Tarification élevée chez certains fournisseurs, complexe chez d’autres… si ce n’est les deux à la fois : au fil des ans, ce constat d’ensemble s’est imposé dans le Magic Quadrant de la sécurité applicative.

La dernière édition n’y déroge pas. En particulier chez les « leaders ». Ils sont 4 sur 6 à faire l’objet d’un avertissement quant à leur pricing :  Black Duck, Checkmark, HCLSoftware et OpenText.

Gartner avait déjà épinglé Checkmarx et OpenText sur ce point dans l’édition précédente. C’était en mai 2023. Le cabinet américain avait fait de même avec un autre « leader » d’alors : Synopsys. Si ce dernier a disparu des tablettes, c’est qu’il a, depuis, vendu son activité de sécurité applicative (AST, application security testing) à Clearlake Capital et Francisco Partners. Il en est né Black Duck, qui a repris la propriété intellectuelle, la clientèle, l’équipe de direction et les équipes commerciales.

D’une édition à l’autre de ce Magic Quadrant, les critères d’inclusion sur le plan fonctionnel ont peu évolué. Comme en 2023, sur l’identification de vulnérabilités, seuls le SAST (analyse statique) et le SCA (analyse de composition logicielle) ont été jugés indispensables. Le DAST (analyse dynamique) et le IAST (analyse interactive) sont restés facultatifs. Idem, entre autres, pour l’analyse des conteneurs, des API et de l’IaC.
Concernant la gestion de la posture de sécurité des applications, la jonction avec des outils tiers n’était pas obligatoire. Même chose, sur la partie supply chain logicielle, pour la gestion des pipelines de développement et des systèmes sous-jacents (seule la gestion du cycle de vie des SBOM était obligatoire).

Sur l’axe « exécution », traduisant la capacité à répondre à la demande du marché, les 16 fournisseurs classés se positionnent ainsi :

Rang	Fournisseur	Évolution
1	Black Duck	=
2	Checkmarx	+ 2
3	Veracode	– 1
4	Snyk	+ 3
5	OpenText	=
6	GitHub	+ 2
7	GitLab	– 4
8	HCLSoftware	– 2
9	Data Theorem	nouvel entrant
10	JFrog	nouvel entrant
11	Sonatype	=
12	Contrast Security	– 3
13	Semgrep	nouvel entrant
14	Mend.io	– 2
15	Cycode	nouvel entrant
16	Apiiro	nouvel entrant

Sur l’axe « vision », reflétant les stratégies (sectorielle, géographique, commerciale/marketing, produit…) :

Rang	Fournisseur	Évolution
1	Checkmarx	+ 3
2	HCLSoftware	+ 7
3	Snyk	+ 4
4	Black Duck	– 3
5	OpenText	– 3
6	Sonatype	+ 5
7	Contrast Security	– 4
8	Mend.io	– 2
9	Veracode	– 4
10	JFrog	nouvel entrant
11	GitLab	– 3
12	Semgrep	nouvel entrant
13	Cycode	nouvel entrant
14	GitHub	– 4
15	Apiiro	nouvel entrant
16	Data Theorem	nouvel entrant

Hormis Synopsis pour les raisons sus-exposées, un fournisseur est sorti du Magic Quadrant : Onapsis, faute d’une prise en charge suffisamment exhaustive des langages de programmation.

Black Duck peut progresser sur la sécurité de la supply chain logicielle

Black Duck se distingue positivement sur la sécurité du code, avec son plug-in Code Sight pour les IDE (SAST et SCA), récemment doté d’un assistant IA. Bon point également sur la gestion de la posture de sécurité des applications (vue exhaustive du risque, gestion de la conformité, ingestion depuis des outils tiers). Ainsi que pour l’analyse de binaires, qui peut se révéler plus précise que les méthodes de détection basées sur les manifestes.

Le marché perçoit comme complexe la tarification de Black Duck. Son offre peut par ailleurs se révéler coûteuse pour les PME (moins de 1000 employés dans la nomenclature de Gartner) qui ne recherchent que du SCA ou du SAST. Il existe aussi une marge de progression sur la sécurité de la supply chain logicielle (prise en charge limitée de la détection des configurations de pipelines non sécurisées et de la validation d’intégrité des artefacts, notamment).

Checkmarx, limité sur la sécurité des composants IA

Checkmark se distingue lui aussi sur la gestion de la posture de sécurité des applications (vue unifiée, corrélation avec les outils tiers). Gartner apprécie aussi l’assistance apportée aux développeurs par l’intermédiaire du SAST AI Security Champion, qui automatise la remédiation au sein des IDE. Il salue également les possibilités sur le volet de la supply chain logicielle (traitement des packages open source, en particulier, ainsi que l’identification des erreurs de configuration dans les dépôts de code).

L’offre de Checkmarx manque toutefois d’une brique IAST et ne couvre pas non plus l’analyse du code binaire des applications mobiles. De plus, la détection des risques sur l’IA est limitée aux vulnérabilités dans les bibliothèques utilisées pour développer ou intégrer des LLM (elle ne couvre pas l’injection de prompts ou la divulgation de données sensibles). Quant à la tarification, elle peut s’avérer difficile à comprendre, comme le packaging des offres, jusqu’aux options de support.

Faiblesses sur le support chez HCLSoftware

HCLSoftware se distingue par ses avancées sur la gestion de la posture de sécurité des applications (amélioration des dashboards, de la corrélation, du reporting et de la gestion de la supply chain logicielle via un partenariat avec OX Security). Autre point fort : ses moteurs d’analytics, utilisés pour réduire les faux positifs et étendre la détection, entre autres pour la compréhension dynamique des API. La sécurité des API, justement, est jugée robuste.

HCLSoftware a tardé à rendre certains éléments disponibles sur site (SCA et sécurité des conteneurs ne sont déployables dans ce mode que depuis septembre 2025). Son offre est par ailleurs limitée pour ce qui est de la détection des logiques métier au niveau des API (des outils tiers sont souvent nécessaires). Le prix peut se révéler prohibitif pour les petites équipes, tandis que le support peut manquer d’exhaustivité dans certaines régions géographiques.

OpenText peut mieux faire sur la remédiation automatisée

OpenText se distingue lui aussi positivement sur la gestion de la posture de sécurité des applications. Il en va de même sur la gestion des risques pour les composants et services IA (détection des injections de prompts, de la divulgation d’informations sensibles, et gestion des inputs non sécurisés). Gartner apprécie aussi la variété des options de déploiement (on-prem, SaaS, cloud privé, managé), doublée d’un support linguistique exhaustif.

Une brique native pour le test de sécurité des conteneurs fait défaut. Il manque aussi la détection des erreurs de configuration dans les pipelines de développement et les systèmes de gestion de code source. Gartner souligne également les limites de la remédiation automatisée (prise en charge variable des langages de programmation dans les IDE, absence de détection des breaking changes au niveau des PR). S’y ajoute une tarification complexe, liée autant à la diversité des options de déploiement qu’à l’ancienneté d’OpenText sur ce marché.

Chez Snyk, attention au focus sur les langages modernes

Au contraire d’OpenText, Snyk se distingue positivement sur la remédiation assistée par IA, qui englobe SAST, SCA, IaC et conteneurs à travers IDE, PR, UI web et CLI. Gartner apprécie plus globalement la qualité de l’intégration tout au long du cycle de développement logiciel, jusqu’au sein des outils de ticketing. Bon point également pour la détection des risques sur les composants IA, outputs de LLM compris.

Sur la supply chain logicielle, l’offre de Snyk a des limites (pas de détection des configs de pipelines non sécurisées et des plug-in vulnérables). Attention aussi à la prise en charge des langages de programmation (focalisation sur les langages « modernes »). Et à la personnalisation du reporting, perçue par la clientèle comme un point faible.

Pas d’option on-prem chez Veracode

Bon point aussi pour Veracode sur la gestion de la posture de sécurité des applications, en particulier par l’intégration de threat intelligence. Autres points forts : la remédiation par IA (pour le SAST, dans les IDE, les PR ou en CLI) et le support (tant l’offre principale que les options d’extension).

Veracode n’est disponible qu’en SaaS. Cela peut poser problème pour qui souhaite conserver son code en interne, même s’il existe une option de gestion des clés de chiffrement par le client. La détection des risques sur les composants IA apparaît perfectible (pas de gestion des injections de prompts et de la divulgation de données sensibles) comme la détection du statut des secrets (sont-ils valides ou non ?).

Illustration © Shahadat Rahman – Unsplash

The post Sécurité applicative : l’IA et la supply chain logicielle, inégalement couverts appeared first on Silicon.fr.

Au-delà du modèle de langage, il y a l’architecture.

On retiendra volontiers cet aspect des travaux que Lingua Custodia a menés dans le cadre du Large AI Grand Challenge.

Cette compétition s’est inscrite dans le projet européen AI-BOOST, censé en organiser 6 autres à l’horizon 2027 pour encourager l’innovation scientifique ouverte dans le domaine de l’IA. L’UE l’a doté pour cela d’une enveloppe de 4 M€.

3,2 millions d’heures GPU sur deux supercalculateurs EuroHPC

Le Large AI Grand Challenge avait été lancé en novembre 2023. Le contrat, dans les grandes lignes : développer, en partant de zéro, un LLM de fondation d’au moins 30 milliards de paramètres « plus performant que les systèmes à l’état de l’art sur un certain nombre de tâches ». Les lauréats recevraient chacun un prix de 250 000 € et 2 millions d’heures GPU sur un supercalculateur EuroHPC (LUMI, localisé en Finlande, ou LEONARDO, situé en Italie).

Des lauréats, il y en eut 4 (sur 94 dossiers), annoncés en juin 2024. Nommément, Textgain (Belgique), Tilde (Lettonie), Unbabel (Portugal)… et donc Lingua Custodia.
La PME francilienne – petite entreprise selon les seuils du Code de commerce – a choisi l’option LEONARDO. Fin 2024, elle a obtenu une allocation additionnelle de 1,2 million d’heures sur un autre supercalculateur EuroHPC : JUPITER, qui se trouve en Allemagne.

Nouvelle architecture… et nouvelle marque commerciale

Dans l’absolu, le premier modèle issu de ces travaux ne respecte pas le contrat : il ne compte « que » 3,6 milliards de paramètres. Il ne s’agit, par ailleurs, que d’un modèle dit « de base ». C’est-à-dire non affiné pour, par exemple, le dialogue ou le suivi d’instructions. Et donc non utilisable comme tel en production. Il faut néanmoins le voir comme un démonstrateur de la véritable valeur ajoutée : une architecture alternative à Transformers. Son nom : Dragon. Avec elle, Lingua Custodia change de cap. Ou tout du moins ouvre un nouveau chapitre. Jusque-là, on le connaissait effectivement plutôt pour ses services de traitement documentaire (classification, extraction, traduction, résumé…), fournis tant en SaaS que par API à destination du secteur financier.

Ce changement de cap s’assortit d’un changement de marque commerciale : exit Lingua Custodia, place à Dragon LLM.

Dépasser les limites de Transformers et de Mamba à l’inférence

L’architecture Dragon combine de multiples techniques existantes pour dépasser, en particulier, les limites que le mécanisme d’autoattention de Transformers présente lors de l’inférence. En l’occurrence, une consommation de ressources croissant avec la longueur des séquences (dans l’architecture de base, pour chaque token, le modèle examine tous les tokens précédents). Ces ressources, c’est du compute. Mais aussi de la mémoire, qui en vient à constituer le principal goulet d’étranglement, essentiellement en raison des limites de bande passante.

En réaction, des versions linéaires du mécanismes d’attention ont émergé. Évitant, d’un côté, la croissance quadratique de la consommation de ressources de calcul. Et permettant, de l’autre, l’utilisation d’un budget mémoire fixe. Ce en s’appuyant sur un état caché : une matrice ne conservant pas tous les tokens, mais une forme de « résumé évolutif ».

Cette approche a l’inconvénient de diminuer la précision des modèles. Dans ce contexte est apparue une architecture alternative : Mamba. Elle remplace le composant d’attention par un mécanisme inspiré de la théorie du contrôle : les SSM (State Space Models). Avec eux, la montée en charge est linéaire. Et surtout, on permet aux paramètres SSM d’être fonction de l’input, de sorte que la sélection des informations à conserver s’opère au moment de la mémorisation – et non au moment de la remémoration, comme c’est le cas avec Transformers.

Mamba a toutefois une faiblesse qui dissuade d’abandonner complètement l’autoattention : les modèles ne pas performants sur le rappel (recall). Cette métrique traduit la proportion de résultats positifs correctement classés comme tels. Elle est à différencier de la précision, qui indique le pourcentage de prédictions correctes parmi celles faites par le modèle.

Hymba, un socle made in NVIDIA

Dragon LLM a tenu compte des ces éléments pour mener ses expérimentations. Elles ont consisté à entraîner des modèles de 120 à 770 millions de paramètres sur un maximum de 50 milliards de tokens.

Pour l’amélioration de la fonction de perte, un benchmark a été ciblé : modded-NanoGPT. Pour le rappel, SWDE (prompts de 500 tokens) et FDA (2000 tokens) ont été mobilisés. Pour la évaluer la modélisation du langage, HellaSwag a été retenu.

Ces bases posées, Dragon LLM s’est intéressé à une autre architecture : Hymba (Hybrid Mamba). Signée NVIDIA, elle combine, dans chaque couche, des têtes d’attention classiques et des têtes SSM. Elle n’utilise une attention globale que sur 3 couches. Dans les autres cas, l’attention est locale (elle se limite aux 1024 derniers tokens). Les modèles fondés sur ce socle se montrent efficaces à l’inférence : leur débit se maintient à mesure que s’agrandit le contexte. La faiblesse sur le rappel demeure, cependant. D’où un choix d’explorer les mécanismes dits d’attention différentielle. Dragon LLM en mentionne deux, émanant respectivement de DeepSeek et de Microsoft. Les résultats du premier n’ont pu être reproduits de façon fiable. Le second, qui implique un système de suppression du bruit censé permettre au modèle de mieux repérer le contexte important, a produit des améliorations marginales lorsque appliqué à toutes les couches. En revanche, circonscrit à l’attention globale, il a eu un bénéfice significatif. Possiblement, nous explique-t-on, parce qu’il aurait stimulé une spécialisation de ces couches sur le rappel.

Un peu de DeepSeek dans l’affaire

D’autres techniques ont été mises en œuvre pour améliorer les performances de l’architecture Dragon. Parmi elles, la mise à l’échelle de la normalisation. Elle a eu pour effet de stabiliser la variance dans les couches profondes, ainsi mieux entraînées.

Dragon LLM a aussi remplacé l’initialisation des paramètres de PyTorch par un schéma origine DeepSeek. Et utilisé la planification SkyLadder, qui agrandit progressivement la fenêtre d’attention au fil de l’entraînement. Il a également opéré une normalisation individuelle des têtes d’attention (amélioration de l’intégrité du signal) et repositionné les couches d’attention globale (amélioration de la perte et du rappel) tout en supprimant l’encodage positionnel pour les têtes associées. Quant à la gestion d’état interne de Mamba, elle a été remplacé par la méthode GDN (Gated Delta Net), qui garantit de meilleures performances une fois passé le seuil des 30 milliards de tokens.

Certaines techniques n’ont pas porté leurs fruits. Par exemple, sur la data efficiency, Rho-1 et SoftDedup. L’une et l’autre pondèrent les tokens : elles utilisent un petit modèle qui leur attribue un score définissant leur contribution à la fonction de perte (les tokens plus « informatifs » influencent davantage les gradients).
De même, aucun optimiseur ne s’est révélé plus efficace qu’AdamW. Sinon Ademamix, mais avec des instabilités trop difficiles à gérer.

Les performances de SmolLM3, mais en plus frugal

Pour passer à l’échelle, Dragon LLM a implémenté son architecture dans le framework Megatron-LM. Le modèle qui en résulte est dit au niveau de Qwen3-4B et de SmolLM3. En tout cas sur ARC, FDA, HellaSwag, LAMBADA, PIQA et SWDE (en 0-shot). Le tout en plus frugal. Pour l’inférence, on l’a vu (DragonLLM évoque même un déploiement sur CPU), mais aussi pour l’entraînement (3700 milliards de tokens, soit 3 fois moins que SmolLM3 et 10 fois moins que Qwen3-4B).

Dragon LLM vise désormais un entraînement sur plus de 10 000 milliards de tokens, une adaptation au suivi d’instruction et la formation de plus gros modèles. Il promet des « versions dédiées à la production […] dans les prochains mois ».

À consulter en complément :

JUPITER, ce supercalculateur Arm qui met l’Europe dans l’ère exascale
IBM prend ses distances avec Transformers pour ses LLM Granite
Alibaba renonce à la « pensée hybride » pour ses LLM Qwen
Non divulgué, mal maîtrisé : Deloitte tancé pour son usage de l’IA générative
La GenAI, explorée mais peu déployée pour gérer les microservices

Illustration générée par IA

The post Architectures LLM : Dragon, une recette alternative origine France appeared first on Silicon.fr.

Ne dites plus Autonomous Data Warehouse, mais Autonomous AI Lakehouse.

Oracle opère ce changement de marque à l’aune de plusieurs évolutions fonctionnelles. Parmi elles, la gestion native du format Iceberg, d’où la notion de lakehouse. L’ajout d’un framework agentique justifie quant à lui l’aspect IA.

L’intégration Iceberg est initialement certifiée pour AWS Glue, Snowflake Polaris, Databricks Unity et Apache Gravitino. La syntaxe SQL d’Autonomous AI Database évolue en parallèle, pour permettre des requêtes de type select * from owner.table@catalog.

Après Select AI RAG, Select AI Agent

La partie agentique est nommée Select AI Agent. Elle s’inscrit dans la continuité de Select AI, lancé fin 2023 sous la bannière du text-to-SQL.

Depuis lors, Select AI a été doté, entre autres, d’une brique de RAG destinée notamment à enrichir les requêtes en langage naturel. Plus récemment, Oracle a mis à disposition un portage pour Python.

Le voilà donc qui s’ouvre à l’IA agentique, à l’appui d’un framework ReAct*. Il reprend la composante RAG, assortie d’une compatibilité MCP et de la capacité à exploiter des outils externes via REST (recherche web avec l’API OpenAI, en particulier). Quelque garde-fous sont mis en place, dont du LLM-as-a-judge pour évaluer les outputs et la possibilité de définir des « profils SQL » associés à des règles définies par l’utilisateur.

Table Hyperlink, nouveau nom des URL préauthentifiées

Le rebranding d’Autonomous Data Warehouse en Autonomous AI Lakehouse en appelle un autre : la fonctionnalité jusque-là appelée PAR URLs (Pre-Authenticated Request URLs) devient Table Hyperlink.

Le système des URL préauthentifiées permet de donner un accès temporaire, par client REST, à des tables ou à des vues dans Autonomous Database. Ces URL, générées par exécution de code PLSQL, peuvent avoir une date d’expiration et/ou un nombre maximal d’utilisations. On peut aussi les invalider manuellement. Depuis leur lancement début 2024, elles ont été enrichies sur plusieurs points. Dont, pour les producteurs de données, la possibilité d’étendre le délai de validité des URL en quelques appels API ; et un système de « partage sélectif » permettant de donner accès à des sous-ensembles de datasets sur le réseau Internet tout en conservant le reste dans un VCN (réseau virtuel privé). Pour les consommateurs de données, l’UI web s’est améliorée, avec par exemple un code couleur pour identifier tendances et anomalies.

La marque Table Hyperlink est censée mieux refléter l’objectif de cette fonctionnalité (connecter des tables à des workflows). Oracle promet d’y intégrer, à l’avenir, des variables d’association par défaut, d’assurer la cohérence pour les URL paginées… et surtout de permettre la gestion de plusieurs tables avec un même lien.

Dans le cadre des traitements de données externes, Oracle a intégré à sa base de données un système de cache sur mémoire flash (dans Exadata). Supportant les fichiers Parquet, ORC, AvRO et les tables Iceberg, il est pour l’instant manuel (c’est à l’utilisateur de définir les tables ou parties de tables à mettre en cache). Il est question d’automatiser le processus à partir de l’analyse des usages.

AI Data Platform, dans la lignée de MySQL HeatWave Lakehouse

On ne perçoit pas la dimension lakehouse dans le branding d’AI Data Platform, mais elle en est bien le fondement. L’offre, qui vient de passer en disponbilité générale, constitue une évolution d’un produit existant. En l’occurrence, MySQL HeatWave Lakehouse. Elle s’appuie sur Autonomous AI Database, Oracle Analytics Cloud (connexion possible avec des outils BI tiers), ainsi que le stockage objet et les services d’IA générative d’OCI (accès à des modèles de Meta, de Cohere, de xAI, etc.). La couche compute repose sur Apache Spark, assorti à du GPU NVIDIA. En ce sens, l’ensemble se distingue d’Autonomous AI Lakehouse, davantage orienté vers l’analytics.

Autonomous Data Warehouse et AI Data Platform sont à la base d’une autre offre, pas tout à fait nouvelle mais qui résulte aussi d’un changement de marque. Il s’agit de Fusion Data Intelligence, ex-Fusion Analytics Warehouse. Elle permet d’exploiter les outils d’analytics d’Oracle en lien avec les applications Fusion Cloud, en fournissant un pipeline, un entrepôt, un modèle sémantique et des contenus (métriques, workbooks, visualisations) prêts à l’emploi.

* Dans les grandes lignes, l’approche ReAct entrelace la génération des chaînes de pensée et la planification des actions en sollicitant du feedback humain si nécessaire.

Illustrations © Oracle

The post Le tandem lakehouse-IA s’impose dans le branding d’Oracle appeared first on Silicon.fr.

Finis la « plate-forme de communication », le « hub pour votre équipe et votre travail » ou le « remplaçant de l’e-mail » : Slack se voit désormais en « système d’exploitation agentique » (agentic OS).

L’éditeur joue cette carte à l’occasion de la Dreamforce 2025 (14-16 octobre). Il revendique une « transformation en un espace de travail conversationnel où les personnes, les IA et les agents collaborent, avec le contexte des conversations et des données ».

Dreamforce 2024 : du conversationnel, option agentique

Il y a un peu plus d’un an, à la Dreamforce 2024 (17-19 septembre), il n’était pas encore question d’agentic OS, mais de conversational work OS. Traduit alternativement, en version française, par « plateforme de travail », « plateforme collaborative »… et « système ». L’idée était par contre la même que celle prônée aujourd’hui : une « interface conversationnelle qui réunit les équipes, les données, les applications et les agents dans un environnement dédié ».

À ce moment-là, l’offre Agentforce dans Slack n’était pas encore disponible (elle allait passer en bêta en octobre 2024). La communication se portait plutôt, d’une part, sur l’installation d’applications « agentiques » via la marketplace (Claude et Perplexity étaient cités en exemple, avec la promesse d’une disponibilité imminente). De l’autre, sur la conception d’agents personnalisés à l’aide des API.

L’aspect agentique mis à part, la marque Slack AI était généreusement promue. Les fonctionnalités regroupées sous cette bannière sont aujourd’hui distillées dans les forfaits Slack payants :

• Pro (8,25 €/utilisateur/mois)
  Résumé de canaux et de threads, notes d’appels d’équipe (capture des infos importantes dans un canevas), compatibilité avec les assistants IA tiers.
• Business Plus (18 €)
  La même chose ainsi que des recaps IA quotidiens, le résumé de fichiers, la traduction et l’explication de messages, un générateur de workflows en langage naturel, une assistance à l’écriture dans les canevas et la recherche personnalisée (fondée sur les conversations et les fichiers partagés).
• Enterprise+
  La même chose avec, en complément, la recherche d’entreprise (exploitant les applications, bases de données et systèmes connectés à Slack).

L’intégration de ces fonctionnalités fut invoquée, mi-2025, pour justifier l’augmentation du prix du forfait Business+. La com de Slack était alors à cheval entre le conversational work OS et l’agentic OS : il était question de « système d’exploitation professionnel à l’ère des agents IA » (work operating system for the agentic era).

Du général au particulier

Agentforce dans Slack étant passé en disponibilité générale début 2025, il est désormais au cœur du message. La description assez générique qui en avait été donnée à la Dreamforce 2024 a laissé place à la mise en avant de cas spécifiques, pour les ventes (Agentforce Sales), le support informatique (Agentforce IT Service), la gestion des ressources humaines (Agentforce HR Service) et la datavisualisation (Agentforce Tableau).

Parallèlement, un usage généraliste est promu à travers Channel Expert. Cet agent activable dans tous les canaux peut pour le moment exploiter conversations, canevas, listes, fichiers texte et PDF. Il nécessite une licence Agentforce.

Slack s’adresse aussi aux développeurs d’applications. Il leur annonce la disponibilité d’un serveur MCP, donnant initialement accès aux conversations, aux fichiers et aux canevas. Il évoque aussi un élément récemment ajouté à son API : un bloc facilitant l’affichage de données tabulaires au sein de messages.

Avec les IA, une API devenue moins ouverte

L’API a connu, dernièrement, une évolution plus marquante, corollaire d’une démarche de restriction de l’accès aux données. Slack a effectivement modifié, fin mai, les conditions d’utilisation, essentiellement pour empêcher les exportations massives de données. L’éditeur en a interdit le stockage et l’indexation « longue durée », tout en précisant qu’elles ne pouvaient servir à entraîner des LLM. En parallèle, il a mis en place un plafonnement des débits (nombre de requêtes par minute et de messages par requête) sur les méthodes conversations.history et conversations.replies pour les applications commerciales non distribuées sur sa marketplace.

L’API RTS (Real-Time Search), promue de la bêta à la « disponibilité limitée » à l’occasion de la Dreamforce, s’inscrit dans cette même logique : elle permet d’exploiter des données sans les sortir de Slack. Les applications ChatGPT, Google Agentspace et Dropbox Dash, entre autres, en font usage. Perplexity Enterprise se connecte quant à lui au serveur MCP.

Initialement rattaché à l famille Slack AI, Slackbot commence, en tout en façade, à tendre vers l’agentique. À terme, il devra « réaliser des actions en votre nom et construire des agents sur votre demande », nous annonce-t-on. En l’état, on se tournera vers la brique Agent Builder, en exploitant éventuellement les quelques templates récemment ajoutés (Customer Insights, Employee Help, Onboarding).

À consulter en complément, un point sur l’évolution du branding côté Salesforce, entre chatbots, copilotes , agents… et dilution de la marque Einstein.

Illustration © Slack

The post D’une Dreamforce à l’autre, comment Slack entretient la flamme de l’IA agentique appeared first on Silicon.fr.

La dette d’Altice France restructurée, Bouygues Telecom, Free et Orange sortent du bois.

Après des mois de discussions, les trois opérateurs viennent de déposer une offre conjointe portant sur SFR. Elle a été immédiatement rejetée.

Voici quelques éléments de contexte chiffrés.

17 milliards d’euros

Le montant de l’offre.
Bouygues Telecom en apporterait 43 % (7,3 Md€) ; Free, 30 % (5,1 Md€) ; Orange, 27 % (4,6 Md€).

L’activité B2B serait reprise par Bouygues Telecom principalement, et par Free.
L’activité B2C serait partagée entre les trois opérateurs.
Les autres acteurs et ressources – notamment infrastructures et fréquences – seraient également partagées.
Le réseau mobile SFR en zone non dense serait repris par Bouygues Telecom.

4 participations

L’offre exclut explicitement quatre participations d’Altice. En l’occurrence :

• Intelcia
  Filiale d’outsourcing (centre de contact, recouvrement, conseil en IT…). 40 000 collaborateurs.
• UltraEdge
  Résultat de la scission des activités datacenter de SFR, effectuée en 2024 avec l’arrivée du fonds d’investissement Morgan Stanley Infrastructure Partners.
  250 sites, dont 90 utilisables en colocation (plus de 500 m² de surface IT installée) ; 45 MW de puissance disponible.
  SFR est resté client (pour ses activités télécoms) et actionnaire minoritaire.
• XPFibre
  Ex-SFR FTTH. Opérateur d’infrastructures spécialisé dans les réseaux de fibre optique. Intervient dans les zones peu et moyennement denses (AMEL, AMII et RIP). Créé en 2019 avec la prise de participation à 49,9 % d’AXA, Allianz et du fonds canadien OMERS. Renommé en 2021 après l’absorption de Covage.
• Altice Technical Services
  ERT Technologies (1350 salariés ; née en 2000) est sa principale entité. Elle conçoit, construit, exploite et assurance la maintenance d’infrastructures réseau.

80 MHz

La taille du bloc de fréquences que SFR est autorisé à exploiter sur la « bande cœur » de la 5G (3,4 – 3,8 GHz). L’attribution s’est déroulée en 2020. Orange a obtenu 90 MHz ; Bouygues Telecom et Free, 70 MHz chacun.

SFR déploie aussi la 5G sur la bande dite des 2100 Mhz. Il y dispose de 15 MHz en liaison montante (1920,5 – 1935,5 MHz) comme en liaison descendante (2110,5 – 2125,5 MHz).

L’opérateur dispose également de 5 MHz duplex dans la bande des 700 MHz, attribuée en 2015 dans le cadre du deuxième dividende numérique (récupération de fréquences exploitées par la TNT).

15 345 sites

Au 1^er octobre 2025, le volume de sites 5G SFR techniquement opérationnels en France métropolitaine (pour 18 989 sites autorisés).
Le compteur en était à 16 800 chez Bouygues Telecom (20 686 autorisés), 21 938 chez Free (25 947 autorisés) et 14 797 chez Orange (17 608 autorisés).

• Bande des 700 MHz
  SFR : pas de sites
  Bouygues Telecom : pas de sites
  Free : 20 911 sites opérationnels (25 415 autorisés)
  Orange : 12 007 sites opérationnels (13 679 autorisés)
• Bande des 2100 MHz
  SFR : 10 944 sites opérationnels (14 637 autorisés)
  Bouygues Telecom : 16 489 sites opérationnels (20 582 autorisés)
  Free : pas de sites
  Orange : 1674 sites opérationnels (2688 autorisés)
• Bande des 3,5 GHz
  SFR : 10 086 sites opérationnels (12 555 autorisés)
  Bouygues Telecom : 10 037 sites opérationnels (12 544 autorisés)
  Free : 9762 sites opérationnels (12 309 autorisés)
  Orange : 13 075 sites opérationnels (15 084 autorisés)

D’après Altice, le réseau 5G de SFR couvrait, au 30 juin 2025, 84,5 % de la population.

25,415 millions de clients

Fixe et mobile confondus, SFR comptait un peu plus de 25 millions de clients au 30 juin 2025.

Sur le fixe, ils étaient 6,109 millions, contre 6,227 millions un an plus tôt (- 1,9 %). Ce volume correspond au nombre d’utilisateurs finaux ayant souscrit à au moins un service basé sur la fibre, le câble ou les box 4G.

Sur le mobile aussi, SFR a perdu des clients. En un an, sa base est passée de 19,624 à 19,306 millions (- 1,6 %).

2028

L’horizon auquel SFR doit « redevenir l’opérateur préféré des Français en proposant le meilleur rapport qualité-prix du marché ».

Tel est en tout cas l’objectif affiché par Altice dans le cadre de son plan SFR Imagine lancé en octobre 2024. En toile de fond, le recentrage sur son activité télécoms. Il a impliqué la vente d’Altice Médias (BFMTV et RMC) à CMA-CGM pour environ 1,5 Md€.

15,5 milliards de dette

Altice France chiffrait sa dette financière nette à 23,773 Md€ au 30 juin 2025.

Elle a depuis été restructurée, et ainsi réduite à 15,5 Md€. En contrepartie, les créanciers montent à 45 % du capital (Patrick Drahi conservant ainsi une participation majoritaire).

Le groupe était entré en procédure de sauvegarde accélérée au mois de mai. Le tribunal des affaires économiques de Paris avait donné son feu vert à la restructuration de dette en août. L’opération a ouvert la voie à la vente de SFR.

Sur le premier semestre 2025, Altice France a réalisé un chiffre d’affaires de 4,746 Md€ (- 7,1 % par rapport à la même période en 2024). Dont :

• 1,294 Md€ sur le segment fixe résidentiel (- 4,6 %)
• 1,636 Md€ sur le mobile résidentiel (- 10,6 %)
• 1,43 Md€ sur le segment business services (- 5,7 %)*

Le résultat opérationnel a chuté de 25,3 %, à 645,6 M€, malgré une nette réduction des achats et de la sous-traitance. Comme, dans une moindre mesure, des autres dépenses d’exploitation (portée entre autres par l’automatisation du service client à renfort d’une IA basée sur Gemini). La perte nette s’est élevée à 368,3 M€.

* Le segment business services inclut les revenus les revenus associés à la location de l’infrastructure réseau à d’autres opérateurs. Il comprend aussi les activités datacenter, la production et la distribution de contenu, les services client et technique, ainsi que la construction de réseaux FTTH.

Illustration © Maxime Dufour Photographies

The post Rachat de SFR : 7 chiffres pour contextualiser la première offre appeared first on Silicon.fr.

Pour ce qui est des « travailleurs de première ligne » (frontline workers), les fournisseurs d’intranets restent largement en phase d’apprentissage.

D’année en année, Gartner réitère le constat dans le Magic Quadrant qu’il dédie à ce marché. La dernière édition n’y déroge pas.

Autre élément récurrent : l’absence de Microsoft, en dépit de l’influence qu’il a sur ce segment. Et pour cause : Gartner limite toujours son périmètre aux « solutions packagées » (IPS, Intranet Packaged Services), définies comme « prêts à l’emploi ». Par opposition à SharePoint, qui nécessite des composantes externes (de Microsoft ou de tierces parties), en tout cas pour satisfaire aux critères fonctionnels évalués.

Reste que Microsoft est l’éditeur avec lequel tous les fournisseurs d’IPS doivent composer. Certains se greffent sur des locataires Office 365 quand d’autres utilisent SharePoint pour gérer le contenu et/ou mettent en place des intégrations avec des éléments comme Entra ID, Teams et le Microsoft Graph.

Peu de fournisseurs ont des solutions verticales voire déploient un effort marketing et commercial dans ce sens, ajoute Gartner. Ce critère a toutefois eu un poids faible dans l’évaluation.

16 fournisseurs, 7 « leaders »

L’axe « exécution » du Magic Quadrant reflète la capacité à répondre effectivement à la demande. La situation est la suivante :

Rang	Fournisseur	Évolution annuelle
1	Unily	+ 1
2	Simpplr	– 1
3	LumApps	+ 3
4	Workvivo by Zoom	+ 1
5	Omnia	nouvel entrant
6	ServiceNow	+ 5
7	Blink	nouvel entrant
8	Staffbase	+ 1
9	Firstup	– 1
10	Interact	=
11	Appspace	+ 2
12	MangoApps	– 8
13	Haiilo	– 1
14	Akumina	– 11
15	Powell	– 8
16	Axero	– 1

Sur l’axe « vision », censé refléter les stratégies (géographique, sectorielle, commerciale, marketing, produit…) :

Rang	Fournisseur	Évolution annuelle
1	LumApps	+ 3
2	Simpplr	– 1
3	Unily	– 1
4	Workvivo by Zoom	+ 1
5	Interact	+ 2
6	MangoApps	+ 5
7	Akumina	+ 2
8	Firstup	– 2
9	Staffbase	– 6
10	Powell	+ 3
11	Omnia	nouvel entrant
12	Haiilo	+ 2
13	Appspace	– 3
14	ServiceNow	– 6
15	Axero	– 3
16	Blink	nouvel entrant

Les fournisseurs classés « leaders » sont les mêmes que dans le précédent Magic Quadrant des IPS :  Firstup, Interact, LumApps, Simpplr, Staffbase, Unily et Workvivo.

Firstup, pas le mieux placé pour la gestion du travail et du contenu

Gartner salue la stratégie marketing de Firstup, capable de cibler un large éventail de profils d’acheteurs. Il apprécie aussi la gestion du premier contact et de l’onboarding. Bons points également pour l’expérience client (gestion de compte, collecte de feedback, promotion des communautés) et la viabilité de l’entreprise (santé financière, base de clientèle, engagement R&D).

Firstup n’est pas le mieux placé pour répondre aux exigences qui vont au-delà de la communication multicanale et du frontline, pour toucher par exemple à la recherche d’entreprise, à l’IA et à la gestion de contenu. Il ne propose, par ailleurs, pas de capacités « traditionnelles » de gestion du travail (assignation de tâches, automatisation de workflows…). Gartner note aussi l’absence de solutions verticales et le défi de passage à l’échelle – ventes, marketing, support, développements personnalisés – pour Firstup, qui n’est pas un pure player.

Idéation, newsletters, affichage dynamique… Des briques moins matures chez Interact

Interact a aussi droit à un bon point sur son marketing, tant pour la stratégie que pour l’exécution. Il se distingue également par sa compréhension des profils d’acheteurs ; et, en conséquence, par sa capacité à contextualiser ses offres. Gartner apprécie de surcroît son niveau de présence au sein des organisations de moins de 25 000 employés et l’extensibilité de sa solution. Ainsi que la prise en charge du frontline, entre autres par des intégrations avec des systèmes de gestion du travail.

Certaines briques d’Interact sont moins matures que son cœur fonctionnel. Par exemple, l’idéation, les newsletters et l’affichage dynamique. Attention également au modèle largement direct, qui limite les ressources dans certaines régions géographiques (Asie-Pacifique et Amérique latine, notamment). On prendra par ailleurs garde d’avoir les ressources nécessaires si on apporte ses propres modèles sur le back-end IA.

Mise en place et gestion complexes pour LumApps

Gartner salue l’exhaustivité de l’offre de LumApps et son adaptabilité à beaucoup de cas d’usage. Il apprécie aussi son extensibilité (orchestration et automatisation de workflows, développement de mini-apps) et les fonctionnalités IA qui lui ont été greffées, tant pour les admins que les gestionnaires de contenus et les utilisateurs finaux.

La mise en place et la gestion peuvent s’avérer complexes, même avec l’assistance par GenAI. LumApps manque par ailleurs de notoriété dans certaines régions et en dehors de son cœur de marché. La clientèle étant essentiellement composée d’organisations de moins de 10 000 employés, les plus grandes auront sont d’étudier si le support leur conviendra.

Chez Simpplr, un manque de cohésion entre communication et gestion de contenu

Simpplr se distingue par ses efforts sur l’orchestration. Ainsi que sur l’IA, gouvernance comprise (utilisation de NVIDIA NeMo Guardrails et de Langfuse). Gartner apprécie aussi la qualité des interactions client (marketing, vente, partenaires) et l’efficacité de la solution en matière de gestion du travail.

Présent surtout en Amérique du Nord, Simpplr a une distribution géographique moins équilibrée que ses concurrents. Gartner ajoute que la partie communication multicanale manque de cohésion vis-à-vis de la gestion de contenu, qui n’est plus globalement par le fort de Simpplr. Le cabinet américain note aussi un focus R&D parfois au détriment des ventes et du marketing.

IA, orchestration et extensibilité, des faiblesses de Staffbase

Staffbase a pour lui son niveau de compréhension du marché, porté par son expérience sur la partie communication entre employés. Son intégration de longue date avec Microsoft lui permet de bien couvrir à la fois employés de bureau et frontline. L’empreinte géographique (distribution du revenu, réseau de partenaires, versions localisées) est un autre point fort. Comme la santé financière de l’entreprise et ses investissements en R&D.

Staffbase peut être perçu comme globalement immature sur l’IA pour qui cherche des capacités avancées de gestion du travail, de service aux employés et d’optimisation data-driven. Gartner relève aussi des faiblesses dans l’orchestration et l’extensibilité. Ainsi que les défis qu’est susceptible de poser le focus de Staffbase sur l’aspect communication.

Tarification peu transparente chez Unily

Bon point marketing également pour Unily, onboarding compris. Gartner apprécie aussi le réseau de partenaires et d’intégrations, la capacité de collecte de feedback et la disponibilité de solutions sectorielles.

Unily a une présence limitée dans les entreprises de moins de 10 000 salariés – certaines ressentent qu’elles ne sont pas une priorité. Gartner relève aussi le manque de transparence de sa tarification, les limites sur les fonctionnalités IA (analyse de recherche, simulation d’audience, UI adaptatives) et le support (temps de réponse et d’escalade).

Workvivo pousse le social/communautaire au détriment d’autres use cases

En plus de pouvoir s’appuyer sur les ressources et la notoriété de Zoom, Workvivo opère un positionnement markting efficace. Gartner apprécie ses programmes d’accompagnement client et l’accent mis sur le développement de communautés internes.

En matière de gestion du travail et d’extensibilité, il y a mieux, explique le cabinet américain. Workvivo est globalement jugé trop agressif sur le sujet social/communautaire au détriment d’autres cas d’usage. Vigilance aussi pour qui veut standardiser sur Teams : l’expérience front-end est brandée Workvivo, mais le back-end est branché sur Zoom.

Illustration générée par IA

The post Digital workplace : le frontline, défi persistant pour les fournisseurs d’intranets appeared first on Silicon.fr.

AWS orchestre un grand ménage dans ses services de modernisation.

Migration Hub et Application Discovery Service sont passés en mode maintenance. Pour le moment jusqu’au 7 novembre 2025, date à partir de laquelle ils n’accepteront plus de nouveaux clients*. Il en sera de même à cette échéance pour les outils de modernisation .NET**. Tandis que Mainframe Modernization Service n’existera plus qu’en version autogérée.

Le palliatif désigné, lancé il y a quelques mois sous la bannière de l’IA agentique, s’appelle AWS Transform.

Quantité d’autres services passeront en mode maintenance à partir du 7 novembre 2025. En voici quelques-uns.

Amazon Cloud Directory

Magasin de données hiérarchisées, alternatif aux annuaires LDAP. Les écritures seront bloquées dans un deuxième temps (passé le 22 avril 2026). Puis le service fermera le 30 septembre 2026 et le contenu sera supprimé en parallèle. AWS n’y a plus ajouté de fonctionnalités depuis 2018 et le lancement d’Amazon Neptune, base de données orientée graphe vers laquelle il recommande aujourd’hui de migrer.

Amazon CodeCatalyst

À partir du 7 novembre, il ne sera alors plus possible, pour les utilisateurs existants, de créer de nouveaux espaces. AWS recommande de migrer vers l’offre GitLab Duo with Amazon Q. Ou alors vers CodeBuild (compilation et test de code), CodePipeline (orchestration CI/CD), CodeDeploy (déploiement d’applications) et Code Artifact (gestion de packages).

Amazon CodeGuru Reviewer

Service d’analyse de code Java et Python sur Bitbucket, CodeCommit, GitHub et S3). À partir du 7 novembre 2025, il ne sera plus possible de créer de nouvelles associations de dépôts. Options de migration recommandées : Amazon Q Developer et Amazon Inspector, qui couvrent l’un et l’autre GitHub et GitLab.

Amazon S3 Object Lambda

Ce service permet l’ajout de code aux requêtes S3 GET, HEAD et LIST pour modifier des données. Il n’acceptera plus de nouveaux utilisateurs à la même date. AWS recommande d’invoquer Lambda par d’autres moyens (via CloudFront, API Gateway ou les URL de fonctions) ou de traiter les données dans les applications clientes.

Amazon Glacier

Le passage en maintenance d’Amazon Glacier interviendra un peu plus tard. Le 15 décembre 2025 en l’occurrence. On parle là du service d’origine, autonome, basé sur un coffre-fort avec API REST. Les données stockées jusque-là resteront accessibles indéfiniment, assure AWS, qui recommande de faire la transition vers les classes de stockage Glacier dans S3. Lesquelles ont l’avantage d’une disponibilité plus large sur son cloud, d’une intégration avec ses autres services, d’un coût inférieur et d’une API niveau bucket.

AWS IoT SiteWise Monitor et Data Procesing Pack

Deux composantes de l’offre AWS IoT SiteWise passeront également en mode maintenance le 7 novembre 2025. D’une part, le Data Processing Pack  (transformation, stockage et visualisation de données). De l’autre, Monitor (création de portails web pour visualiser et partager des données au sein d’une organisation). Pour remplacer le premier, AWS recommande soit l’open source (Node-RED pour la transformation, InfluxDB pour le stockage de séries chronologiques, Grafana pour la visualisation), soit des solutions de partenaires (CloudRail, EasyEdge, Litmus Edge). Au second, il conseille de substituer le plug-in Amazon Managed Grafana (en sachant qu’il n’y a pas de contrôle d’accès niveau asset ni d’intégration avec AWS IoT SiteWise Assistant) ou bien Grafana Cloud ou autohébergé.

AWS Snowball Edge

Appliances de transfert de données. L’offre n’acceptera plus non plus de nouveaux clients à compter du 7 novembre 2025. Successeurs recommandés : DataSync pour les transfert sur lien réseau et Data Transfer Terminal pour les transferts physiques (Seagate et Tsecond soit également cités). Pour remplacer l’appliance optimisée compute, il y a éventuellement l’offre AWS Outposts.

Amazon Fraud Detector

Détection de fraude à base de machine learning. En guise de remplacement, AWS avance son WAF (pare-feu pour applications web), son service SageMaker (MLOps)… et une bibliothèque open source dont il est à l’origine : AutoGluon (AutoML à partir d’images, de texte, de séries chronologiques et de données tabulaires).

Accès web à Amazon WorkSpaces sur PCoIP

AWS recommande d’installer, si possible, les clients Amazon WorkSpaces. Sinon, de migrer vers le protocole DCV. Qui a, entre autres avantages :

• Meilleures performances
• Fonctionnalités supplémentaires (SAML et authentification par certificats, notamment)
• Disponibilité étendue (pas d’accès web sur PCoIP dans certaines régions AWS, dont Paris)
• Gestion des bureaux Linux en plus de Windows
• Fonctionnement dans Edge et Safari en plus de Chrome et Firefox
• Gestion des écrans multiples et des GPU côté hôte

* Sur Migration Hub comme sur Application Discovery Service et Mainframe Modernization Service, les projets en cours pourront être menés à leur terme.

** Cela comprend Porting Assistant for .NET, AWS App2Container, AWS Toolkit for .NET Refactoring et AWS Microservice Extractor for .NET.

Illustration © Annika – Adobe Stock

The post De Glacier à CodeCatalyst, AWS range nombre de services au placard appeared first on Silicon.fr.

Pour la gestion des API, la tendance est à l’approvisionnement auprès de plusieurs fournisseurs.

Gartner avait fait la remarque l’an dernier dans le Magic Quadrant consacré à ce marché. Il va plus loin cette année : le sourcing multiple est devenu standard… en contrepartie d’un risque de fragmentation que peuvent toutefois atténuer les architectures fédérées.

Un autre mouvement s’est confirmé : une part croissante des utilisateurs de solutions de gestion des API sont des développeurs. Les stratégies marketing ont évolué en conséquence. Mais des offreurs gardent un déficit de visibilité auprès de ce public. Y compris quelques-uns de ceux que Gartner classe comme « leaders ». En l’occurrence, Axway, Boomi et, dans une certaine mesure, IBM.

17 fournisseurs, 7 « leaders »

En 2024, Boomi faisait partie des « acteurs de niche ». En un an, il a nettement progressé, tant en « exécution » (capacité à répondre effectivement à la demande du marché) qu’en « vision » (stratégies : sectorielle, géographique, commerciale, marketing, produit…). Axway et IBM étaient quant à eux déjà « leaders ». Même chose pour Google Cloud, Gravitee, Kong et Salesforce. On ne peut pas en dire autant de SmartBear, qui a rétrogradé chez les « visionnaires ».

Sur l’axe « exécution », la situation est la suivante :

Rang	Fournisseur	Évolution annuelle
1	Google	=
2	IBM	=
3	Salesforce	+ 2
4	Kong	+ 5
5	Boomi	+ 8
6	Axway	– 3
7	Gravitee	+ 3
8	WSO2	+ 6
9	Microsoft	– 5
10	SAP	– 3
11	AWS	– 5
12	Sensedia	+ 5
13	SmartBear	– 2
14	Tyk	– 6
15	Workato	nouvel entrant
16	Postman	– 1
17	Solo.io	– 1

Sur l’axe « vision » :

Rang	Fournisseur	Évolution annuelle
1	Kong	=
2	Boomi	+ 12
3	Gravitee	+ 3
4	Salesforce	+ 3
5	IBM	– 1
6	Google	– 4
7	Tyk	+ 4
8	Postman	– 5
9	Axway	– 4
10	SmartBear	– 2
11	Microsoft	+ 1
12	Workato	nouvel entrant
13	SAP	=
14	WSO2	– 5
15	Sensedia	=
16	Solo.io	– 6
17	AWS	=

Axway : avec le chantier iPaaS, moins d’agilité sur l’IA

Comme l’an dernier, Axway se distingue sur la gestion fédérée des API. Gartner salue de plus le lancement récent d’une brique iPaaS. Il apprécie aussi la manière dont les partenariats (Stoplight, Ping, Graylog, Traceable…) viennent renforcer le modèle économique, au même titre que les acquisitions (en particulier celle de Sopra Banking Software, dont la fusion avec Axway a donné 74Software). Bon point également pour la capacité d’internationalisation, entre documentation multilingue et UI localisées.

Également comme l’an dernier, la notoriété auprès des développeurs reste limitée. Axway est par ailleurs plus lent que la concurrence pour livrer des fonctionnalités IA « avancées » (le focus sur l’iPaaS l’explique en partie, comme la restructuration de sa stack autour de la notion d’événements). Gartner relève, en parallèle, une croissance des ventes bien inférieure à la moyenne du marché.

Boomi manque d’accroche auprès des développeurs

L’année écoulée aura marqué un tournant dans la vision de la gestion des API chez Boomi, de sorte que ce dernier dépend désormais moins du seul iPaaS pour se différencier.  L’acquisition d’APIIDA et de TIBCO Mashery a accompagné la refonte de l’offre, assortie d’une feuille de route que Gartner salue. Dans le même temps, la présence commerciale de Boomi s’est étendue, tant du point de vue géographique qu’au travers du renforcement de partenariats (ServiceNow et AWS en particulier).

Sur la gestion des API, Boomi reste, relativement aux autres « leaders », un petit acteur en termes de revenus et de part de marché. Il n’a pas non plus la même empreinte auprès des développeurs (son marketing reste perçu comme axé sur les métiers et les décideurs IT). Vigilance également quant à l’intégration avec les passerelles tierces : elle peut s’avérer complexe.

Apigee « généreusement » poussé comme complément à GCP

Google Cloud se distingue sur le volet innovation, entre autres parce qu’il a greffé à Apigee de quoi favoriser la conception d’API par des agents (avec prise en charge des protocoles A2A et MCP). Gartner apprécie aussi les possibilités offerts en matière de monétisation du trafic IA et de détection des usages abusifs. Il y ajoute la stabilité du produit et sa capacité à remplir les cas d’usage les plus complexes… sous réserve de disposer de l’expertise adéquate.

Google Cloud continue néanmoins à positionner ses produits comme des compléments à GCP plutôt que comme des solutions autonomes. Des clients signalent, de surcroît, qu’on les incite à migrer. Le produit en lui-même est relativement complexe à exploiter. Et malgré des changements positifs sur la tarification, des clients de longue date expriment leur inquiétude quant au rapport coût/bénéfices.

Gravitee n’a toujours pas sectorialisé son offre

Outre un déploiement flexible, Gravitee a pour lui l’indépendance vis-à-vis de tout cloud, progiciel ou iPaaS. Gartner souligne qu’il a su rapidement proposer une passerelle IA gérant le protocole MCP (et destinée à s’ouvrir aux maillages agentiques). Bon point également pour la performance commerciale (CA déclaré en croissance de 70 % sur un an), doublée d’une tarification simple.

Par rapport aux autres « leaders », Gravitee manque de notoriété. Il n’a toujours pas « verticalisé » son approche. Et sa clientèle reste largement concentrée en Europe (les acheteurs sur d’autres plaques géographiques se poseront la question du service et du support).

IBM, peu pris en considération hors de son écosystème

IBM est crédité d’un bon point pour la couverture fonctionnelle de son offre. Il l’est aussi pour la flexibilité de déploiement et la livraison de fonctionnalités axées IA (gestion des prompts, routage LLM). Gartner salue également la diversité de sa clientèle (tailles, régions, secteurs) ainsi que de son réseau commercial et de support.

L’acquisition de webMethods a produit un doublon au catalogue (voire plus si on considère que Red Hat a sa propre offre de gestion d’API), qui demeure en l’état même si IBM a promis une convergence. Big Blue a par ailleurs tendance à toucher essentiellement les organisations qui sont ses clients sur d’autres segments (il est peu évalué sinon). Et sur l’année écoulée, ses ventes ont connu une croissance sous la moyenne du marché.

Kong : une tarification qui peut prêter à confusion

Kong se distingue par les fonctionnalités AI-driven qu’il a livrées dernièrement (génération d’API, de spécifications et de serveurs MCP). Il parvient par ailleurs à conserver une forte visibilité, à renfort d’événements, de partenariats et de présence sur les principales marketplaces. Gartner salue aussi le lancement des Serverless Gateways (passerelles « légères » sans serveur) et de l’Event Gateway (qui permet de gérer des flux Kafka), intégrée avec son maillage de services.

Comme chez Gravitee, pas de solutions sectorielles au catalogue. Attention aussi à la courbe d’apprentissage que supposent les solutions Kong, en plus de la confusion que peuvent susciter la tarification basée sur les services et les frais supplémentaires pour des éléments comme les portails, les tests et l’analytics. Gartner y ajoute une présence limitée en Amérique du Sud, au Moyen-Orient et en Afrique comparé aux autres « leaders ».

Salesforce reste un des fournisseurs les plus chers

En complément à la présence commerciale et au réseau de partenaires, Gartner note que Salesforce a réussi à s’étendre sur le segment SMB (small and medium business, entreprises de moins de 1000 employés), qui représente 30 % du business de MuleSoft. L’intégration avec le reste de son offre a contribué à attirer une grosse base de clientèle. Salesforce jouit globalement d’une grande notoriété de marque, y compris auprès des développeurs.

En plus de rester l’un des fournisseurs les plus chers, MuleSoft présente une structure de prix complexe susceptible d’entraîner des coûts imprévus. Il est par ailleurs perçu comme plus réactif qu’innovant, en particulier pour ce qui touche à l’IA. Et les capacités restent limitées sur la monétisation comme le test d’API, ainsi que la fédération de passerelles.

Illustration © Murrstock – Adobe Stock

The post Gestion des API : le sourcing multiple est devenu standard appeared first on Silicon.fr.

Il va falloir s’y habituer : les « agents Joule » se multiplient au catalogue de SAP.

L’éditeur allemand vient d’en annoncer 14 supplémentaires. Ils seront intégrés d’ici à mi-2026 dans certains de ses logiciels.

Quatre de ces agents visent les métiers de la finance :

• Accounting Accruals (tenue du journal comptable)
• Cash Management (gestion de trésorerie)
• International Trade Classification (conformité aux règles du commerce international)
• Receipts Analysis (traitement des notes de frais)

Trois sont dans le domaine de la supply chain :

• Change Record Management (gestion du changement)
• Product Planning and Operations (planification de la production et gestion de l’exploitation)
• Supplier Onboarding (embarquement des fournisseurs)

Trois également dans les RH :

• Career and Talent Development (gestion de carrière)
• HR Service (traitement des demandes des employés)
• People Intelligence (rétention et gestion des compétences)

Un agent s’adresse aux achats (Bid Analysis ; analyse des offres). Deux touchent à la gestion des processus (Process Content Recommender et Workspace Administration). S’y ajoute un agent sectoriel (Utilities Customer Self-Service, ciblant les fournisseurs d’énergie).

Ces 14 agents en rejoignent 17 autres. Les voici, avec leur stade de développement, les produits concernés et – pour certains – quelques-unes des promesses chiffrées que leur associe SAP.

Finance

Accounts Receivable (gestion des créances)
En bêta, pour S/4HANA Cloud Private Edition.
Recommande des actions selon le profil et l’historique du paiement du client.
Promesses*, entre autres : 75 % de temps en moins pour l’analyse et la réconciliation (de 20 à 5 minutes par dossier) et réduction de 2 % du taux de passage en pertes et profits (de 1 à 0,98 %).

Booking (gestion des réservations)
En accès anticipé, pour Concur Travel.
Recommande vols et hébergement selon le voyageur, les politiques de l’entreprise et les contraintes budgétaires.

Dispute Resolution (résolution des litiges)
En bêta, pour S/4HANA Cloud Private Edition.
Promesses, entre autres : réduction de 30 % du temps de gestion de litige (de 20 à 14 minutes) et de 5 % du taux de churn associé (de 0,25 à 0,238 %).

Expense Report Validation (validation des rapports de dépenses)
En accès anticipé, pour Concur Expense.
Promesses : réduction de 30 % du temps de préparation et de soumission (de 30 à 21 minutes par rapport) et de 25 % du taux de rejet (de 15 à 11,4 %).

Meeting Location Planner (organisation de réunions hors site)
En accès anticipé, pour Concur Travel.
Promesses : réduction de 10 % des dépenses annuelles par employé concerné (de 3975 à 3488 €) et de 15 % du temps de planification par réunion (de 5 heures à 4 heures 15 minutes).

Supply chain

Field Service Dispatcher (gestion des ressources)
En bêta, pour SAP Field Service Management.

Maintenance Planner (planification de la maintenance)
En bêta, pour S/4HANA Cloud Private Edition.
Promesses : réduction de 40 % du temps nécessaire à la création des backlogs (de 120 à 72 minutes par jour) et de 1 % du taux d’arrêts imprévus (de 92 à 92,1 % d’uptime).

Shop Floor Supervisor (supervision de la production en atelier)
En bêta, pour SAP Digital Manufacturing.
Promesses : réduction de 50 % du temps passé à gérer les perturbations (de 60 à 30 minutes par jour) et de 2 % du taux d’arrêts non planifiés (de 92 à 93,8 % d’uptime).

CX

Case Classification (tri de cas)
Disponible pour Sales Cloud Version 2, Service Cloud Version 2 et dans le cadre de SAP CX AI Toolkit.

Catalog Optimization (optimisation de catalogue)
En bêta, pour Commerce Cloud et dans le cadre de CX AI Toolkit.

Digital Service (réponse aux questions des équipes de vente et de service client)
En accès anticipé, dans le cadre de CX AI Toolkit.

Knowledge Creation (création de bases de connaissances à partir de tickets résolus)
Disponible pour Sales Cloud Version 2, Service Cloud Version 2 et dans le cadre de CX AI Toolkit.

Q&A (réponse aux questions des clients)
Disponible pour Sales Cloud Version 2, Service Cloud Version 2 et dans le cadre de CX AI Toolkit.

Quote Creation (création de devis)
Disponible pour Sales Cloud et dans le cadre de CX AI Toolkit.
Automatise la création de devis à partir d’une boîte mail Office 365 partagée.

Shopping (accompagnement du parcours client)
Disponible pour Commerce Cloud et CX AI Toolkit.
Promesses, entre autres : hausse de 10 % du taux de conversion (de 3 à 3,3 %) et du panier moyen (de 309 à 340 €).

Les agents CX actuellement commercialisés ne peuvent être achetés qu’à travers le package Joule Premium for Customer Experience. Lequel inclut, outre les agents, une vingtaine de fonctionnalités « étiquetées IA » (détection de comptes en double, création de descriptions de produits, aide à la génération de leads…).

Un agent est dédié aux RH (Performance and Goals, censé aider à préparer les entretiens d’évaluation). Un autre aux achats (Sourcing, illustré ci-dessous, qui automatise les RPF ; il est en bêta, pour Ariba Sourcing).

* SAP dit baser ses estimations sur « des cas clients, des benchmarks et d’autres recherches ».

Illustrations © SAP

The post Où en est SAP Joule dans son tournant agentique ? appeared first on Silicon.fr.

Knative est désormais officiellement prêt pour un usage en production.

La CNCF (Cloud Native Computing Foundation) le considère en tout cas. Elle vient de promouvoir le projet au plus haut stade de maturité dans sa nomenclature (graduated).

À l’origine de ce framework serverless pour Kubernetes, il y a Google, qui avait ouvert le projet à la communauté à l’été 2018. L’entrée à la CNCF – au stade « incubation » – était intervenue en mars 2022, quelques mois après le passage en version 1.0. VMware, IBM et Red Hat en étaient alors les principaux contributeurs. Le premier était majoritaire au comité de supervision technique. Les deux autres y étaient également présents, en plus d’avoir chacun un siège dans l’instance supérieure : le comité de pilotage.

Red Hat et VMware en têtes de pont

En 2024, le comité de supervision technique a été fusionné dans le comité de pilotage. Deux employés de Red Hat y siègent, aux côtés de représentants CoreWeave et de Stacklok, ainsi que d’un ancien de Pivotal-VMware-Broadcom qui commercialisa Knative dans le cadre de la plate-forme Tanzu.

Le projet se divise actuellement en 7 groupes de travail :

• Functions (géré par des employés de Red Hat et VMware)
• Serving (géré par l’ancien de Pivotal-VMware-Broadcom)
• Eventing (Red Hat)
• UX (universités OCAD et de Toronto)
• Exploitation (Bloomberg)
• Productivité* (Cisco et Red Hat)
• Sécurité (IBM et VMware)

Bloomberg est d’autant plus impliqué qu’il fait partie des organisations utilisatrices de Knative. Comme, entre autres, Alibaba Cloud, Blue Origin, Box, Gojek, ManoMano, Scaleway et Tata Communications.

Un positionnement sur l’IA, y compris agentique

Les intergiciels Serving, Eventing et Functions constituent le cœur fonctionnel du projet.

Serving fournit de quoi déployer et gérer des services HTTP stateless sans serveur.
Eventing apporte un ensemble d’API permettant la mise en œuvre d’une architecture orientée événements. Elle s’appuie sur les spécifications CloudEvents.
Functions utilise Serving et Eventing pour aider au déploiement de fonctions sous forme d’images OCI.

Serving et Eventing partagent des sous-projets Client et Operator. Le premier porte un outil en ligne de commande destiné à créer des ressources Knative sans avoir à modifier des fichiers YAML. Le second aide à installer les deux briques sur des clusters Kubernetes.

Ces derniers temps, la communication publique du projet s’est nettement orientée sur les LLM. Notamment autour de KServe, un serveur de modèles basé sur Knative Serving. Mais aussi à renfort de plusieurs cas d’usage. Poussés en particulier par Red Hat (inférence avec Llama Stack, IA agentique pour le traitement de conversations client…) et par IBM (pour l’entraînement de modèles dans le cadre du service watsonx Assistant).

* « Santé » du projet : tests, infrastructure, CI/CD, etc.

The post Knative, la couche serverless pour Kubernetes, arrive à maturité appeared first on Silicon.fr.

Pour 8×8, pas de 13^e année consécutive parmi les « leaders » de l’UCaaS. En tout cas dans le cadre du Magic Quadrant.

On avait pu sentir le vent tourner l’an dernier. Gartner avait pointé l’incapacité croissante de l’entreprise américaine à différencier ses produits dans le paysage concurrentiel.
Il souligne cette fois-ci sa perte de visibilité, entre autres du fait que son offre est guidée par l’aspect téléphonie plutôt que collaboration.

Conséquence : voilà 8×8 rétrogradé chez les « visionnaires ».
Les quatre autres « leaders » de 2024 le restent (ils le sont d’ailleurs depuis 2020). Dans l’ordre alphabétique, Cisco, Microsoft, RingCentral et Zoom.

11 fournisseurs, 4 « leaders »

D’une année sur l’autre, le même périmètre a été pris en compte. En l’occurrence, la collaboration interne, le télétravail et les présentations externes. Les webinaires ainsi que le support et la formation à distance n’étaient pas obligatoires (Gartner les classe dans un autre segment : les « solutions de réunion »).

Les offreurs ont été jugés sur deux axes. L’un prospectif (« vision »), portant sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

Sur l’axe « exécution », la situation est la suivante :

Rang	Fournisseur	Évolution annuelle
1	Microsoft	=
2	Cisco	=
3	Zoom	+ 1
4	RingCentral	– 1
5	8×8	=
6	Google	=
7	GoTo	=
8	Vonage	=
9	Dialpad	=
10	Wildix	+ 1
11	Sangoma	– 1

Sur l’axe « vision » :

Rang	Fournisseur	Évolution annuelle
1	Microsoft	=
2	Cisco	=
3	Zoom	=
4	RingCentral	=
5	8×8	=
6	Dialpad	=
7	GoTo	+ 1
8	Vonage	– 1
9	Google	=
10	Wildix	=
11	Sangoma	=

Sur ce marché de commodités, la tendance est au développement de la brique centre de contact, en particulier pour les besoins internes.

Un autre levier de différenciation est l’IA. Y compris agentique, en premier lieu pour l’administration et la maintenance. L’offre apparaît toutefois en avance sur la demande : le critère IA n’est pas encore fondamental dans les décisions d’achat, sauf pour des scénarios spécifiques impliquant des métiers en contact avec la clientèle.

De la mise en place à l’exploitation, Cisco Webex demande des efforts

L’an dernier, Cisco avait eu droit à un bon point pour ses investissements transversaux en IA. Gartner avait aussi souligné la profondeur de son catalogue (incluant réseau, sécurité et terminaux). Ainsi que la dernière génération de ses appareils.

Cette année encore, les investissements dans l’IA sont salués. Il en va de même pour le catalogue, au sens où Cisco est un des rares fournisseurs classés au Magic Quadrant à associer UCaaS, CCaaS (centre de contact) et CPaaS (intégration des communications dans les applications métier), en plus du matériel. Gartner apprécie aussi sa stratégie sectorielle, mise en œuvre à l’appui de certifications et de standards spécifiques.

En 2024, Gartner avait noté l’inconsistance du support, largement indirect. Il avait aussi signalé la complexité de Webex aux yeux du mid-market (organisations de 100 à 999 employés) et la tendance de beaucoup d’acheteurs à ne sourcer que la partie téléphonie chez Cisco.

Cette dernière remarque vaut toujours. Idem pour la complexité de Webex : le paramétrage initial et la gestion ultérieure exigent davantage de temps et d’efforts que chez les concurrents. Quant à la tarification, elle peut s’avérer plus compliquée à comprendre et à négocier pour le mid-market.

Microsoft peut s’améliorer sur l’administration graphique

L’an dernier, Microsoft avait eu des bons points pour ses SLA, la flexibilité des options PSTN et les innovations en matière d’IA sous la bannière Copilot in Teams.

Cette année encore, Gartner salue un socle IA robuste quoique actuellement focalisé sur la partie réunions. Microsoft se différencie aussi par sa capacité de couverture géographique des besoins téléphonique, grâce à l’étendue de ses ressources de support et de ses partenariats telcos. Il a également l’avantage d’un TCO « relativement faible », d’une facilité d’usage et d’une intégration étroite avec les principales solutions UCaaS.

En 2024, Gartner avait pointé l’accumulation d’options de connectivité RTC, rendant le choix difficile. Il avait aussi relevé des manques en matière de téléphonie avancée (SMS, intégration CRM, enregistrement avancé d’appels) et une incapacité à couvrir complètement la plupart des besoins sur la partie call center.

Cette fois, le cabinet américain insiste sur la nécessité d’améliorer les capacités d’administration et de gestion des terminaux via le GUI. Il regrette aussi que la brique Dynamics 365 Contact Center, lancée l’an dernier, ne soit pas fournie en natif avec Teams. Et fait remarquer que les fonctionnalités de collaboration ont tendance à concurrencer la téléphonie.

Chez RingCentral, des hausses de prix au renouvellement

L’an dernier, RingCentral avait été salué pour son centre de contact natif RingCX, complété de surcroît pas l’offre NiCE pour les besoins plus avancés. Autre bon point : le niveau d’intégration de l’IA (traduction, suggestion d’actions post-réunion, détection de contenu sensible, création de clips vidéo thématiques…) et des applications tierces.

L’IA fait encore mouche auprès de Gartner cette année, notamment avec la fonction de « réceptionniste virtuel ». Même remarque pour le niveau d’intégration des applications tierces. S’y ajoute la richesse et l’intuitivité de la fonction téléphonie (transfert d’appels sur mobile, notamment).

La téléphonie reste le point d’entrée sur la plupart des contrats, alors que cette brique guide de moins en moins de décisions d’achat, avait averti Gartner l’an dernier. Il avait aussi évoqué l’expérience mitigée sur la vente et le support. Tout en notant que les partenariats avec des fournisseurs « legacy » n’avaient pas produit les résultats attendus.

Cette fois encore, vigilance sur le support, tant pour les délais de réponse que de résolution. Attention également à la hausse des prix lors des renouvellements. RingEX reste par ailleurs voice-centric et les capacités natives d’analytics de RingCX doivent encore progresser pour fonctionner à l’échelle.

Tendance au bundling chez Zoom

L’an dernier, Zoom s’était distingué sur son historique de service et de support, l’adéquation de son offre centre de contact pour les PME et ses capacités en matière de réunions (intuitivité de l’UI, notamment).

Cette année, l’un des bons points va à la simplicité de mise en œuvre et de maintenance de la brique centre de contact embarquée. Gartner apprévie également la qualité des services et du support. Et l’exhaustivité du Trust Center, assorti d’investissements notables sur la sécurité, la privacy et la conformité.

En 2024, Gartner avait noté un ralentissement de la croissance de la base client. Et la tendance des acheteurs à sélectionner des concurrents pour la partie collaboration ou centre de contact. En parallèle, il avait regretté l’octroi de moins de remises et autres incitations que par le passé.

Ces dernières années, le licensing de Zoom a changé plus vite que la moyenne du marché, constate cette fois-ci Gartner. Au final, on peut se voir présenter, au renouvellement, des bundles susceptibles d’inclure des fonctionnalités non nécessaires. On restera également vigilant quant à l’éventuel manque de compétitivité des briques calendrier, mail et traitement de texte récemment ajoutées. Attention également à l’UX, qui peut se révéler complexe à prendre en main à mesure qu’on dépasse l’usage de Zoom pour les réunions.

Illustration générée par IA

The post UCaaS : l’IA, plus prégnante dans l’offre que dans la demande appeared first on Silicon.fr.

La plainte de Nextcloud contre Microsoft n’est plus.

L’entreprise allemande a décidé d’abandonner la démarche. Elle regrette l’absence de « progrès notable » depuis la saisine de la Commission européenne en 2021.

Il était reproché au groupe américain d’utiliser Windows pour favoriser ses propres services, à commencer par OneDrive et Teams. Nextcloud le déplore toujours. Et ajoute désormais, entre autres, la difficulté à utiliser l’OS sans créer de compte Microsoft.

Une trentaine d’organisations avaient apporté un soutien formel à l’initiative. Dont, côté français :

• Abilian
• Aqua Ray
• Arawa
• Cozy Cloud
• Jamespot
• Linagora
• Netframe
• Nexedi
• Rapid.Space
• Talkspirit
• TAS Cloud Services
• Whaller
• Wimi
• XWiki

Microsoft sous surveillance renforcée en Allemagne

Nextcloud avait déposé plainte en parallèle auprès de l’autorité de la concurrence allemande. Il a eu davantage de succès sur ce front. En septembre 2024, Microsoft a effectivement été placé, pour 5 ans, sous un régime de contrôle spécifique. Motif, dans les grandes lignes : ses produits sont omniprésents dans les entreprises et les foyers et sont devenus indispensables.

Alphabet, Meta, Amazon et Apple ont été placés sous le même régime. Pour les deux derniers, la décision a été confirmée par la justice allemande.
Des enquêtes ont été ouvertes en conséquence. Par exemple, pour Amazon, sur les accords de distribution exclusive avec des marques. Ou pour Meta, sur les croisement des données collectées sur ses différents services.

Pour OVHcloud, l’issue fut plus favorable

En 2021, Bruxelles avait enregistré une autre plainte contre Microsoft, accusé de poser des barrières au fonctionnement de ses logiciels sur des clouds concurrents. Elle émanait d’OVHcloud. L’italien Aruba et le danois Cloud Community étaient également de la partie.

Cette plainte fut officiellement retirée en juillet 2024. Microsoft venait alors de trouver un accord avec une organisation dont OVHcloud est membre : le CISPE (Cloud Infrastructure Services Providers in Europe). Celui-ci avait lui-même attaqué le groupe américain devant la Commission européenne, en novembre 2022.

L’accord en question devait se traduire, entre autres, par le développement d’une édition d’Azure Stack HCI – devenu Azure Local – spécifique aux CSP européens. Cette solution technique n’a finalement pas vu le jour. Un compromis d’ordre contractuel a été trouvé à la place. Il se matérialise notamment par des modèles de licence à l’usage pour Windows Server et SQL Server, avec une tarification « comparable à celle d’Azure ». Le CISPE a aussi obtenu que ses membres puissent déployer Microsoft 365 Local sur leurs infrastructures, en monolocataire. Autre avancée : l’hébergement de workloads Microsoft facturés à l’usage via Azure Arc ne requiert plus de partager des données clients. Et les ESU gratuites sont acquises pour les déploiements Azure Local monolocataires, comme le VDI Windows 10/11 multisession, là aussi en monolocataire.

Illustration principale générée par IA

The post La « coalition Nextcloud » abandonne sa plainte contre Microsoft appeared first on Silicon.fr.

Du lanceur d’alerte à la commission d’enquête parlementaire, Deloitte connaît une période tumultueuse en Australie.

Il lui est reproché son recours à l’IA générative dans le cadre d’une mission de conseil pour le ministère de l’Emploi et des Relations du travail. D’une part, parce qu’il ne l’a pas divulgué. De l’autre, parce que cette IA (GPT-4o) a inventé des sources et des précédents judiciaires.

La mission, réalisée entre fin 2024 et mi-2025, a abouti à un rapport de 237 pages. Sujet : le TCF (Targeted Compliance Framework). Ce système implémenté en 2018 automatise l’évaluation de la situation des demandeurs d’emploi… et l’attribution éventuelle de pénalités financières. Deloitte constate, dans les grandes lignes, que l’algorithme sous-jacent, en plus de manquer de transparence, est démesurément punitif.

Le rapport initial était daté du 4 juillet. Une version mise à jour a été publiée le 26 septembre. Le contenu principal n’a pas changé, mais les citations problématiques ont disparu. Et Deloite a précisé, en annexe, avoir utilisé de l’IA

Deloitte avait d’abord évoqué un « problème de transcription »

Un chercheur de l’université de Sydney avait levé le lièvre au mois d’août. Il avait remarqué que le rapport attribuait à certains de ses collègues des œuvres qu’ils n’avaient pas produites. Par la suite, on avait découvert, entre autres, une référence à une décision de justice inexistante, dans le cadre d’un litige entre le gouvernement australien et une citoyenne sur le système dit robodebt (évaluation et recouvrement automatisé des dettes).

Un accord semble avoir été trouvé avec Deloitte pour le remboursement d’environ 100 000 dollars australiens sur les 440 000 qu’a coûté la mission.

La sénatrice écologiste Barbara Pocock* estime qu’il conviendrait de restituer l’intégralité de la somme. Elle le justifie notamment par les agissements de Deloitte une fois l’affaire mise au jour. D’un côté, le cabinet a d’abord expliqué au ministère de l’Emploi qu’il s’agissait d’un « problème de transcription ». De l’autre, il a pris contact avec le ministère des Finances en affirmant que les commanditaires du rapport étaient au courant de l’usage de l’IA. Ce que les intéressés ont demandé en audition au Sénat.

How we ‘fess up when we mess up shows who we are. Pay it all back Deloitte. And apologise. Give yrsrlf some procurement teeth Labor: the capability to ban for poor behaviour, commensurate with the misdemeanour, up to 5 yrs. pic.twitter.com/BAnrek1Uz5

— Barbara Pocock (@BarbaraPocock) October 9, 2025

Murray Watt, ministre de l’Emploi lorsque fut signé le contrat avec Deloitte, évoque un « acte clairement inadmissible ». Il regrette l’absence d’excuses, y compris auprès des personnes auxquelles l’IA a faussement attribué certaines œuvres.

Dans ce contexte, le ministère des Finances a décider de mieux encadrer les futurs contrats avec tout consultant. Tout usage potentiel d’IA devra être explicité, en identifiant outils et finalités.

* Les Verts sont la troisième force politique au Sénat australien, avec 10 sièges contre 29 pour le Parti travailliste et 27 pour la coalition d’opposition.

Illustration générée par IA

The post Non divulgué, mal maîtrisé : Deloitte tancé pour son usage de l’IA générative appeared first on Silicon.fr.

Sur les éditions Pro et Famille de Windows 11, il va devenir plus difficile de créer des comptes locaux.

La dernière bêta (build 26120) en donne un aperçu. Plusieurs mécanismes jusque-là exploitables lors du paramétrage initial ne fonctionnent plus. Une décision que Microsoft justifie par les risques, en termes de support et sécurité, découlant de configurations incomplètes*.

Principal mécanisme ciblé : la commande start ms-chx:localonly. Elle permet de lancer Cloud Experience Host, qui intervient au court du paramétrage initial pour afficher certaines pop-up. Lui ajouter l’option localonly permet d’ouvrir le dialogue legacy de création de compte local.
Il existe une variante start ms-cxh://localonly utilisable dans la console développeur, qu’on peut ouvrir lors du setup grâce au raccourci Ctrl-Shift-J. On la trouve également sous la forme start ms-cxh://setaddlocalonly.

Microsoft avait déjà fermé la porte au script ByPassNRO

La « méthode Cloud Experience Host » avait pallié l’élimination, début 2025, d’un autre mécanisme également basé sur l’invite de commandes (à ouvrir avec Shift-F10). Il reposait sur l’activation d’un script ByPassNRO intentionnellement mis à disposition.

La « méthode ByPassNRO » était restée exploitable en modifiant le registre Windows (lancement de regedit lors du setup). Notamment par l’ajout, dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\OOBE, de valeurs DWORD HideOnlineAccountScreens et – éventuellement – HideWirelessSetupInOOBE. La dernière build semble les ignorer.

D’autres techniques ont existé par le passé et ont elles aussi fini désactivées. L’une d’entre elles consistait tout simplement à entrer n’importe quoi dans le champ e-mail (puis, plus tard, à renseigner une adresse fantaisiste), ce qui enclenchait la création de compte local.

It looks like Microsoft has blocked the bypass that allowed you to create a local account during Windows 11 setup by typing in a blocked email address. Now it just loops you back to typing in a different account pic.twitter.com/mKnHToLLQV

— Zac Bowden (@zacbowden) June 3, 2024

Domaines, mode audit et fichiers de réponse

Sur Windows 11 Pro, l’option « rejoindre un domaine » fonctionne toujours, même s’il n’existe pas de tel domaine.

Autre méthode qui semble toujours fonctionnelle : le mode audit, qui fait partie de Sysprep (System Preparation Tool). En l’activant (Ctrl-Shift-F3), on est connecté en tant qu’administrateur local. D’où la possibilité, entre autres, de créer un compte local.

D’autres méthodes ont émergé au fil des ans. Parmi elles, interrompre le flux de connexion au réseau avec taskkill.exe ou en ouvrant le gestionnaire de tâches. Autre solution : créer un compte local directement depuis la ligne de commande (net.ext /add, puis net.exe localgroup /add) et ensuite contourner le setup (mssoobe.exe && shutdown.exe -r).

Des outils de création de médias d’installation ont implémenté certains mécanismes. ByPassNRO en est un. Les fichiers de réponse (auto)unattend.xml, à placer à la racine du disque, en sont un autre. Avec eux, on entre dans une approche gestion de flotte, qui peut aussi mener à l’exploitation d’outils comme MDT (Microsoft Deployment Tool) ou WCD (Windows Configuration Designer).

En contrepartie à ce resserrement, Microsoft inclut, dans l’expérience de paramétrage initial, un outil en ligne de commande qui permet de personnaliser le nom du dossier utilisateur.

* Par exemple, l’absence de sauvegarde automatique de la clé de chiffrement du disque système sur OneDrive… et donc la non-activation automatique de ce chiffrement. Microsoft mentionne aussi la procédrue de récupération Windows Hello.

Illustration principale générée par IA

The post Windows 11 : l’étau se resserre sur les comptes locaux appeared first on Silicon.fr.

Grâce au protocole MCP, les applications viennent à ChatGPT.

C’est l’idée de l’Apps SDK, qu’OpenAI vient de lancer en preview. Il a fait l’objet d’une phase pilote avec Booking.com, Canva, Coursera, Figma, Expedia, Spotify et Zillow. Leurs services respectifs ont été intégrés, à divers degrés, dans ChatGPT. Ils sont accessibles à tous les utilisateurs connectés sur les abonnements Free, Go, Plus et Pro… hors Union européenne. AllTrails, Doordash, Khan Academy, Instacart, Peloton, OpenTable, Target, TheFork, Tripadvisor, Thumbtack et Uber seront les prochains.

La perspective du « commerce programmatique »

Nombre de ces entreprises ont une activité qui touche au commerce en ligne. En toile de fond, la volonté d’OpenAI de se positionner en intermédiaire sur ce segment*. En a témoigné, fin septembre, l’annonce d’ACP (Agentic Commerce Protocol).

Ce protocole, développé avec Stripe, est censé ouvrir la voie à du « commerce programmatique ». Chez OpenAI, il s’incarne en la fonctionnalité « Instant Checkout ». Qui, pour le moment, permet aux utilisateurs individuels (Free, Plus, Pro) de réaliser des achats uniques chez des marchands Etsy aux États-Unis – ces derniers reversant une commission.

Encore à l’état de brouillon, ACP allie trois spécifications :

• Product Feed (diffusion d’infos produits vers des IA)
• Agentic Checkout (exécution de flux de paiement au sein des interfaces IA)
• Delegated Payment (communication avec les plates-formes de paiement ou les marchands opérant leus propres plates-formes)

Nouvel environnement, nouveau système de concurrence

Pour ce qui est de l’Apps SDK, il n’est pas encore question de monétisation, mais on nous promet des éléments à ce sujet « plus tard cette année ». En attendant, OpenAI fixe des lignes directrices pour la conception de la logique et des interfaces. Entre autres dans l’optique d’être sélectionné par ChatGPT.

Il y aura effectivement une forme de mise en concurrence. L’utilisateur pourra certes faire explicitement appel à une application en tapant son nom ou via le sélecteur (la création d’un répertoire est prévue en complément). S’il ne le fait pas, divers paramètres seront mis en balance. Parmi eux, le contexte de conversation (historique de discussion, résultats de précédents appels d’outils…) et l’éventuelle apparition de marques dans les sources/citations en réponse à une requête.

Pour se donner davantage de chances d’être sélectionnés, les développeurs devront soigner les descriptions de leurs outils – sous le capot, il y a MCP, rappelons-le – en les focalisant sur des actions.

Au niveau UI, divers modes d’affichage sont mis à disposition. Dont des cartes (widgets mono-usage avec deux actions maximum), des carrousels, du plein écran (le composeur ChatGPT restant affiché) et du picture-in-picture (incrustation).

Actions, cookies, look & feel… Des contraintes à respecter

En contrepartie à cette intégration, OpenAI demande de ne pas perturber le look & feel de l’interface de chat : pas de dégradés ou de patterns de couleurs personnalisés, pas de couleur d’arrière-plan sur les zones de texte, pas de polices de caractères personnalisées, etc. Le contenu transmis à ChatGPT ne doit, plus globalement, « pas briser son ton naturel ».

Une restriction est également imposée sur les cookies de navigation, auxquels les fournisseurs de services n’ont pas accès. Il ne leur est pas non plus permis de diffuser de publicité. Ils sont plus généralement invités à proscrire le contenu long ou statique et les workflows à plusieurs étapes.

Sur desktop comme sur mobile, les composants UI fonctionnent dans un iframe. On peut leur transférer trois types de contenus :

• Données structurées pour les hydrater (chansons pour une play-list, tâche pour un kanban…)
• Informations optionnelles communiquées verbatim au modèle
• JSON arbitraire transmis directement au composant (le modèle ne le voit jamais, de sorte que son raisonnement n’est pas influencé)

* OpenAI avance un indicateur principal : ChatGPT compte 800 millions d’utilisateurs hebdomadaires.

Illustration principale © PixieMe – Adobe Stock

The post Apps in ChatGPT : OpenAI parie sur une centralisation de l’expérience web appeared first on Silicon.fr.

Entre données personnelles et secret des affaires, la justice pourrait trouver à redire.

Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels brandissent actuellement cet argument contre Red Hat. Le groupe américain n’est a priori pas en position de force, ayant reconnu la compromission d’une de ses instances GitLab. Le voilà invité à négocier ; sans quoi, lui assure-t-on, des informations seront publiées, donnant à la justice autant de grain à moudre. L’ultimatum est fixé au 10 octobre.

Plusieurs incidents pour en arriver là

Salesforce est face à une situation similaire. Également sous la bannière SLSH, on lui a accordé le même délai pour trouver un terrain d’entente. Là aussi, en faisant planer le spectre de poursuites judiciaires. Ou plutôt d’un « coup de pouce » aux procédures déjà engagées.

Le contexte est effectivement différent du cas Red Hat. Salesforce est déjà ciblé par maintes plaintes, en premier lieu aux États-Unis. Entre autres à la suite d’un incident d’ampleur dont on a eu connaissance il y a quelques semaines : la compromission de l’intégration avec une application tierce (le chatbot Salesloft Drift). Elle a servi de point d’entrée sur des instances CRM. Les intrusions sont survenues entre mai et juillet 2025 en fonction des victimes.

Une autre campagne s’est déroulée plus en amont, à base de social engineering. Notamment de vishing. Des acteurs associés à ShinyHunters se sont fait passer pour des agents de support technique et ont convaincu des employés de connecter leur Salesforce à des applications malveillantes. Initialement, il s’agissait généralement de versions vérolées de l’outil Data Loader, destiné à l’import/export massif de données vers et depuis le CRM. Avec le temps, des applications personnalisées ont émergé, mais avec le même objectif d’exfiltration de données. D’autres techniques de phishing – un faux portail Okta, en particulier – ont été exploitées en parallèle. Dans certains cas, des mois se sont écoulés avant que la victime fasse l’objet d’une extorsion. Entre-temps, les données volées avaient pu accompagner des opérations de latéralisation. Allianz, Jaguar/Land Rover, LVMH, TransUnion et Workday font partie des entreprises s’étant déclarées touchées.

La menace d’appuyer les actions en justice

Plusieurs des dossiers montés contre Salesforce sont gérés par Berger Montague. Les cybercriminels en font un point d’appui : ils expriment leur volonté de collaborer avec le cabinet d’avocat en lui fournissant des listes de victimes ; et, pour chacune, des échantillons de données. Ils vont plus loin, expliquant vouloir  prouver à la justice U.S. que Salesforce s’est rendu coupable de négligence criminelle en ne remédiant pas à la situation alors en avait le temps et les moyens.

Salesforce n’est pas seul à s’être vu imposer un ultimatum. Il en va de même pour une quarantaine de victimes. Pour trois d’entre elles, la date de piratage annoncée remonte à l’an dernier (23 avril 2024 pour Kering, 2 mai pour Adidas, 8 septembre pour IKEA). En ce sens, l’opération apparaît comme le point culminant d’une longue série de leaks.

Si on en croit les dates affichées, les attaques sont survenues par périodes. Exemples :

• Disney, Instacart, Puma et Toyota entre le 1^er et le 2 mai
• ASICS et Gap le 17 juin
• Chanel, KFC, McDonald’s et Qantas entre le 26 et le 28 juin
• Fujifilm et Marriott le 17 août

On aura noté la présence de Stellantis et d’Air France-KLM sur la liste. Un des échantillons publiés pour le premier réunit 126 champs CRM… et des valeurs associées. Pour le second, les pirates revendiquent à la fois la fuite de données d’employés et d’interactions clients.

Illustration générée par IA

The post Les fuites de données Salesforce culminent en un leak appeared first on Silicon.fr.

Un groupe cybercriminel peut en cacher un autre… susceptible de lui griller la politesse.

La situation semble s’être récemment présentée entre Cl0p et SLSH (Scattered LAPSUS$ ShinyHunters). Le premier a pris pour cible des instances Oracle E-Business Suite en utilisant… un exploit que le second l’accuse de lui avoir volé.

Dans la lignée de cette campagne, des utilisateurs de la suite ont fait l’objet de tentatives d’extorsion. Les sommes demandées ont atteint 50 M$.

Oracle n’avait pas tout de suite évoqué une 0-day

Oracle avait d’abord fait le lien entre les revendications de Cl0p et des vulnérabilités corrigées en juillet dans le cadre des patchs trimestriels pour ses produits sur site.

Il a finalement mis son post à jour, éliminant toute référence à ces vulnérabilités au profit d’une seule, nouvelle (CVE-2025-61882), qu’il ne qualifie toutefois pas de 0-day. Elle se trouve au niveau de l’intégration avec Analytics Publisher (ex-BI Publisher ; solution de reporting qui fait partie de Fusion Middleware). Un score de 9,8 lui a été attribué, autant pour ses conséquences potentielles (exécution de code à distance, avec impact possiblement élevé sur la confidentialité, l’intégrité et la disponibilité) que pour la facilité à l’exploiter (pas d’authentification).

Dans le cas présent, la faille a permis, sur les instances E-Business Suite exposées à Internet, l’accès à des comptes locaux facilitant le contournement du SSO.

Certains IOC partagés par Oracle correspondent à des éléments que SLSH avait diffusés en amont sur Telegram. Plus particulièrement les fichiers composant l’exploit (deux scripts Python dans une archive zip). On trouve, dans leur nom, la chaîne « scattered_lapsus », donnant un probable indice de provenance.

Un template YAML pour le scanner de vulnérabilités Nuclei a été publié. Il détecte les instances vulnérables en vérifiant si une page contient le texte « E-Business Suite Home Page » et, le cas échéant, si la date dans l’en-tête Last-Modified est antérieure au 4 octobre 2025.

À consulter en complément, un point sur une campagne plus ancienne ayant impliqué Cl0p. Elle a ciblé le logiciel de transfert de fichiers MOVEit Transfer. Deux failles SQLi au niveau du front-end web furent utilisées pour injecter un ransomware. Majorel, acteur de la GRC, avait fait partie des victimes. On l’avait appris par l’intermédiaire de Pôle emploi, dont il était prestataire.

Illustration générée par IA

The post Oracle E-Business Suite au cœur d’une campagne d’extorsion appeared first on Silicon.fr.

Les fichiers que nous vous avons volés relèvent clairement du secret des affaires. Vous vous exposez à des poursuites au nom de la directive européenne 2016/943 et du Code des États-Unis, titre 18, paragraphe 1836.

Red Hat fait face à des accusations de cet acabit, proférées par… un groupe cybercriminel. En toile de fond, la compromission d’une de ses instances GitLab, liée à son activité de conseil.

Le groupe américain a admis l’exfiltration de données. À l’en croire, cela comprend « par exemple » des spécifications de projets, des fragments de code, des communications internes et des infos de contact.

Une montagne potentielle de secrets d’infrastructure

Les cybercriminels en question vont plus loin. Échantillons à l’appui, ils affirment avoir dérobé, entre autres :

• Jetons d’authentification et des clés d’API
• Playbooks Ansible et blueprints OpenShift
• Résultats d’audits de sécurité
• Inventaires, profils VPN, topologies réseau, etc.

Il y en aurait pour plusieurs To de données (570 Go compressé) réparties à travers quelque 28 000 repos. Une arborescence publiée en parallèle des échantillons de données suggère qu’environ 800 organisations clientes de Red Hat sont concernées.

Deux collectifs semblent impliqués. D’une part, un certain Crimson Collective, apparu sur Telegram fin septembre et qui, pour commencer, avait revendiqué le défacement d’un site de Nintendo. De l’autre, SLSH, aka Scattered LAPSUS$ ShinyHunters. Il est à la croisée de Scattered Spider, LAPSUS$ et ShinyHunters. Trois groupes qui ont chacun ses origines et son historique, mais qui entretiennent des connexions voire des collaborations directes ; jusqu’à l’association de leurs noms, concrétisée à l’été 2025.

Red Hat intimidé sur les secrets d’affaires et les données personnelles

Crimson Collective et SLSH datent l’attaque au 13 septembre. Ils affirment avoir pris contact avec Red Hat… et avoir reçu, en réponse, un message les invitant à suivre la procédure de communication d’informations sur des vulnérabilités.

Plusieurs milliers de dossiers incluent un fichier CONFIDENTIALITY.md indiquant explicitement que les fichiers liés doivent être considérés comme confidentiels, avec un accès limité à Red Hat et au client. C’est dans ce contexte que Crimson Collective et SLSH brandissent la menace de poursuites judiciaires. Non sans y ajouter un défaut de protection des données personnelles – car il s’en trouve dans les données volées.

Cette technique d’intimidation est également exploitée en ce moment contre Salesforce, mis face à la même deadline que Red Hat : le 10 octobre 2025. Le leader mondial du CRM fait lui aussi face à la fuite potentielle de plusieurs To de données. Résultant, semble-t-il, de l’agrégation de multiples campagnes survenues depuis le printemps 2024 et ayant impliqué diverses méthodes d’attaque, du vishing à la compromission d’applications tierces.

Illustration principale générée par IA

The post Red Hat piraté : des projets IT confidentiels exfiltrés appeared first on Silicon.fr.

Il y a SWIPO et OpenAPI ; point n’est besoin de réinventer la roue.

On pourrait résumer ainsi les recommandations de l’Arcep sur l’interopérabilité et la portabilité des services cloud.

En toile de fond, la loi SREN (« sécuriser et réguler l’espace numérique »), promulguée en mai 2024. Elle a introduit de manière anticipée dans le droit français certaines mesures du Data Act, qui ne serait applicable qu’au 12 septembre 2025.

L’article 28 impose aux CSP de se conformer à des exigences d’interopérabilité et de portabilité, tout en fournissant gratuitement des API pour mettre en œuvre ces exigences. L’idée est de favoriser à la fois les usages multiclouds et le changement de fournisseur.

La loi SREN charge l’Arcep de préciser les règles et les modalités de mise en œuvre des exigences. Notamment par l’édiction de spécifications.
L’autorité a finalement opté pour des bonnes pratiques, en l’objet de cette recommandation « dépourvue de toute portée normative ». Elle laisse ainsi la main à la Commission européenne pour élaborer les spécifications en question. Plusieurs éléments ont motivé ce choix. Les contributions à la consultation publique menée entre octobre et décembre 2024 en sont un. Le calendrier d’application de la loi SREN en est un autre (les dispositions sur l’interopérabilité ne s’appliqueront que jusqu’au 12 janvier 2027). Tout comme les délais que supposerait la mise en conformité à d’éventuelles règles contraignantes auxquelles pourraient, de surcroît, se superposer des actes d’exécution de Bruxelles.

L’Arcep s’en remet au socle SWIPO

En matière d’interopérabilité et de portabilité, une majorité de contributions à la consultation publique a suggéré de prendre en compte des travaux déjà menés au sein du secteur. En première ligne, les codes SWIPO (Switching Cloud Providers and Porting Data). L’initiative a pris fin, mais l’écosystème en reconnaît encore largement la pertinence. L’Arcep en a par conséquent repris les grandes lignes, à commencer par celles du code relatif au IaaS. Elle invite les CSP à publier, dans un format libre (page web ou PDF) et dans un format lisible par ordinateur, les informations suivantes :

1. Données (brutes ou dérivées) et actifs numériques qui peuvent être transférés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs
2. Procédures pour initier une migration depuis le service cloud
3. Procédures pour initier une migration vers le service cloud
4. Méthodes (téléversement, API, expédition de disques) disponibles pour la migration et l’utilisation simultanée des services de différents fournisseurs, y compris les protections disponibles (chiffrement) et les restrictions et limitations techniques connues ; méthodes pour garantir la sécurité des données lors du transfert (contrôle d’accès, authentification des utilisateurs, confidentialité et intégrité)
5. Procédures pour tester les différents mécanismes de migration, notamment ceux de sauvegarde (snapshot), de restauration (rollback) et de vérification de l’intégrité des données
6. Processus disponibles pour garantir l’intégrité des données, la continuité de service et prévenir la perte de données pendant la migration
7. Processus de résiliation d’un service cloud existant, lorsque le client souhaite mettre fin à son utilisation du service après la migration
8. Outils de supervision disponibles pour la migration et coûts associés à leur usage
9. Formats disponibles, recommandés ou utilisés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs, ainsi que les spécifications et la documentation relatives à ces formats
10. Référence de la documentation des API permettant de la mise en œuvre de la portabilité et de l’interopérabilité
11. Description et documentation des dépendances, dont les bibliothèques de code, les données connectées à d’autres services cloud du fournisseur, et les services et outils tiers nécessaires à l’export des données dans le cadre d’une migration ou d’une utilisation multicloud

API : un préavis de 12 mois pour les mises à jour sans rétrocompatibilité

Pour ce qui est de la mise à disposition d’API stables et documentées, des contributions ont mis en avant la spécification OpenAPI, utilisée par quantité de fournisseurs cloud. L’Arcep a considéré que la promouvoir permettrait d’éviter des adaptations majeures et d’assurer une certaine flexibilité. Elle laisse toutefois la voie ouverte à l’adoption de specs équivalentes, notamment dans le cas d’API ne reposant pas sur le protocole HTTP.

Par rapport à la version préliminaire de ses recommandations, soumises à consultation en juin-juillet 2025, l’autorité a précisé la notion de rétrocompatibilité. Elle estime que celle-ci n’est pas garantie si une mise à jour :

• provoque l’échec d’une requête ou d’une opération qui aurait préalablement réussi ;
• obliger les clients ou les fournisseurs tiers à prendre des mesures pour éviter une interruption de service ;
• ou suppriment une caractéristique ou une fonctionnalité du service utilisée par les clients ou les fournisseurs tiers.

L’Arcep conseille, en cas d’exécution de mises à jour sans rétrocompatibilité, d’avertir les utilisateurs au moins 12 mois en amont. Sauf s’il existe des obligations légales ou des impératifs en matière de sécurité (découverte d’une faille dans une API).

Illustration © VICHIZH – Adobe Stock

The post Loi SREN : l’Arcep se raccroche à SWIPO et OpenAPI appeared first on Silicon.fr.

Un peu de Transformers, beaucoup de Mamba : avec les modèles de langage Granite 4.0, IBM opère une transition architecturale.

Mamba est censé pallier les limites des modèles transformateurs lors du traitement de longues séquences. Dans ces scénarios, le mécanisme d’attention constitue un goulet d’étranglement, du fait qu’il utilise une forme de cache clé-valeur permettant à chaque token d’accéder aux précédents lors de la prédiction. Plus la taille de contexte augmente, plus l’empreinte mémoire et la latence augmentent, de façon quadratique.
Des méthodes telles que la fenêtre glissante et l’attention flash peuvent atténuer cet effet. Mamba va plus loin en remplaçant le composant d’attention par un mécanisme inspiré de la théorie du contrôle : les SSM (State Space Models). Avec eux, la montée en charge est linéaire. On permet aux paramètres SSM d’être fonction de l’input, de sorte qu’une sélection des informations à conserver s’opère au moment de la mémorisation – et non au moment de la remémoration, comme c’est le cas pour les transformeurs.

Transformers réduit à la portion congrue

IBM n’écarte pas totalement Transformers, mais le réduit à la portion congrue : seules 4 couches sur 40 dans chacun des modèles Granite 4.0 aujourd’hui publiés (open-weight, licence Apache 2.0). Sont plus précisément combinés, de façon séquentielle, un groupe de 9 blocs Mamba, un bloc Transformers unique, et ainsi de suite. Les blocs Transformers sont maintenus notamment en ce qu’ils apportent des avantages sur les tâches avec apprentissage en contexte (few-shot prompting, typiquement).

Les modèles ainsi architecturés n’utilisent pas d’encodage positionnel : de par son fonctionnement, Mamba préserve intrinsèquement l’ordre des tokens. Ce n’est pas le cas de Transformers. On a donc tendance à y allier cet encodage positionnel… au détriment de la capacité des modèles à travailler sur des séquences plus longues que celles sur lesquelles on les a entraînés.

Des versions thinking à venir

Comme leurs prédécesseurs, les modèles Granite 4.0 sont destinés à générer du texte et du code. On en compte actuellement 4, tous déclinés en versions base et instruct (versions thinking à venir « d’ici à fin 2025 ») :

• H-Small
  Hybride Mamba/Transformers en MoE (32 milliards de paramètres dont 9 milliards actifs, soit 10 experts sur 72).
• H-Tiny
  Hybride Mamba/Transformers en MoE (7 milliards de paramètres dont 1 milliard actifs, soit 6 experts sur 64).
• H-Micro
  Hybride Mamba/Transformers dense (3 milliards de paramètres).
• Micro
  Variante « classique » (Transformers) de H-Micro.

L’ensemble est disponible dans des versions quantisées (GGUF, avec également du FP8 pour H-Small instruct).
En précision 8 bits, H-Small nécessite 33 Go de RAM ; H-Tiny, 8 Go ; H-Micro, 4 Go, contre 9 Go pour sa variante Transformers. IBM ne manque pas de mettre en avant ce gain pour l’inférence, surtout dans les tâches à contexte long et/ou à sessions multiples (agent de service client traitant plusieurs tickets en parallèle, par exemple).

Tous les modèles Granite 4.0 ont été validés pour des séquences de 128k. L’entraînement des versions de base a suivi un pipeline en 4 étapes (cf. tableau ci-dessous), sur des serveurs GB200 NVL72 chez CoreWeave. Le fine-tuning a reposé sur « des jeux de données ouverts sous licence permissive », des datasets synthétiques internes et des données annotées par l’humain.

Intégrer Mamba dans l’écosystème

H-Small et H-Tiny ont une autre forme d’hybridité : ils sont les premiers modèles MoE d’IBM à utiliser des « experts partagés ». En d’autres termes, des paramètres toujours actifs qui permettent aux autres experts de mieux se spécialiser.

Des modèles Nano et Medium sont sur la feuille de route. Il s’agira aussi de pousser la prise en charge de Mamba dans l’écosystème. Des outils comme llama.cpp ne la gèrent pas encore. C’est dans cet esprit qu’IBM a conservé un modèle « classique » dans sa gamme.

Le catalogue open-weight d’IBM comprend des modèles multimodaux, dont :

• Granite Speech (reconnaissance vocale ; dernière version publiée en août, à 2B et 8B)
• Granite Vision (dernière version – 2B – publiée en juin, avec un dérivé pour l’embedding ajouté en août)
• Granite Guardian (modération de contenu ; dernière version – 8B – publiée en septembre)
• Granite Docling (extraction de données structurées ; dernière version – 258M – publiée en septembre)

Ses derniers modèles « spécial code » remontent à 2024. Il existe aussi des modèles Granite pour le traitement de données géospatiales et de séries chronologiques.

À consulter en complément, notre brève revue des LLM Granite 3.0. Sortis il y a près d’un an, ils introduisaient alors, au catalogue des modèles IBM, des techniques telles que ScatterMoE (une implémentation n’imposant pas de plafond de tokens par expert) et Evol-Instruct (génération de données synthétiques à partir de questions racines dont on crée des versions améliorées à renfort de prompt engineering).

Illustration principale générée par IA

The post Les derniers LLM d’IBM n’ont plus grand-chose de transformateurs appeared first on Silicon.fr.