par la Commission, parmi lesquels les équipements de détection, les véhicules connectés et automatisés, les systèmes d’approvisionnement en électricité et en eau, les drones, les services de cloud computing, les dispositifs médicaux ou encore les semi-conducteurs.

Des délais de transition variables

Selon le projet, les opérateurs de téléphonie mobile disposeront de trente-six mois à compter de la publication de la liste des fournisseurs à haut risque pour retirer les composants essentiels provenant de ces entreprises. Les calendriers pour les réseaux fixes, incluant la fibre optique et les câbles sous-marins, ainsi que pour les réseaux satellitaires, seront annoncés ultérieurement.

Les restrictions ne s’appliqueront qu’après une évaluation des risques initiée soit par la Commission, soit par au moins trois pays membres. Les mesures prises devront s’appuyer sur une analyse de marché et une étude d’impact.

L’exécutif européen avait déjà adopté en 2020 une boîte à outils de mesures de sécurité pour les réseaux 5G visant à limiter l’utilisation de fournisseurs à haut risque comme Huawei, en raison de préoccupations relatives à d’éventuels sabotages ou actes d’espionnage. Toutefois, certains pays n’ont toujours pas retiré ces équipements, notamment en raison des coûts élevés que cela représente.

L’Espagne a même signé l’été dernier un contrat de douze millions € avec Huawei pour la fourniture de matériel destiné au stockage des écoutes autorisées par les tribunaux pour les services de police et de renseignement.

Pékin dénonce un « protectionnisme pur et simple »

La Chine n’a pas tardé à réagir. Le ministère chinois des Affaires étrangères a qualifié les restrictions imposées aux entreprises chinoises sans base juridique de «protectionnisme pur et simple », exhortant l’UE à fournir un environnement commercial équitable, transparent et non discriminatoire aux sociétés chinoises.

Pékin avait déjà déclaré en novembre qu’une telle initiative violerait les principes du marché et les règles de la concurrence loyale, soulignant que le retrait d’équipements chinois dans certains pays avait entravé leur développement technologique et entraîné des pertes financières importantes.

L’Europe entre deux dépendances

Cette initiative s’inscrit dans un mouvement plus large de Bruxelles visant à réduire sa dépendance tant vis-à-vis de la Chine que des grandes entreprises technologiques américaines. L’Allemagne a récemment nommé une commission d’experts pour repenser sa politique commerciale envers Pékin et interdit l’utilisation de composants chinois dans les futurs réseaux 6G.

Les États-Unis ont quant à eux banni en 2022 les approbations de nouveaux équipements de télécommunications de Huawei et ZTE.

Reste que la mise en œuvre de ces restrictions pourrait s’avérer complexe. Plus de quatre-vingt-dix pour cent des panneaux solaires installés dans l’UE sont fabriqués en Chine. Certains représentants de l’industrie soulignent également le manque d’alternatives viables, les opérateurs télécoms ayant mis en garde contre l’impact potentiel sur les prix à la consommation.

Le projet de loi doit encore être approuvé par les pays membres et le Parlement européen dans les mois à venir avant de devenir contraignant. Les calendriers proposés devraient faire face à la résistance de certaines capitales européennes, les États membres étant responsables de leur propre sécurité nationale.

The post Cybersécurité : l’UE va durcir le ton face aux équipementiers chinois appeared first on Silicon.fr.

En 2024, le cabinet Gartner déclarait que les organisations devaient commencer leur transition vers l’informatique quantique car le chiffrement asymétrique ne sera plus sécurisé dès 2029 et totalement déchiffrable d’ici à 2034. C’est également dans cette optique que l’ANSSI a déclaré cette année que les solutions qui ne seraient pas résistantes face à la menace quantique ne seraient plus conformes et certifiées par l’agence.

Ces prises de position laissent entendre que l’informatique quantique sera bientôt une réalité, ouvrant d’incroyables perspectives d’innovation, de l’optimisation du trafic à l’accélération de la découverte de nouveaux médicaments. Toutefois, cette technologie ne séduit pas que des acteurs bien intentionnés. Les cybercriminels sont à l’affût, puisque les ordinateurs quantiques leur permettront de démanteler tous les systèmes de chiffrement qui protègent internet actuellement.

L’avenir de la menace : piller dès aujourd’hui pour déchiffrer demain

La majorité des chiffrements modernes dépendent d’algorithmes asymétriques pour l’échange de clés de session. Leur sécurité repose ainsi sur le fait que les ordinateurs actuels sont incapables de factoriser le produit de deux très grands nombres premiers dans un délai raisonnable.

Les plus grands ordinateurs quantiques actuels comptent 1 000 qubits et ne sont stables que pendant une à deux millisecondes. Ils ne présentent donc aucun risque contre les algorithmes les plus courants pour l’échange de clés. Cependant, un ordinateur quantique doté d’environ 20 millions de qubits physiques stables pourrait déchiffrer ces algorithmes d’échange de clés en environ huit heures, grâce aux étonnantes propriétés de la physique quantique. Et les acteurs malveillants se préparent déjà activement à profiter de ces capacités.

À l’aube de cette nouvelle menace, l’approche des cybercriminels suit une logique simple : piller un maximum de données dès aujourd’hui pour les déchiffrer demain, lorsque la technologie le leur permettra.

En effet, tout ce qui est publié sur en ligne est enregistré, et les attaquants interceptent et stockent d’ores et déjà ces informations encore impossibles à exploiter, dans l’espoir de pouvoir les déchiffrer sans effort d’ici quelques années.

Beaucoup d’experts du secteur estiment que dans six ou huit ans un ordinateur quantique suffisamment puissant et stable pour une utilisation généralisée devrait exister. Une fois que ce sera le cas, toutes les données mises de côté par les cybercriminels deviendront accessibles, ce qui pourrait avoir des conséquences dévastatrices.

Renforcer la crypto-agilité

La cryptographie post-quantique repose sur divers types de problèmes suffisamment complexes pour tenir tête aux capacités de ces nouvelles machines.

Une nouvelle génération d’outils de chiffrement basés sur des algorithmes quantiques sécurisés approuvés par l’Institut américain des normes et de la technologie (NIST) et par l’ANSSI et conçus pour résister aux attaques menées à l’aide d’ordinateurs quantiques se développent. Toutefois, le déploiement d’algorithmes quantiques sécurisés ne se résume pas à une simple mise à niveau des systèmes de sécurité ni à un changement réalisable en 24 h. Il est nécessaire dès aujourd’hui, pour les organisations, d’œuvrer au renforcement de la crypto-agilité.

Cette dernière désigne une capacité à changer rapidement et en toute sécurité les méthodes de chiffrement chaque fois qu’apparaissent de nouvelles menaces, et cela sans perturbation des workflows ni dépassement de budget. Fini le temps où les dirigeants se contentaient d’installer un système de protection pour ne plus y penser.

À mesure que les algorithmes de chiffrement post-quantique (PQC) existants et à venir commenceront à apparaître dans les produits, les paramètres par défaut évolueront et les menaces prendront de nouvelles formes. Si les organisations n’ont pas commencé à développer leur agilité d’ici là, la transition risque d’être rude.

Tous les directeurs techniques, DSI et autres responsables de la sécurité informatique doivent dresser au plus vite un état des lieux de leur infrastructure numérique et se poser la question : « Quels sont les systèmes chiffrés vulnérables ? » La réponse n’ira pas toujours de soi.

Il convient avant tout de se concentrer sur les données circulant hors de l’organisation. Les attaquants qui pillent des données en vue d’un déchiffrement futur ciblent en priorité les données en mouvement, circulant sur internet, entre différents services ou dans le cloud.

Les données confinées à un réseau bien défendu présentent généralement moins de risques, du moins pour l’instant. Comme les flux de données externes constituent la plus grande exposition quantique, c’est sur eux que doivent porter les efforts en priorité, que ce soit en interne ou dans les relations avec les prestataires et fournisseurs.

L’amélioration de la crypto-agilité ne doit pas se cantonner aux fichiers et dossiers. L’objectif est de préserver l’intégrité de chaque handshake de connexion, de chaque en-tête et de chaque dépendance cachée dans la pile. Tout élément touché, traversé ou habité par des données doit être passé au crible de l’imminence quantique.

L’agilité comme avantage stratégique

Les entreprises qui misent tout sur l’IA et les données ne pourront pas faire l’impasse sur la résilience quantique. Les données ne pourront effectivement nourrir leur croissance que si elles restent durablement sécurisées, conformes et fiables. La PQC relève ainsi d’une logique de préparation au futur plutôt que d’une simple posture de défense. Son adoption montre la capacité à projeter l’activité dans un avenir reconfiguré, où il serait catastrophique de ne pas pouvoir garantir l’intégrité des données.

Heureusement, des pistes d’action sont déjà disponibles. Il y a un an, le NIST publiait sa première série de normes PQC. Le mécanisme d’encapsulation de clés basé sur un réseau de modules (ML-KEM, anciennement CRYSTALS-Kyber), norme par défaut pour l’échange de clés, remplacera les algorithmes RSA et ECC pour sécuriser le chiffrement TLS à long terme. Toutefois, la sécurité dépend également des interactions externes. Il est essentiel de collaborer avec des fournisseurs et partenaires cloud au fait des dernières normes de sécurité quantique et utilisant des algorithmes certifiés et fiables.

Afin de se préparer au mieux face à la menace quantique, les organisations doivent commencer par passer en revue leurs systèmes en recensant précisément tous les outils où le chiffrement est utilisé, en gardant à l’esprit que les vulnérabilités se trouvent souvent dans les intervalles. C’est pourquoi il est crucial d’intégrer dès aujourd’hui le principe des algorithmes quantiques sécurisés dans toutes les initiatives de sécurité.

En externe, être intransigeant avec les prestataires et fournisseurs sera primordial, en leur ne se contentant pas de leur demander s’ils envisagent des initiatives PQC mais en exigeant de savoir comment et à quelle échéance ils comptent les mettre en œuvre. Car, une fois que l’informatique quantique aura franchi le cap du potentiel pour devenir une réalité, il sera trop tard pour protéger les données déjà exposées.

*Stanley Nabet est Country Manager France chez Netskope

The post { Tribune Expert } – La crypto-agilité, le futur à envisager dès aujourd’hui appeared first on Silicon.fr.

Une opération de communication pour lever les doutes sur le modèle modèle économique et clarifier les perspectives de croissance, c’est le sens du long billet de blog publiée par Sarah Friar, la directrice financière d’OpenAI, sous le titre  » Une entreprise qui évolue en fonction de la valeur de l’intelligence ».

Si l’inventeur de ChatGPT capte une grande partie de la lumière du business de la GenAI depuis trois ans, il cristallise aussi les inquiétudes sur les investissements faramineux et les craintes sur un déficit de ROI qui pourraient faire éclater « la bulle de l’IA » alimentée par les investissements titanesques dans les infrastructures.

Pour rassurer sur la capacité d’OpenAI à créer de la valeur, Sarah Friar révèle que les revenus annualisés ont bondi de 2 milliards $ en 2023 à plus de 20 milliards en 2025. Une multiplication par dix en deux ans ! Et de préciser que cette explosion des revenus est proportionnelle à celle de la puissance de calcul déployée à coup de centaines de milliards investis dans les infrastructures.

Le compute, moteur de la croissance

« Notre capacité à servir nos clients se mesure directement à notre puissance de calcul disponible », écrit Sarah Friar. Les chiffres parlent d’eux-mêmes : la capacité de calcul d’OpenAI est passée de 0,2 gigawatt en 2023 à 0,6 GW en 2024, pour atteindre environ 1,9 GW en 2025. Soit une multiplication par 9,5 en deux ans, avec un triplement annuel.

Cette corrélation parfaite entre infrastructure et revenus dessine le modèle économique d’OpenAI. « Il s’agit d’une croissance jamais vue à une telle échelle », affirme la directrice financière, qui ajoute que davantage de compute aurait permis une adoption et une monétisation encore plus rapides.

Partie des abonnements grand public, l’entreprise a progressivement étendu son offre aux entreprises, avant d’ajouter une tarification à l’usage pour les développeurs via son API. « Au fur et à mesure que l’IA s’intégrait dans les équipes et les workflows, nous avons créé des abonnements professionnels et ajouté une tarification basée sur l’usage, afin que les coûts évoluent avec le travail réellement effectué », explique-t-elle.

La semaine dernière, OpenAI a franchi un nouveau cap en annonçant l’introduction de publicités dans ChatGPT pour certains utilisateurs américains. Elle devrait également dévoiler son premier « produit Hardware » au second semestre 2026, comme l’a rapporté Axios en début de semaine.

Sarah Friar évoque de nouveaux modèles économiques au-delà des abonnements et des API : licences, accords basés sur la propriété intellectuelle et tarification basée sur les résultats. « À mesure que l’intelligence s’étend à la recherche scientifique, la découverte de médicaments, les systèmes énergétiques et la modélisation financière, de nouveaux modèles économiques émergeront », prédit-elle.

2026 : l’année de « l’adoption pratique »

L’année 2026 sera celle de « l’adoption pratique », annonce la directrice financière. « La priorité est de combler l’écart entre ce que l’IA rend désormais possible et la façon dont les gens, les entreprises et les pays l’utilisent au quotidien », écrit-elle.

L’opportunité se révèle particulièrement importante dans trois secteurs : la santé, les sciences et l’entreprise, où une meilleure intelligence se traduit directement par de meilleurs résultats. OpenAI mise sur une nouvelle génération d’agents intelligents et l’automatisation des workflows, capables de fonctionner en continu, de conserver le contexte dans le temps et d’agir sur différents outils.

Une stratégie d’infrastructure diversifiée

Face aux critiques sur ses dépenses massives, Sarah Friar défend une approche pragmatique. OpenAI maintient un bilan « léger » en privilégiant les partenariats plutôt que la propriété. Il y a trois ans, l’entreprise dépendait d’un seul fournisseur de compute. Aujourd’hui, elle collabore avec un écosystème diversifié de partenaires, incluant Microsoft, Oracle et d’autres acteurs.

Ce changement apporte de la certitude sur l’accès au compute. « Nous pouvons planifier, financer et déployer de la capacité avec confiance dans un marché où l’accès au compute définit qui peut passer à l’échelle », explique-t-elle.

Cette diversification permet à OpenAI de concentrer ses ressources sur l’innovation tout en conservant l’agilité nécessaire pour naviguer dans l’évolution rapide du secteur.

« L’infrastructure élargit ce que nous pouvons offrir. L’innovation étend ce que l’intelligence peut faire. L’adoption étend qui peut l’utiliser. Les revenus financent le prochain bond en avant », conclut Sarah Friar.

The post Comment OpenAI façonne son modèle économique au fil du « compute » appeared first on Silicon.fr.

Les années passent… et il y a encore du NTLMv1 qui traîne.

Mandiant a récemment émis un rappel à ce sujet… et l’a accompagné de rainbow tables. Il y en a pour environ 100 Go de données, sous licence CC BY 4.0, téléchargeables via la console Google Cloud ou l’outil gsutil (elles sont dans des buckets GCP).

Promesse : grâce à ces tables, récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Une méthode alternative aux attaques par force brute avec hashcat et C^ie. Lesquelles sont moins efficaces à mesure que la longueur des secrets augmente.

Pour quelques rainbow tables de plus

Les rainbow tables de Mandiant semblent cibler les mots de passe de 7 caractères de longueur.

Le projet RainbowCrack – une référence dans le domaine, intégré à notamment à Kali Linux – va jusqu’à 10 avec ses propres tables. Il annonce des taux de réussite entre 96,8 % et 99,9 %.

Plage de caractères	Nombre de caractères	Taux de réussite	Poids
Ascii 32 à 95	7	99,9 %	52 Go
Ascii 32 à 95	8	96,8 %	460 Go
Majuscules, minuscules, chiffres	8	99,9 %	127 Go
Majuscules, minuscules, chiffres	9	96,8 %	690 Go
Minuscules, chiffres	9	99,9 %	65 Go
Minuscules, chiffres	10	96,8 %	316 Go

NTLM, un grand chantier pour Microsoft

De longue date, la v1 du protocole NTLM est considérée comme insuffisamment sécurisé. Le guide de l’ANSSI sur l’administration des environnements Active Directory résume sa faiblesse : il permet d’obtenir des condensats (hashs) par simple capture du trafic réseau. Dans la pratique, les attaques forceront typiquement l’authentification depuis un objet AD à haut niveau de privilèges, comme un contrôleur de domaine.

NTLMv1 a officiellement été supprimé des OS Microsoft avec Windows 11 24H2 et Windows Server 2025. Mais il y a des restes dans certains scénarios. Entre autres lors de l’utilisation de MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) dans un environnement joint à un domaine. Solution recommandée : déployer Credential Guard… et exploiter les fonctionnalités d’audit, renforcées pour l’occasion.

L’objectif de Microsoft est de désactiver complètement le protocole à terme, pour aller vers Kerberos. Il a fallu adapter ce dernier afin de lui apporter certaines caractéristiques spécifiques de NTLM – qui ont d’ailleurs favorisé son intégration « en dur » par certaines applications. Par exemple, l’absence d’exigence de connexion réseau locale à un contrôleur de domaine. La fonctionnalité dite IAKerb a été introduite à ces fins. Elle permet l’authentification sur un contrôleur de domaine via un serveur mandataire.

Illustration générée par IA

The post Face à la persistance de NTLMv1, Mandiant publie ses rainbow tables appeared first on Silicon.fr.

L’année 2026 débute sur une note préoccupante pour la cybersécurité des administrations françaises. L’Urssaf a révélé qu’une cyberattaque, ciblant spécifiquement l’interface de programmation (API) du service de déclaration préalable à l’embauche (DPAE) a permis la consultation et l’extraction des données personnelles de 12 millions de salariés français.

Que sait-on de la méthode utilisée ? « Les premières investigations révèlent que l’accès frauduleux à l’API DPAE  a été opéré via un compte partenaire habilité à consulter ces informations. Les identifiants de connexion liés à ce compte avaient été volés lors d’un acte de cyber malveillance antérieur visant ce partenaire. » indique l’Urssaf en précisant que ses systèmes d’information n’ont pas été compromis.

Des données sensibles mais partiellement limitées

Les informations compromises incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro SIRET de l’employeur. Toutefois, l’Urssaf tente de rassurer les personnes concernées en précisant que les données les plus sensibles sont restées sécurisées : aucun numéro de Sécurité sociale, coordonnée bancaire, adresse postale, email ou numéro de téléphone n’a été exposé.

Malgré cette limitation apparente, les experts en cybersécurité soulignent que ces informations, même partielles, peuvent servir de base à des campagnes d’hameçonnage (phishing) sophistiquées ou être combinées avec d’autres fuites de données pour faciliter des usurpations d’identité.

La DPAE : un service essentiel au cœur de la faille

La déclaration préalable à l’embauche est une formalité obligatoire que tout employeur doit effectuer dans les huit jours précédant l’embauche d’un salarié relevant du régime général de la Sécurité sociale. Cette déclaration regroupe plusieurs formalités administratives essentielles : demande d’immatriculation de l’employeur, affiliation au régime d’assurance chômage, adhésion à un service de santé au travail, et organisation de la visite d’information et de prévention.

Les employeurs ayant effectué plus de 50 déclarations d’embauche au cours de l’année civile précédente sont obligés de réaliser leurs DPAE en ligne, soit via le portail urssaf.fr, soit via net-entreprises.fr, soit en utilisant l’API DPAE. C’est précisément cette dernière option qui a constitué le vecteur d’attaque exploité par les cybercriminels.

Face à cet incident, l’URSSAF a réagi rapidement en suspendant les accès du compte compromis et en renforçant les habilitations de ses partenaires. L’organisme a également déposé une notification auprès de la Commission nationale de l’informatique et des libertés (CNIL), conformément aux obligations légales en matière de protection des données personnelles, ainsi qu’une plainte auprès du procureur de la République.

L’URSSAF assure que les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement, et que les mesures de sécurité ont été renforcées pour éviter qu’un tel incident ne se reproduise.

Un appel à la vigilance face au phishing

L’URSSAF exhorte les salariés concernés à une extrême prudence face aux tentatives d’hameçonnage. L’organisme rappelle les règles fondamentales de sécurité : ne jamais divulguer ses mots de passe ou informations bancaires par téléphone ou courriel, même si la demande semble provenir d’un organisme officiel.

Les données volées peuvent en effet permettre aux cybercriminels de mener des campagnes de phishing ultra-ciblées, en se faisant passer pour l’Urssaf ou d’autres administrations avec des informations réelles sur leurs victimes, rendant les tentatives d’escroquerie d’autant plus crédibles.

Une série noire pour les organismes publics français

Ce piratage survient dans un contexte de cybermenace accrue contre les acteurs publics français. La semaine dernière, la plateforme Hubee, opérée par la Direction interministérielle du numérique (DINUM) pour l’échange de documents administratifs, a été piratée, exposant 70 000 dossiers représentant 160 000 documents contenant des données personnelles.

La fin de l’année 2025 avait déjà été marquée par le piratage du ministère de l’Intérieur et celui des Sports. Par ailleurs, en novembre 2025, le service Pajemploi de l’Urssaf avait subi un vol de données affectant 1,2 million de salariés de particuliers employeursd’ assistants maternels et de gardes d’enfants à domicile, compromettant des informations telles que les noms, prénoms, dates et lieux de naissance, adresses postales et numéros de Sécurité sociale.

Ces incidents successifs révèlent la vulnérabilité persistante des systèmes d’information des administrations françaises face aux cyberattaques et soulignent l’urgence de renforcer la cybersécurité des services publics numériques.

Que faire si vous êtes concernés ?

Si vous avez été embauché au cours des trois dernières années, vos données figurent potentiellement parmi celles exposées. Redoubler de vigilance face aux emails, SMS ou appels suspects prétendant provenir de l’URSSAF ou d’autres organismes. Ne jamais communiquer d’informations personnelles ou bancaires en réponse à une sollicitation non sollicitée. Vérifier systématiquement l’authenticité des sites web avant de saisir des informations sensibles. Surveiller vos comptes et signaler immédiatement toute activité suspecte. En cas de doute, contacter directement l’URSSAF via les canaux officiels.

The post Piratage de l’Urssaf : 12 millions de salariés exposés via l’API DPAE appeared first on Silicon.fr.

La principale contrainte pour traiter des données à haut débit n’est plus le calcul ni le stockage, mais le réseau.

En 2017, les équipes d’AWS avaient contextualisé ainsi un article présentant les choix de conception de la base de données Aurora, lancée deux ans plus tôt.

Voilà cet article cité dans un autre, émanant de l’université technique de Munich. Ses auteurs ont analysé l’évolution des spécifications matérielles du cloud public entre 2015 et 2025. S’ils mentionnent le cas Aurora, c’est parce que, selon eux, le postulat d’alors ne tient plus. Sur la période en question, à coût normalisé, la bande passante réseau proposée par AWS a crû sans commune mesure avec les performances CPU et NVMe. Dans ce contexte, Aurora, conçu pour minimiser le trafic réseau, gagnerait peut-être à être réarchitecturé…

Une analyse axée bases de données

L’analyse n’est pas exhaustive, reconnaissent ses auteurs.

En premier lieu, elle est centrée sur les instances EC2 d’AWS, malgré quelques éléments de comparaison avec d’autres clouds publics et avec les infrastructures sur site.

Ensuite, elle se focalise sur un cas d’usage « base de données ». Aussi, les instances avec accélérateurs et FPGA ont été exclues. Et celles dotées de GPU ont été abordées séparément. N’ont pas non plus été prises en compte les instances à capacité extensible (familles T et flex).

Quant aux prix, la tarification retenue est celle à la demande dans la région us-east-1 (la principale du cloud AWS, et la moins chère). Les instances Spot ne sont pas entrées en ligne de compte en raison de leurs tarifs très variables en fonction de la demande. Les savings plans et les instances réservées n’ont pas non plus été inclus, au motif que les remises sont « largement similaires » entre types d’instances (en les retirant, on ne distord donc pas significativement la structure tarifaire d’ensemble).

L’aspect optimisation logicielle a par ailleurs été laissé de côté.

Ces restrictions appliquées, le périmètre d’analyse a englobé 742 instances, groupées en 98 familles.

CPU : une stagnation pas spécifique aux cloud providers

Comme pour les serveurs on-prem, la gamme de CPU s’est nettement diversifiée en 10 ans. En première ligne, les puces Arm : depuis 2024, plus de la moitié des instances que lance AWS sont équipées en Graviton.
En parallèle, le nombre de cœurs a largement augmenté. Exemple : la famille c4, lancée en 2015, en proposait jusqu’à 18, quand la c7a, introduite en 2023, monte à 192.

La progression du ratio coût-performance se révèle plus limitée. En tout cas sur la foi de trois benchmarks, exécutés sur diverses instances 2xlarge optimisées pour le calcul :

• SPECint 2018
• TPC-H in-memory (facteur d’échelle de 10) sur Umbra
• TPC-C sur Leanstore (25 entrepôts)

Les résultats sont normalisés par rapport au coût et à la performance de l’instance c4.2xlarge. Bilan : sur SPECint, le ratio est multiplié par 3 environ sur la période. On serait plutôt à x2 sans les instances Graviton, vers lesquelles ont d’ailleurs basculé des fournisseurs comme Snowflake.
Sur la partie base de données in-memory,  la progression est similaire (entre x2 et x2,5). La latence de la mémoire et du cache a possiblement beaucoup d’influence, reconnaissent les auteurs de l’étude, qui n’ont pas analysé ces dimensions.

Cette relative stagnation n’apparaît pas pour autant liée aux marges que prennent les cloud providers. En tout cas sur la foi d’une analyse sur les CPU serveur d’AMD sortis entre 2017 et 2025. Sur la base des prix publics, du nombre de cœurs, des fréquences d’horloge et des métriques IPC communiquées, le rapport coût-performance ne double même pas (x 1,7).

Mémoire : peu de gains en capacité comme en bande passante

À coût normalisé, la capacité de DRAM a très peu progressé. Seul changement majeur : l’introduction, en 2016, d’une famille d’instances optimisées pour la mémoire, avec environ 3,3 fois plus de GiB-heures/$ que les meilleures instances optimisées pour le calcul.

La bande passante absolue par socket mono-CPU a significativement augmenté (de 93 à 492 GiB/s). Mais une fois normalisée, le gain n’est que de x2.

Un bond en avant sur le réseau… avec les instances optimisées

En valeur absolue, le plafond de bande passante sur EC2 est passé de 10 Gbit/s en 2015 à 600 Gbit/s en 2025. Surtout, le rapport coût-performance normalisé a décuplé. En toile de fond, la mise à disposition d’instances optimisées pour le réseau. La c5n, première du genre basée sur le système Nitro, fut ajoutée au catalogue en 2018.

Si on exclut ces instances optimisées, le rapport bande passante par dollar a peu évolué entre 2015 et 2025.

Stockage : comparaison défavorable pour AWS

L’analyse s’est focalisée sur les instances avec stockage NVMe local. La première famille du genre (i3) fut introduite en 2016. La première avancée notable en termes de capacité de stockage par dollar fut le lancement de la famille i3en en 2019. Le ratio avait alors doublé. Il a peu évolué depuis.
Même réflexion si on considère le coût des I/O : les i3 demeurent les plus avantageuses, tant en lecture séquentielle qu’aléatoire.

Cette stagnation dans le cloud public contraste avec les tendances de l’on-prem : à coût normalisé, la capacité par dollar a triplé et le coût des I/O a été divisé par 5. L’arrivée de PCIe4 puis de PCIe5 a joué.

Des opportunités dans le hardware spécialisé

Un indicateur est ici analysé : le volume d’opérations 32 bits en virgule flottante à coût normalisé.

Avec les GPU, le rapport coût-performance a été multiplié par environ 4,7 entre les familles d’instances p3 et g6e.

Depuis 2019, AWS a lancé deux générations d’instances inf et trn dotées d’ASIC dédiés au machine learning. Les trn2 délivrent deux fois plus de flops/s par device que les g6e ; et le ratio coût-performance est multiplié par 15,7 par rapport aux p3.
La spécialisation du hardware peut donc se révéler avantageuse… y compris pour le traitement de données (l’étude fait référence à divers travaux* sur ce sujet).

Caches NVMe, cycles processeur… Des questions d’architecture émergent

Combinée à la démultiplication des débits réseau, la stagnation des performances du stockage pose des questions pour des solutions comme Snowflake, qui utilisent des caches NVMe plutôt que de lire directement sur S3.

Autre combinaison, autre enjeu : tandis que la bande passante réseau croît et que la vitesse des processeurs stagne, le budget en cycles CPU par paquet décline. Exploiter pleinement les ressources disponibles pourrait exiger des modifications majeures touchant par exemple au contournement du noyau.

Avec les instances Arm, l’amélioration du rapport coût-performance se constante autant sur le calcul (c8g) que sur le réseau (c8gn), la capacité mémoire (x2gd) et la capacité NVMe (is4gen).

Voir au-delà des hyperscalers

La tendance est la même dans les autres clouds… sauf que, de manière générale, les VM – Arm ou x86 – peuvent être notablement moins chères que chez les hyperscalers. Oracle et OVHcloud sont cités à ce sujet, sur la foi d’une comparaison pour des instances à CPU AMD 16 cœurs, 128 GiB de RAM et sans fonctionnalités spécifiques de type grande bande passante réseau. Hetzner l’est aussi, avec son instance CCX53, 3,7 fois moins chère que la m6a.8xlarge d’AWS. En contrepartie, ces fournisseurs ont un écosystème moins fourni, une couverture géographique plus limitée, une facturation parfois moins granulaire et un éventail plus restreint d’instances spécialisées (susceptibles de faire baisser les coûts pour certains cas d’usage).

Entre les « trois grands », il y globalement peu d’écart… avec quelques exceptions (AWS a l’avantage sur la bande passante réseau avec les instances c7gn/c8gn, Microsoft ne facture pas le trafic entre zones de disponibilité au sein d’une même région, etc.).

Un outil interactif pour dépasser l’analyse statique

Vu la nature multidimensionnelle de l’univers des instances cloud, une analyse statique est intrinsèquement limitée, admettent les auteurs de l’étude. Ils fournissent donc un outil interactif open source associant moteur SQL et visualisation R. Le service fonctionne intégralement dans le navigateur (pas de dépendance serveur). La base sous-jacente est téléchargeable (fichier DuckDB).

* Boeschen et al., 2024 : « GOLAP: A GPU-in-Data-Path Architecture for High-Speed OLAP »
Kabic et al., 2025 : « Powerful GPUs or Fast Interconnects: Analyzing Relational Workloads on Modern GPUs »
Wu et al., 2025 : « Terabyte-Scale Analytics in the Blink of an Eye »

Illustration générée par IA

The post Dans le cloud public, le rapport coût-performance stagne appeared first on Silicon.fr.