Ce matin, sur la Toile, il était plus probable que d’habitude de tomber sur des erreurs 500.
En cause, un problème chez Cloudflare. Sans commune mesure, néanmoins, avec l’incident du 18 novembre ; en tout cas par sa durée : moins d’une heure*.
L’entreprise en a d’abord attribué la cause à une mise à jour de son WAF. L’objectif, a-t-elle expliqué, était d’atténuer la vulnérabilité React rendue publique la semaine dernière.
À la racine, un problème de journalisation
Cette vulnérabilité, on ne peut plus critique (score CVSS : 10), se trouve dans les composants serveur React. Plus précisément au niveau de la logique qui permet à un client d’appeler ces composants. Par un traitement non sécurisé des entrées, elle ouvre la voie à l’exécution distante de code sans authentification. Les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack sont touchées.
À défaut de pouvoir agir directement sur ces packages, Cloudflare avait déployé, le 2 décembre, une règle WAF. « Un simple pansement », avait rappelé son CTO, ayant constaté l’émergence de variantes de l’exploit.
Concernant l’incident de ce matin, l’intéressé a apporté une précision, en attendant un compte rendu plus détaillé : le problème est né d’une désactivation de journalisation destinée à atténuer les effets de la vulnérabilité…
* Ticket ouvert à 9 h 56. Déploiement du correctif officialisé à 10 h 12. Incident considéré comme résolu à 10 h 20.
Pour accéder au catalogue Gaia-X du CISPE, attention à ne pas suivre le lien que l’association affiche sur la page d’accueil de son site.
Nous en avons fait l’amère expérience. Ledit lien pointe vers une ancienne version du catalogue… qui n’est que partiellement fonctionnelle. Certains filtres sont inopérants (localisation des services, par exemple) tandis que d’autres ne renvoient aucun résultat (tri par fournisseur, par certification, par label Gaia-X). De nombreuses fiches sont par ailleurs en doublon voire plus ; et sur chacune, le JSON source est inaccessible (erreur 503). Les contenus mêmes ne sont plus à jour, reflétant les principes de Gaia-X tels qu’ils étaient essentiellement fin 2022.
Une maintenance depuis la France
À la « bonne » adresse, la spécification Gaia-X référente est celle de mars 2025. L’enregistrement des services passe toujours par le CISPE (démarche gratuite pour les membres et les affiliés). L’exploitation et la maintenance du catalogue restent à la charge de Cloud Data Engine, SASU francilienne née en 2023, quelques semaines avant le passage en prod.
Les services listés respectent un socle minimal d’exigences – dit « conforité standard » – attendues pour pouvoir participer à l’écosystème Gaia-X. Ils peuvent être labellisés à trois niveaux supplémentaires.
Le premier comporte des exigences en matière de droit applicable, de gouvernance et de transparence. Il est obtenu sur la base d’une autocertification.
Le deuxième requiert une possibilité de traiter les données en Europe uniquement. Le troisième ajoute des critères pour assurer l’immunité aux lois extra-européennes. L’un et l’autre impliquent un audit tiers sur la protection des données et la cybersécurité ; pas sur la portabilité et la soutenabilité.
De premières offres labellisées Gaia-X niveau 3
À l’occasion du Sommet Gaia-X 2025, le CISPE a mis en lumière l’intégration d’un premier bouquet d’offres de services labellisées au niveau 3. Au nombre de 9, elles émanent de 5 fournisseurs. Dont 3 français :
Cloud Temple (IaaS open source, IaaS bare metal et PaaS OpenShift)
OVHcloud (Hosted Private Cloud by VMware)
Thésée Datacenter (hébergement dans ses deux datacenters des Yvelines)
Les étiquettes désignant les autres niveaux de conformité n’ont encore été attachées à aucun service (elles l’étaient pour quelques-uns dans l’ancienne version du catalogue).
Cloud Temple rejoint Ikoula, OVHcloud et Thésée Data Center
Côté certifications, certaines étiquettes n’ont, là aussi, pas encore été massivement attribuées. Illustration avec le code de conduite SWIPO, actuellement associé à seulement 4 services.
D’autres étiquettes, à l’instar de C5 (le « SecNumCloud allemand »), ne retournent quasiment pas de résultats, faute de fournisseurs nationaux référencés dans le catalogue. Pour le moment ils sont 13 :
Quatre français (Cloud Temple, Ikoula, OVHcloud, Thésée Data Center)
Deux espagnols (Gigas Hosting, Jotelulu)
Cinq italiens (Aruba, CoreTech, Netalia, Opiquad, Seeweb)
Un néerlandais (Leaseweb)
Un américain (AWS)
Cloud Temple – non membre du CISPE, comme OVHcloud et Thésée Data Center – et Seeweb étaient les seuls de ces fournisseurs à ne pas figurer dans l’ancienne version du catalogue*.
Les quelque 600 services référencés sont presque tous localisés dans l’UE. Les 15 exceptions (États-Unis, Canada, Australie, Singapour) sont liées à OVHcloud.
Les tags relatifs aux catégories de services visent large. « Authentification », par exemple, est attribué autant au remote desktop et au PBX virtuel de Jotelulu qu’à l’hébergement web et au Veeam d’OVHcloud.
* Son intégration « a posteriori » se ressent : elle ne respecte par l’ordre alphabétique (Cloud Temple est positionné après CoreTech dans la liste déroulante du filtre fournisseurs).
Un smartphone à double pliage fait-il une bonne station de travail portable ?
Samsung a choisi cet angle d’attaque avec le Galaxy Z TriFold. Officialisé cette semaine, il sera commercialisé en Corée à partir du 12 décembre. Il est prévu de le distribuer également en Chine et aux États-Unis, entre autres. L’Europe n’est pas mentionnée en l’état.
Le prix affiché sur le shop Samsung coréen équivaut à un peu plus de 2000 €. C’est environ 50 % de plus que le ticket d’entrée du Galaxy Z Fold 7 (autour de 1300 €).
Sachant que ce dernier est vendu à partir de 2100 € TTC en France, on peut supposer, par règle de trois, qu’il faudrait compter environ 3200 € pour le Galaxy Z TriFold.
Pliage en U chez Samsung, en Z chez Huawei
Déplié, l’appareil offre une surface d’affichage de 10 pouces. Les trois panneaux – assimilables à autant de smartphones 6,5 pouces qu’on placerait côte à côte – se replient en U. Un système qui, selon Samsung, favorise la protection de cet écran.
Huawei n’a pas fait le même choix : ses Mate XT et XTs (lancés en février et septembre 2025, mais pas en France) se replient en Z. Cela permet d’utiliser une, deux ou trois parties de l’écran, qui est par ailleurs unique. Par contraste, le Galaxy Z TriFold a un écran secondaire distinct (celui qu’on utilise quand l’appareil est plié) et ne peut utiliser partiellement l’écran principal.
En 16:11, cet écran principal se prête mieux aux contenus widescreen que l’écran du Galaxy Z Fold 7, plus proche d’un format carré. Sa luminosité maximale est en revanche inférieure (1600 nits vs 2600, valeur qu’on ne retrouve que sur l’écran secondaire).
Un mode desktop autonome
Le Galaxy Z TriFold est le premier smartphone Samsung à inclure le mode DeX autonome : pas besoin d’écran externe pour enclencher ce mode desktop qui gère jusqu’à 4 bureaux virtuels avec 5 apps chacun.
L’appareil dispose d’un chevalet, mais dans cette configuration, le port USB devient difficilement accessible. Le module caméra rend par ailleurs délicate l’utilisation sur une surface plane (l’étui atténue le problème). Samsung n’a pas intégré la prise en charge du stylet S Pen.
Le système à trois panneaux a permis d’intégrer autant de batteries, pour une capacité totale de 5600 mAh (vs 4400 pour le Galaxy Z Fold). La recharge filaire est en 45 W, comme sur le Galaxy S25 Ultra (sans fil : 15 W ; recharge inversée : 4,5 W).
Un smartphone IP48 : gare aux poussières
Le processeur n’est pas le plus récent de chez Qualcomm. Il s’agit d’une version personnalisée du Snapdragon 8 Elite, lancé à l’automne 2024. Y sont associés 16 Go de RAM et 512 Go ou 1 To de stockage (pas de slot microSD).
Les appareils photo sont les mêmes que sur le Galaxy Z Fold 7 :
Ultra-grand-angle 12 MP (focale 13 mm, soit 120 ° de champ de vision)
Grand-angle 200 MP (24 mm, soit 85 ° ; zoom optique 2x)
Téléobjectif 10 MP (67 mm, soit 36 ° ; zoom optique 3x)
Caméra frontale de l’écran principal 10 MP (18 mm, soit 100 °)
Caméra frontale de l’écran secondaire 10 MP (24 mm, soit 85 °)
On aura noté la certification IP48 du Galaxy Z TriFold. Sur le papier, cela signifie qu’il n’est pas résistant aux particules solides de moins d’un millimètre de diamètre. Samsung en déconseille d’ailleurs l’usage « à la plage ou à la piscine »… Et ajoute que la résistance à l’eau peut s’amoindrir avec le temps.
Plié, le Galaxy Z Fold mesure est épais d’environ 1,3 cm en son point le plus fin. Déplié, on descend jusqu’à 0,4 cm hors module caméra. L’ensemble pèse 309 g (contre 298 g pour les Mate XT et XTs).
Un nouveau carrousel, un sous-menu de navigation en plus, et le score de performance environnementale d’une page web en pâtit.
L’agence Razorfish et le collectif Green IT font, dans la synthèse de leur dernier baromètre de l’écoconception digitale, une remarque au sujet de ces « contributions qui altèrent les scores à la longue ».
Les scores en question sont calculés avec l’algorithme EcoIndex. Trois paramètres techniques sont évalués en pondérés en fonction de leur contribution aux impacts écologiques : poids de la page (x 1), nombre de requêtes HTTP (x 2) et complexité du DOM (= nombre d’éléments sur la page ; x 3).
Le carrousel et le sous-menu de navigation pris pour exemple ont été ajoutés sur la homepage du site corporate de Veolia.
Un EcoIndex moyen en baisse dans le CAC 40…
Au niveau du CAC 40, Orange affiche le meilleur score : 57/100 en moyenne pour les 10 pages les plus visitées de son site corporate (données SEM RUSH). L’entreprise a gagné 26 points depuis la première édition du baromètre (2022), avec un DOM réduit de 11 % et 4 fois moins de requêtes.
Suivent, à 54/100, ArcelorMittal (- 18 points par rapport à l’an dernier) et TotalEnergies (+ 2 points). Puis Unibail-Rodamco-Westfield (53/100 ; – 6 points) et Vinci (52 ; – 4 points).
Sur l’ensemble du CAC 40*, le score moyen ressort à 35/100. Il revient ainsi à son niveau de 2022 (34/100), après s’être élevé à 40/100 en 2023 et 39/100 en 2024.
… et sur les sites e-commerce
Dans la catégorie e-commerce, eBay obtient le meilleur score, bien qu’en baisse (43/100 ; – 7 points). Il devance Rue du Commerce (40/100), Darty (28/100), Oscaro (27/100) et Etsy (27/100 ; + 5 points).
Sur les 40 sites e-commerce les plus visités par les Français (classement E-commerce Nation, 2e semestre 2025), la score moyen est de 18/100. La tendance baissière constatée l’an dernier sur le top 50 (- 3 points, à 20/100) se poursuit donc. Elle est corrélée à la complexification des DOM (3977 éléments en moyenne, volume le plus élevé dans l’historique du baromètre).
Penser génératif avant de penser agentique
L’an dernier, Razorfish et Green IT avaient analysé la performance environnementale des interfaces de 12 IA génératives.
Une moitié était axée sur la production de texte (ChatGPT, Claude, Copilot, Gemini, Mistral AI, Perplexity) ; l’autre, sur la création d’images (Civitai, DALL-E, Firefly, Leonardo AI, Midjourney, Pixlr). Les premières avaient été évaluées sur 5 prompts (requêtes de type liste, simplification, comparateur, tableau et code). Les secondes, sur 3 prompts en versions « simple » et « complexe ».
Cette année, l’analyse s’est centrée sur ChatGPT et Perplexity, pour 7 cas d’usage. 4 possibles en génératif (rechercher des horaires, trouver des billets, comparer des produits, créer un itinéraire de voyage). 3 impliquant de l’agentique (mise au panier, réservation de restaurant, remplissage de formulaire).
Pour les besoins génératifs, le meilleur score revient à l’interface standard de ChatGPT (47/100, contre 35/100 pour Perplexity).
Pour les besoins agentiques, c’est l’inverse (30/100 pour Perplexity, contre 17/100 pour ChatGPT). Un écart lié au nombre de requêtes (148 vs 448) et au poids (3,1 Mo vs 11 Mo).
La mise au panier a été testée sur le site de Monoprix, en demandant d’ajouter les ingrédients nécessaires pour préparer « la meilleure recette de fondant au chocolat (très bien notée et validée par plusieurs sites culinaires) ». Il a fallu 14 minutes avec ChatGPT Agent, qui a visité 18 pages. Perplexity a mis un peu moins de 3 minutes en en visitant 4… et en en exploitant 19 indexées au préalable.
Dans les deux cas, c’est le chargement des pages web qui pèse : 85 % des émissions équivalent carbone sur Perplexity, 88 % sur ChatGPT.
Sur les cas d’usage réalisables en mode génératif, l’usage de l’agentique fait exploser le coût environnemental (x 15 sur Perplexity, x 60 sur ChatGPT).
* Composition de l’index au 1er janvier 2025. Un changement par rapport au baromètre précédent : sortie de Vivendi, entrée de Bureau Veritas.
Agent 365 transforme les agents IA en “ressources gérées” : registre centralisé, permission fine, supervision en temps réel et intégration sécurisée dans l’écosystème Microsoft.
Pour sécuriser ses e-mails, pas simple de faire avec un seul fournisseur.
Telle est en tout cas la vision de Gartner, qui l’exprime dans la synthèse du dernier Magic Quadrant consacré à ce marché. Il la justifie notamment par la difficulté à mesurer l’efficacité des détections. Et recommande d’autant plus de combiner les offres que les chevauchements entre elles se multiplient, favorisant la négociation de remises.
Autre observation : la distinction entre SEG (Secure email gateway) et ICES Integrated cloud email security) commence à s’estomper.
Dans la terminologie du cabinet américain, l’ICES est au SEG ce que l’EDR est – dans une certaine mesure – à l’antivirus : une évolution censée, notamment à renfort d’analyse comportementale, aller au-delà de la détection sur la base de signatures. Elles sont par ailleurs moins périmétriques, s’intégrant le plus souvent aux messageries par API (certaines utilisent des règles de routage ou de la journalisation).
La plupart des fournisseurs de SEG proposent désormais des options de déploiement par API. Tandis que les ICES sont, de plus en plus, enrichis pour effectuer du pre-delivery, soit via les enregistrements MX, soit par modification des règles de flux de messagerie.
La plupart des offreurs proposent désormais une forme de sécurité pour les applications collaboratives. En parallèle, les simulations de phishing évoluent à l’appui de modèles de langage. Lesquels contribuent aussi à étendre le support linguistique des moteurs de détection, au même titre que la vision par ordinateur et l’analyse dynamique de pages web. La détection des mauvais destinataires progresse également grâce à ce même socle (validation sur la base des conversations précédentes).
Trend Micro n’est plus « leader » ; Darktrace et Microsoft le deviennent
D’une édition à l’autre de ce Magic Quadrant, les critères obligatoires sur le plan fonctionnel sont globalement restés les mêmes. Dans les grandes lignes, il s’agissait toujours de proposer un produit indépendant capable de bloquer ou de filtrer le trafic indésirable, d’analyser les fichiers et de protéger contre les URL malveillantes. L’an dernier, il fallait aussi assurer une protection contre la compromission de comptes grâce à divers outils analytiques. Cette année, ces outils sont pris sous un autre angle : l’analyse du contenu des messages et l’exposition de leur sémantique à des admins.
Cisco, classé l’an dernier, ne l’est plus cette fois-ci, faute d’avoir rempli l’intégralité de ces critères. Egress et Perception Point ont aussi disparu des radars, mais parce qu’ils ont été acquis respectivement par KnowBe4 et Fortinet.
Sur l’indicateur « exécution », qui traduit la capacité à répondre à la demande du marché (qualité des produits/services, tarification, expérience client…), la situation est la suivante :
Rang
Fournisseur
Évolution annuelle
1
Proofpoint
=
2
Check Point
+ 2
3
Darktrace
+ 5
4
Abnormal AI
+ 1
5
Mimecast
+ 1
6
Trend Micro
– 4
7
Microsoft
– 4
8
KnowBe4
– 1
9
Fortinet
+ 1
10
IRONSCALES
– 1
11
Barracuda
+ 2
12
Cloudflare
=
13
Libraesva
nouvel entrant
14
RPost
nouvel entrant
Sur l’indicateur « vision », reflet des stratégies (sectorielle, géographique, commerciale, marketing, produit…) :
Rang
Fournisseur
Évolution annuelle
1
Abrnormal AI
=
2
KnowBe4
+ 3
3
Proofpoint
– 1
4
Mimecast
– 1
5
Check Point
+ 4
6
Darktrace
+ 6
7
Barracuda
=
8
Cloudflare
+ 5
9
IRONSCALES
– 3
10
Microsoft
=
11
Fortinet
– 3
12
Trend Micro
– 8
13
Libraesva
nouvel entrant
14
RPost
nouvel entrant
Des 6 fournisseurs classés « leaders » l’an dernier, 5 le sont restés : Abnormal AI, Check Point, Know4Be (Egress), Mimecast et Proofpoint. Trend Micro a rétrogradé chez les « challengers » (plus performants en exécution qu’en vision).
Darktrace et Microsoft, « challengers » l’an dernier, sont désormais des « leaders ».
Chez Abnormal AI, les derniers développements ne convainquent pas
Abnormal AI se distingue par ses investissements marketing, la qualité de sa relation client et sa stratégie commerciale qui le rend particulièrement compétitif sur les services professionnels.
Ses développements récents ont cependant échoué à étendre la couverture de son offre aux menaces les plus significatives, remarque Gartner. Qui souligne aussi le peu de ressources commerciales hors Europe et Amérique du Nord par rapport aux autres « leaders », ainsi qu’un moindre effectif sur des aspects comme le product management et la recherche en threat intelligence.
Check Point, pas le plus présent sur les shortlists
Au-delà de la viabilité de son activité sur ce segment, Check Point a, comme Abnormal AI, des pratiques « robustes » en matière de relation client. Gartner salue aussi une interface intuitive et une large couverture des cas d’usage rencontrés dans la sécurisation des e-mails.
Check Point se retrouve toutefois moins souvent sur les shortlists que les autres « leaders ». Il a également moins développé qu’eux sa stratégie verticale et la capacité à régionaliser ses services.
Chez Darktrace, l’effet des ajustements tarifaires se fait attendre
Darktrace se distingue par la nette augmentation de ses effectifs de support technique. Ainsi que par sa feuille de route, jugée bien alignée sur les besoins émergents et potentiellement génératrice d’opportunités par rapport à la concurrence.
Les ajustements de prix effectués depuis le précédent Magic Quadrant doivent encore se refléter dans le sentiment client, observe Gartner. Qui note aussi, par rapport aux autres « leaders », une stratégie marketing moins « agressive » et un retard sur les capacités de régionalisation.
Moins de profondeur fonctionnelle chez KnowBe4
Comme Darktrace, KnowBe4 se distingue par sa roadmap., entre protection contre la compromission de comptes et sécurisation du collaboratif. Sa stratégie verticale fait également mouches, comme l’acquisition d’Egress et la viabilité globale de l’entreprise.
KnowBe4 ne propose néanmoins pas la même profondeur fonctionnelle que les autres « leaders ». Il est aussi en retard sur la relation client et sur le marketing (positionnement non différencié).
Avec Microsoft, attention au bundling
Au-delà de sa viabilité et de son historique sur ce marché, Microsoft se distingue par l’étendue de ses ressources de support et de formation – y compris tierces. Et par sa capacité à répondre effectivement aux menaces émergentes.
Sur le volet services et support, la qualité s’avère variable. Quant à la stratégie produit, elle n’est pas pleinement alignée sur les besoins, en conséquence d’un focus sur des fonctionnalités qui améliorent l’efficacité plutôt que la sécurité. Vigilance également sur la tendance au bundling avec d’autres produits : Microsoft y recourt à un « degré supérieur » aux autres fournisseurs.
Le licensing s’est complexifié chez Mimecast
Gartner apprécie les effectifs que Mimecast a alloués au support technique et à la gestion produit. Il salue aussi le programme partenaires, le niveau de remise sur les contrats pluriannuels et, plus globalement, la visibilité de l’offre sur ce marché.
Depuis l’an dernier, le licensing est devenu plus complexe. S’y ajoute un retard par rapport aux autres « leaders » en matière de relation client. Gartner signale aussi un manque de liant entre le focus sur le risque humain et les enjeux de sécurité des e-mails.
Prix en nette hausse chez Proofpoint
Proofpoint propose un outillage plus large que la concurrence, et continue à étendre son portefeuille – par exemple à la sécurité du collaboratif. Il se distingue aussi par la diversité de sa clientèle et, plus généralement, par la viabilité de son activité.
De la diversité, il y en a moins du point de vue de la présence géographique, en tout cas par rapport aux autres « leaders ». Et la stratégie marketing n’est pas la plus différenciée sur le marché. Les prix ont par ailleurs nettement augmenté en l’espace d’un an.
Des checkpoints, du replay… et ça donne des fonctions Lambda « durables ».
AWS a mis cette option en lumière lors de sa conférence re:Invent 2025. La promesse : des exécutions qui peuvent durer jusqu’à 1 an, avec une reprise fiable après interruption ou mise en pause.
Un SDK à intégrer dans le code des fonctions permet d’implémenter les primitives qui gèrent ce mécanisme. Les mises en pause peuvent se faire pour une durée déterminée. On peut aussi conditionner la reprise à un événement donné.
La facturation se fait sur trois plans :
Opérations « durables » (étapes, pauses, callbacks) : 8 $ le million
Données écrites : 0,25 $/Go
Données conservées : 0,15 $/Go/mois
Lambda en un peu moins serverless
Autre option mise en avant : les instances Lambda managées. Il s’agit ici de choisir les configurations EC2 sur lesquelles exécuter les fonctions.
On crée pour cela des « fournisseurs de capacités ». Ces fournisseurs s’exécutent dans le compte AWS, au sein d’un VPC (et au moins d’un sous-réseau). On peut en paramétrer certains aspects :
Architecture CPU
Types d’instances autorisées (liste blanche, liste noire ou sans restriction)
Nombre maximal d’instances
Mode de mise à l’échelle (manuelle ou automatique)
Clé de chiffrement EBS (éventuellement personnalisée)
Un autre modèle de concurrence…
Lorsqu’on publie une version d’une fonction associée à un fournisseur de capacité, Lambda lance des instances managées (3 par défaut, pour la résilience). Ou bien il en utilise des existantes si les ressources sont suffisantes pour accueillir l’environnement d’exécution.
De même, un environnement d’exécution peut gérer plusieurs invocations en parallèle (64 maximum). Le modèle de concurrence est donc différent de celui de Lambda « standard » (une invocation = un environnement).
… de sécurité…
Ce système suppose que la sûreté des threads, la gestion d’état et l’isolation du contexte doivent être gérés différemment en fonction du contexte.
Les fournisseurs de sécurité constituent en fait la limite de confiance. Avec les instances Lambda managées, les fonctions s’exécutent effectivement dans des conteneurs, lesquels ne fournissent pas le même niveau de sécurité que la techno de micro-VM Firecracker utilisée en standard.
… de scaling…
Avec les instances Lambda managées, pas de démarrage à froid. La mise à l’échelle est asynchrone, sur la base de signaux de consommation CPU. Dans cet esprit, l’option est donc à réserver aux workloads dont le trafic est prévisible. AWS ne garantit d’ailleurs pas la stabilité si la charge fait plus que doubler dans un intervalle de 5 minutes.
Quatre paramètres influent sur la mise à l’échelle :
Quantités de mémoire et de vCPU allouées à une fonction
Concurrence maximale par environnement
Cible d’utilisation de ressources
Types d’instances autorisés
… et de tarification
Les instances Lambda managées sont facturées au prix d’EC2 à la demande… avec 15 % de frais supplémentaires. L’option permet néanmoins d’exploiter d’éventuelles remises (savings plans, instances réservées…). Il faut ajouter des frais de 0,20 $ par million de requêtes.
Plus besoin de shards ni de requêtes fédérées : vous pouvez consolider vos données vectorielles en un seul index.
AWS en fait l’un des arguments de S3 Vectors, lancé en disponibilité générale lors de la re:Invent.
Avec S3 Vectors, la promesse d’un index unique
Le service était en previewdepuis juillet. Il apporte une gestion native des vecteurs dans S3, avec un type de bucket spécifique. Sur le papier, c’est une alternative moins onéreuse à Aurora Serverless et OpenSearch Serverless, en contrepartie de temps de réponse allongés (« sous la seconde », affirme AWS).
La préversion permettait de stocker jusqu’à 50 millions de vecteurs par index (et 10 000 index par bucket). Avec la version commerciale, on passe à 2 milliards, d’où l’argument de la consolidation. Autre seuil relevé : le nombre maximal de résultats par requête (100 désormais, contre 30 en preview). Quant à la latence, elle est maintenant « fréquemment sous les 100 ms ».
S3 Vectors a une intégration avec Bedrock Knowledge Bases (RAG) et avec Amazon OpenSearch (utilisation comme moteur sur les clusters managés ou injection d’un snapshot dans la version serverless).
L’accélération GPU activée sur OpenSearch
En parallèle, une option d’accélération GPU fait son entrée sur l’OpenSearch d’AWS. Promesse : construire des bases vectorielles « jusqu’à 10 fois plus vite » pour un quart du prix traditionnel, grâce à un usage optimisé de l’infra. En complément, il devient possible de régler les niveaux de rappel et de latence souhaités.
Une mémoire épisodique pour les agents Bedrock
À l’occasion de la re:Invent, il y a aussi du nouveau dans Bedrock AgentCore. Cette offre, lancée à l’été 2025, est dans la lignée de Bedrock Agents. Elle en a étendu les capacités (gestion native de MCP et contrôle plus fin de la mémoire, par exemple) et en a désagrégé la plupart en modules indépendants, par ailleurs « détachés » de Bedrock de sorte qu’ils prennent en charge des technologies non disponibles sur la plate-forme.
Voilà Bedrock AgentCore doté d’une forme de mémoire épisodique. Avec cette stratégie, les agents capturent des « épisodes structurants » (contexte, processus de raisonnement, actions, résultats). Ils sont censés pouvoir ainsi agir de façon plus cohérente lorsqu’ils rencontrent des situations similaires.
AWS dote aussi AgentCore de la diffusion audio bidirectionnelle. Lors des interactions vocales, l’agent peut être interrompu et s’adapter au nouveau contexte sans avoir à terminer son action au préalable.
Un service managé de supervision est également ajouté, mais pour le moment en preview. On peut y intégrer des évaluations personnalisées en plus de celles livrées pour analyser des indicateurs tels que la précision, l’utilité, la concision et la sûreté. Les résultats sont délivrés dans CloudWatch.
Autre preview : celle de la fonctionnalité Policy in AgentCore. Elle permet d’intercepter les appels d’outils sur la passerelle et de leur appliquer des stratégies définies en langage naturel ou avec Cedar.
Les derniers modèles Mistral et Gemma ajoutés sur Bedrock
AWS a aussi profité de la re:Invent pour rappeler les derniers ajouts de modèles ouverts sur Bedrock. Parmi eux :
Mistral Large 3, Ministral 3 (3B, 8B, 14B), Magistral Small 1.2, Voxtral Mini 1.0, Voxtral Small 1.0
Gemma 3 (4B, 12B, 27B)
Kimi K2 Thinking (de Moonshot AI)
MiniMax M2 (de MiniMax AI)
Nemotron Nano 2 9B et une version « vision » 12B (de NVIDIA)
GPT-OSS-safeguard 20B et 120B (modèles de modération de contenu)
Qwen3-Next-80B-A3B et Qwen3-VL-235B-A22B
Nova Sonic : une deuxième génération plus polyglotte
Amazon enrichit aussi sa propre famille de modèles Nova. Avec notamment Nova 2 Sonic.
La première génération de ce modèle de reconnaissance et de synthèse vocales avait été lancée en avril. La deuxième gère mieux les entrées alphanumériques, les énoncés courts, les accents, le bruit de fond et l’audio qualité téléphonie (8 kHz). Avec elle arrivent les « voix polyglottes » (capacité à changer de langue au milieu d’une conversation), les appels d’outils asynchrones et un réglage de sensibilité pour la détection de voix (ce qui laisse plus ou moins de temps à l’utilisateur pour finir sa phrase).
AWS lance Nova dans le bain de l’automatisation web
Sous la marque Nova Forge, AWS permet de continuer l’entraînement de ses propres modèles à partir de divers checkpoints, en utilisant des jeux de données spécialisés « sur étagère » ou en en important. L’ensemble repose sur l’outillage SageMaker AI et permet d’effectuer éventuellement de l’apprentissage par renforcement.
On trouve aussi un modèle Amazon (Nova 2 Lite) à la base de Nova Act, service d’automatisation agentique pour les navigateurs web. Il est intégré avec le framework d’ochestration Strands Agents.
Les données synthétiques sous l’angle privacy
Les serveurs de tracking MLflow qu’on peut greffer depuis l’an dernier à SageMaker pour superviser les expérimentations ML disposent désormais d’une option serverless. Avec la possibilité de partager des instances entre domaines et comptes AWS.
Le service Clean Rooms (salles blanches de données) permet quant à lui maintenant de créer des jeux de données synthétiques (tabulaires, destinées à entraîner des modèles de régression et de classification ; pas des LLM). Le système utilise un modèle qui reproduit les patterns statistiques du dataset d’origine tout en éliminant les données identifiantes. En ce sens, il est présenté comme une alternative aux techniques d’anonymisation.
AI Factories : AWS s’approprie aussi la notion
AWS s’approprie le concept des AI Factories en lançant une offre sous ce nom. On n’en sait pas grand-chose à l’heure actuelle, sinon qu’elle doit permettre de déployer des clusters IA managés (puces Trainium et NVIDIA + services AWS) dans les datacenters des clients, « comme une région AWS privée ». Premier client référent : l’entreprise saoudienne HUMAIN, qui va installer sur place une « zone IA » avec jusqu’à 150 000 GPU.
Des fonctions Lambda « durables »
Les fonctions Lambda durables ne sont pas spécifiques aux workloads IA, mais elles sont susceptibles de faciliter leur exécution.
Par « durables », il faut entendre « dont la durée de vie peut atteindre 1 an ». Elle peuvent effectivement être mises en pause jusqu’à ce que des conditions spécifiques soient remplies (typiquement, des événements externes). Seul le temps de calcul actif est facturé.
Un SDK s’intègre au code des fonctions pour pouvoir implémenter ces pauses. Ainsi que des « étapes » permettant de ne pas reprendre l’exécution depuis le début en cas d’échec.
Le plan de contrôle de Route 53 n’est plus tout à fait monorégion.
AWS l’a effectivement répliqué en partie. Et ainsi réduit la dépendance à la région cloud us-east-1.
En toile de fond, l’incident d’octobre. Il a pris racine dans cette région cloud, (re)mettant en lumière le point faible qu’elle constitue. Entre autres, donc, parce que quantité de services y ont leur plan de contrôle.
Une récupération « accélérée »…
La réplication partielle de celui de Route 53 se traduit par une option de « récupération accélérée ». On peut l’activer pour chaque zone hébergée publique (conteneur d’enregistrements définissant l’acheminement du trafic d’un domaine spécifique sur le réseau Internet). Une copie de la zone est alors conservée dans la région us-west-1.
… avec un RTO de 60 minutes
En cas d’indisponibilité prolongée dans la région us-east-1, une bascule est censée s’effectuer… dans un délai de 60 minutes. On n’a alors pas accès à l’ensemble des méthodes API. Mais les principales sont disponibles : listage des zones, des enregistrements et des ensembles de délégation, soumission et suivi de changements, etc.
En période de bascule, il n’est pas possible de créer de zones, ni d’en supprimer. On ne peut pas non plus (dés)activer la signature DNSSEC. Et les connexions AWS PrivateLink ne fonctionnent pas. Par après, pour supprimer une zone, il faut d’abord désactiver l’option de « récupération accélérée ». Laquelle, pour préciser, ne concerne pas le volet DNS privé de Route 53.
Chez Veeam, l’heure est aux intégrations natives avec les hyperviseurs.
La feuille de route est en tout cas bien remplie : de 7 hyperviseurs, on pourrait passer à 13 en 2026.
Le premier environnement géré fut VMware, dès la première version sortie en 2008. Hyper-V s’y était ajouté en 2011.
Le troisième sur la liste fut Nutanix AHV. Le plug-in existe depuis 2018. Avec la dernière version de Veeam (v13, lancée ce mois-ci), l’appliance a été intégrée dans le serveur de backup. La distribution des workers a été améliorée (images déployées au besoin) et il est devenu possible de déployer un agent léger persistant sur les VM – ce qui élimine la nécessité d’un compte à privilèges.
La prise en charge de Red Hat Virtualization est assurée depuis 2021. Aux dernières nouvelles, elle le sera au moins jusqu’à fin 2026 (Red Hat a abandonné cette solution au profit d’OpenShift). Oracle Linux Virtualization Manager, autre solution basée sur KVM, est quant à lui intégré depuis 2024.
Pour l’un et l’autre, la dernière version de Veeam intègre aussi l’appliance dans le serveur de backup. Le placement des workers est amélioré (priorisation de ceux situés dans le même cluster que la VM) et il devient possible de les connecter à plusieurs réseaux. La stratégie de conservation basée sur les points de restauration est remplacée par une stratégie basée sur le temps, ouvrant la voie à de l’immuabilité.
Proxmox en 2024, Scale Computing cette année
Autre hyperviseur géré depuis 2024 : Proxmox VE. Veeam 13 y apporte – sur le papier – un élément important : la sauvegarde au niveau des applications (app-aware) par intégration avec le VSS, pour Active Directory, Exchange, SharePoint, SQL Server, Oracle et PostgreSQL. Elle généralise par ailleurs la disponibilité des fonctions de détection de malwares (analyse des activités suspectes sur le système de fichiers, recherche de menaces, scans YARA après sauvegarde…).
Le dernier hyperviseur ajouté sur la liste le fut en septembre 2025 : HyperCore, de Scale Computing. Ses principales capacités à l’heure actuelle :
Sauvegarde complète ou incrémentale
Sélection de VM, de tags et de clusters comme sources
Exclusions possibles niveau VM et disque
Notification par e-mail pour chaque job
Niveau de compression et taille de bloc personnalisables
Restauration vers/depuis AHV, Proxmox, KVM, AWS, Azure et Google Cloud
XCP-ng, HPE VM Essentials et OpenShift Virtualization prévus pour 2026
Des intégrations avec 4 hyperviseurs supplémentaires sont prévues pour le premier semestre 2026.
Parmi eux, XenServer (que Citrix a décidé de relancer face à VMware) et son forkXCP-ng.
Le plug-in pour XCP-ng (version 8.3 et ultérieures) est en bêta publique depuis fin septembre. Il est préinstallé dans une version spécifique de l’ISO Veeam Backup and Restore 12.3.2. Les possibilités sont proches de celles offertes par le plug-in HyperCore, mais VeeamZIP n’est pas encore géré, comme l’exclusion de VM ou de disques.
VM Essentials, de HPE, est aussi prévu pour le premier semestre. Veeam avait officialisé son intention de développer un plug-in en juin 2025. Une bêta devrait être disponible en décembre.
Un hyperviseur chinois est également sur la liste : Sangfor, proposé par un fournisseur de solutions hyperconvergées sur base KVM.
L’échéance n’est pas aussi précise concernant OpenShift Virtualization : ce sera pour 2026, nous promet-on simplement.
On en arrivera ainsi à 12 hyperviseurs. Si Veeam en compte 13, c’est qu’il inclut un projet d’API « universelle » censée favoriser l’intégration d’autres solutions…
Prenez une offre de « cloud souverain » et greffez-y de l’IA : chez SAP, cela donne EU AI Cloud.
La partie « cloud souverain » est promue depuis quelques années sous la marque SAP Sovereign Cloud.
Le volet IA consiste notamment en l’intégration de modèles génératifs dans l’offre SAP BTP (Business Technology Platform). Une démarche qui s’étend actuellement aux services adossés à ces modèles. Par exemple, Mistral AI Studio et Le Chat, ou la plate-forme Cohere North.
L’approche « cloud distribué », mais sous l’angle IA
Sous la bannière EU AI Cloud, SAP promet la possibilité d’exploiter ces modèles et services sur des infrastructures « souveraines » à quatre niveaux :
Données (localisation)
Exploitation (opérations sensibles effectuées en local avec du personnel situé sur place ou dans un « pays de confiance »)
Technique (plans de contrôle locaux)
Juridique (entités locales ou établies dans des « pays de confiance »)
Quatre options de déploiement.sont proposées : sur l’infrastructure SAP, chez le client (en managé), chez des hyperscalers*… et chez Delos Cloud – filiale du groupe allemand – pour le secteur public.
En fonction des territoires, ces modes de déploiement ne sont pas tous disponibles. En France, c’est pour le moment sur site ou sur le IaaS SAP. Une option de déploiement alternative est « en cours d’évaluation », nous assure-t-on.
Des licences au CLOUD Act, un « cloud souverain » qui interroge
Les fondements de SAP Sovereign Cloud sont à trouver dans l’offre NS2 (National Security Services), exploitée depuis une vingtaine d’années aux États-Unis.
Malgré cette expérience, on est encore loin d’une parité fonctionnelle entre le « cloud souverain » et le cloud commercial, a récemment admis le responsable de l’offre SAP Sovereign Cloud au Royaume-Uni.
En France, l’USF (association professionnelle des utilisateurs SAP francophones) se demande ce que l’option de déploiement sur site apportera par rapport à l’offre SAP CDC qui existait précédemment. Elle s’interroge aussi quant aux risques liés au CLOUD Act au niveau du IaaS SAP. Tout en appelant à des clarifications sur la gouvernance du modèle de Delos Cloud, qui semble se rapprocher fortement de la future offre de Bleu.
Son homologue allemande – le DSAG – attend une « transparence totale » sur le contenu des services et leur date de disponibilité. Elle affirme par ailleurs que la question des licences dans les environnements hybrides est cruciale.
* SAP a récemment confirmé que l’offre AWS European Sovereign Cloud sera une option de déploiement. Le cloud d’Amazon est déjà proposé en Australie et en Nouvelle-Zélande (depuis 2023), au Royaume-Uni (2024), ainsi qu’en Inde et au Canada (2025).
Pas d’audio, ni de vidéo. SNCF Connect & Tech en a décidé ainsi dans une perspective d’écoconception de son site web.
WebP, lazy loading… et noir et blanc
Pour ce qui est des images, le format WebP a été adopté. Avec lazy loading (on ne charge un élément que lorsque son emplacement devient visible à l’écran). Leur taille est par ailleurs automatiquement réduite de 5 % lors du traitement et les images monochromes sont fournies en noir et blanc.
Un cahier des charges pour les PDF
Pour chaque fichier proposé au téléchargement, le poids est indiqué. Le format PDF a été généralisé. Pour tout nouveau document, les contributeurs sont invités à se demander s’il est strictement nécessaire ou si on peut le remplacer par un autre contenu sur le site. On les incite aussi à contrôler que les images sont bien nécessaires, que les annotations ont été supprimées, que les polices sont bien des polices système… et que les bons paramètres d’export ont été appliqués.
Pas de carrousel ni de préchargement au survol
En front-office, la bibliothèque shadcn/ui a été retenue pour gérer les composants complexes, en raison de son faible environnemental, avance SNCF Connect & Tech. Certains composants prévus pour un usage unique ont été abandonnés au profits d’éléments réutilisables. Le format carrousel a été volontairement écarté – il n’aurait été utilisé qu’une fois – et remplacé par un composant de type tabulation. Quant aux préchargements au survol, ils ont été désactivés.
Autoscaling à 50-60 % de CPU
En back-office, trois services d’autoscaling sont en place. Pour Next.js, on ajoute une instance si la consommation CPU dépasse 50 % pendant 3 minutes. On en supprime une si l’utilisation tombe sous les 30 % pendant 6 minutes. Pour Drupal et le proxy, ces seuils sont à 60 % et 30 %. Dans tous les cas, le nombre d’instances est plafonné à 16.
Les environnements de développement sont créés à la volée, automatiquement éteints en dehors des heures de travail et détruits une fois le développement achevé.
Un an en cache côté client
Par défaut, toutes les ressources maîtrisées sont mises en cache côté client avec une durée de validité d’un an (polices, CSS et JavaScript, notamment). Certaines ressources ont des règles spécifiques, comme les images statiques (30 jours).
Côté serveur, les données les plus fréquemment demandées sont mises dans un cache Redis. Drupal gère le cache des pages dynamiques ; Cloudflare, la mise en cache des ressources statiques à grande échelle.
Des pages de 3 Mo maximum
L’impact environnemental est analysé à intervalle trimestriel. SNCF Connect & Tech s’astreint à un maximum de 3 Mo par page, 60 requêtes par écran, 1,6 Mo de données transférées et un score Ecoindex d’au moins D.
Quelques pages représentatives analysées au 23 avril 2025 :
Page
Ecoindex
Poids (en ko)
Requêtes
Données transférées (en kb)
Accueil
C
1707
40
11,4
Contact
C
1403
32
9,8
Offres d’emploi
C
1431
31
13,8
Espace presse
D
2283
48
715
Stratégie de rémunération
C
1625
33
69,1
Mission
C
1517
34
25,8
Les choix d’entreprises (fournisseur, solutions mutualisées) limitent l’intégration de services tiers plus propres, admet SNCF Connect & Tech.
Lorsqu’on prépare un dataset mixte pour le fine-tuning, il est possible de tirer parti d’une « propriété additive ».
Le rapport technique du modèle Phi-4 (de Microsoft) comprend une remarque à ce sujet.
La propriété en question permet d’optimiser le mix de données domaine par domaine puis de concaténer les poids qui en résultent, sans perte.
Open-R1 en a fait usage. Le projet, emmené par Hugging Face, a démarré en janvier 2025. Son objectif : créer une reproduction ouverte de DeepSeek-R1, en développant les « pièces manquantes ». À savoir datasets et code d’entraînement.
Le plan est décliné en trois temps :
Être capable de distiller un ensemble de données de raisonnement de haute qualité à partir de DeepSeek-R1
Répliquer le pipeline d’apprentissage par renforcement de R1-Zero
Appliquer cette combinaison à des modèles de base pour en faire des modèles de raisonnement
Les maths d’abord
Open-R1 a d’abord centré ses travaux sur un dataset de raisonnement mathématique : OpenR1-Math-220k. Publié sous licence Apache 2.0, il couvre 400 000 problèmes (2 à 4 traces pour chacun) tirés de NuminaMath-1.5. Filtré, il en conserve 220 000. On l’a divisé en deux parties. L’une, dite « par défaut », regroupe 94 000 problèmes et engendre les meilleures performances. L’autre, dite « étendue », réunit 131 000 problèmes… et ne produit pas d’aussi bons résultats, problablement parce que les questions sont plus simples.
En faisant travailler Qwen-7B-Math-Instruct pour trois cycles sur la partie « par défaut », Hugging Face affirme être parvenu à égaler la performance de DeepSeek-Distill-Qwen-7B. Il a, en l’occurrence, obtenu le même score sur AIME 25 (40) et fait un peu moins bien sur MATH-500 (90,6 vs 91,6).
Le code ensuite
Les travaux se sont ensuite étendus au codage, avec la production d’un dataset basé sur les compétitions CodeForces. Au menu, environ 10 000 problèmes (avec jusqu’à 5 traces), dont 60 % accompagnés de l’explication de la solution correcte par les organisatieurs.
Sur cette base, il a été demandé à R1 de produire des chaînes de pensée (environ 100 000 exemples), aboutissant au datasetCodeForces-CoTs. Publié sous licence ODC-BY, il a servi à affiner Qwen-2.5-Coder-Instruct 7B et 32B. En ont découlé les modèles OlympicCoder. Mis à l’épreuve sur la dernière Olympiade internationale d’informatique, ils ont rivalisé avec des LLM à l’état de l’art (le 32B s’en sortant même mieux que R1.
La science pour finir
Une partie de CodeForces-CoTs (83 000 traces de problèmes Python et C++) et d’OpenR1-Math-220k (la partie « par défaut ») a finalement été combinée à un sous-ensemble du dataset de post-entraînement de Llama Nemotron pour former Mixture-of-Thoughts. Au code et aux maths s’est donc ajoutée la science, pour un total d’environ 350 000 traces. Aucune licence n’a été ajoutée (c’est une demanderégulière).
Cette base, appliquée à une variante de Qwen-2.5-Math-7B (fréquence RoPE de base étendue à 300k pour permettre l’entraînement sur une fenêtre de 32k), a produit OpenR1-Distill-7B. Le modèle s’est montré plus performant que R1-Distill-Qwen-7B sur AIME 2024 (52,7 vs 51,3), GPQA Diamond (52,8 vs 52,4) et LiveCodeBench v5 (39,4 vs 37,4). Ces scores s’entendent en pass@1 (un essai, avec 4 à 64 réponses par requête en fonction des tâches), à température 0,6 et top_p 0,95.
Non, Gemini 3 Pro n’est pas partout dans l’écosystème Google. Mais tout de même…
Le groupe américain a été remarquablement prompt à intégrer ce modèle dans ses services. Jusqu’à son moteur de recherche, au niveau du « mode IA ». Initialement aux États-Unis, pour les abonnés Google AI Pro et Ultra. Lesquels auront aussi une avant-première sur le routage automatique des requêtes vers le modèle adéquat.
Un modèle aux réponses plus interactives
Avec Gemini 3 Pro arrivent les « UI génératives ». Le modèle peut, en réponse à des requêtes, afficher une vue de type magazine (visual layout) voire coder un canevas interactif (dynamic view).
Cette capacité n’est pas disponible que dans Google Search. Elle l’est aussi dans l’application Gemini. Le modèle y est accessible pour tous les utilisateurs. Il s’accompagne d’une nouvelle fonctionnalité Gemini Agent, réservée pour le moment aux abonnés AI Ultra. Inspirée de Project Mariner (agent autonome pour la navigation web), elle orchestre les tâches à plusieurs étapes en lien avec les services Google.
Antigravity, vitrine pour le codage agentique
Google a également fait place nette à Gemini 3 Pro dans ses outils développeurs*. Parmi eux, un nouveau venu : Antigravity. Cet IDE est disponible en preview sur Windows, Mac et Linux. À l’interface d’édition de code, il en associe une autre : un centre de contrôle d’agents, articulé en espaces de travail, avec une messagerie centralisée. Sur cette UI, pas de code : les agents produisent des « artefacts » (listes de tâches, plans d’implémentation, résumés des actions réalisées) sur lesquels l’utilisateur peut donner son feed-back sans que l’exécution soit interrompue. Gemini 3 Pro peut faire office de modèle principal – comme Claude Sonnet 4.5 et GPT-OSS – avec deux modes de pensée : dynamique/élevée (high) ou faible (low).
Des niveaux de vision en plus des niveaux de pensée
On retrouve ce réglage – en attendant une option medium supplémentaire – sur l’API Gemini, avec le paramètre thinking_level. Il n’est pas spécifique à Gemini 3 Pro, au contraire du paramètre media-resolution. Celui-ci détermine le nombre maximal de tokens alloués à la vision. Il se règle pour chaque média entrant ou de façon globale. S’il n’est pas défini, des valeurs par défaut sont utilisées (1120 tokens par image, 560 par page de PDF, 70 par frame de vidéo ou 280 pour les vidéos qui contiennent beaucoup de texte).
La tarification de Gemini 3 Pro sur l’API Gemini :
En entrée : 2 $ par million de tokens pour les requêtes de moins de 200 000 tokens (4 $ sinon)
En sortie : 12 $ par million de tokens pour les requêtes de moins de 200 000 tokens (18 $ sinon)
Mise en cache du contexte : 0,20 $ par million de tokens pour les requêtes de moins de 200 000 tokens (0,40 $ sinon) ; stockage : 4,50 $/heure par million de tokens
Ancrage Google Search (pas encore disponible) : 5000 requêtes gratuites, puis 14 $ les 1000
Pour rappel, Gemini 2.5 Pro est respectivement à 1,25 et 2,50 $ en entrée ; à 10 et 15 $ en sortie.
Au niveau 1 de l’API, les limites sont à 50 requêtes par minute, 1000 tokens par minute et 1000 requêtes par jour.
Au niveau 2 (au moins 250 $ dépensés), elles montent à 1000 RPM, 5 millions de TPM et 50 000 RPJ. Au niveau 3 (au moins 1000 $), on passe à 2000 RPM et 8 millions de TPM, sans plafond quotidien de requêtes.
Gemini 3 Pro a aussi un mode image, à 2 $ par million de tokens en entrée (texte/image) ; et, en sortie, 12 $ (texte/réflexion) ou 120 $ (images). Il est diffusé dans les produits Google sous la marque Nano Banana Pro (dans la lignée de Nano Banana, fondé sur Gemini 2.5 Flash).
Des éloges… notamment sur le codage
Nano Banana Pro semble avoir plu à Andrej Karpathy, membre fondateur d’OpenAI et ancien directeur de l’IA de Tesla. L’intéressé dit avoir plus globalement une impression positive sur Gemini 3 Pro, entre personnalité, humour, écriture et vibe coding.
Gemini Nano Banana Pro can solve exam questions *in* the exam page image. With doodles, diagrams, all that.
ChatGPT thinks these solutions are all correct except Se_2P_2 should be « diselenium diphosphide » and a spelling mistake (should be « thiocyanic acid » not « thoicyanic »)
Marc Benioff, le patron de Salesforce, s’est montré plus emphatique – à son habitude : il ne « reviendra pas en arrière ».
Holy shit. I’ve used ChatGPT every day for 3 years. Just spent 2 hours on Gemini 3. I’m not going back. The leap is insane — reasoning, speed, images, video… everything is sharper and faster. It feels like the world just changed, again. https://t.co/HruXhc16Mq
Gemini 3 created this playable maze in just three prompts
First, it created a top down Gemini maze, and then we asked it to build an app that allows me to upload a pixel maze, and turn it into a playable Three JS scene.
Ces capacités ne font pas l’unanimité, cependant. Les témoignages dans la communauté Cursor l’illustrent. On y pointe notamment un taux d’hallucinations important et une difficulté à suivre les instructions, en dépit d’aptitudes notables pour la planification, entre autres face à OpenAI Codex. Le phénomène apparaît, selon certains, moins prononcé dans Antigravity.
Divers retours sur le subreddit Gemini mettent pareillement en lumière les hallucinations de Gemini 3 Pro. Par exemple :
Confusion de deux offres d’emploi que le modèle devait analyser
Attribution répétée des caractéristiques d’un personnage à un autre lors d’une session d’écriture créative
Invention de variables sur un exercice visant à créer des outputs basés sur des combinaisons de 4 variables
Gemini 3 Pro est très utile… lorsqu’il vous écoute, résume un utilisateur à propos du suivi des instructions. Il n’est pas seul à constater que le modèle a parfois tendance à l’arbitraire.
D’autres évoquent une certaine paresse, préjudiciable en particulier à l’écriture créative. Le reflet, en quelque sorte, des promesses de Google : un modèle « concis » et « direct », « sans clichés ni flatterie »…
L’effet benchmark
Au-delà des performances que communique Google, Gemini 3 Pro se distingue sur le benchmark LMArena. Il s’est hissé en tête du classement sur plusieurs évaluations. Au dernier pointage :
Texte : 1492 points (contre 1482 pour Grok 4.1 Thinking et 1466 pour Claude Opus 4.5)
Vision : 1324 points (contre 1249 pour Gemini 2.5 Pro et 1237 pout GPT-4o)
Génération d’images : 1242 points (contre 1161 pour Hunyan Image 3.0 de Tencent et 1158 pour Gemini 2.5 Flash)
Édition d’images : 1371 points (contre 1330 pour Gemini 2.5 Flash et 1311 pour Seedream 4 de ByteDance)
Les performances de Gemini 3 Pro sont notables sur un autre benchmark : ARC-AGI-2. Celui-ci se focalise sur les connaissances qui sont « innées » chez l’humain ou acquises très tôt dans la vie. Ainsi, il n’inclut par exemple pas de tâches touchant aux langues, qui sont des acquis culturels. Cette approche est censée illustrer les capacités de généralisation. Elle implique, entre autres, des exercices d’interprétation symbolique (comprendre la signification de symboles visuels) et de raisonnement compositionnel (application simultanée de plusieurs règles interdépendantes).
Gemini 3 Pro Deep Think atteint, sur ARC-AGI-2, un score de 45,1 %, pour un coût de 77,16 $ par tâche. L’écart est net avec Claude Opus 4.5 Thinking : qui est toutefois moins onéreux : 37,6 % et 2,40 $ par tâche en 64k ; 30,6 % et 1,29 $ par tâche en 32k ; 22,8 % et 0,79 $ par tâche en 16k. Suivent GPT-5 Pro (18,3 % et 7,14 $ par tâche) et Grok 4 Thinking (16 % et 2,17 $ par tâche).
Congrats to Google on Gemini 3! Looks like a great model.
* Gemini 3 Pro est aussi disponible dans la dernière version d’Android Studio (y compris en usage gratuit), dans les SDK Firebase AI Logic (abonnement Blaze ; pas encore possible de régler le niveau de raisonnement) et dans le CLI Gemini (abonnement Ultra et clés d’API Gemini ; à venir dans Gemini Code Assist Enterprise ; liste d’attente pour les autres utilisateurs). Ainsi que dans divers services tiers (Cursor, GitHub, JetBrains, Manus, Replit…).
Entre États membres de l’UE, le principe de minimisation des données peut être diversement interprété.
Le projet HealthData@EU Pilot, destiné à poser les jalons du futur Espace européen de données de santé (EHDS, European Health Data Space), en a fait l’expérience. En particulier sur l’un des 5 cas d’usages qu’il a explorés entre 2022 et 2024. Il s’agissait de créer des modèles prédisant le risque de développer des maladies cardio-vasculaires à partir des historiques de parcours de soins.
Quatre pays ont été impliqués : Danemark, Finlande, Norvège… et France, avec un nœud localisé à l’université de Bordeaux.
En Norvège, des inquiétudes furent soulevées quant au risque de réidentification de personnes, vu la quantité et le niveau de détail des variables demandées. En conséquence, il a été décidé de se passer de dates exactes et de réduire la granularité de codes de diagnostic.
En France, la CNIL a considéré qu’accéder à des données concernant l’ensemble de la population n’était pas justifié par le cas d’usage. Elle a demandé que l’échantillon soit limité à 12 millions d’individus, soit le plus gros volume que le Health Data Hub (français) avait exploité jusque-là pour une étude.
Les problèmes d’accès aux données ont contribué à l’allongement du projet HealthData@EU Pilot, qui devait à l’origine s’échelonner sur 2 ans. Au-delà des interprétations divergentes du principe de minimisation, les exigences concernant les documents à soumettre étaient variables. La diversité des statuts des acteurs impliqués n’a pas aidé. Tout comme l’absence de processus clairs pour encadrer l’accès de certains organismes de santé à des données ne relevant pas de ce domaine (données socio-économiques, par exemple).
Ces jalons posés, le développement de l’EHDS se poursuit, avec une feuille de route jusqu’à début 2027, à raison d’une release tous les 4 mois environ.
L’infrastructure doit connecter 3 catégories de participants :
Les États membres, dont chacun désigne un point de contact national (qui établit un catalogue national de métadonnées) et nomme un ou plusieurs organismes chargés d’examiner les demandes d’accès aux données de santé
Les institutions, organismes et agences de l’UE, représentés par un service de la Commission européenne (l’UHDAS, Union Health Data Access Service) qui a lui aussi un rôle d’examinateur de demandes
D’autres participants autorisés (consortiums d’infrastructure numérique ou de recherche, organisations internationales…)
Au cœur de l’infrastructure EHDS est la plate-forme centrale, qui agrège les métadonnées des catalogues nationaux. Elle est hébergée sur AWS, exploitant, entre autres services, EFS (stockage fichier), KMS (chiffrement), ECR (registre de conteneurs), OpenSearch et DocumentDB.
Le demandes d’accès sont soumises par l’intermédiaire de la plate-forme centrale, avec un formulaire commun. Les échanges reposent sur eDelivery – implémentation du protocole de messagerie AS4 qui constitue aujourd’hui un « bloc de base » de l’Europe numérique.
DCAT-AP, Piveau-Hub, Simpl… Des briques européennes pour structurer l’EHDS
Pour harmoniser la description des datasets, a été développée une extension de la spécification DCAT-AP. Cette dernière se base sur un standard W3C (l’ontologie RDF Data Catalogue Vocabulary). Elle alimente quantité de portails de données de l’Union européenne. Il en existe d’autres extensions, par exemple pour les données statistiques et les données géographiques.
Pour assurer l’interopérabilité avec les autres data spaces européens, une autre brique financée par la Commission européenne est mise à contribution : le middlewareSimpl. Il a déjà été expérimenté dans le cadre d’un projet qui associait l’EHDS et 5 autres data spaces européens (marchés publics, données linguistiques, Destination Earth, etc.).
D’autres briques européennes portent l’EHDS, dont EU Login (authentification ; avec Keycloak pour l’autorisation), eTranslation (traduction machine), Europa Analytics, Corporate Notification Service et Interoperability Test Bed (tests de conformité). Le catalogue de métadonnées s’appuie sur Piveau-Hub, dont l’interface a été adaptée aux guidelines de l’ECL (Europa Component Library).
L’estimation des coûts et les indicateurs de qualité des datasets seront pour 2026
Depuis la v4, sortie en mai 2025, l’UI est multilingue (toutes les langues officielles de l’UE + norvégien et islandais, sur l’ensemble des contenus statiques).
La v5 (septembre 2025) a ajouté la possibilité de demander l’accès partiel à un jeu de données. Elle a aussi introduit un back-end Drupal pour la gestion du contenu statique, un explorateur de spec HealthDCAT-AP, un assistant de description de datasets et une traduction automatique des jeux de données entrants et des demandes.
Avec la v6 (janvier 2026), il est prévu de pouvoir réceptionner, sur la plate-forme centrale, les mises à jour du statut des demandes. Un registre européen des décisions d’accès est également dans les cartons, ainsi que la possibilité de demander la modification d’une autorisation d’accès comme de faire appel d’une décision négative.
La v7 (mai 2026) est censée permettre d’appliquer des contraintes de temps sur des statuts spécifiques. Ainsi que de calculer les frais associés à des demandes. Doit par ailleurs y être adjoint un registre des sanctions et pénalités infligées.
Un indicateur de qualité et d’utilité des datasets est sur la roadmap pour la v8 (septembre 2026). Même chose pour l’assignation de rôles d’autorisation spécifiques au sein d’une organisation.
L’EHDS est architecturé en microservices avec API REST. OpenSearch est utilisé pour indexer les données (un éditeur de requêtes SPARQL est disponible sur la plate-forme centrale) ; PostgreSQL, pour stocker les statistiques ; MongoDB, pour conserver les informations sur les fichiers uploadés.
Quand on a déjà du SAM, à quoi bon acquérir une solution de gestion du SaaS ?
Dans sa synthèse du dernier Magic Quadrant consacré à ce marché, Gartner ne tranche pas la question. Il note néanmoins qu’existe, chez les acheteurs, une forme de « résistance à l’ajout d’un autre outil »…
Ces acheteurs évoluent le plus souvent dans les achats et l’exploitation informatique. Tels sont en tout cas les principaux profils que les fournisseurs ciblent, plutôt que les métiers de la sécurité/conformité IT et de la gestion des actifs informatiques.
Le message communiqué l’an dernier quant à la faible maturité du marché reste d’actualité. Comme le conseil qui en découle : négocier des contrats de 2 ans maximum, vu le manque de garanties sur la viabilité de nombreux offreurs. Cette situation les expose à des acquisitions… y compris par des acteurs du SAM.
De la gestion des contrats aux scores de risque, de nombreuses briques facultatives
D’une année à l’autre, le cahier des charges fonctionnel pour figurer dans ce Magic Quadrant a peu évolué.
Illustration sur la découverte de l’usage du SaaS. Seule l’intégration avec des outils de sécurité a été ajoutée sur la liste des options. Il s’agissait toujours d’en proposer au moins trois, entre celle-ci et :
Extension de navigateur
Agent
Système de gestion financière ou des dépenses
SSO
Outil de gestion des terminaux
Messagerie électronique
OAuth
Connexion API directe
Comme l’an dernier, il fallait assurer un minimum d’orchestration de workflows sans code pour l’automatisation de tâches courantes dont l’onboarding/offboarding employé. Étaient également attendues, sur le volet optimisation des dépenses, des possibilités d’identification des apps redondantes, de révocation/réallocation de licences et – nouveauté – de délégation d’ownership aux métiers hors IT, avec contrôle d’accès basé sur les rôles.
Les intégrations ITSM étaient facultatives. Comme les scores de risque et de conformité, les rapports d’adoption, la gestion des contrats et des fournisseurs, la GenAI pour les admins ou les procédures de traitement des demandes d’applications par les employés.
17 fournisseurs, 5 « leaders »
L’évaluation des fournisseurs s’est faite sur deux axes. L’un prospectif (« vision »), portant sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
La situation sur l’axe « exécution » :
Rang
Fournisseur
Évolution annuelle
1
Zylo
=
2
Torii
=
3
Flexera
+ 1
4
BetterCloud
+ 3
5
Zluri
– 2
6
1Password
+ 3
7
Lumos
– 1
8
ServiceNow
– 3
9
Calero
+ 1
10
CloudEagle.ai
+ 2
11
Auvik
nouvel entrant
12
USU
– 1
13
Axonius
nouvel entrant
14
Josys
=
15
Corma
nouvel entrant
16
Viio
nouvel entrant
17
MegaZoneCloud
nouvel entrant
Sur l’axe « vision » :
Rang
Fournisseur
Évolution annuelle
1
Zylo
=
2
Torii
=
3
BetterCloud
+ 1
4
Flexera
+ 2
5
Zluri
– 2
6
Lumos
– 1
7
Calero
+ 3
8
1Password
+ 1
9
CloudEagle.ai
+ 3
10
ServiceNow
– 1
11
Viio
nouvel entrant
12
Josys
+ 1
13
Axonius
nouvel entrant
14
Auvik
nouvel entrant
15
USU
– 4
16
Corma
nouvel entrant
17
MegaZoneCloud
nouvel entrant
L’an dernier, trois fournisseurs étaient classés « leaders » : Torii, Zluri et Zylo. Ils le restent, rejoints par BetterCloud et Flexera.
FinQuery et Oomnitza ont disparu des radars, ne vendant plus de plate-forme autonome de gestion du SaaS. Productiv aussi est sorti, parce qu’il ne respectait pas complètement le critère d’orchestration de workflows. Quant à Trelica, il a été acquis par 1Password (que nous ne signalons ainsi pas, dans les tableaux ci-dessus, comme un nouvel entrant).
Les « leaders » mis à part, la quasi-totalité des offreurs sont dans la catégorie « acteurs de niche », témoin de la faible maturité du marché.
Plage de support limitée chez BetterCloud
BetterCloud se distingue par son adaptation à l’évolution des besoins. Les acquisitions de G2 Track et de Tricent ont enrichi son offre, respectivement sur la gestion des dépenses et la gouvernance du partage de fichiers. Gartner salue aussi un ciblage efficace des acheteurs IT, finance et sécurité, avec une stratégie de ristournes flexible. Bon point également pour la cadence de livraison de nouvelles fonctionnalités.
BetterCloud ne permet pas de choisir la localisation des données et n’assure de support que du lundi au vendredi entre 8 heures et 20 heures (heure de l’Est*). Sa tarification est plus élevée que la moyenne du marché (modèle à trois niveaux et module complémentaire pour la gouvernance). Gartner note aussi l’absence d’extension de navigateur pour la découverte de l’usage du SaaS.
Flexera n’a pas fini d’intégrer Snow Software
Flexera bénéficie d’une présence physique mondiale (États-Unis, Canada, Brésil, Royaume-Uni, Suède, Australie, Inde) et d’un réseau d’intégrateurs étendu. Gartner apprécie sa capacité de ciblage commercial, tant d’un point de vue sectoriel que géographique. Ainsi que ses prix, généralement plus bas que chez la concurrence et assortis d’une politique de ristournes flexible. Bon point également pour le marketing, qui, entre webinaires et événements physiques, alimente la notoriété de Flexera, y compris sur le SAM.
En attendant que soit finalisée l’intégration de Snow Software, Flexera ne propose pas de moyen de mesurer ou de stimuler l’adoption du SaaS. Gartner signale aussi l’inconsistance du support et de la qualité des partenaires intégrateurs. Il y ajoute le nombre limité d’intégrations directes par API.
La résidence des données, absente chez Torii…
Torri est crédité d’un bon point pour son recueil du feed-back, et par là même pour sa roadmap. Il l’est aussi pour sa cadence de livraison d’améliorations fonctionnelles. Et pour sa tendance à « anticiper » le besoi. En tout cas à introduire des capacités avant que la demande soit généralisée. Gartner en veut pour preuve l’usage de la GenAI pour, entre autres, traiter les contrats, enrichir les profils d’applications et concevoir des automatisations.
Comme chez BetterCloud, pas de choix de l’emplacement des données (Amérique du Nord uniquement). Si le licensing est flexible, Torii propose, avec son niveau Enterprise, l’une des offres les plus onéreuses de tout le Magic Quadrant. Plus « petit » que les autres « leaders », il n’a pas la même capacité pour passer à l’échelle ses équipes commerciales.
… et coûteuse chez Zluri
La tarification de base de Zluri est parmi les plus avantageuses du Magic Quadrant et elle s’assortit d’une stratégie intéressante de remise sur volume. Comme chez Flexera, le marketing est jugé efficace. L’intégration de l’IA l’est aussi (traitement des contrats, analyse de l’activité des utilisateurs, dimensionnement des licences…), d’autant plus qu’elle favorise la prise en main de la solution.
Zluri permet de choisir la localisation des données… mais c’est plus cher (le prix dépend, en particulier, de la taille de l’entreprise et du volume de données). Les avis sont de plus variés quant à la qualité du support et à l’efficacité de la solution. Par ailleurs, les éléments qui figurent en tête de la feuille n’apparaissent pas alignés sur les principales demandes des clients.
Avec Zylo, des coûts potentiellement difficiles à prévoir
Bon point marketing pour Zylo également, de son podcast et sa chaîne YouTube à son SaaS Management Index annuel. Gartner salue aussi la qualité de l’expérience client, entre customer success managers et méthodes de maximisation de la valeur. Il note aussi l’enrichissement de la bibliothèque d’applications (chacune incluant des informations financières, fonctionnels et de risque) et les capacités « exhaustives » de mesure d’adoption.
Chez Zylo, les données sont localisées exclusivement en Amérique du Nord. Et le personnel, exclusivement aux États-Unis (élément à prendre d’autant plus en compte dans le contexte géopolitique que l’on connaît). Vigilance aussi sur la tarification : il peut être difficile de la comprendre… et de prévoir les coûts. À noter également l’absence d’approche sectorielle sauf pour gouvernements et pharma.
* Fuseau horaire du Québec et de New York, entre autres. 6 heures de décalage avec Paris.
C’est le principe de l’Apps SDK actuellement en preview chez OpenAI. Il permet de fournir des interfaces interactives par l’intermédiaire des serveurs qui utilisent ce protocole.
Le projet MCP-UI, emmené par des ingénieurs de Palo Alto Networks et de Shopify, a la même philosophie.
Voilà que les deux initiatives convergent – avec Anthropic dans la boucle – afin de créer une extension officielle pour MCP. Promesse : pouvoir déclarer des ressources UI, les lier à des outils, les embarquer dans une application, puis gérer la communication bidirectionnelle avec celle-ci. Et éviter ainsi d’avoir à implémenter trop de logique côté client (par exemple pour le rendu d’un graphe à partir de JSON).
L’extension « Applications MCP », telle qu’envisagée, sépare templates et données pour une mise en cache plus efficace. Elle permet aux applications hôtes de contrôler les templates avant de les exécuter. Les communications se font sur JSON-RPC et sont donc auditables. La spec initiale ne gère que le contenu text/html, affiché dans des iframes isolés (sandbox).
Un protocole plus asynchrone
Il fut, pendant un temps, question de publier une nouvelle version de la spécification MCP ce 25 novembre 2025 – soit un an tout juste après l’ouverture du protocole à la communauté. On en est finalement à la release candidate… qui donne cependant une bonne idée des évolutions à venir.
Par rapport à la version précédente (18 juin), on progresse sur la gestion des opérations asynchrones. Une primitive expérimentale « tâche » avec un système d’identifiant a effectivement été ajoutée. En l’interrogeant, on peut, d’une part, suivre l’état d’une tâche exécutée en arrière-plan. De l’autre, accéder aux résultats « en différé », pendant une durée définie par le serveur. L’ancienne et la nouvelle sémantiques sont gérées sur une même méthode RPC.
Du progrès, il y en a aussi sur la découverte de serveurs d’autorisation. La gestion d’OpenID Connect Discovery 1.0 vient compléter celle des métadonnées OAuth 2.0. En parallèle, la stratégie de sélection du champ d’application (scope) est structurée à travers l’en-tête WWW-Authenticate, sur le principe du moindre privilège. Et la spec permet aux clients OAuth d’héberger leurs métadonnées (document JSON) sur une URL HTTPS afin de pouvoir fonctionner avec des serveurs d’autorisation vis-à-vis desquels il n’existe pas de relation préalable.
La version précédente de la spécification avait introduit de quoi envoyer des informations non sensibles par un mécanisme de type formulaire. La nouvelle version vient couvrir la transmission de données sensibles (secrets, opérations de paiement…) avec un mode hors bande fondé sur des URL de confiance qui s’ouvrent dans le navigateur. Avec lui, il n’y a pas besoin d’exposer d’éléments dans le client MCP.
On aura aussi noté la prise en charge des schémas d’énumération à choix multiple, l’ajout d’une convention de nommage des outils et la possibilité d’associer des icônes aux ressources serveur (outils, templates, prompts…).
Vers des « extensions officielles »
Pour favoriser les implémentations sectorielles et/ou adaptées à des cas d’usage, MCP va reconnaître et documenter les plus populaires, en tant qu' »extensions officielles ».
En attendant, le projet en absorbe un autre : MCPB (MCP Bundle). Ce format simplifie la distribution de serveurs locaux et leur installation sur tout client compatible. Il utilise des archives zip combinant un serveur (Node.js, Python ou binaires compilés) et son manifeste, sur un principe similaire à celui des extensions Chrome ou VS Code.
Anthropic est à l’origine de MCPB (ex-DXT, Desktop Extensions), d’abord utilisé exclusivement sur les apps de bureau Claude. Il a décidé d’en ouvrir la spec, l’outillage CLI associé et une implémentation de référence (code utilisé par l’app Claude pour Windows et Mac afin de charger et vérifier des bundles).
Des travaux sont également en cours pour conjuguer stateless et scalabilité. Le protocole Streamable HTTP a apporté une réponse partielle, des problèmes demeurant notamment sur la gestion des sessions.
Orange et Capgemini sont des prestataires critiques de services TIC pour le secteur financier.
Ainsi en ont décidé l’ABE (Autorité bancaire européenne), l’AEAPP (Autorité européenne des assurances et des pensions professionnelles) et l’AEMF (Autorité européenne des marchés financiers). Elles ont intégré 17 autres sociétés sur leur liste, élaborée dans le cadre du règlement DORA (résilience opérationnelle numériques des entités financières).
Fournisseur
Pays d’origine
Accenture
États-Unis (siège en Irlande)
AWS
États-Unis
Bloomberg LP
États-Unis
Capgemini
France
Colt Technology Services
Royaume-Uni
Deutsche Telekom
Allemagne
Equinix
États-Unis
FIS
États-Unis
Google Cloud
États-Unis
IBM
États-Unis
Interxion (Digital Realty)
Pays-Bas
Kyndryl
États-Unis
LSEG Data & Analytics
Royaume-Uni
Microsoft
États-Unis
NTT DATA
Japon
Oracle
États-Unis
Orange
France
SAP
Allemagne
Tat Consultancy Services
Inde
Une possibilité d’astreinte à 1 % du CA quotidien
Cette liste doit être mise à jour annuellement. Sa composition découle de quatre critères. Dans les grandes lignes :
Effet systémique sur les services financiers en cas de défaillance opérationnelle à grande échelle du prestataire
Importance des entités financières qui dépendent du prestataire
Dépendance de ces mêmes entités à l’égard des services du prestataire sur leurs fonctions critiques ou importantes
Degré de substituabilité du prestataire
Les fournisseurs désignés comme critiques font l’objet d’une supervision spécifique. Des exigences ou des processus de sécurité et de qualité peuvent leur être imposés (correctifs, chiffrement, accords d’externalisation, prévention des points uniques de défaillance…).
En cas de non-respect des mesures à adopter, les prestataires peuvent écoper d’une astreinte, sur base journalière, pendant 6 mois maximum. Le montant est au plus égal à 1 % du CA quotidien moyen réalisé au niveau mondial. Les autorités peuvent aller jusqu’à demander aux entités financières de suspendre temporairement l’utilisation ou le déploiement de solutions.
DORA établit un principe de divulgation publique des prestataires qui ne notifient leur intention de suivre les recommandations du superviseur – ou qui ne fournissent pas de refus circonstancié.
AirDrop et Quick Share sont désormais interopérables.
Apple n’en fait pas grande publicité. Au contraire de Google, même si la prise en charge se limite pour le moment à la gamme Pixel 10 et au mode « tout le monde » (pas possible de restreindre les échanges de fichiers aux contacts seulement).
Vers la fin d’un protocole propriétaire
Si Apple est discret, c’est que cette interopérabilité lui a été imposée par l’Europe, en application du DMA. La consigne, dans les grandes lignes : proposer aux tiers une solution de partage Wi-Fi P2P aussi efficace que celle implémentée pour ses propres appareils et services.
Sur iOS et iPadOS (les plates-formes Apple encadrées par le DMA), deux protocoles peuvent être utilisés. L’un ouvert (le standard Wi-Fi Aware), l’autre propriétaire (AWDL, Apple Wireless Device Link).
Apple a choisi de proposer l’interopérabilité via Wi-Fi Aware plutôt que d’ouvrir AWDL. Ce dernier se trouve donc condamné à terme. En attendant, il pourrait tout de même falloir le rendre interopérable dès lors qu’il existerait un écart fonctionnel avec l’implémentation Wi-Fi Aware. De même, les puces Wi-Fi des iPhone et des iPad devront pouvoir gérer deux connexions P2P concurrentes. Une demande que la Commission européenne a maintenue malgré l’opposition d’Apple. Elle persiste aussi à lui demander d’implémenter la prochaine version majeure de Wi-Fi Aware (5.0) dans les 9 mois suivant sa publication. Et à ne pas empêcher que des fonctionnalités d’AWDL soient intégrées dans ce standard.
Wi-Fi Aware : ce qui est attendu d’Apple
L’implémentation Wi-Fi Aware doit notamment permettre :
D’établir une connexion à la demande, sans davantage d’interventions de l’utilisateur que ce qui est nécessaire entre appareils Apple
De maintenir en parallèle une connexion Wi-Fi infrastructure
D’accéder aux mêmes métadonnées de connexion et de configurer les mêmes paramètres
L’accès aux mêmes métadonnées doit, entre autres, permettre de stocker et d’ouvrir les fichiers reçus dans des apps spécifiques, comme le permet AirDrop.
Par « mêmes paramètres », il faut notamment entendre la possibilité de faire confiance à un appareil via l’OS dans des conditions équivalentes à celles d’AirDrop. Et de restreindre la découverte d’appareils à ceux préalablement désignés comme étant de confiance.
L’interopérabilité du partage WI-Fi P2P suppose aussi des obligations en matière d’accessibilité. Parmi elles :
Traitement équitable par rapport à AirDrop dans le menu de partage d’iOS
Lancement de transferts sans avoir à ouvrir d’application tierce
Capacité à exploiter l’UI système pour le transfert de fichiers
Découverte d’appareils destinataires même si la solution de transfert n’y est pas installée (l’utilisateur doit alors être alerté des fichiers entrants et guidé vers l’app store approprié)
Les solutions tierces de transfert doivent par ailleurs pouvoir changer dynamiquement de protocole de communication, comme AirDrop le fait entre P2P, infrastructure, Bluetooth et réseau cellulaire.
Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).
En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :
Recherche d’indicateurs de compromission (REC)
Investigation numérique (INV)
Analyse de codes malveillants (CODE)
Pilotage et coordination des investigations (PCI)
La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.
Une marge de manœuvre pour déléguer
La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.
L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :
Retranscription et rédaction des comptes rendus de réunions
Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
Retranscription des décisions, actions et arbitrages
Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex
Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.
Se synchroniser avec l’activité PCI
En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »
Le prestataire doit être capable d’aider à identifier, en amont :
Applications, systèmes, données et périodes critiques de l’organisation
Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
Tiers éventuels dont l’implication pourrait être nécessaire
Principaux enjeux à court et moyen terme et obligations juridiques applicables
Enjeux de communication de crise
Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.
Retex et restitution « à chaud » au niveau élevé de qualification
Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.
Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.
Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.
Connexion
