Un groupe cybercriminel peut en cacher un autre… susceptible de lui griller la politesse.
La situation semble s’être récemment présentée entre Cl0p et SLSH (Scattered LAPSUS$ ShinyHunters). Le premier a pris pour cible des instances Oracle E-Business Suite en utilisant… un exploit que le second l’accuse de lui avoir volé.
Dans la lignée de cette campagne, des utilisateurs de la suite ont fait l’objet de tentatives d’extorsion. Les sommes demandées ont atteint 50 M$.
Oracle n’avait pas tout de suite évoqué une 0-day
Oracle avait d’abord fait le lien entre les revendications de Cl0p et des vulnérabilités corrigées en juillet dans le cadre des patchs trimestriels pour ses produits sur site.
Il a finalement mis son post à jour, éliminant toute référence à ces vulnérabilités au profit d’une seule, nouvelle (CVE-2025-61882), qu’il ne qualifie toutefois pas de 0-day. Elle se trouve au niveau de l’intégration avec Analytics Publisher (ex-BI Publisher ; solution de reporting qui fait partie de Fusion Middleware). Un score de 9,8 lui a été attribué, autant pour ses conséquences potentielles (exécution de code à distance, avec impact possiblement élevé sur la confidentialité, l’intégrité et la disponibilité) que pour la facilité à l’exploiter (pas d’authentification).
Dans le cas présent, la faille a permis, sur les instances E-Business Suite exposées à Internet, l’accès à des comptes locaux facilitant le contournement du SSO.
Certains IOC partagés par Oracle correspondent à des éléments que SLSH avait diffusés en amont sur Telegram. Plus particulièrement les fichiers composant l’exploit (deux scripts Python dans une archive zip). On trouve, dans leur nom, la chaîne « scattered_lapsus », donnant un probable indice de provenance.
Un template YAML pour le scanner de vulnérabilités Nuclei a été publié. Il détecte les instances vulnérables en vérifiant si une page contient le texte « E-Business Suite Home Page » et, le cas échéant, si la date dans l’en-tête Last-Modified est antérieure au 4 octobre 2025.
À consulter en complément, un point sur une campagne plus ancienne ayant impliqué Cl0p. Elle a ciblé le logiciel de transfert de fichiers MOVEit Transfer. Deux failles SQLi au niveau du front-end web furent utilisées pour injecter un ransomware. Majorel, acteur de la GRC, avait fait partie des victimes. On l’avait appris par l’intermédiaire de Pôle emploi, dont il était prestataire.
Les fichiers que nous vous avons volés relèvent clairement du secret des affaires. Vous vous exposez à des poursuites au nom de la directive européenne 2016/943 et du Code des États-Unis, titre 18, paragraphe 1836.
Red Hat fait face à des accusations de cet acabit, proférées par… un groupe cybercriminel. En toile de fond, la compromission d’une de ses instances GitLab, liée à son activité de conseil.
Le groupe américain a admis l’exfiltration de données. À l’en croire, cela comprend « par exemple » des spécifications de projets, des fragments de code, des communications internes et des infos de contact.
Une montagne potentielle de secrets d’infrastructure
Les cybercriminels en question vont plus loin. Échantillons à l’appui, ils affirment avoir dérobé, entre autres :
Jetons d’authentification et des clés d’API
Playbooks Ansible et blueprints OpenShift
Résultats d’audits de sécurité
Inventaires, profils VPN, topologies réseau, etc.
Il y en aurait pour plusieurs To de données (570 Go compressé) réparties à travers quelque 28 000 repos. Une arborescence publiée en parallèle des échantillons de données suggère qu’environ 800 organisations clientes de Red Hat sont concernées.
Deux collectifs semblent impliqués. D’une part, un certain Crimson Collective, apparu sur Telegram fin septembre et qui, pour commencer, avait revendiqué le défacement d’un site de Nintendo. De l’autre, SLSH, aka Scattered LAPSUS$ ShinyHunters. Il est à la croisée de Scattered Spider, LAPSUS$ et ShinyHunters. Trois groupes qui ont chacun ses origines et son historique, mais qui entretiennent des connexions voire des collaborations directes ; jusqu’à l’association de leurs noms, concrétisée à l’été 2025.
Red Hat intimidé sur les secrets d’affaires et les données personnelles
Crimson Collective et SLSH datent l’attaque au 13 septembre. Ils affirment avoir pris contact avec Red Hat… et avoir reçu, en réponse, un message les invitant à suivre la procédure de communication d’informations sur des vulnérabilités.
Plusieurs milliers de dossiers incluent un fichier CONFIDENTIALITY.md indiquant explicitement que les fichiers liés doivent être considérés comme confidentiels, avec un accès limité à Red Hat et au client. C’est dans ce contexte que Crimson Collective et SLSH brandissent la menace de poursuites judiciaires. Non sans y ajouter un défaut de protection des données personnelles – car il s’en trouve dans les données volées.
Cette technique d’intimidation est également exploitée en ce moment contre Salesforce, mis face à la même deadline que Red Hat : le 10 octobre 2025. Le leader mondial du CRM fait lui aussi face à la fuite potentielle de plusieurs To de données. Résultant, semble-t-il, de l’agrégation de multiples campagnes survenues depuis le printemps 2024 et ayant impliqué diverses méthodes d’attaque, du vishing à la compromission d’applications tierces.
Il y a SWIPO et OpenAPI ; point n’est besoin de réinventer la roue.
On pourrait résumer ainsi les recommandations de l’Arcep sur l’interopérabilité et la portabilité des services cloud.
En toile de fond, la loi SREN (« sécuriser et réguler l’espace numérique »), promulguée en mai 2024. Elle a introduit de manière anticipée dans le droit français certaines mesures du Data Act, qui ne serait applicable qu’au 12 septembre 2025.
L’article 28 impose aux CSP de se conformer à des exigences d’interopérabilité et de portabilité, tout en fournissant gratuitement des API pour mettre en œuvre ces exigences. L’idée est de favoriser à la fois les usages multiclouds et le changement de fournisseur.
La loi SREN charge l’Arcep de préciser les règles et les modalités de mise en œuvre des exigences. Notamment par l’édiction de spécifications.
L’autorité a finalement opté pour des bonnes pratiques, en l’objet de cette recommandation « dépourvue de toute portée normative ». Elle laisse ainsi la main à la Commission européenne pour élaborer les spécifications en question. Plusieurs éléments ont motivé ce choix. Les contributions à la consultation publique menée entre octobre et décembre 2024 en sont un. Le calendrier d’application de la loi SREN en est un autre (les dispositions sur l’interopérabilité ne s’appliqueront que jusqu’au 12 janvier 2027). Tout comme les délais que supposerait la mise en conformité à d’éventuelles règles contraignantes auxquelles pourraient, de surcroît, se superposer des actes d’exécution de Bruxelles.
L’Arcep s’en remet au socle SWIPO
En matière d’interopérabilité et de portabilité, une majorité de contributions à la consultation publique a suggéré de prendre en compte des travaux déjà menés au sein du secteur. En première ligne, les codes SWIPO (Switching Cloud Providers and Porting Data). L’initiative a pris fin, mais l’écosystème en reconnaît encore largement la pertinence. L’Arcep en a par conséquent repris les grandes lignes, à commencer par celles du code relatif au IaaS. Elle invite les CSP à publier, dans un format libre (page web ou PDF) et dans un format lisible par ordinateur, les informations suivantes :
Données (brutes ou dérivées) et actifs numériques qui peuvent être transférés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs
Procédures pour initier une migration depuis le service cloud
Procédures pour initier une migration vers le service cloud
Méthodes (téléversement, API, expédition de disques) disponibles pour la migration et l’utilisation simultanée des services de différents fournisseurs, y compris les protections disponibles (chiffrement) et les restrictions et limitations techniques connues ; méthodes pour garantir la sécurité des données lors du transfert (contrôle d’accès, authentification des utilisateurs, confidentialité et intégrité)
Procédures pour tester les différents mécanismes de migration, notamment ceux de sauvegarde (snapshot), de restauration (rollback) et de vérification de l’intégrité des données
Processus disponibles pour garantir l’intégrité des données, la continuité de service et prévenir la perte de données pendant la migration
Processus de résiliation d’un service cloud existant, lorsque le client souhaite mettre fin à son utilisation du service après la migration
Outils de supervision disponibles pour la migration et coûts associés à leur usage
Formats disponibles, recommandés ou utilisés dans le cadre d’une migration ou d’une utilisation simultanée des services de différents fournisseurs, ainsi que les spécifications et la documentation relatives à ces formats
Référence de la documentation des API permettant de la mise en œuvre de la portabilité et de l’interopérabilité
Description et documentation des dépendances, dont les bibliothèques de code, les données connectées à d’autres services cloud du fournisseur, et les services et outils tiers nécessaires à l’export des données dans le cadre d’une migration ou d’une utilisation multicloud
API : un préavis de 12 mois pour les mises à jour sans rétrocompatibilité
Pour ce qui est de la mise à disposition d’API stables et documentées, des contributions ont mis en avant la spécification OpenAPI, utilisée par quantité de fournisseurs cloud. L’Arcep a considéré que la promouvoir permettrait d’éviter des adaptations majeures et d’assurer une certaine flexibilité. Elle laisse toutefois la voie ouverte à l’adoption de specs équivalentes, notamment dans le cas d’API ne reposant pas sur le protocole HTTP.
Par rapport à la version préliminaire de ses recommandations, soumises à consultation en juin-juillet 2025, l’autorité a précisé la notion de rétrocompatibilité. Elle estime que celle-ci n’est pas garantie si une mise à jour :
provoque l’échec d’une requête ou d’une opération qui aurait préalablement réussi ;
obliger les clients ou les fournisseurs tiers à prendre des mesures pour éviter une interruption de service ;
ou suppriment une caractéristique ou une fonctionnalité du service utilisée par les clients ou les fournisseurs tiers.
L’Arcep conseille, en cas d’exécution de mises à jour sans rétrocompatibilité, d’avertir les utilisateurs au moins 12 mois en amont. Sauf s’il existe des obligations légales ou des impératifs en matière de sécurité (découverte d’une faille dans une API).
Un peu de Transformers, beaucoup de Mamba : avec les modèles de langage Granite 4.0, IBM opère une transition architecturale.
Mamba est censé pallier les limites des modèles transformateurs lors du traitement de longues séquences. Dans ces scénarios, le mécanisme d’attention constitue un goulet d’étranglement, du fait qu’il utilise une forme de cache clé-valeur permettant à chaque token d’accéder aux précédents lors de la prédiction. Plus la taille de contexte augmente, plus l’empreinte mémoire et la latence augmentent, de façon quadratique.
Des méthodes telles que la fenêtre glissante et l’attention flash peuvent atténuer cet effet. Mamba va plus loin en remplaçant le composant d’attention par un mécanisme inspiré de la théorie du contrôle : les SSM (State Space Models). Avec eux, la montée en charge est linéaire. On permet aux paramètres SSM d’être fonction de l’input, de sorte qu’une sélection des informations à conserver s’opère au moment de la mémorisation – et non au moment de la remémoration, comme c’est le cas pour les transformeurs.
Transformers réduit à la portion congrue
IBM n’écarte pas totalement Transformers, mais le réduit à la portion congrue : seules 4 couches sur 40 dans chacun des modèles Granite 4.0 aujourd’hui publiés (open-weight, licence Apache 2.0). Sont plus précisément combinés, de façon séquentielle, un groupe de 9 blocs Mamba, un bloc Transformers unique, et ainsi de suite. Les blocs Transformers sont maintenus notamment en ce qu’ils apportent des avantages sur les tâches avec apprentissage en contexte (few-shot prompting, typiquement).
Les modèles ainsi architecturés n’utilisent pas d’encodage positionnel : de par son fonctionnement, Mamba préserve intrinsèquement l’ordre des tokens. Ce n’est pas le cas de Transformers. On a donc tendance à y allier cet encodage positionnel… au détriment de la capacité des modèles à travailler sur des séquences plus longues que celles sur lesquelles on les a entraînés.
Des versions thinking à venir
Comme leurs prédécesseurs, les modèles Granite 4.0 sont destinés à générer du texte et du code. On en compte actuellement 4, tous déclinés en versions base et instruct (versions thinking à venir « d’ici à fin 2025 ») :
H-Small
Hybride Mamba/Transformers en MoE (32 milliards de paramètres dont 9 milliards actifs, soit 10 experts sur 72).
H-Tiny
Hybride Mamba/Transformers en MoE (7 milliards de paramètres dont 1 milliard actifs, soit 6 experts sur 64).
H-Micro
Hybride Mamba/Transformers dense (3 milliards de paramètres).
Micro
Variante « classique » (Transformers) de H-Micro.
L’ensemble est disponible dans des versions quantisées (GGUF, avec également du FP8 pour H-Small instruct).
En précision 8 bits, H-Small nécessite 33 Go de RAM ; H-Tiny, 8 Go ; H-Micro, 4 Go, contre 9 Go pour sa variante Transformers. IBM ne manque pas de mettre en avant ce gain pour l’inférence, surtout dans les tâches à contexte long et/ou à sessions multiples (agent de service client traitant plusieurs tickets en parallèle, par exemple).
Tous les modèles Granite 4.0 ont été validés pour des séquences de 128k. L’entraînement des versions de base a suivi un pipeline en 4 étapes (cf. tableau ci-dessous), sur des serveurs GB200 NVL72 chez CoreWeave. Le fine-tuning a reposé sur « des jeux de données ouverts sous licence permissive », des datasets synthétiques internes et des données annotées par l’humain.
Intégrer Mamba dans l’écosystème
H-Small et H-Tiny ont une autre forme d’hybridité : ils sont les premiers modèles MoE d’IBM à utiliser des « experts partagés ». En d’autres termes, des paramètres toujours actifs qui permettent aux autres experts de mieux se spécialiser.
Des modèles Nano et Medium sont sur la feuille de route. Il s’agira aussi de pousser la prise en charge de Mamba dans l’écosystème. Des outils comme llama.cpp ne la gèrent pas encore. C’est dans cet esprit qu’IBM a conservé un modèle « classique » dans sa gamme.
Le catalogue open-weight d’IBM comprend des modèles multimodaux, dont :
Granite Speech (reconnaissance vocale ; dernière version publiée en août, à 2B et 8B)
Granite Vision (dernière version – 2B – publiée en juin, avec un dérivé pour l’embedding ajouté en août)
Granite Guardian (modération de contenu ; dernière version – 8B – publiée en septembre)
Granite Docling (extraction de données structurées ; dernière version – 258M – publiée en septembre)
Ses derniers modèles « spécial code » remontent à 2024. Il existe aussi des modèles Granite pour le traitement de données géospatiales et de séries chronologiques.
À consulter en complément, notre brève revue des LLM Granite 3.0. Sortis il y a près d’un an, ils introduisaient alors, au catalogue des modèles IBM, des techniques telles que ScatterMoE (une implémentation n’imposant pas de plafond de tokens par expert) et Evol-Instruct (génération de données synthétiques à partir de questions racines dont on crée des versions améliorées à renfort de prompt engineering).
Architecture hybride Mamba/Transformers, modèles spécifiques pour le raisonnement, mécanisme d’experts partagés… IBM a quelques nouveautés à mettre en avant avec la dernière génération des LLM Granite.
Celle-ci a une autre particularité : une certification ISO 42001. IBM l’a obtenue mi-septembre* pour le système de management sous-jacent.
Cette norme, publiée fin 2023, encadre effectivement la conception, l’implémentation et l’exploitation d’un système de management de l’IA. Elle est, en quelque sorte, ce que l’ISO 27001 est à la sécurité de l’information, l’ISO 9001 à la qualité et l’ISO 27701 à la protection de la vie privée. Y être conforme est censé témoigner d’une approche éthique et responsable.
L’ISO 42001 est potentiellement applicable à toute organisation qui développe, fournit ou utilise des produits ou services reposant sur des systèmes d’IA. Nombre des exigences qu’elle contient s’apparentent aux mesures que l’AI Act a imposées. Autant sur la gouvernance que sur la documentation, l’analyse de risque ou l’information des parties intéressées.
La norme impose de prendre en compte à la fois le contexte interne (gouvernance, procédures, obligations contractuelles…) et externe (législation, environnement culturel et concurrentiel, impact sur les tiers…). Elle aborde, entre autres :
Implication du top management Compatibilité de la politique IA avec la stratégie de l’organisation, intégration des exigences du système de management dans les processus métiers, etc.
Planification
Analyses d’impact, plans d’amélioration continue et de traitement des risques, gestion des exceptions, etc.
Support
Fourniture des ressources nécessaires au système de management (data, outils, systèmes informatiques, compétences humaines).
Relations avec les tiers
Documentation à leur adresse, mécanismes de recours/signalement, communication des incidents, gestion des fournisseurs, etc.
La certification est valable 3 ans et soumise à audit annuel. La procédure aura duré 3 mois, affirme IBM, qui met l’annonce en parallèle de son partenariat bug bounty avec Hacker One et de la généralisation de la signature cryptographique des checkpoints des modèles Granite.
D’AWS à Zendesk, quelques autres titulaires de la certification 42001
Parmi les fournisseurs de modèles de fondation, Anthropic a obtenu la certification ISO 42001 en janvier 2025. Elle englobe les LLM Claude sur l’API, au sein de l’offre Claude Enterprise ainsi que dans Amazon Bedrock et Vertex AI. Cohere l’a quant à lui obtenue en juin 2025.
AWS avait été certifié en novembre 2024 pour les services Amazon Bedrock, Q Business, Textract et Transcribe. Google l’avait été en décembre, pour dix produits dont Vertex AI, Gemini pour Google Workspace et les API Cloud Translation et Document AI. Microsoft les a rejoints en mars 2025, pour Copilot et Copilot Chat dans Microsoft 365. Red Hat, en septembre, pour OpenShift AI.
365Talents et Workday sont respectivement ISO 42001 depuis février et juin 2025. Autodesk l’est depuis août, pour sa plate-forme centrale destinée à développer des produits et fonctionnalités d’IA. Zendesk l’est depuis septembre, pour tout son cœur IA, à l’exception de deux acquisitions récentes (Local Measure et HyperArc). Snowflake l’est depuis juin.
Des dizaines de plus petits éditeurs ont obtenu la certification. Pour en citer quelques-uns : Scrut Automation (Inde, GRC, février 2025), Noxtua (ex-Xayn ; Allemagne, logiciels juridiques, décembre 2024), FloQast (USA, comptabilité, janvier 2025), Gpi (Italie, logiciels pour la santé, juillet 2025) et Swimlane (USA, SOAR, juin 2025). Des ESN également, comme Datamatics (Inde, juin 2024).
Si les tendances actuelles se poursuivent, la trajectoire climatique est alarmante.
On peut résumer ainsi les observations de The Shift Project – aka « Le think tank de la décarbonation de l’économie » – sur la filière datacenter.
L’Irlande, aperçu des futurs possibles
L’Irlande est un bon indicateur de ce qui pourrait se passer en Europe, affirme-t-il. Par sa politique fiscale, le pays a attiré énormément de datacenters, essentiellement d’acteurs américains. Le tout de façon peu qualifiée, sans anticipation des conséquences. La consommation du parc a crû de façon remarquable : environ 20 % de l’électricité du pays en 2022, contre 5 % en 2015 – alors que tous les autres secteurs ont plutôt vu stagner leur consommation.
À Dublin, où on ne sait plus fournir l’ensemble de la production électrique pour tous les usages, on a dû arrêter des projets immobiliers. Un moratoire de fait s’est installé : l’opérateur électrique irlandais a décidé de ne plus connecter de datacenters au réseau dans cette zone tant qu’il n’y aurait pas de désaturation.
La filière datacenter met les gaz
Cela n’a pas pour autant résulté en un arrêt de l’installation de datacenters. Une voie de contournement a effectivement été trouvée. Une quizaine sont aujourd’hui raccordés directement raccordés au réseau de gaz ou en ont fait la demande, avec le projet de mettre en place des centrales électriques dédiées.
Dans les scénarios de transition énergétique de l’Europe, il est prévu, à l’horizon 2035, de se passer de 200 TWh d’électricité produite à partir de gaz. Or, c’est précisément la consommation supplémentaire que représenteraient ces datacenters… et qui, aujourd’hui, n’est pas planifiée.
Perpétuer cette alimentation au gaz, c’est aussi prolonger une dépendance énergétique de l’Europe envers les États-Unis, fait remarquer The Shift Project. Il existe par ailleurs des risques de conflit d’usages avec les secteurs dont la décarbonation complète ne peut passer que par l’électrification. Transports et chauffage, notamment.
Stratégie bas carbone : « Le numérique est bien un secteur »
Au regard de l’empreinte croissante de la filière datacenter, The Shift Project appelle à l’intégrer dans la SNBC 3 (troisième stratégie nationale bas carbone, en cours d’élaboration par le Secrétariat général à la planification écologique), avec sa propre trajectoire.
Récemment, les datacenters étaient encore fondus dans le secteur tertiaire. Dans la catégorisation RTE, ils en ont finalement été sortis pour être intégrés au sein du secteur de l’industrie. Et pour cause : certains atteignent désormais une puissance unitaire du même ordre que celle des sites industriels.
La partie terminaux est quant à elle intégrée dans la consommation des logements (secteur résidentiel). Au même titre, donc, que l’éclairage ou l’électroménager.
Au final, le numérique est disséminé, intégré de façon partielle, de sorte qu’on « loupe des morceaux », pour reprendre les mots de The Shift Project. Or, d’après l’association, c’est bien un secteur : il a ses infrastructures, ses services, ses acteurs, ses lobbys même.
L’intégration du numérique en tant que secteur dans la SNBC a normalement déjà été décidée en 2023 par le Haut Comité sur le numérique responsable*. Pour The Shift Project, il faut maintenant « passer aux faits ». Tout en n’oubliant pas que les datacenters validés aujourd’hui n’atteindront possiblement leur consommation maximale que dans 10 à 15 ans.
D’Enedis à OpenAI, une transparence à construire
Au niveau européen, la directive EED (efficacité énergétique) impose que les datacenters de plus de 500 kW communiquent certaines de leurs données. À peu près un tiers le font effectivement. Un suivi à l’échelle nationale apparaît donc d’autant plus opportun. L’énergie est d’ailleurs considérée comme un secteur qui relève d’abord de la compétence des États plutôt que de la Commission.
La transparence, dans l’ensemble, ne se mettra probablement en place que si on l’impose de façon réglementaire, estime-t-on chez The Shift Project.
L’association est en discussion avec RTE, qui s’occupe des « gros » datacenters. Avec Enedis, qui gère les « petits », c’est plus compliqué : ces datacenters sont certes dédiés, mais pas forcément connus comme tels. Un meilleur référencement est nécessaire.
Concernant les modèles d’IA génératifs, ce qui a été publié ne suffit pas à se faire une idée véritable. Les chiffres sont très peu comparables d’un point de vue méthodologique. Google, notamment, utilise l’approche market-based, donc se sert de ses contrats d’énergie verte. Contrairement, entre autres, à Mistral AI, dont The Shift Project salue la démarche, portée par une approche scientifique et validée par des pairs. Il n’en dit pas autant au sujet d’OpenAI, tancé pour son « opacité ».
On a également très peu de données sur les empreintes énergétique et carbone embarquées des hardwares. Vu le rythme d’évolution technologique, les informations à leur sujet deviennent vite très obsolètes. À date, il y aurait environ 9 millions d’accélérateurs IA – essentiellement des GPU – dans le parc mondial de datacenters. On en compterait 60 millions en 2030.
Ces phénomènes sont aujourd’hui clairement tirés par l’offre, clame The Shift Project. Plus précisément par des acteurs à la capacité de financement immense et pour qui la question à court terme ne semble pas être la recherche de rentabilité, mais plutôt l’installation d’une domination hégémonique pour ensuite inventer un modèle économique. Il faut « savoir y résister », avance le think tank, également en gardant à l’esprit le risque de dépendance numérique.
* Alors composé de Jean-Noël Barrot (ministre délégué chargé de la transition numérique et des télécommunications), Dominique Faure (secrétaire d’État chargée de la ruralité) et Christophe Béchu (ministre de la Transition écologique et de la Cohésion des territoires).
La suite des démêlés judiciaires entre Arm et Qualcomm se jouera en Cour d’appel.
Le jugement final de première instance vient effectivement de tomber, après plus trois ans de procédure. Il est favorable à Qualcomm, dans la lignée du verdict rendu fin 2024.
Au cœur du litige, Nuvia. Cette société avait développé un SoC pour serveurs basé sur des cœurs exploitant partiellement l’architecture Arm. Qualcomm en avait fait l’acquisition en 2021, pour environ 1,4 Md$.
En 2022, Arm avait attaqué Qualcomm pour, entre autres, ne pas avoir négocié une nouvelle licence après s’être emparé de Nuvia. Selon l’entreprise britannique, la licence d’origine n’autorisait pas Qualcomm à exploiter les technologies que Nuvia avait développées jusqu’à l’acquisition. Plus encore de la manière dont il l’a fait : en les réorientant du datacenter vers les terminaux.
Un verdict très favorable à Qualcomm fin 2024…
Appelé à déterminer si Qualcomm avait enfreint les conditions de la licence de Nuvia, le jury avait répondu, en décembre 2024, que non. Il avait par ailleurs considéré que les CPU Qualcomm incluant des éléments issus de l’acquisition de Nuvia relevaient de l’accord de licence signé par Qualcomm et non de celui signé par Nuvia.
Les jurés n’avaient en revanche pas trouvé de consensus Nuvia lui-même avait enfreint les conditions de sa propre licence avec Arm.
Dans ce contexte (deux points en faveur de Qualcomm, un sans réponse), les deux parties avaient déposé un recours. Arm avait demandé un nouveau procès ou un jugement en tant que question de droits sur les trois griefs. Qualcomm avait sollicité un jugement en tant que question de droit sur le grief non tranché par le jury.
… et un jugement final qui l’est encore plus
Le bras de fer s’était notamment orienté sur la question du secret commercial.
Qualcomm prétendait qu’Arm n’avait pas détruit certaines informations confidentielles que Nuvia lui avait confiée dans le cadre de l’accord de licence ici attaqué, ainsi que de celui qui lui permettait d’acquérir des cœurs « sur étagère ».
Arm affirmait qu’une partie des informations invoquées n’avaient pas de caractère confidentiel. Il pointait aussi l’inexistence de preuves quant à l’exploitation des documents effectivement confidentiels ; et l’absence de demande de destruction après la fin du contrat de licence.
Le tribunal a rejeté les requêtes d’Arm. Son jugement final, rendu cette semaine, confirme le verdict de décembre 2024 et élimine l’ultime grief. En conséquence, Arm a fait appel.
Arm aura un temps menacé Qualcomm de lui retirer sa licence architecturale (celle qui lui donne le droit d’utiliser le jeu d’instructions pour concevoir ses propres cœurs de processeur). Il a abandonné cette piste quelques semaines après le verdict.
Pour détecter les ransomwares, il y aura bientôt… l’application Google Drive.
La fonctionnalité sera déployée en bêta sur la version de bureau (Windows, Mac) à partir de mi-octobre. Elle sera accessible avec les abonnements Google Workspace suivants :
Business Standard et Plus (pas le forfait Starter)
Entreprise Starter, Standard et Plus
Education Standard et Plus (pas le forfait Fundamentals)
Frontline Standard et Plus (pas le forfait Starter)
La détection interviendra au moment de la synchronisation de fichiers vers le cloud. Un modèle d’apprentissage automatique distant, entraîné sur des échantillons de ransomwares, recherchera les traces de modifications suspectes. S’il en détecte, il bloquera la synchronisation et alertera à la fois l’utilisateur (e-mail + notification de bureau) et l’admin (e-mail + alerte dans le centre d’administration).
L’ensemble n’empêche donc pas tant les infections que la propagation. Il intervient en second rempart après les antivirus.
Les fonctionnalités admin déjà en cours de déploiement
En complément arrive, également en bêta, une fonctionnalité de restauration massive de fichiers. Elle est disponible sur tous les abonnements Google Workspace – y compris individuels – ainsi que pour les comptes Google personnels.
Avoir la dernière version de l’application Google Drive (actuellement, la v114) est nécessaire pour permettre l’affichage des alertes.
L’ensemble sera activé par défaut et réglable au niveau des unités organisationnelles. Le déploiement des outils dans la console d’admin a démarré le 30 septembre sur les domaines à lancement rapide et à lancement planifié.
Dans un contexte financier critique et un cadre social rigide, mobiliser les moyens pour déployer la stratégie numérique de France Télévisions est un défi.
La Cour des comptes dresse ce constat dans un rapport consacré à l’évolution du groupe audiovisuel public entre 2017 et 2024.
Des synergies manquées entre DSI et direction du numérique
L’institution pointe notamment un déficit cumulé de 81 M€ sur cette période. Elle évoque, entre autres pistes de remédiation, des « synergies […] à rechercher dans la gestion informatique ». Des surcoûts découlent effectivement de l’absence de mutualisations suffisantes entre la DNUM (direction du numérique) et la DTSI (direction des technologies et des systèmes d’information).
La première a développé en parallèle son SI et son infra, sans lien avec ceux de la seconde. Deux prestataires – Broadcom pour la virtualisation, Palo Alto pour le réseau – ont conclu des contrats de services avec chacune de ces directions, sans concertation entre elles afin de négocier le meilleur prix.
De même, la DNUM ne participe pas* au projet de mutualisation de l’infrastructure d’hébergement des baies de stockage, de la solution de sauvegarde et du cloud coordonné par la DTSI avec les membres de l’initiative TAP (Technologies de l’audiovisuel public). Cette dernière rassemble France Télévisions, Radio France, France Médias Monde, TV5MONDE, ARTE et l’INA. Elle vise une mise en commun des moyens d’innovation et de R&D technologique. Un de ses marchés concerne l’hébergement des données des organismes de l’audiovisuel public.
L’absence d’un schéma directeur des systèmes d’information
Au-delà d’appeler à cette mutualisation, la Cour des comptes invite France Télévisions à formaliser sa stratégie informatique. Elle souligne « de nombreux écarts aux normes de référence ». En particulier vis-à-vis du référentiel COBIT (bonnes pratiques d’audit et de gouvernance des systèmes). De son avis, le groupe audiovisuel devrait, compte tenu de l’importance des enjeux numériques et technologiques de son activité, se doter d’un comité dédié au risque cyber.
Le responsable cyber n’est pas positionné au niveau du comité de direction, nous explique-t-on de surcroît.
Plus globalement, un schéma directeur des systèmes d’information fait défaut. Et le document alternatif – une feuille de route couvrant 2024 – ne saurait s’y substituer dans l’optique d’un pilotage cohérent et transversal.
Les grands projets de modernisation connaissent des retards
La Cour des comptes regrette de n’avoir pu consulter aucun document précisant les objectifs, le calendrier et l’alignement avec la stratégie globale, alors que de nombreux grands projets de la DTSI sont identifiés comme stratégiques.
L’un de ces projets, MOSAR (Modernisation et optimisation des systèmes d’automatisation des régies) a été lancé en 2018 pour renouveler les moyens techniques de production du réseau France 3 (24 antennes régionales).
Auparavant, chaque renouvellement s’opérait de manière unitaire, avec une équipe d’ingénieurs et de chefs de projet responsables de la conception et de la mise en place des moyens, sous-traitant la partie intégration. Ce mode de fonctionnement permettait de renouveler une ou deux régions par an ; rythme insuffisant pour assurer le maintien en condition opérationnelle. De plus, aucune mutualisation n’était possible, chaque régie étant différente de la précédente.
Attribué à Red Bee Media, MOSAR a permis d’atteindre une cadence de 3 régies par an et de mutualiser les formations, le matériel de rechange et les contrats de support, tout en facilitant la mobilité pour le personnel. En l’absence de données chiffrées, la Cour de comptes ne peut juger de la bonne conduite du projet. Toujours est-il que cette automatisation, susceptible de réduire de 40 % les effectifs des régies, « rencontre régulièrement des oppositions et des retards liés au dialogue social ». Plus récemment, la modernisation de la vidéo mobile s’est heurtée aux mêmes difficultés.
Autre projet stratégique : Sherlock. Son but : optimiser les processus de diffusion, avec une solution unique sur le périmètre groupe (passage d’une logique « antenne » à une logique « content-centric« ). Elle doit remplacer une brochette d’outils vieillissants maintenus dans le cadre de deux contrats TMA distincts en raison des technologies différentes utilisées.
Comme MOSAR, Sherlock a connu des reports. Ce sur plusieurs jalons-clés, principalement en raison du manque de ressources internes, de la complexité à basculer dans le cloud et de la reprise des données pouvant comporter des incohérences.
Un cadre social jugé peu favrorable à la mobilisation des compétences
Depuis 2018, Sherlock a représenté 21,4 M€ de dépenses d’investissement ; MOSAR, 13,7 M€. Ils ont accompagné la croissance régulière des charges de la DTSI.
Le budget de la direction du numérique a aussi augmenté (comme ses effectifs, à contre-courant de la diminution au niveau du groupe). Le recours aux prestations extérieures s’est nettement intensifié, face à la difficulté à mobiliser des compétences en interne, « en particulier dans le cadre actuel de gestion des ressources humaines de France Télévisions ».
Au contraire de Radio France, le groupe audiovisuel n’a que récemment mis en œuvre une implication à grande échelle de ses collaborateurs dans la stratégie numérique. Dans un premier temps, il avait effectivement décidé de spécialiser certains collaborateurs sur les fonctions numériques.
* L’absence de participation à ce projet est due à un contrat en cours. La DNUM envisage d’entrer dans la boucle à l’échéance de ce contrat.
Utilisateurs de npm, préparez-vous à des changements sur l’authentification et la publication.
GitHub vient de faire passer le message. Il entend réduire, « dans un avenir proche », la gamme d’options disponibles. Ne resteront plus que :
La publication locale avec MFA obligatoire
Les tokens granulaires avec durée de vie limitée à 7 jours
Le trusted publishing
Dans ce cadre, les tokens “classiques” (legacy) seront supprimés. Il en ira de même pour le MFA à base de codes TOTP : il faudra utiliser des méthodes FIDO. Quant aux tokens granulaires, ils expireront plus vite s’ils incluent des permissions de publication.
GitHub compte aussi paramétrer la publication de sorte que les tokens ne seront pas autorisés par défaut. Objectif : encourager l’usage de la publication locale avec MFA… ou du trusted publishing. Cette fonctionnalité implémente un standard défini par l’OpenSSF. Elle utilise l’authentification OIDC pour créer une relation de confiance entre npm et les fournisseurs CI/CD (pour le moment, GitHub Actions et les pipelines GitLab, les exécuteurs autohébergés n’étant pas pris en charge). PyPi fut le premier gestionnaire de paquets à l’adopter, en 2023. RubyGems, crates.io et NuGet, entre autres, ont suivi.
npm récemment compromis par un ver
Sur npm, le trusted publishing est intégré depuis juillet 2025. Il était initialement question d’en laisser se développer l’usage sans incitation particulière. Mais le contexte actuel ne le permet pas, affirme GitHub.
Ce contexte, c’est celui d’une recrudescence des attaques sur les registres de paquets logiciels. Illustration avec celle dite Shai-Hulud (du nom d’un ver des sables dans Dune). Elle a ciblé l’écosystème npm.
À l’origine, il y a possiblement une campagne de phishing ayant ciblé les développeurs, invités à “mettre à jour” leurs options de connexion MFA.
Les comptes ainsi compromis ont servi à publier un package contenant un malware. Celui-ci détectait des authentifiants dans l’environnement compromis (tokens npm et GitHub, clés d’API AWS/Azure/GCP) et les exfiltrait… tout en les rendant publics sur le compte GitHub des victimes.
Les tokens npm ainsi dérobés ont permis d’enclencher un processus de propagation automatisée du malware, ainsi apparenté à un ver. Plus de 500 packagesauraient été compromis.
À l’heure actuelle, il reste possible, sur npm, de ne pas exiger le MFA pour la publication des paquets et la modification de leurs paramètres. Pour qui l’active, reste la possibilité d’autoriser les tokens, granulaires ou legacy. Les tokens legacy (aussi dits jetons d’automatisation) permettent de télécharger des paquets et d’en publier. Ils héritent des permissions dont bénéficie l’utilisateur qui les crée. Les tokens granulaires ont une date d’expiration et peuvent être associés à des organisations. On peut aussi les limiter à certains paquets et à des plages d’adresses IP.
Ces fournisseurs – ainsi qu’une dizaine d’autres – sont intégrés à plusieurs niveaux dans l’écosystème Hugging Face :
Widget d’inférence sur les pages des modèles
Playground
Pages de datasets (conversion text-to-SQL)
SDK Python et JavaScript
API REST
Le client OpenAI (Python) est une autre option d’accès, mais uniquement pour la saisie semi-automatique de texte.
Scaleway & Cie pour le prototypage, les hyperscalers pour la prod
Par défaut, Hugging Face dirige chaque requête vers le fournisseur approprié et gère la facturation ; pour le moment sans prendre de commission (il a un temps évoqué la possibilité de nouer des accords de partage de revenus). On peut toutefois préférer définir ses fournisseurs en renseignant des clés d’API.
Les comptes Hugging Face gratuits incluent 0,10 $ de crédits par mois, sans possibilité de consommer au-delà. Les comptes PRO donnent droit à 2 $ de crédits et débloquent la facturation à la consommation. Pour les forfaits entreprise, c’est 2 $ de crédits par siège. On est donc sur un usage de prototypage, d’ailleurs axé inférence CPU (AWS, Google et Microsoft interviennent sur la partie déploiement).
Côté Scaleway, on a fait la passerelle le service Generative APIs. À la clé, une sélection d’une dizaine de modèles, dont des Qwen, des Llama, un Gemma, un DeepSeek et gpt-oss-120b.
* Organisation à but non lucratif qui promeut les travaux de développeurs de modèles publics comme la Swiss AI Initiative, AI Singapore, AI Sweden et le Barcelona Supercomputing Centre
Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.
À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.
Un logiciel américain répandu dans les aéroports européens
Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.
Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.
Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.
Un ransomware au bout du compte
Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.
Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.
À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.
Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.
Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.
Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich. Online-Check-in nutzen Self-Service-Automaten verwenden Fast-Bag-Drop für Gepäck
D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi. Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).
Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9Jpic.twitter.com/P0Z9Dec8Rd
Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.
Passenger Update – Monday @ 07.15
The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.
* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).
Remarquablement volatil. Ainsi Gartner dépeint-il le marché des assistants de codage.
C’est le deuxième Magic Quadrant qu’il lui consacre, dans la continuité de celui, plus généraliste, consacré aux « services d’IA cloud pour les développeurs ».
Par rapport à l’an dernier, les éléments obligatoires sur le plan fonctionnel ont peu évolué. Il fallait proposer, dans les grandes lignes :
Saisie semi-automatique multiligne avec suggestions en langage naturel
Génération de tests unitaires et de documentation
Assistance généraliste sur de multiples langages et frameworks
Connaissance du contexte des dépôts de code de l’entreprise et d’autres sources type documentation
Chat intégré dans l’environnement de développement, avec possibilité de faire référence à des fichiers et dossiers
Garantie de non-exploitation du code ou de la documentation des clients à des fins d’entraînement de modèles
Options d’administration telles que l’exclusion de code et la définition de styles de programmation
Gartner a néanmoins tenu compte du mouvement de l’offre, marqué par une transition des plug-in pour IDE vers des environnements autonomes. Il a aussi intégré l’aspect agentique dans son évaluation.
Quant à la volatilité du marché, le cabinet américain en veut notamment pour preuve ce qui est arrivé à Windsurf (ex-Codeium). OpenAI a tenté d’en faire l’acquisition, mais c’est finalement Cognition qui s’en est emparé, l’équipe dirigeante rejoignant Google.
Autre illustration : la controverse que Cursor a suscitée en augmentant ses tarifs, en conséquence de la hausse du coût de sa « matière première » : les modèles d’Anthropic. Ce dernier représente une menace d’autant plus grande qu’il s’est lui-même positionné sur ce marché, avec Claude Code. Le symbole d’une tendance plus globale des fournisseurs de LLM à développer leurs propres assistants de code.
14 fournisseurs, 5 « leaders »
Reflet de cette volatilité, la hiérarchie évolue assez nettement sur chacun des axes du Magic Quadrant. Des 14 fournisseurs classés, 4 sont de nouveaux entrants. Dont un chez les « leaders » : Anysphere, éditeur de Cursor.
Sur l’axe « exécution », censé traduire la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…), la situation est la suivante :
Rang
Fournisseur
Évolution annuelle
1
GitHub
=
2
Amazon
+2
3
Cognition (Windsurf)
+3
4
Anysphere (Cursor)
nouvel entrant
5
Alibaba Cloud
=
6
GitLab
-4
7
Google
-4
8
Harness
nouvel entrant
9
Qodo
+2
10
Tabnine
-2
11
Tencent Cloud
-1
12
Augment Code
nouvel entrant
13
IBM
-6
14
JetBrains
nouvel entrant
Sur l’axe « vision », qui rend compte des stratégies (sectorielle, géographique, commerciale/marketing, produit…) :
Rang
Fournisseur
Évolution annuelle
1
GitHub
=
2
Cognition
+6
3
Amazon
-1
4
GitLab
=
5
Google
-2
6
Harness
nouvel entrant
7
Qodo
+4
8
Tabnine
+1
9
Augment
nouvel entrant
10
Anysphere
nouvel entrant
11
Alibaba Cloud
-5
12
IBM
-5
13
JetBrains
nouvel entrant
14
Tencent Cloud
-4
Options de déploiement et de personnalisation limitées chez Amazon
Amazon est moins exhaustif que les autres fournisseurs sur le nombre d’IDE pris en charge, avait constaté Gartner l’an dernier. Un défaut résolu : désormais, Amazon Q Developer est au contraire salué pour sa diffusion dans de nombreux environnements. Bon point également sur le volet agentique, en particulier dans le domaine de la modernisation. S’y ajoutent les investissements dans le raisonnement automatisé, déjà distingués l’an dernier. Même chose pour le recueil du feedback client. Amazon a aussi pour lui la qualité de son support à l’exploitation (contrôles de sécurité, mises à jour sans temps d’arrêt, disponibilité des gestionnaires de compte).
En comparaison aux autres hyperscalers ici classés, Amazon déploie moins d’efforts commerciaux centrés sur les assistants de codage. Son business model peut par ailleurs compliquer la planification des coûts et le benchmarking. Et les options de personnalisation (fine-tuning, bibliothèque de prompts…) restent limitées, comme les options de déploiement. Plus globalement, l’offre est optimisée pour l’écosystème AWS, ce qui peut engendrer des coûts en cas de changement de fournisseur. L’IDE Kiro est un palliatif, mais il était encore en version expérimentale au moment où Gartner a effectué son évaluation.
Cognition, moins mature sur l’approche commerciale
Cognition est crédité de bons points pour sa prise en charge exhaustive des langages de programmation et la robustesse de ses intégrations IDE (en plus d’avoir le sien). Gartner apprécie les capacités de son produit sur la personnalisation de code, le test, le débogage et la génération de documentation. Il salue aussi la flexibilité procurée par l’intégration agentique au sein du cycle de développement. Bons points également pour le moteur de raisonnement Cortex et la facilité de déploiement (modèles hybrides).
Difficile, après le départ de l’équipe dirigeante vers Google, de ne pas avoir de doutes sur la viabilité de Windsurf. Et, en parallèle, sur son modèle économique, a fortiori au moment où l’intégration des agents s’accompagne d’une transition du licensing par siège à une tarification à l’usage. Gartner relève, de plus, un manque de ressources qui limite les capacités d’expansion de Cognition au-delà des marchés dev-centric. L’approche commerciale est globalement moins mature chez les autres « leaders », tant sur le channel que sur la verticalisation.
Tarification complexe chez GitHub
GitHub Copilot excelle sur les tâches essentielles (traduction de code, compréhension du runtime, documentation automatique), selon Gartner. Autre point fort : le niveau d’intégration dans le SDLC (disponibilité native dans GitHub et dans Visual Studio Code, notamment). Bons points également pour la gouvernance et l’intégration avec les codebases.
Gartner observe que l’adaptation sectorielle de l’offre est minimale. Il pointe aussi la complexité de la tarification. La multiplicité des SKU autant que l’interaction avec les abonnements GitHub Enterprise contribuent à une forme d’opacité. Il n’est par ailleurs pas toujours évident de s’y retrouver entre les conditions contractuelles de GitHub et celles de Microsoft dans le cadre des offres cross-platform.
GitLab, pas en avance sur le marché
L’an dernier, Gartner avait salué GitLab pour sa stratégie marketing, ainsi que pour la visibilité et l’engagement qui en résultaient. Il avait aussi apprécié le volume de ressources consacrées au développement et au support. C’est toujours le cas, en conséquence de quoi la proportion d’acquisition indrecte de clients est importante. Autres points forts : le niveau d’intégration au sein de la plate-forme GitLab et ma flexibilité du déploiement.
GitLab est moins bien positionné que la concurrence pour ce qui est de la prise en compte du contexte d’entreprise. Il n’est plus globalement pas en avance sur le marché en ce qui concerne un certain nombre de briques (chat, tableaux de bord analytiques, options d’autohébergement). Son message a par ailleurs tendance à se centrer sur l’aspect « IA pour le DevOps » plutôt que sur le coeur fonctionnel, au risque de perdre en notoriété auprès des développeurs.
Traduction, documentation… Google, en retard sur plusieurs usages
Gartner apprécie l’intégration « fluide » de Gemini Code Assistant dans les IDE et dans l’écosystème GCP. Bon point également pour la taficiation, avec un niveau individuel gratuit qui permet d’attirer une base d’utilisateurs. Autres éléments salués : la qualité du support, la robustesse des SLA et les passerlles avec DeepMind, qui favorisent l’adaptation des modèles aux cas d’usage « réels ».
Google est en retard sur les autres « leaders » pour ce qui est de la traduction de code, de la compréhension des runtimes et de la génération de documentation. Il l’est aussi sur le choix des modèles et sur l’adaptation de son offre à des secteurs d’activité comme à des tailles d’entreprises. La tarification manque de transparence, en particulier sur les remises.
Ces fournisseurs – ainsi qu’une dizaine d’autres – sont intégrés à plusieurs niveaux dans l’écosystème Hugging Face :
Widget d’inférence sur les pages des modèles
Playground
Pages de datasets (conversion text-to-SQL)
SDK Python et JavaScript
API REST
Le client OpenAI (Python) est une autre option d’accès, mais uniquement pour la saisie semi-automatique de texte.
Scaleway & Cie pour le prototypage, les hyperscalers pour la prod
Par défaut, Hugging Face dirige chaque requête vers le fournisseur approprié et gère la facturation ; pour le moment sans prendre de commission (il a un temps évoqué la possibilité de nouer des accords de partage de revenus). On peut toutefois préférer définir ses fournisseurs en renseignant des clés d’API.
Les comptes Hugging Face gratuits incluent 0,10 $ de crédits par mois, sans possibilité de consommer au-delà. Les comptes PRO donnent droit à 2 $ de crédits et débloquent la facturation à la consommation. Pour les forfaits entreprise, c’est 2 $ de crédits par siège. On est donc sur un usage de prototypage, d’ailleurs axé inférence CPU (AWS, Google et Microsoft interviennent sur la partie déploiement).
Côté Scaleway, on a fait la passerelle le service Generative APIs. À la clé, une sélection d’une dizaine de modèles, dont des Qwen, des Llama, un Gemma, un DeepSeek et gpt-oss-120b.
* Organisation à but non lucratif qui promeut les travaux de développeurs de modèles publics comme la Swiss AI Initiative, AI Singapore, AI Sweden et le Barcelona Supercomputing Centre
Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.
À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.
Un logiciel américain répandu dans les aéroports européens
Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.
Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.
Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.
Un ransomware au bout du compte
Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.
Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.
À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.
Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.
Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.
Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich. 👉 Online-Check-in nutzen 👉 Self-Service-Automaten verwenden 👉 Fast-Bag-Drop für Gepäck
D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi. Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).
Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9Jpic.twitter.com/P0Z9Dec8Rd
Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.
Passenger Update – Monday @ 07.15
The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.
* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).
Remarquablement volatil. Ainsi Gartner dépeint-il le marché des assistants de codage.
C’est le deuxième Magic Quadrant qu’il lui consacre, dans la continuité de celui, plus généraliste, consacré aux « services d’IA cloud pour les développeurs ».
Par rapport à l’an dernier, les éléments obligatoires sur le plan fonctionnel ont peu évolué. Il fallait proposer, dans les grandes lignes :
Saisie semi-automatique multiligne avec suggestions en langage naturel
Génération de tests unitaires et de documentation
Assistance généraliste sur de multiples langages et frameworks
Connaissance du contexte des dépôts de code de l’entreprise et d’autres sources type documentation
Chat intégré dans l’environnement de développement, avec possibilité de faire référence à des fichiers et dossiers
Garantie de non-exploitation du code ou de la documentation des clients à des fins d’entraînement de modèles
Options d’administration telles que l’exclusion de code et la définition de styles de programmation
Gartner a néanmoins tenu compte du mouvement de l’offre, marqué par une transition des plug-in pour IDE vers des environnements autonomes. Il a aussi intégré l’aspect agentique dans son évaluation.
Quant à la volatilité du marché, le cabinet américain en veut notamment pour preuve ce qui est arrivé à Windsurf (ex-Codeium). OpenAI a tenté d’en faire l’acquisition, mais c’est finalement Cognition qui s’en est emparé, l’équipe dirigeante rejoignant Google.
Autre illustration : la controverse que Cursor a suscitée en augmentant ses tarifs, en conséquence de la hausse du coût de sa « matière première » : les modèles d’Anthropic. Ce dernier représente une menace d’autant plus grande qu’il s’est lui-même positionné sur ce marché, avec Claude Code. Le symbole d’une tendance plus globale des fournisseurs de LLM à développer leurs propres assistants de code.
14 fournisseurs, 5 « leaders »
Reflet de cette volatilité, la hiérarchie évolue assez nettement sur chacun des axes du Magic Quadrant. Des 14 fournisseurs classés, 4 sont de nouveaux entrants. Dont un chez les « leaders » : Anysphere, éditeur de Cursor.
Sur l’axe « exécution », censé traduire la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…), la situation est la suivante :
Rang
Fournisseur
Évolution annuelle
1
GitHub
=
2
Amazon
+2
3
Cognition (Windsurf)
+3
4
Anysphere (Cursor)
nouvel entrant
5
Alibaba Cloud
=
6
GitLab
-4
7
Google
-4
8
Harness
nouvel entrant
9
Qodo
+2
10
Tabnine
-2
11
Tencent Cloud
-1
12
Augment Code
nouvel entrant
13
IBM
-6
14
JetBrains
nouvel entrant
Sur l’axe « vision », qui rend compte des stratégies (sectorielle, géographique, commerciale/marketing, produit…) :
Rang
Fournisseur
Évolution annuelle
1
GitHub
=
2
Cognition
+6
3
Amazon
-1
4
GitLab
=
5
Google
-2
6
Harness
nouvel entrant
7
Qodo
+4
8
Tabnine
+1
9
Augment
nouvel entrant
10
Anysphere
nouvel entrant
11
Alibaba Cloud
-5
12
IBM
-5
13
JetBrains
nouvel entrant
14
Tencent Cloud
-4
Options de déploiement et de personnalisation limitées chez Amazon
Amazon est moins exhaustif que les autres fournisseurs sur le nombre d’IDE pris en charge, avait constaté Gartner l’an dernier. Un défaut résolu : désormais, Amazon Q Developer est au contraire salué pour sa diffusion dans de nombreux environnements. Bon point également sur le volet agentique, en particulier dans le domaine de la modernisation. S’y ajoutent les investissements dans le raisonnement automatisé, déjà distingués l’an dernier. Même chose pour le recueil du feedback client. Amazon a aussi pour lui la qualité de son support à l’exploitation (contrôles de sécurité, mises à jour sans temps d’arrêt, disponibilité des gestionnaires de compte).
En comparaison aux autres hyperscalers ici classés, Amazon déploie moins d’efforts commerciaux centrés sur les assistants de codage. Son business model peut par ailleurs compliquer la planification des coûts et le benchmarking. Et les options de personnalisation (fine-tuning, bibliothèque de prompts…) restent limitées, comme les options de déploiement. Plus globalement, l’offre est optimisée pour l’écosystème AWS, ce qui peut engendrer des coûts en cas de changement de fournisseur. L’IDE Kiro est un palliatif, mais il était encore en version expérimentale au moment où Gartner a effectué son évaluation.
Cognition, moins mature sur l’approche commerciale
Cognition est crédité de bons points pour sa prise en charge exhaustive des langages de programmation et la robustesse de ses intégrations IDE (en plus d’avoir le sien). Gartner apprécie les capacités de son produit sur la personnalisation de code, le test, le débogage et la génération de documentation. Il salue aussi la flexibilité procurée par l’intégration agentique au sein du cycle de développement. Bons points également pour le moteur de raisonnement Cortex et la facilité de déploiement (modèles hybrides).
Difficile, après le départ de l’équipe dirigeante vers Google, de ne pas avoir de doutes sur la viabilité de Windsurf. Et, en parallèle, sur son modèle économique, a fortiori au moment où l’intégration des agents s’accompagne d’une transition du licensing par siège à une tarification à l’usage. Gartner relève, de plus, un manque de ressources qui limite les capacités d’expansion de Cognition au-delà des marchés dev-centric. L’approche commerciale est globalement moins mature chez les autres « leaders », tant sur le channel que sur la verticalisation.
Tarification complexe chez GitHub
GitHub Copilot excelle sur les tâches essentielles (traduction de code, compréhension du runtime, documentation automatique), selon Gartner. Autre point fort : le niveau d’intégration dans le SDLC (disponibilité native dans GitHub et dans Visual Studio Code, notamment). Bons points également pour la gouvernance et l’intégration avec les codebases.
Gartner observe que l’adaptation sectorielle de l’offre est minimale. Il pointe aussi la complexité de la tarification. La multiplicité des SKU autant que l’interaction avec les abonnements GitHub Enterprise contribuent à une forme d’opacité. Il n’est par ailleurs pas toujours évident de s’y retrouver entre les conditions contractuelles de GitHub et celles de Microsoft dans le cadre des offres cross-platform.
GitLab, pas en avance sur le marché
L’an dernier, Gartner avait salué GitLab pour sa stratégie marketing, ainsi que pour la visibilité et l’engagement qui en résultaient. Il avait aussi apprécié le volume de ressources consacrées au développement et au support. C’est toujours le cas, en conséquence de quoi la proportion d’acquisition indrecte de clients est importante. Autres points forts : le niveau d’intégration au sein de la plate-forme GitLab et ma flexibilité du déploiement.
GitLab est moins bien positionné que la concurrence pour ce qui est de la prise en compte du contexte d’entreprise. Il n’est plus globalement pas en avance sur le marché en ce qui concerne un certain nombre de briques (chat, tableaux de bord analytiques, options d’autohébergement). Son message a par ailleurs tendance à se centrer sur l’aspect « IA pour le DevOps » plutôt que sur le coeur fonctionnel, au risque de perdre en notoriété auprès des développeurs.
Traduction, documentation… Google, en retard sur plusieurs usages
Gartner apprécie l’intégration « fluide » de Gemini Code Assistant dans les IDE et dans l’écosystème GCP. Bon point également pour la taficiation, avec un niveau individuel gratuit qui permet d’attirer une base d’utilisateurs. Autres éléments salués : la qualité du support, la robustesse des SLA et les passerlles avec DeepMind, qui favorisent l’adaptation des modèles aux cas d’usage « réels ».
Google est en retard sur les autres « leaders » pour ce qui est de la traduction de code, de la compréhension des runtimes et de la génération de documentation. Il l’est aussi sur le choix des modèles et sur l’adaptation de son offre à des secteurs d’activité comme à des tailles d’entreprises. La tarification manque de transparence, en particulier sur les remises.
Le Desktop as a Service (DaaS) est désormais compétitif par rapport aux PC traditionnels. Gartner estime que les offres cloud, combinées à des clients légers, peuvent alléger fortement les dépenses des petites et moyennes entreprises — sans sacrifier la sécurité ni la flexibilité.
Microsoft a pris des nouveaux engagements sur la distribution et la commercialisation de Teams au sein de l'Union Européenne. En voici les grands axes.
Connexion
Online-Check-in nutzen
