Par Régis BAUDOUIN

« Transaction refusée : Quota carbone mensuel atteint. »

Imaginez la scène : vous êtes à la caisse, votre solde bancaire est largement positif, mais votre paiement est bloqué. Ce n’est pas une panne réseau, ni un oubli de code. C’est l’intelligence artificielle de votre banque qui vient de juger votre empreinte écologique trop lourde pour ce mois-ci. Ce scénario, digne d’un épisode de Black Mirror, n’est plus une fiction dystopique.

En ce printemps 2026, plusieurs néo-banques européennes et géants du paiement testent le “blocage vert” : une fonctionnalité qui lie votre plafond de dépenses à l’empreinte carbone de vos achats. Entre incitation vertueuse et crédit social déguisé, XY Magazine décrypte cette nouvelle frontière du contrôle numérique.

BNP Paribas propose un bilan carbone individuel pour le mesurer et le réduire. Mais si vous ne le faites pas. Peut-il bloquer certaines dépenses ?

Ce service de plafond carbone existe aussi avec Helios une néo banque française qui propose des cartes visa associées à une compteur de carbone.

Le mécanisme du Plafond Carbone : De la donnée au contrôle

Jusqu’à présent, vos données de transaction servaient principalement à vous profiler pour vous soumettre des offres ciblées. Aujourd’hui, la finalité change : il s’agit de piloter votre comportement.

Pour limiter vos dépenses et votre consommations, les banques ont pris l’angle bilan carbone. On peut le considérer comme positif au regard de l’enjeu climatique.

L’analyse automatique “Vert vs Brun”

Grâce à l’IA et aux normes ISO de reporting extra-financier 2026, votre banque catégorise désormais chaque dépense. Ce traçage est facilité par l’ADEME, qui a poussé l’étiquetage environnemental sur presque tous les produits de consommation. Votre banque sait donc, en temps réel, si votre achat est “vert” ou “brun”.

Le Nudging : L’incitation qui murmure à votre oreille

Cela commence doucement par des notifications : « Cet achat de billet d’avion représente 40 % de votre budget annuel » C’est le Nudging. Mais une question demeure : qui définit l’étalon du “bien” et du “mal” écologique ?

On le voit bien avec la SNCF qui le fait pour chaque voyage. On se dit bien que un jour on pourra agir sur cet indicateur au niveau des droit fondamentaux.

La question du référentiel de ce qui est bien ou pas sera un point clé de la restriction des libertés. Cela va se faire par la loi. C’est déjà le cas avec les taxes sur les voitures pour inciter à acquérir une technologie electrique.

Le Plafond Dynamique : La liberté sous conditions

La nouveauté de 2026, c’est l’apparition de comptes bancaires “engagés”. L’utilisateur accepte volontairement — souvent en échange d’une réduction de frais — un blocage réel au-delà d’un certain seuil d’émissions.

• Helios, la néo-banque française, propose déjà des cartes Visa associées à un compteur carbone.

• En Suède, la Carte DO de Doconomy permet de choisir un montant carbone à ne pas dépasser.

Mais que se passe-t-il si ce choix, aujourd’hui individuel, devient imposé par la banque ou un organisme externe ?

Pourquoi mesurer, si un jour, ce n’est pas pour réduire.

Enjeux de souveraineté et dérive vers le “Crédit Social”

Le rôle historique d’une banque est de sécuriser vos dépôts et d’octroyer des financements. Est-il de suivre vos habitudes alimentaires ou vos modes de chauffage ?

• L’outil de surveillance totale : En analysant le Carbone, la banque accède à une radiographie complète de votre mode de vie. C’est une mine d’or pour le profilage qui dépasse largement l’objet social bancaire.
• Le risque du score de crédit : À quand un taux de crédit immobilier indexé sur votre score carbone ? Les assureurs et banquiers y voient déjà un moyen de calculer le « risque de transition » de leurs clients. Un mauvais bilan carbone pourrait demain signifier un emprunt plus cher.
• On peut aussi basculer sur le crédit social comme en Chine qui donne ou retire des droits en fonction de ses actions.
• L’IA de confiance en question : Comment vérifier la transparence de l’algorithme qui calcule votre impact ? Un bug ou un biais dans la base de données de l’ADEME pourrait restreindre vos droits fondamentaux sans recours simple.

Conclusion : Conscience ou contrainte ?

Ce qui commence de manière ludique — comme l’affichage carbone de la SNCF pour chaque voyage — glisse inexorablement vers une régulation des droits individuels. Sous couvert de survie climatique, pourrons-nous demain interdire des voyages ou des dépenses essentielles ? Qui va décider comment gérer les exceptions.

La CNIL veille, mais la pression de l’urgence écologique est forte. Alors que la frontière entre outil pédagogique et instrument de coercition s’estompe, une question s’impose :

Préférerez-vous être bloqué par votre banquier… ou par votre conscience

Entre une hausse des tarifs de 25 % à 30% en deux ans sous prétexte d’IA et une pression juridique sans précédent (commission d’enquête parlementaire de mars 2026, directive NIS2, circulaire ministérielle), l’alternative souveraine n’est plus un choix militant, c’est une stratégie de survie pour les entreprises.

Pourquoi le vent tourne en 2026

Plusieurs éléments contribuent à ce changement d’attitude vis à vis de Microsoft mais aussi de tous les éditeurs qui

• La “Taxe IA” : Microsoft a généralisé ses hausses de prix en injectant Copilot par défaut. Pour beaucoup d’entreprises, payer pour une IA qu’elles n’utilisent qu’à 10 % devient inacceptable. D’autant que le constat est fait que d’autres modules ne sont jamais utilisés.
• Le piège du Cloud Act : Malgré les promesses de résidence des données en Europe, l’ambiguïté juridique demeure. La commission parlementaire présidée par Cyrielle Chatelain (mars 2026) pointe du doigt la vulnérabilité des secteurs critiques (santé, éducation).
• L’effet de masse : Le Health Data Hub a officiellement amorcé son retrait des services Microsoft. Quand le “paquebot” de l’État bouge, tout l’écosystème suit.

A cela s’ajoute un contexte international anxiogène. Les USA jouent leur propre partition laissant leurs alliées historiques de coté.

La position de la France est désormais sans ambiguïté. Le Directeur interministériel du numérique (DINUM) a acté que Microsoft 365 est “non conforme” à la doctrine “Cloud au centre”. De fait, la solution est exclue du label “Cloud de confiance“, réservé aux infrastructures protégeant les données contre les lois extraterritoriales.

Qui sont les challengers ?

On ne cherche plus “le Microsoft français” (qui n’existe pas en un seul bloc), mais un assemblage de briques de solution françaises ou européennes. Les caractéristiques sont les suivantes. Une offre cloud souveraine (Secnumcloud), des modules open source ou totalement libres.

L’inconvénient par rapport aux solution des acteurs en place est l’effet patchwork. En réalité, les besoin sont simples : une solution collaborative, un traitement de texte, un tableur, une base de données, un messagerie, une solution de visio.

Avec cela on peut travailler dans presque tous les domaines. Quand on regarde la marché présente beaucoup d’alternatives.

• La Suite Collaborative : Jamespot (TeamWork) et Wimi s’imposent comme les alternatives les plus matures pour la gestion de projet et la communication, mais il existe aussi des solution installées et auto hébergeables comme Nextcloud et mes amis de Div Protocol.
• La Bureautique : Le couple OnlyOffice ou Collabora Online intégré à des solutions comme eXo Platform ou Nextcloud offre désormais une compatibilité .docx quasi parfaite.
• Le Cloud de Confiance : L’arrivée de S3NS (Thales/Google) et de Bleu (Orange/Capgemini/Microsoft) qualifiés SecNumCloud crée une zone “hybride” pour ceux qui veulent la puissance des outils US sans le risque juridique. Le seul vrai hyperscaler Secnumcloud et français c’est OVHcloud.

Une méconnaissance persistante laisse croire que la localisation physique des serveurs sur le sol européen suffit à garantir la protection des données. En tant qu’expert, je dois marteler cette vérité : la souveraineté n’est pas une question de géographie, mais de juridiction. Un fournisseur dont le siège social est hors de l’Union européenne demeure structurellement soumis à sa législation d’origine, créant un conflit insoluble avec le RGPD.

Le CLOUD Act américain permet aux autorités d’outre-Atlantique d’exiger l’accès aux données, indépendamment de leur lieu de stockage. Ce risque n’est plus théorique : l’arrêt Schrems II de la CJUE et l’amende record de 1,2 milliard d’euros infligée à Meta en 2025 pour transferts illégaux soulignent la responsabilité financière et juridique colossale qui pèse sur les dirigeants.

“Même lorsque les données sont stockées dans des centres européens, un fournisseur basé hors UE peut rester soumis à une législation étrangère (comme le Cloud Act américain).”

La stratégie de la “Migration Invisible”

Quitter Microsoft ne se fait pas en un week-end. Les entreprises qui réussissent en 2026 adoptent une approche hybride :

1. Auditer la dépendance : Seuls 16 % des entreprises analysent réellement leurs flux de données (Baromètre EY/Hexatrust 2025). Auditer également des documents et process qui sont basés sur des technologies propriétaires (macro Excel, tableaux croisées et liées entre eux, workflow)
2. Basculer par domaine: Garder Excel pour les finances, mais passer sur Tchap ou Olvid pour la messagerie sensible et Oodrive pour le stockage documentaire. On pourrait dire aussi garder un froint microsoft mais tout placer sur une architecture libre.
3. Former au “Mieux-Vivre” numérique : Ne pas se laisse imposé des pack couteux et inutiles. Sortir de l’infobésité de Teams pour revenir à des outils plus structurés et souverains.

Microsoft n’est pas complètement ignorant de ce phénomène. Il adapte sa tarification pour gêner ce mouvement en imposant certains modules et en adoptant une tarification en défaveur d’un picking de solutions dans son catalogue.

Vers un “Système d’Exploitation” Souverain

La bataille qui s’annonce en 2026 ne porte plus sur la simple alternative logicielle, mais sur le contrôle de l’accès.

Si le grand exode hors de Microsoft 365 s’accélère, c’est parce qu’un nouvel écosystème de confiance est en train de naître en Europe. Le Portefeuille d’Identité Numérique Européen (EUDI), dont le déploiement massif est prévu pour la fin de l’année, sera la pièce manquante du puzzle. En permettant aux collaborateurs de s’authentifier de manière ultra-sécurisée et souveraine sur des clouds certifiés SecNumCloud, l’Europe ferme enfin la boucle :

1. L’identité est gérée par l’État (via le Wallet).
2. L’accès est protégé par des protocoles ouverts.
3. La donnée est stockée chez des hébergeurs immunisés contre le Cloud Act.

Quitter Microsoft n’est donc plus un saut dans l’inconnu, mais l’adhésion à une nouvelle norme d’infrastructure. Pour les entreprises françaises, 2026 est l’année où l’on cesse d’être des locataires précaires de la Silicon Valley pour devenir les propriétaires de notre propre destin numérique.

Le choix d’une suite collaborative est devenu un acte de gouvernance pure. Ce mouvement de “géopatriation“ des données propulse le marché européen du cloud souverain vers des sommets, avec une estimation à 23,1 milliards de dollars et une croissance annuelle de 25 %.

Le mot de la fin : Si Microsoft a inventé le bureau numérique, l’Europe est en train d’en construire les murs et d’en forger les clés. Il est peut-être temps de préparer vos cartons.

Par Régis BAUDOUIN

Aujourd’hui, à 19 ans, Gaspard BONNOT s’attaque aux titans du Cloud. Avec sa start-up DIV Protocol, il défie Amazon, Google et Microsoft sur le terrain le plus brûlant : la souveraineté des données.

À l’heure où les fleurons industriels français livrent toujours leurs secrets aux serveurs d’outre-Atlantique, ce jeune prodige propose une rupture technologique radicale pour reprendre le contrôle de vos données et les partager en toute sécurité et en toute souveraineté.

Quand l’entrepreneuriat court-circuite le lycée

Le parcours de Gaspard BONNOT est le reflet d’une génération qui ne demande plus la permission pour bâtir. Tout débute à 15 ans quand il convainc son père d’utiliser un compte sur Binance. L’effondrement des marchés et l’explosion des NFT en 2021 ne sont pas pour lui des jeux spéculatifs, mais des cas d’école. En observant l’engouement pour les “images de singes”, il perçoit une vérité sous-jacente : si l’on peut sécuriser une image de collection, on peut sécuriser des données vitales.

C’est l’idée qui fait germer en Gaspard le projet de DIV PROTOCOL.

L’aventure DIV PROTOCOL prend racine dans une chambre d’internat, avec son complice Solane.

Le projet prend forme entre les murs de l’internat du lycée, loin des incubateurs parisiens. L’apprentissage est rapide pour passer d’une bande de “copains de chambrée” à celui de dirigeants d’une équipe de six cofondateurs et d’ingénieurs. Ce passage exige expérimentés a exigé une mue brutale. L’amitié et le business ce n’est pas toujours possible.

Gaspard BONNOT a dû apprendre à s’entourer, remplaçant des amis par des profils matures pour répondre à la complexité d’un protocole de cybersécurité. Cette trajectoire souligne une maturité stratégique : l’agilité des “digital natives” couplée à une rigueur industrielle nécessaire pour délivrer une solution industrielle et sure.

La souveraineté par la preuve cryptographique

En France, le terme “souveraineté” est souvent galvaudé, réduit à une simple affirmation de stockage des données en France.

Gaspard BONNOT dénonce ce “marketing de la souveraineté” qui endort les entreprises. Installer des serveurs sur le sol français ne sert à rien si les clés de chiffrement restent accessibles à un prestataire soumis au US Cloud Act ou à d’autres législations extraterritoriales.

“Avoir des datacenters en France, ça ne suffit pas à être souverain. Nous avons poussé la souveraineté via les clés de chiffrement : nous n’en possédons aucune, nous les rendons toutes aux clients.” L’engagement de DIV PROTOCOL est très fort.

Ce changement de paradigme est essentiel. En garantissant que le fournisseur n’a techniquement aucun moyen d’accéder au contenu, DIV PROTOCOL propose une résilience infrastructurelle totale. Contrairement aux initiatives comme Gaia-X qui se sont enlisées dans des compromis politiques, la démarche de Gaspar est une réponse technique pure : l’agnosticisme technologique.

En rendant le client maître de ses clés, il transforme la souveraineté d’un concept politique flou en une réalité cryptographique inviolable.

La blockchain réhabilitée

Loin des fantasmes de la “crypto-sphère”, DIV PROTOCOL utilise la blockchain comme une solution industrielle. Ici, pas de jetons volatils, mais un usage structurel de l’immutabilité pour stocker les métadonnées (logs de connexion, adresses IP, horodatage).

Cette approche redonne ses lettres de noblesse à une technologie souvent décrédibilisée. En cas de contentieux, l’entreprise peut prouver, de manière infalsifiable, l’état exact d’une donnée à un instant T.

C’est un atout juridique majeur : la traçabilité devient une preuve irréfutable. Pour les professions réglementées, c’est la fin du doute sur l’intégrité des documents partagés.

Cette utilisation “sérieuse” de la blockchain démontre que la valeur réelle de cette technologie réside dans la confiance numérique qu’elle génère, et non dans la spéculation qu’elle a pu alimenter.

La solution pour des professions sensibles

Plutôt que de s’épuiser dans une guerre frontale contre iCloud ou Dropbox pour le grand public, Gaspard BONNOT a opté pour une stratégie chirurgicale : cibler les niches B2B à haute exigence déontologique. Le choix des cabinets d’avocats comme premier marché est un coup de maître stratégique.

Les structures de 1 à 20 collaborateurs offrent des cycles de vente courts tout en ayant un besoin vital de confidentialité. En signant plusieurs dizaines de cabinets en seulement quatre semaines, DIV PROTOCOL valide son modèle.

Cette adoption par les professions juridiques agit comme une certification de confiance de facto. C’est un socle solide avant de s’attaquer aux notaires, aux assureurs et, à terme, aux grands comptes européens. Cette approche par “cercles concentriques” permet à la start-up de construire sa légitimité là où la sécurité n’est pas une option, mais une obligation légale.

Anticiper le choc Quantique

Dans le monde de la cybersécurité, le danger n’est pas seulement présent, il est futur. Gaspard BONNOT intègre déjà la menace de l’ordinateur quantique, capable de briser les chiffrements actuels.

L’enjeu n’est pas d’être “100% protégé” aujourd’hui — ce qui est impossible avant la stabilisation de la technologie — mais d’être structurellement prêt pour la transition.

Comment DIV PROTOCOL garantie son cryptage

• Algorithmes de pointe : Utilisation intensive de Poly1305 et ChaCha20 pour garantir un haut niveau de sécurité actuel.
• Veille algorithmique constante : Une structure prête à intégrer les protocoles de résistance quantique dès leur normalisation.
• Prévention de la rétro-ingénierie : Protéger les données aujourd’hui contre les puissances de calcul de demain.

Cette maitrise technique montre que DIV PROTOCOL ne construit pas un simple service de stockage, mais une infrastructure de confiance à long terme. Anticiper le risque quantique est la seule barrière de défense viable dans une guerre de l’information où les données volées aujourd’hui seront déchiffrées dans dix ans.

Vers un standard européen indépendant ?

L’ambition finale de Gaspard BONNOT dépasse la simple application de stockage. Il veut faire de DIV PROTOCOL un standard européen, dissociant le protocole de sécurité des applications métiers.

En levant 200 000 euros auprès d’investisseurs stratégiques, il a choisi la voie d’une croissance raisonnée, loin de la culture du “burn” inutile.

Le parcours de ce jeune entrepreneur est une bouffée d’oxygène pour l’écosystème tech français. Il prouve que la souveraineté n’est pas une incantation , mais un défi technique que la nouvelle génération est prête à relever.

Alors que nous confions chaque jour nos actifs les plus précieux à des infrastructures étrangères soumises à des intérêts qui ne sont pas les nôtres, une question s’impose : quelle valeur accordez-vous réellement à vos secrets professionnels ? Si la réponse est “une valeur absolue”, alors le temps de la dépendance naïve aux géants du Web est sans doute révolu et DIV PROTOCOL peut vous aider à vous sevrer.

Par Régis BAUDOUIN

Une rupture de la nouvelle Stratégie cyber américaine en 5 points

Une stratégie cyber qui marque une rupture brutale avec la timidité des administrations précédentes. Là où les politiques passées se contentaient de mesures partielles et des ambiguïtés stratégiques, la doctrine Trump de mars 2026 affirme une volonté de domination totale.

Le cyberespace est né en Amérique ; cette nouvelle vision pose un jalon historique pour garantir qu’il reste sous influence américaine, transformant ce domaine immatériel en un pilier de la puissance nationale pour les siècles à venir.

Déploiement des puissances non cinétiques

Le premier point de rupture réside dans la transition radicale de la simple “défense” contre la menace cyber vers une “perturbation proactive” donc une posture offensive.

La stratégie ne se contente plus de fortifier des frontières numériques ; elle vise l’oblitération pure et simple des capacités adverses. Les exemples cités sont sans équivoque : le soutien à l’oblitération de l’infrastructure nucléaire iranienne et l’opération ayant aveuglé les réseaux du narco-terroriste Nicolas Maduro lors de sa capture. Ces opérations démontrent une maîtrise technologique inégalée.

Ce recours aux “puissances non cinétiques” redéfinit la souveraineté numérique par la dissuasion et par l’action.

“Nos guerriers du cyberespace travaillent chaque jour pour s’assurer que quiconque chercherait à nuire à l’Amérique paiera le prix le plus lourd et le plus terrible.” tel que rédigé dans le document. Ce sont des affirmation que l’on peut voir habituellement dans les doctrines de dissuasion nucléaires.

Cette doctrine ne laisse plus de zone de confort aux ennemis de l’Amérique : il s’agit de démanteler les réseaux et de priver les adversaires de tout refuge numérique.

L’IA “Agentique” et le bouclier Post-Quantique

La stratégie cyber introduit l’IA “agentique” comme fer de lance de la défense à l’échelle. L’objectif est de surpasser les adversaires qui saturent le domaine avec des technologies de surveillance et de censure à bas coût. On pense ici à la Chine, L’iran, la Russie.

L’administration mise sur des outils autonomes capables de détecter, détourner et tromper les acteurs menaçants en temps réel.

Cette supériorité repose sur la sécurisation du “socle technologique de l’IA” (AI technology stack), des centres de données jusqu’aux modèles de langage. Parallèlement, la stratégie impose une transition vers la cryptographie post-quantique pour moderniser les réseaux fédéraux.

En anticipant la menace des calculateurs quantiques, les États-Unis transforment leur infrastructure en une forteresse imprenable, garantissant que l’innovation américaine demeure le standard mondial de sécurité.

Le bon sens comme moteur d’agilité

La stratégie lance une attaque frontale contre les réglementations obsolètes, qualifiées de “listes de contrôle coûteuses” qui freinent la préparation et la réponse. Le document prône une réglementation basée sur le bon sens (“Common Sense Regulation”) pour libérer le secteur privé du fardeau de la conformité inutile.

Cette notion est très TRUMP dans le texte. Clairement c’est dangereux. Le bon sens doit être défini par la stratégie et pas par son intuition. Actuellement, le président TRUMP a déclaré via sa porte parole qu’il a déclenché les opérations de guerre contre l’Iran par bon sens. Il avait le sentiment que l’Iran allait attaquer en premier. Aucune preuve ne l’atteste.

Le gouvernement doit changer de rôle : de frein bureaucratique, il devient la fondation de la sécurité nationale. L’idée est de permettre aux entreprises d’innover à la “vitesse des menaces”.

Ce compromis assumé entre dérégulation et résilience postule que l’agilité industrielle est l’arme la plus efficace contre des adversaires étatiques rigides. En simplifiant les normes et en modernisant les systèmes fédéraux, l’État s’aligne enfin sur le rythme du secteur privé. Cette déduction est tirée de la lecture du rapport.

Neutraliser le “financement de sortie”

La capture de 15 milliards de dollars issus de réseaux criminels n’est que le début d’une reconquête financière des cybers transaction illégales. La stratégie place la sécurisation des crypto-monnaies et de la blockchain au cœur de la sécurité nationale. L’innovation ne se limite plus au code, elle s’étend à la neutralisation du modèle économique du cybercrime et du trafic qui lui est associé.

En s’attaquant au “financement de sortie” (financial exit), les États-Unis entendent déraciner l’infrastructure criminelle à sa source. L’objectif est de rendre le cybercrime économiquement non viable. En supprimant toute possibilité de convertir des gains illicites en actifs utilisables, l’administration Trump vide l’agression numérique de sa substance principale : le profit.

Aligner le talent sur l’actif stratégique

La main-d’œuvre cyber est un “atout stratégique” vital, au même titre que l’arsenal nucléaire ou les réserves énergétiques. Pour maintenir cette suprématie, l’administration prévoit d’aligner l’académie, les écoles techniques et le capital-risque dans un pipeline de talents sans précédent.

Donald Trump définit cette force de travail comme ce qui “protège le peuple américain, la patrie et le mode de vie américain”. En éliminant les barrières entre le public et le privé, les États-Unis s’assurent que leurs meilleurs esprits ne se contentent pas de coder, mais qu’ils déploient des solutions de défense et de disruption. Il ne s’agit plus de formation, mais de mobilisation d’un capital intellectuel souverain.

Voir comment concilier cet objectif et la politique actuelle d’accueil de étrangers aux USA. Même si l’immigration légale ne cesse pas, c’est le désir de s’installer aux USA qui est moins évident.

Une domination technologique assumée

Ce document marque le passage définitif d’une posture réactive à une volonté de suprématie incontestée. Cette posture est tenue face aux ennemis et même face aux amis des USA.

L’ambition est claire : démanteler les réseaux, poursuivre les hackers et sanctionner sans trembler les entreprises étrangères complices. La puissance américaine s’affirme enfin debout dans le cyberespace. Au delà des frontières et des souverainetés

Par régis BAUDOUIN

Cette semaine nous faisons connaissance avec Thomas MARCELLE, jeune entrepreneur qui a créé la plateforme d’influence NAANO qui met en relation des entreprises avec des créateurs de contenus sur la plateforme linkedin.

De l’entrepôt-chambre à LinkedIn

L’entrepreneuriat, pour la Gen Z, n’est pas une carrière, c’est un terrain de jeu. À 15 ans, quand ses pairs révisent le brevet, Thomas manipule déjà du coton bio et du polyester recyclé. Sa première marque de vêtements, née d’une impulsion post-confinement, transforme rapidement sa chambre d’adolescent en un entrepôt saturé de stocks.

Depuis, Thomas MARCELLE a connu d’autres expériences à l’étranger. Il revient en France et lance son projet actuel, Naano, Thomas est saisissant de maturité d’autant que cette aventure est menée en même temps qu’il reste salarié de son employeur actuel qui l’aide avec du mentoring.

En résumé, Thomas est passé de la logistique physique encombrante à l’architecture d’une plateforme digitale : l’expertise sur LinkedIn.

Mais au-delà de l’anecdote, une problématique centrale demeure : comment convertir une présence sociale organique en une machine de guerre B2B, capable de rassurer les décideurs tout en restant fidélisant une communauté de créateurs de contenus.

L’entrepreneuriat comme terrain de jeu

Du textile, Thomas pivote vers la tech durant ses études en Angleterre en développant une IA capable d’analyser les pitch decks pour les fonds de Venture Capital. Ce projet ne sera jamais monétisé, mais il devient son meilleur atout : un “Credibility Hack”. Le bruit généré sur LinkedIn attire l’attention de Fundora, où il décroche un stage transformé aujourd’hui en emploi. Chez Fundora, il s’entoure de mentors comme Bradley LAFOND, Benoit FERON, et Alan HUET. Ils le challengent sur ses modèles et son marketing.

“Créateur” vs “Influenceur” : la bataille de la légitimité réelle

Dans l’univers du B2B, le terme “influenceur” est souvent synonyme de vanity metrics et de risques d’image. Thomas et ses associés ont tranché : ils ne recrutent que des créateurs de contenus. L’entreprise est bien sur le marché de l’influence, mais l’approche de Naano veut rester qualitative.

La nuance est fondamentale. Là où l’influenceur cherche la masse, le créateur de Naano cherche l’expertise. La plateforme mise sur des micro-profils, souvent loin des dizaines de milliers d’abonnés, mais possédant une expertise sectorielle indiscutable. Pour une entreprise cliente, la valeur ne réside pas dans la portée globale, mais dans l’alchimie entre le savoir-faire du créateur et le produit promu. C’est le passage du marketing de l’apparence au marketing de la compétence.

Le modèle économique d’une croissance maitrisée

À l’heure où l’écosystème startup redécouvre la vertu de la rentabilité, Naano fait figure d’élève modèle. En refusant de lever des fonds prématurément, l’équipe a bâti un modèle économique axé sur l’efficacité financière avec un modèle économique qui ne brule pas de cash. Les clients paient un abonnement d’avance et les créateurs sont rémunérés au résultat. Coté trésorerie, l’impact est positif dès les premiers mois.

Ce système permet à Naano d’encaisser le chiffre d’affaires dès le premier jour, finançant son propre développement sans dilution. « Pas besoin de lever pour l’instant », affirme Thomas avec le calme de celui qui maîtrise sa trésorerie.

L’alchimie d’une équipe

L’équipe de Naano n’est pas née d’une amitié de lycée, mais d’une convergence de compétences brutes rencontrées sur le terrain . Justine NAMOUR ( la CTO et associée) assure la solidité de la plateforme tech ; Alexis JARRE apporte son expertise algorithmique LinkedIn et sa vision marketing ; et Thomas MARCELLE pilote la stratégie et les opérations.

L’origine de l’équipe est purement organique : un message LinkedIn d’Alexis JARRE à Thomas, suivi d’un café. Justine NAMOUR, amie d’Alexis avant l’aventure, est venue compléter ce trio où la confrontation d’idées est la norme. L’équipe s’étoffe désormais avec l’arrivée de nouvelles compétences prouvant que la structure passe de l’artisanat à l’échelle industrielle.

Conclusion : la fin du marketing traditionnel ?

En professionnalisant la micro-influence LinkedIn, Naano donne de la valeur aux posts experts. L’authenticité est un métrique de performance. Thomas et son équipe ont compris que dans un monde saturé de messages automatisés, seule l’expertise humaine, tracée et rémunérée au résultat, possède encore une valeur de conversion. Les profils des créateurs de Naano sont de vrais profils avec un vrai réseau

L’ascension de Naano prouve que les barrières à l’entrée s’effacent devant ceux qui osent exécuter vite et bien. La question n’est plus de savoir si vous avez un réseau, mais si vous êtes prêt à monétiser votre légitimité.

Pour suivre l’aventure NAANO

sur linkedin : Thomas MARCELLE

Par Régis BAUDOUIN

Le réveil technologique de l’Europe

Le 13 janvier 2026, devant la Commission des affaires économiques de l’Assemblée nationale, Anne Le Hénanff, ministre déléguée chargée de l’IA et du numérique, a posé un diagnostic lucide : l’Europe ne peut plus se contenter d’être une « colonie numérique ».

Depuis le Sommet de Berlin du 18 novembre 2025, la doctrine a pivoté. Le numérique n’est plus un simple support technique, mais un « champ de compétition, de contestation et de confrontation » où se joue notre autonomie stratégique. Les USA ont ouvert les hostilités et maintenant il faut réagir. L’Europe ne peut plus utiliser des solutions qui ne respectent pas nos règles et qui sont surtout soumises à des législations antagonistes à ces règles.

La souveraineté n’est plus un débat théorique ; c’est une architecture de puissance que la France et l’Europe construisent désormais pour maîtriser leur destin.

De la protection juridique à la « Souveraineté par le Design »

L’ère de la protection a posteriori (type RGPD) s’efface devant la Souveraineté par le Design. L’objectif est de graver l’indépendance dès la conception des services pour garantir une immunité réelle face aux ingérences étrangères.

Pour rompre avec la dépendance aux licences ARM ou aux processeurs NVIDIA, l’effort se concentre sur l’architecture RISC-V. Ce standard open-source permet de concevoir des puces dont chaque transistor est auditable, éliminant ainsi les risques de « backdoors » physiques.

Contrairement aux modèles « boîtes noires » américains, la priorité est donnée aux modèles à poids ouverts (type Mistral). Cela permet l’hébergement de l’IA sur nos propres serveurs qualifiés, garantissant qu’aucune donnée ne quitte le territoire.

L’adoption systématique d’architectures micro-services et de standards ouverts facilite la réversibilité et permet d’expliquer techniquement chaque décision algorithmique, un impératif pour les services publics.

Sortir du Vendor lock-in

Le vendor lock-in, ou verrouillage technologique, est un obstacle majeur à la souveraineté numérique et à l’indépendance de l’État. Il se manifeste lorsqu’une organisation devient captive des solutions d’un fournisseur, rendant tout changement extrêmement complexe et coûteux.

Perte de souveraineté numérique

L’enfermement propriétaire réduit la capacité d’une nation à agir de manière autonome dans ses domaines stratégiques.

• Dépendance aux acteurs non-européens : La France et l’Europe dépendent massivement de fournisseurs américains ou asiatiques pour les infrastructures cloud, les semi-conducteurs et les modèles d’IA.
• Incapacité de pilotage : Un État qui ne maîtrise pas ses fondations numériques s’expose à des dépendances durables, voire irréversibles, perdant ainsi le contrôle sur ses services publics.

Risques juridiques et vulnérabilité aux lois extraterritoriales

Le verrouillage auprès de fournisseurs soumis à des législations étrangères (comme le Cloud Act américain) pose des problèmes de sécurité nationale.

Les autorités étrangères peuvent exiger l’accès à des données stockées, même en Europe, si le prestataire est soumis à leur droit.

Le vendor lock-in empêche de garantir que l’hébergement des données assure une protection effective contre toute ingérence étrangère.

Conséquences financières et économiques

L’absence de concurrence due au verrouillage entraîne une hausse incontrôlée des coûts.

• Inflation : Les tarifs des logiciels et services cloud américains augmentent d’environ 10 % par an en Europe, faute de pouvoir facilement changer de fournisseur. Microsoft annonce des hausse des 30% sur office 365 pour 2027.
• Manque de levier de négociation : Étant captive, l’administration perd sa capacité à négocier des prix ou des conditions avantageuses.

Rigidité opérationnelle et blocage de l’innovation

Le vendor lock-in freine l’évolution technique des systèmes d’information.

• Défaut d’interopérabilité : Les solutions propriétaires utilisent souvent des standards fermés, empêchant les différentes briques logicielles de communiquer entre elles ou avec des alternatives locales.
• Absence de réversibilité : Sans clause de réversibilité (capacité à changer de solution) et de portabilité des données, l’État se trouve incapable de faire évoluer ses systèmes selon ses besoins futurs.
• Obsolescence imposée : L’organisation subit le rythme de mise à jour et de maintenance imposé par l’éditeur, sans possibilité de se tourner vers le marché pour des solutions plus modernes ou sobres.

Solutions préconisées pour éviter le verrouillage

Intégrer systématiquement des exigences de réversibilité, de portabilité et d’immunité au droit extraterritorial dans les marchés publics. C’est actuellement obligatoire en France.

Adopter une architecture modulaire (micro-services) où chaque brique est interchangeable et basée sur des standards ouverts.

L’utilisation de logiciels libres est présentée comme un levier pour réduire la dépendance et garantir que l’outil restera fonctionnel même si l’éditeur disparaît ou devient hostile.

L’achat public devient une arme

Sous l’impulsion du trio Roland Lescure, Anne Le Hénanff et David Amiel, la commande publique (15 % du PIB européen) est devenue un levier de souveraineté industrielle. La circulaire du 5 février 2026 marque la fin de la naïveté.

La France porte désormais avec force l’adoption d’un « Buy European Tech Act » couplé à un « Small Business Act » pour réserver une part des marchés publics aux pépites locales.

L’État ne choisit plus le prix le moins cher à l’achat, mais évalue la durée de vie, la cybersécurité et surtout la réversibilité (la capacité technique de changer de fournisseur sans perte de données).

Le code des marchés publics est simplifié pour éviter que la complexité administrative ne serve de barrière à l’entrée pour les start-up innovantes face aux géants établis.

La dernière circulaire en matière d’achat publique préconise des achats de logiciels standards sur étagère, souverains et hébergés sur un cloud sécurisé SECNUMCLOUD.

La fin du Far West pour les données territoriales

Les collectivités locales, hôpitaux et universités sont en première ligne des cyberattaques. Le cadre législatif se durcit avec la Loi SREN du 21 mai 2024.

L’identification des données sensibles est obligatoire. Celles-ci doivent impérativement migrer vers des clouds qualifiés SecNumCloud, immunisés contre les lois extraterritoriales (Cloud Act).

À l’image des risques naturels, chaque commune doit intégrer un volet numérique à son Plan Communal de Sauvegarde sous l’autorité des préfets, dont les moyens sont renforcés. Pourtant le legislateur prévoit de ne pas soumettre les ville de moins de 30 habitant à NIS2. Ces dispositifs sont couteux.

Conscient des surcoûts liés à la haute sécurité, l’État s’engage à accompagner financièrement les plus petites collectivités et les établissements de santé pour leur mise en conformité. Le principe est louable, mais l’argent doit bien être trouvé quelque part et actuellement les dotations sont en baisse.

Le numérique entre officiellement dans le domaine « Régalien »

Le numérique n’est plus un silo technique ; il est le cœur du pilotage de l’État. Le changement de paradigme est structurel.

Pour mettre fin à la gestion ministérielle éparpillée, les enjeux stratégiques sont désormais rattachés directement au Premier ministre.

Un nouvel organe, placé auprès du Président de la République, arbitre les choix technologiques comme on arbitre les questions d’énergie ou de défense nationale.

Une feuille de route politique est présentée en début de quinquennat, avec un suivi annuel lors du « Printemps de l’évaluation » devant le Parlement, garantissant que chaque euro investi soutient l’autonomie industrielle.

Vers une maîtrise de notre destin

En 2026, la France a choisi la maîtrise de son destin et sa souveraineté numérique plutôt que la vassalité technologique. Cette autonomie stratégique a un « coût de la liberté » : elle demande d’investir massivement dans des infrastructures souveraines, plus sûres et plus éthiques, même si l’investissement initial est plus lourd.

La question n’est plus de savoir si nous pouvons nous passer des outils globaux, mais si nous sommes prêts à assumer collectivement le prix de notre indépendance.

Sources :

Stratégie nationale de cyber sécurité

Stratégie cyber sécurité de la France

Nous vivons de plus en plus dans un système qui nécessite de prouver son identité. Récemment de nouvelles lois prévoient de justifier son age pour les réseaux sociaux. Pour cela une identité numérique s’impose.

A chaque contrôle on donne plus de données que nécessaire en réalité. Faut-il sacrifier son intimité pour une simple transaction. Aujourd’hui, prouver sa majorité pour accéder à un service ou ouvrir un compte bancaire exige de scanner l’intégralité d’un titre d’identité.

C’est un paradoxe flagrant : pour une simple vérification d’âge, un tiers accède à votre adresse, votre lieu de naissance et votre nom complet. Ce partage excessif facilité l’usurpation d’identité et le traçage publicitaire systémique.

L’EUDI Wallet (European Digital Identity Wallet) promet de briser ce cycle. Plus qu’une application, c’est le pivot d’un changement de paradigme où l’utilisateur ne subit plus la collecte de données, mais orchestre sa propre « économie de la preuve ».

Quelques précisions sur le EUDI Wallet

Le Portefeuille Européen d’Identité Numérique (EUDI Wallet) est un système sécurisé de gestion de l’identité instauré pour permettre aux citoyens, résidents et entreprises de l’Union européenne de s’identifier et de s’authentifier en ligne et hors ligne. Ce dispositif s’appuie sur un cadre réglementaire et technique précis pour transformer les interactions numériques au sein du marché unique.

Le Cadre Juridique : eIDAS 2.0

La mise en place du EUDI Wallet repose sur le règlement eIDAS 2.0, adopté en avril 2024. Ce texte fait évoluer le cadre de 2014 pour imposer de nouvelles obligations :

• D’ici fin 2026 : Chaque État membre doit fournir au moins un portefeuille numérique à ses citoyens. C’est cette année que vous allez découvrir votre identité numérique généralisée.
• D’ici fin 2027 : Les entreprises soumises à la réglementation de lutte contre le blanchiment (AML), les grandes plateformes numériques et certains services publics devront obligatoirement accepter le portefeuille comme moyen d’identification.
• Objectif 2030 : L’Union européenne ambitionne que 80 % des citoyens utilisent cette solution d’ici 2030.

Fonctionnement et Technologies Clés

Le portefeuille fonctionne comme une application mobile sécurisée stockant des identifiants numériques vérifiés (permis de conduire, diplômes, certificats de santé).

• L’Architecture Reference Framework (ARF) : C’est le cadre technique qui définit les normes, protocoles et spécifications pour garantir l’interopérabilité entre les différents pays.
• Zéro Knowledge Proof (ZKP) : Pour protéger la vie privée, le portefeuille utilise des preuves à divulgation nulle de connaissance. Cela permet, par exemple, de prouver que l’on est majeur sans révéler sa date de naissance exacte.
• SD-JWT (Selective Disclosure JSON Web Tokens) : Cette technologie permet de ne dévoiler que les champs strictement nécessaires d’un document numérique.

Usages et Avantages pour les Utilisateurs

Le EUDI Wallet simplifie de nombreuses démarches quotidiennes :

• Services Financiers : Ouverture de comptes bancaires ou demandes de prêts facilitées par la transmission instantanée de documents certifiés (KYC en temps réel).
• Signatures Électroniques : Le portefeuille permettra de réaliser gratuitement des signatures électroniques qualifiées (QES), ayant la même valeur juridique qu’une signature manuscrite.
• Services Publics et Vie Quotidienne : Demande de passeport, déclaration fiscale, accès à la sécurité sociale, ou encore enregistrement d’une carte SIM.

Mise en œuvre en France : France Identité

La France est particulièrement avancée grâce à l’application France Identité, qui sert de socle à cette transition.

• Elle permet déjà d’accéder à des titres d’identité (CNI, permis de conduire numérique, carte grise) sur smartphone.
• L’Agence nationale des titres sécurisés (ANTS) coordonne le consortium POTENTIAL, un projet pilote européen majeur impliquant 19 États membres pour tester les usages du portefeuille.

Pour les entreprises françaises, l’enjeu est immédiat. Grâce à l’avance prise par l’ANTS avec France Identité et le pilotage du consortium européen POTENTIAL, on dispose d’une longueur d’avance. Ce socle technique national permet d’anticiper le “go-to-regulatory” (conformité) sans sacrifier le “go-to-market” (expérience client).

Autant faut-il accepter pour chaque citoyen de disposer des identités compatibles, permis de conduire et carte d’identité.

Exemple pour un prêt bancaire.

Procédure actuelle

Procédure numérique

Enjeux et Risques Identifiés

Malgré les avantages en termes de lutte contre la fraude et de fluidité, plusieurs points de vigilance sont soulevés :

• Risque de traçage : Certains craignent que l’utilisation du portefeuille ne laisse des traces permettant à l’État ou aux émetteurs de suivre les connexions des citoyens. Actuellement en France on a le droit de vivre sans permis ni carte d’identité. Avec ses systèmes vous devez vous enregistrer sur un de ces documents.
• Cybersécurité (Article 45) : Le règlement oblige les navigateurs à accepter certains certificats de sécurité étatiques (QWAC), ce qui inquiète les experts quant à de possibles interceptions de trafic chiffré. Penser aussi aux textes de loi sur les back door gouvernementales pour contourner les cryptages.
• Dépendance matérielle : Le portefeuille repose sur les composants de sécurité des smartphones contrôlés par des firmes américaines (Apple et Google) et chinoises, posant un défi de souveraineté technologique.

Pour les entreprises, l’intégration peut se faire soit en direct (gestion interne de la complexité technique et réglementaire), soit via des intermédiaires (plateformes comme Hopae ou Docusign) qui facilitent la connexion aux différents registres de confiance européens.

Transformer la contrainte en opportunité

L’identité numérique n’est pas qu’une affaire de juristes ; c’est un levier de performance. La lourdeur des vérifications KYC (Know Your Customer) est le premier frein à la croissance.

L’EUDI Wallet transforme ce parcours :

• De 7 étapes à une validation instantanée : Fini le scan de documents et la saisie manuelle. L’accès aux « credentials vérifiables » (diplômes, IBAN, attestations de fonds) fluidifie l’entrée en relation.
• Synergie avec l’Open Banking : Dans la lignée de la DSP3, le Wallet devient l’infrastructure de confiance permettant de sécuriser les consentements et les interactions financières en temps réel.
• Réduction drastique de la fraude : L’utilisation d’identités régaliennes de niveau d’assurance “élevé” élimine la fraude documentaire à la source.

Souveraineté et points de friction

Malgré l’optimisme technologique, des zones d’ombre persistent. Le débat s’est cristallisé autour de l’Article 45 du règlement. Les experts s’inquiètent de l’obligation faite aux navigateurs d’accepter des certificats de sécurité (QWAC) émis par les États. Le risque ? Des attaques de type Man-in-the-Middle, où un État pourrait théoriquement intercepter le trafic chiffré de ses citoyens.

Plus piquant encore est le paradoxe matériel : le Wallet repose sur des “enclaves sécurisées” (puces NFC et biométrie) intégrées aux smartphones. Ces technologies NFC sont américaines sur des smartphone chinois, coréen ou américains.

« L’Europe construit son identité ‘souveraine’ sur une infrastructure matérielle qu’elle ne maîtrise pas. »

L’identité régalienne de demain dépendra donc, en dernier ressort, de la bonne volonté d’Apple et Google à ouvrir leurs composants sécurisés. Enfin, subsiste le risque d’un traçage par l’émetteur (l’État) qui, bien que ne voyant pas le contenu des données via ZKP, pourrait enregistrer la fréquence et le lieu des authentifications, dessinant ainsi une “ombre numérique” persistante.

Conclusion : Vers une “économie de la preuve”

L’EUDI Wallet marque l’avènement d’une société où la preuve certifiée — qu’il s’agisse d’un diplôme, d’une attestation électronique d’attributs ou d’un statut professionnel — devient un actif fluide et portable. Pour les entreprises, c’est l’opportunité de passer d’un web de documents statiques à un web de confiance dynamique.

Cependant, le défi reste humain. Saurons-nous transformer cet outil en levier de souveraineté individuelle ou glisserons-nous vers une dépendance régalienne automatisée ?

Sources :

Commission européenne sur identité numérique

Réglement eIDAS

Par Régis BAUDOUIN

Dans le monde du sport, rien n’est plus triste que le silence visuel des sièges vides au milieu d’un kop vibrant. Pour Malo Bernard, jeune entrepreneur de 21 ans, le contraste brutal entre la magie d’un stade comble et « l’effet négatif » d’une enceinte à moitié vide. C’est par une analogie entre des applications anti gaspi et sa passion pour le sport que germe une idée ambitieuse : transformer les invendus de places en une nouvelle économie de la passion. Avec sa startup « Sold Out », il se donne pour mission de réinjecter de la vie dans les tribunes en appliquant au sport les codes de la consommation.

L’économie circulaire au service du sport

Sold Out ne se contente pas de vendre des billets ; la plateforme transpose le modèle de l’anti-gaspillage alimentaire au secteur de l’événementiel sportif. En s’inspirant de la réussite de Too Good To Go pour le commerce de proximité ou de Ticket Nunc pour la culture, Malo Bernard veut briser la barrière de l’accès au direct. L’objectif est simple : permettre aux clubs de remettre sur le marché leurs invendus de dernière minute à prix réduit.

Le service s’articule autour d’un écosystème mobile binaire :

• Pour l’utilisateur : Une interface intuitive permettant de géolocaliser les opportunités, de recevoir des alertes en temps réel et d’acheter son billet instantanément pour une réception par mail.
• Pour le club partenaire : Un outil de gestion conçu pour une totale autonomie de gestion des places disponibles et de leur prix de vente.

« La mission de Sold Out, c’est de remplir toutes les tribunes parce que je suis persuadé qu’un match ça se vit dans des tribunes pleines à craquer. » Malo BERNARD

Démocratiser la tarification dynamique

Pourquoi les clubs ne maximisent-ils pas déjà leur remplissage ? Le diagnostic de Malo Bernard est sans appel : les équipes administratives sont souvent en sous-effectif durant la saison. Le manque de temps et d’outils empêche la mise en œuvre de stratégies de yield management sophistiquées.

Si des structures comme le Brest Handball ont déjà prouvé l’efficacité de la tarification dynamique, elles restent des exceptions. Sold Out arrive comme un complément agile aux billetteries traditionnelles, offrant une solution clé en main pour adresser spécifiquement la niche du « last-minute » sans alourdir la charge de travail des clubs.

L’héritage des JO : Vers une synergie communautaire

L’inspiration de Sold Out puise également dans la ferveur des Jeux Olympiques de Paris. Malo y a observé un phénomène de transfert : une fois la barrière du prix et de l’accès levée, le public s’est rué sur des disciplines dites « mineures », créant une ambiance électrique sur tous les terrains.

L’ambition est ici de créer une synergie communautaire. En abaissant le seuil financier, Sold Out permet à un fan de football de s’essayer au handball, au basket ou au rugby. Cette transversalité transforme l’application en un puissant levier de recrutement : elle attire de nouveaux profils qui, après une première expérience réussie, ont vocation à devenir des supporters réguliers via les canaux classiques des clubs.

Un modèle « Gagnant-Gagnant »

La force de frappe commerciale de Sold Out réside dans son absence totale de risque financier pour les organisations sportives. Le modèle repose exclusivement sur une commission prélevée sur les ventes effectives.

La startup mise sur un respect scrupuleux de l’identité de marque des clubs :

• Autonomie totale : Le club reste le seul maître à bord pour définir le volume de places et, surtout, le prix de vente.
• Zéro risque : Aucun engagement financier initial. Si aucune place n’est vendue, le club ne doit rien.

Cette approche lève les freins psychologiques des directeurs de billetterie, souvent frileux à l’idée de perdre le contrôle sur leur politique tarifaire.

L’audace à 21 ans

Le parcours de Malo Bernard incarne cette nouvelle génération d’entrepreneurs qui préfèrent l’action à la théorie. Après avoir interrompu ses études en licence, il s’est immergé dans l’écosystème entrepreneurial, soutenu par le réseau Pépite puis par la Technopole d’Angers.

Malo documente les coulisses et les revers de son aventure sur LinkedIn, fédérant déjà une communauté avant même le lancement technique. Il vous fait vivre son aventure sur linkedin et les réseaux sociaux.

Côté capital, la startup a démarré avec des ressources maîtrisées : un apport familial de complété par une aide régionale à l’innovation. Ce capital d’un peu moins de 20K€ a permis de financer le développement technique confié à l’agence angevine CodeKraft.

Cap sur septembre 2026

Le déploiement de l’application Sold Out suit une trajectoire structurée de Proof of concept (POC) avant de passer à un plus large commercialisation.

Février 2026 marque l’étape cruciale où deux clubs pilotes testeront le modèle en conditions réelles. Ce test grandeur nature servira de socle pour convaincre les clubs de Ligue 1 et Ligue 2 avec lesquels des discussions sont déjà engagées.

L’objectif final est fixé à septembre 2026 pour un déploiement national massif, avec une ambition claire : atteindre un réseau de 20 clubs partenaires pour stabiliser la rentabilité.

Alors que les modes de vie privilégient désormais l’instantanéité et la flexibilité, une question s’impose : le modèle de la « dernière minute » va-t-il transformer notre façon de consommer le sport et devenir une solution pour remplir les stades à chaque évènements ?

Pour suivre Malo :

Son linkedin : https://www.linkedin.com/in/malo-bernard-profil/

Son Instagram : https://www.instagram.com/soldout_sport/

Sur Google play : https://play.google.com/store/apps/details?id=com.soldoutsport.soldout&hl=fr

Sur Apple store : https://apps.apple.com/fr/app/soldout-sport/id6759335388

Par régis BAUDOUIN

Suivez aussi l’aventure de BPM

On a déjà parlé de domotique sur XY Magazine mais il faut bien avouer que c’était un sujet de niche réservé à des bidouilleurs passionnés. Matter 2.0 et l’offensive IKEA c’est clairement l’entrée sur ce marché d’un géant de la distribution avec des prix très attractifs.

Ce temps-là est officiellement révolu. En ce début d’année 2026, la maison connectée vit son “moment Windows 95” : une simplification radicale portée par la maturité du protocole Matter 2.0 et l’arrivé sur la marché mass market de géants comme IKEA.

Si la technologie devient invisible et bon marché, elle change de statut. D’un hobby pour technophiles, elle glisse vers un équipement de base de l’habitat, presque au même titre que l’électricité ou l’eau courante.

Mais cette “standardisation pour tous” est-elle un gage de liberté ou une nouvelle forme de dépendance ? Entre promesse d’interopérabilité totale et enjeux de souveraineté des données domestiques, XY Magazine décrypte la nouvelle infrastructure MATTER 2.0.

Quand le le distributeur suédois démocratise le protocole MATTER 2.0

Le “Langage Universel” : Matter et Thread expliqués simplement

Pour comprendre pourquoi cette transition est capitale, il faut distinguer deux technologies complémentaires qui travaillent en coulisses. Leur standardisation permet de produire des composants moins couteux et de les diffuser à grande échelle en s’appuyant sur les service Amazon, Apple et Google.

• Matter : C’est le langage commun. C’est un standard universel qui permet à une ampoule connectée de “parler” nativement à un HomePod d’Apple, une enceinte Echo d’Amazon ou un Google Nest. Il garantit que tous vos appareils sont compatibles entre eux.

• Thread : C’est le réseau de transport. Contrairement au Wi-Fi, qui sature vite, Thread est un réseau maillé (“mesh”) local. Chaque appareil branché renforce le réseau pour les autres. L’un de ses grands atouts est sa capacité “auto-réparatrice” : si un routeur (comme une prise connectée) est débranché, le réseau redirige automatiquement les données par un autre chemin pour maintenir la connexion.

• Le Border Router : C’est le pont entre votre réseau internet et vos objets Thread. De nombreux appareils ,HomePod Mini, Apple TV 4K, Google Nest WiFi Pro, remplissent ce rôle.

Matter 2.0, c’est la version boostée : plus puissante, plus rapide et surtout, plus sécurisée grâce à une cryptographie digne d’un film d’espionnage. Elle élargit son champ d’action à la gestion d’énergie et à la gestion de l’eau. La maison devient intelligente et éco-responsable.

La domotique comme “Commodity”

La fin de la barrière du prix : De la technologie de pointe à moins de 10 €

IKEA s’est donné pour mission de démocratiser des technologies autrefois réservées aux technophiles avertis. L’annonce la plus marquante concerne le prix : la gamme débute aux alentours de 10 €, avec des produits phares comme un capteur de mouvement proposé à seulement 7,99 €. Pour ceux qui ne connaissent pas les prix, habituellement on est plutôt sur plus de 50€ pièce.

Jusqu’à présent, la technologie de la maison connectée n’était pas facile à utiliser pour la plupart des gens, ni assez abordable pour que beaucoup l’envisagent.

En intégrant Matter à ses produits, IKEA fait un grand pas dans la bonne direction. L’objectif du distributeur est de rendre la maison intelligente facile à utiliser, facile à comprendre et accessible au plus grand nombre.

La gamme annoncée en janvier 2026 dépasse largement l’éclairage classique, même si l’on note une légère baisse de la qualité perçue des plastiques et du “clic” des boutons par rapport à l’ancienne génération.

Il faut faire des compromis pour avoir des prix aussi agressifs. Avec des détecteurs et des capteurs, cette gamme devient complète pour un projet de domotique simple et peu couteux.

Alpstuga : Ce contrôleur de qualité d’air surveille la température, l’humidité, les PM 2.5 et le CO2. Avec son look de radio-réveil, il affiche l’heure, mais attention : l’écran ne peut pas être éteint, ce qui peut gêner dans une chambre. Il nécessite une alimentation USB-C. Usage concret : Une LED orange s’allume lorsque le CO2 dépasse les seuils recommandés, signalant qu’il faut aérer. On a déjà traité de ce sujet, la qualité de l’air dans les logements est trop négligée

Timer Flot : Un capteur de température et d’humidité discret. Son écran est éteint par défaut et s’active d’une pression. Il est ultra-réactif avec une mise à jour des données toutes les 5 minutes.

Clipbook : Evolution du capteur Badring, ce détecteur de fuite d’eau possède deux broches sous l’appareil. Dès qu’elles touchent de l’eau, il fait retentir une alarme sonore puissante. Le petit plus : Il fonctionne de manière autonome. Même sans hub domotique, il sonnera pour vous prévenir d’un dégât des eaux.

Prendre le contrôles de ses données

Comme toujours avec l’informatique, on peut s’en remettre aux GAFAM ou prendre en main son système. Comme évoqué plus avant le protocole MATTER 2.0 est livré avec les services des principaux GAFAM. Mais vous pouvez aussi le gérer vous même en local. C’est tout de suite un peu plus complexe car il faut construire une infrastructure. Si vous avez NAS qui tourne en permanence, lancez vous avec home assistant.

Home assistant est un OS et service indépendant qui vous permet de prendre en charge le protocole MATTER. Home assistant prend en charge tous les protocoles connus avec la possibilité d’être hébergé sur le serveur de votre choix. Vous gardez le contrôle de vos données.

L’intégration avec Home Assistant est facilitée par l’émergence du standard Matter, qui permet d’unifier la communication entre les appareils de différents fabricants. Home Assistant peut être utilisé comme la plateforme centrale pour permettre à des objets utilisant différents protocoles, comme le Zigbee, d’interagir avec le reste de la maison.

Pour les utilisateurs de cette solution, l’intégration des nouveaux produits Matter via Thread (comme la nouvelle gamme IKEA) est possible à condition de posséder un coordinateur réseau compatible, tel que le modèle MR1-U de chez SMLite. L’un des grands avantages de Matter est sa fonction « multi-admin », qui permet d’utiliser simultanément vos équipements sur plusieurs plateformes, incluant Home Assistant, Alexa ou Apple Home.

Voici les points clés concernant l’usage de Home Assistant avec les nouveaux standards :

• Le cerveau du système : Il est possible de commencer avec un écosystème grand public simple (comme Apple Home) et d’ajouter Home Assistant plus tard pour gérer des automatisations plus complexes sans avoir à tout reconstruire.
• Visibilité des capteurs : Une fois connectés, les appareils remontent diverses informations précises sous forme d’entités. Par exemple, pour un capteur de mouvement, Home Assistant affichera la détection de mouvement, l’intensité lumineuse en lux et le niveau de batterie.
• Simplicité d’installation : Grâce au protocole Matter, l’ajout d’un produit se résume souvent à scanner un QR code pour qu’il soit reconnu par l’interface.
• Compatibilité étendue : Les capteurs de température, d’humidité, de fuite d’eau ou de qualité de l’air (PM 2.5 et CO2) sont pleinement compatibles et permettent de créer des scénarios basés sur les variations de ces données.
• Enfin, l’utilisation de Matter via Thread avec Home Assistant favorise un fonctionnement 100 % local, ce qui réduit les latences et évite la dépendance aux serveurs cloud des fabricants.
  

La simplicité et la baisse des prix ne doit pas se payer par une perte de contrôle.

Le CES 2026 a montré la voie suivi par les possibilité du protocole MATTER : serrures à reconnaissance faciale chez SwitchBot, thermostats muraux Thread chez Eve Systems, et éclairages immersifs chez Govee.

IKEA continue d’innover avec des intégrations dans ses meubles qui sera plus poussée. Attention cependant, tout objet connecter communique avec son serveur. Si celui-ci est à l’étranger, vous ne maitrisez plus l’usage de vos données captées (présence, absence, températures, usages).

Il faut garder en tête que ces données sont exploitées et revendues. C’est pour cela que je vous encourage à être hébergeur de vos données autant que possible pour en garder le contrôle.

Par Régis BAUDOUIN

Openclaw va au-delà du simple chatbot

Face à l’avalanche de promesses non tenues dans le domaine de l’intelligence artificielle, on peut rester sur sa faim concernant les applications concrète.

Openclaw surgit comme une rupture brutale. Crée par Peter Steinberger en open source. Ce créateur est très prolifique sur github et là il a trouvé la killer app pour l’intelligence artificielle.

Nous assistons peut-être à la mort du chatbot passif au profit de l’agent autonome, un outil doté de “mains” pour agir et d’une mémoire pour apprendre. En seulement 19 jours, ce projet open source a accumulé plus de 94 600 étoiles sur GitHub, une explosion qui témoigne du succès rencontré. Pour faire simple vous pouvez donner à Openclaw le contrôle total de votre vie vie votre PC et vos comptes.

En résumé avec Openclaw vous donnez les clé du camion à un robot intelligent qui va assumer vos taches à votre place.

A peine sorti, déjà un procès pour Openclaw

En une semaine le service a changé deux fois de nom. Au départ le nom était Clowdbot. Mais Claude IA a trouvé que c’était trop proche de son nom et a engagé un procès. Le service a changé pour Moltbot cette semaine, et au moment ou cet article est rédigé le nom vient de changer pour Openbot.

L’autonomie réelle : Quand l’IA arrête de suggérer pour commencer à agir

La véritable force de Openclaw réside dans sa boucle agentique, un concept qui lui permet d’improviser des plans complexes pour atteindre un objectif précis.

Pour lui donner les consignes vous passez par une messagerie type telegam ou whatsapp. Ensuite, en utilisant seul les ressources du PC, il va réaliser la tache. Si il a besoin d’un mot de passe vous lui donnez ou il va le chercher dans votre coffre fort de mot de passe. Imaginez les possibilités.

Contrairement aux assistants classiques, il peut créer de lui-même un tableau Excel ou prendre l’initiative de contacter un restaurant par téléphone via une synthèse vocale, ou télécharger des documents pour vous.

Si une interface numérique lui résiste, l’agent explore des voies alternatives, comme l’utilisation de logiciels pour accéder au résultat. Cette capacité à naviguer entre les outils pour résoudre un problème imprévu marque une étape majeure vers une IA qui n’est plus un outil, mais un partenaire.

“Il ne s’agit pas de routines préprogrammées. Ce sont des comportements dynamiques nés d’une boucle agentique qui prend un objectif et improvise un plan, saisissant tous les outils nécessaires à son exécution.” — Jason Meller, 1Password.

A chaque tache réussie, il apprend pour toujours comment la réaliser et sera plus efficace la fois suivante.

Pour fonctionner pas besoin d’un centre de data entier, un mini PC suffit ou un Raspberry pi. vous pouvez l’installer vous même. Vous le connectez sur une IA comme Antropic ou Chat GPT, et c’est parti.

Le “Personal OS” : Reprendre le contrôle face aux géants du SaaS

Openclaw incarne une vision où l’utilisateur redevient le maître de son infrastructure en transformant un simple mini PC en un système d’exploitation personnel dopé à l’IA.

Cette approche “local-first” permet en partie de s’affranchir des grandes entreprises technologiques tout en garantissant un contrôle total sur les flux de données. En hébergeant l’agent sur sa propre machine, l’utilisateur dispose d’une puissance de calcul et d’une confidentialité que les solutions SaaS centralisées ne peuvent égaler.

Attention tout de même. accédant ensuite aux outils GAFAM et devant utiliser les service d’une IA du marché, au final Openclaw vous met bien en contact avec eux.

Cette transition vers une autonomie locale est perçue par la communauté comme une libération philosophique et technique majeure. Pour beaucoup de pionniers, faire tourner cet agent sur son propre matériel procure une sensation oubliée de maîtrise totale sur la “pile” technologique. C’est le passage symbolique de Windows à Linux d’il y a vingt ans, où l’utilisateur reprend enfin la souveraineté de son espace numérique personnel.

Cela explique un partie du succès fulgurant du service.

Le pacte faustien : La puissance brute au prix d’une sécurité fragile

L’efficacité redoutable de Openclaw repose sur une architecture qui ignore délibérément certaines barrières de sécurité conventionnelles pour favoriser une action sans entrave. Les clés API et les journaux de session sont stockés en texte clair. Cette vulnérabilité n’est pas théorique : plus de 1 600 instances ont déjà été détectées sur Shodan via le port 18789, exposées sans défense sur le web.

Beaucoup d’utilisateurs ont installé Openclaw sur leur propre PC sans le sécuriser d’avantage.

Un attaquant ne se contente pas de voler des clés techniques ; il s’empare de la matière première nécessaire pour usurper totalement votre identité numérique. Grâce à la mémoire à long terme de Openclaw, un intrus peut analyser vos relations, vos projets en cours et votre style rédactionnel unique. Pour mitiger ces risques , le projet propose désormais un cloisonnement via Docker Sandboxing afin d’isoler l’exécution des commandes. Il est conseillé de l’installer sur un serveur dédié et sécuriser, voire chez un cloud provider.

“Il n’existe pas de configuration ‘parfaitement sécurisée’.” — Peter Steinberger, créateur de Openclaw.

L’identité de l’agent : Recruter une IA comme un nouvel employé

Pour sécuriser le service, il devient crucial de traiter l’agent IA comme une entité propre plutôt que comme une simple application installée. Au lieu de lui accorder des accès globaux permanents, la stratégie consiste à lui donner une identité distincte, avec son propre compte email et ses propres accès réservés.

Cette approche permet de médiatiser l’accès en temps réel, garantissant que chaque action de l’IA est validée dynamiquement en fonction du contexte immédiat. Surtout vous ne créez pas votre double numérique et ses failles de sécurité. Il a ses comptes vous avez les vôtres et vous pouvez lui octroyer des droits utilisateur mais pas administrateur.

L’intégration de fonctionnalités comme Voice Wake et le Talk Mode, propulsées par ElevenLabs, rend cette métaphore de l’employé singulièrement tangible.

L’IA n’est plus un texte froid sur un écran, mais une présence vocale capable d’interagir par la parole avec son environnement. Cette incarnation renforce la nécessité d’une identité propre pour l’agent, lui permettant de gérer ses outils quotidiens comme une recrue humaine au sein d’une équipe.Car vous lui parlez mais il vous répond en permanence.

Applications concrètes de Openclaw

Openclaw est capable d’automatiser une vaste gamme de tâches en prenant le contrôle d’un ordinateur et en interagissant avec divers services via un cycle agentique.

Par exemple, il peut gérer votre vie quotidienne en nettoyant votre boîte de réception, en envoyant des e-mails, en organisant votre calendrier ou en effectuant votre enregistrement pour un vol via des applications de messagerie comme WhatsApp ou Telegram. Dites juste “aujourd’hui réponds à tous mes mails et télécharge toutes les pièces jointes”

Il est également en mesure de gérer des démarches administratives complexes, telles que la soumission de demandes de remboursements de soins de santé ou la recherche de rendez-vous chez le médecin. pour cela il faudra lui donner votre compte et mot de passe Doctolib. Il va se faire passer pour vous.

Dans un contexte professionnel, Openclaw peut se connecter de manière autonome à un outil de gestion pour télécharger une facture, puis naviguer vers une plateforme comptable pour y déposer le document.

Pour les développeurs, il peut réaliser des tâches techniques avancées comme la création d’un tableau kanban fonctionnel en une heure ou la surveillance d’erreurs logicielles via des webhooks Sentry afin de résoudre des bugs et d’ouvrir des Pull Requests sur GitHub.

Certains utilisateurs l’utilisent même pour créer des flux de travail réutilisables en analysant des vidéos YouTube pour en extraire des compétences spécifiques. C’est incroyable.

Enfin, Openclaw peut interagir directement avec votre matériel informatique en éteignant votre PC à distance ou en pilotant des objets connectés. Il peut même improviser des solutions surprenantes, comme appeler directement un restaurant avec une voix synthétique pour obtenir une réservation lorsque les systèmes en ligne sont indisponibles.

Conclusion : Vers une collaboration inévitable ou une obsolescence programmée ?

Openclaw n’est pas seulement un utilitaire technique, c’est le portail vers un futur où la frontière entre le logiciel et votre personnalité devient étroite. Si ses capacités de mémorisation infinie et de correction autonome impressionnent, elles nous placent devant un dilemme éthique et sécuritaire fondamental. L’adoption de tels agents semble inévitable pour rester compétitif dans un monde numérique dont la cadence s’accélère. Reste à savoir si vous êtes réellement prêt à confier les clés de votre vie numérique à un assistant autonome, sachant qu’il peut aussi bien vous libérer que vous exposer.

Par régis BAUDOUIN

J’ai pu rencontrer le créateur de BPM sports, Gabriel ZEITOUN pour une interview sur la nouvelle application BPM sports qui combine, sport, dating et rencontre. Nous avons discuté de son applications mais aussi de son business modèle et de ses ambitions. Voici les 4 leçons contre-intuitives du fondateur de l’application de rencontre BPM sports

Briser la glace (et la routine) des premiers rendez-vous

Ce premier café aux allures d’entretien d’embauche, ces silences que l’on meuble en fixant sa tasse… Le premier rendez-vous est souvent une épreuve plus qu’une promesse. Il y a un an et demi, Gabriel était célibataire, passionné de sport, et frustré par les applications de rencontre classiques. Sur Hinge, il peinait à trouver des profils partageant son style de vie actif. En parallèle, il observait un phénomène : les run clubs devenaient les nouveaux lieux de rencontre, au point que certains ne participaient que pour espérer une rencontre.

De ce double constat est née BPM sports, son application de rencontre pour sportifs. Le nom, « Battements Par Minute », évoque l’effort cardiaque et le rythme du cœur qui s’emballe. Son pari : si le sport peut rapprocher les gens dans la vie réelle, pourquoi pas sur une app ?

Le parcours de Gabriel, qui avoue avec humour qu’il n’est «plus célibataire aujourd’hui », révèle des leçons surprenantes sur l’entrepreneuriat, le marketing et la nature des relations humaines à l’ère du digital.

La meilleure rencontre commence par une session de sport, pas par un verre

Le principe fondamental de BPM sports est simple mais radical : remplacer le traditionnel rendez-vous au bar par un jogging, une partie de tennis ou une randonnée. L’approche est plus naturelle, moins formelle, et crée un lien instantané autour d’une passion commune. Plutôt que de se jauger autour d’une table, les utilisateurs partagent une expérience active qui en dit long sur leur personnalité.

Mais une idée de génie ne suffit pas à construire une entreprise. Gabriel l’a appris à ses dépens en affrontant le premier obstacle de tout entrepreneur : l’humain.

Le plus grand défi n’est pas l’idée, mais de trouver le bon associé

On imagine que le plus dur est le code ou le financement. Pour Gabriel, l’épreuve la plus complexe fut de trouver le bon cofondateur. Il souligne, a juste titre, qu’un nombre incalculable de startups échouent à cause de conflits entre associés, une expérience qu’il a lui-même vécue avant de s’allier avec son partenaire technique actuel. Cette leçon rappelle que même dans la tech, le succès repose d’abord sur des relations humaines solides et une vision partagée.

La partie humainement la plus compliquée. Quand on lance une boîte, c’est vraiment l’association.

Une fois l’équipe soudée, un autre défi, tout aussi humain, se présente : attirer la foule. Faire venir des utilisateurs pour démontrer le concept et ajuster le modèle.

Pour une nouvelle application, le marketing est plus important que le produit

Voici une vérité qui bouscule le mantra du « produit avant tout ». Gabriel est catégorique : pour une application grand public, le marketing et la distribution sont la clé absolue. La logique est implacable : une application de rencontre est inutile sans une masse critique d’utilisateurs. Son objectif est d’atteindre 10 000 utilisateurs en France pour garantir une bonne expérience partout. Le défi principal n’est donc pas de peaufiner le code, mais de convaincre les gens de télécharger l’application.

Pour déclencher la viralité autour de l’application, Gabriel compte principalement sur les réseaux sociaux en référencement gratuit et payant. Ses buyer personae (cibles) sont sur tic tok, instagram et il faut aller les chercher sur ces réseaux.

J’ai envie de dire même tout le reste passe au second plan Ce qui compte vraiment c’est de faire en sorte que les gens téléchargent ton application. Atteindre au plus vite une masse critique de 10 000 users et ensuite revenir sur le produit pour proposer une modèle économique, des fonctionnalités et chercher des investisseurs.

Le paradoxe ultime : le succès, c’est quand vos clients vous quittent

Toutes les applications de rencontre sont construites sur un paradoxe, et BPM sports ne fait pas exception. Si l’application remplit sa mission et qu’un utilisateur trouve l’amour, il la supprime. Chaque succès représente donc une perte de revenu potentiel, que l’utilisateur ait payé un abonnement ou non. Loin de fuir cette réalité, Gabriel l’assume pleinement. Le but final est que les utilisateurs partent parce qu’ils ont trouvé quelqu’un. Le véritable succès ne se mesure pas en rétention d’utilisateurs, mais en couples formés.

Plus qu’une application, une nouvelle philosophie de la rencontre

L’aventure de BPM sports montre que créer une application va bien au-delà des lignes de code. C’est une plongée dans la psychologie humaine, les dures réalités du business et le parcours d’un entrepreneur qui navigue entre relations humaines, stratégies marketing et les paradoxes de son propre modèle économique. Au fond, l’idée de se rencontrer autour d’une passion commune nous rappelle une vérité simple : les meilleures connexions se font quand on est soi-même, en faisant ce que l’on aime.

Lien vers l’application BPM sports

Par Régis BAUDOUIN

L’utilisation de l’intelligence artificielle (IA) par France Travail s’inscrit dans une volonté de transformation profonde de l’opérateur, avec des objectifs structurés autour de l’amélioration du service et de l’optimisation des ressources internes. Le projet est plus fait pour améliorer leur indicateurs que pour aider les chômeurs à connaitre leurs droits.

Principaux objectifs stratégiques

L’amélioration du service rendu aux usagers : L’objectif constant est de renforcer l’accompagnement des demandeurs d’emploi et des entreprises. Cela inclut une personnalisation accrue des services et une meilleure efficacité de l’appariement entre l’offre et la demande d’emploi.

Avec le programme Data IA lancé en 2024, l’opérateur ambitionne d’utiliser l’IA générative pour « bousculer » les méthodes de travail quotidiennes des conseillers. L’IA est vue comme un levier pour revisiter les actes métiers et soutenir la transformation globale de l’organisme.

En automatisant les tâches à faible valeur ajoutée, l’IA doit permettre aux conseillers de se recentrer sur des activités plus qualitatives et sur le contact humain. L’un des indicateurs d’impact est d’augmenter de 20 % le soutien aux usagers qui en ont le plus besoin.

L’IA doit aider France Travail à absorber les charges supplémentaires liées à la loi pour le plein emploi de 2023, notamment l’inscription généralisée de tous les chercheurs d’emploi et la création de services communs pour le « Réseau pour l’emploi ».

Gains d’efficience attendus

France travail a décidé de recourir massivement à l’intelligence artificielle, se traduisant par des économies financières et des gains de temps de travail :

L’intelligence artificielle vise à supprimer les tâches fastidieuses comme la saisie manuelle de données (grâce à l’analyse automatique de CV) ou le tri de documents. Par exemple, l’outil ChatFT est estimé réduire de 30 % le temps passé sur la production écrite (courriels, synthèses).

Économies financières : Entre 2017 et 2025, les économies induites par l’IA sont estimées à environ 120 millions d’euros, dépassant légèrement le budget de 108 millions d’euros consacré au développement de ces outils sur la même période.

L’intelligence artificielle transforme (déjà) votre recherche d’emploi

Le changement de nom de Pôle emploi à France Travail en janvier 2024 n’a pas été qu’un simple changement d’enseigne. C’est aussi l’aboutissement d’une mue technologique amorcée dès 2015.

Derrière les conseillers, l’algorithme a pris ses quartiers. Aujourd’hui, en ce début d’année 2026, l’intelligence artificielle n’est plus une promesse de science-fiction, mais le moteur discret du service public de l’emploi français

Pourtant, une question fondamentale subsiste : dans cette course à l’efficience, l’algorithme est-il en train de supplanter l’humain ou de l’augmenter ? ChatFT, véritable majordome numérique des conseillers redéfinit les règles du jeu pour des millions de Français.

L’IA est déjà partout : 27 outils à grande échelle

Contrairement aux idées reçues, l’IA chez France Travail ne se résume pas à un simple chatbot de bienvenue. En avril 2025, l’opérateur comptait déjà 27 cas d’usage déployés et exploités à grande échelle. Cette infrastructure agit comme un filtre invisible, essentiel à la fluidité d’un marché du travail saturé.

• L’analyse automatisée des CV : Un gain de temps spectaculaire. Là où un usager passait 45 minutes à remplir son profil de compétences, l’IA extrait désormais l’essentiel en seulement 15 minutes.
• La traque de l’illégalité via “Lego” : Contrairement aux outils d’analyse de CV, l’outil “Lego” est spécifiquement dédié à l’identification des offres d’emploi illégales ou frauduleuses avant leur publication. Un rempart crucial pour la sécurité des demandeurs d’emploi.
• L’orientation prédictive : Des solutions comme “La bonne boîte” utilisent le machine learning pour débusquer le “marché caché”, identifiant les entreprises à fort potentiel d’embauche avant même qu’elles n’émettent une offre.

L’opérateur France Travail recourt à l’intelligence artificielle (IA) depuis 2015 pour améliorer le service rendu aux usagers et renforcer son efficience en permettant aux conseillers de se consacrer à des tâches plus qualitatives.

Le paradoxe du bénéficiaire : Les agents d’abord, les usagers ensuite

Le chiffre est frappant : 80,5 % des cas d’usage de l’IA sont destinés aux conseillers, et non directement aux demandeurs d’emploi. Ce choix stratégique répond à une réalité opérationnelle brutale : la saturation numérique. Entre 2017 et 2024, alors que les visites physiques en agence chutaient de 42 %, le volume de courriels a bondi de 72 %, passant de 19,5 à 34,3 millions mail par an..

Pour ne pas sombrer sous cette marée de mails, France Travail a fait de l’IA le “majordome” de ses agents. ChatFT, l’agent conversationnel interne, est aujourd’hui utilisé par 56 % des agents, traitant notamment la rédaction de 51 % des brouillons de courriels.

Les gains d’efficience projetés à l’horizon 2027 sont massifs et précis :

• 226 ETP (Équivalents Temps Plein) économisés grâce à l’aide rédactionnelle via ChatFT.
• 241 ETP libérés par l’outil NEO (préparation des entretiens).
• 157 ETP générés par la composante IA de Panoptes (reconnaissance automatique de documents), auxquels s’ajoutent 143 ETP pour son volet Data.

Un investissement rentable, mais un apprentissage par l’échec

L’IA représente un levier financier majeur. Entre 2017 et 2024, France Travail a investi 93 millions d’euros dans ces technologies, avec un budget complémentaire de 15 millions d’euros pour 2025. Le retour sur investissement semble au rendez-vous, avec 120 millions d’euros d’économies induites.

Cependant, l’analyse d’expert révèle une réalité moins linéaire que les communiqués officiels. Le déploiement de l’IA est aussi une histoire d’essais et d’erreurs : 17 cas d’usage ont été purement et simplement abandonnés (comme l’outil de prédiction de pourvoi d’offre à 30 jours, jugé peu utile). Par ailleurs, ces économies ne riment pas avec suppressions de postes, mais avec des « redéploiements intra-postes » : le temps libéré est théoriquement réalloué à l’accompagnement des publics les plus fragiles.

Zones d’ombre : Un retard critique sur la protection des données

C’est ici que le bât blesse. Il est impératif de souligner un échec légal et éthique majeur : une « quasi-absence » d’analyses d’impact relative à la protection des données.

Alors que France Travail traite des données massives et parfois sensibles, le retard dans la sécurisation juridique est préoccupant. L’opérateur n’apparaît pas non plus prêt pour le Règlement Européen sur l’IA (RIA). Comment garantir l’absence de biais algorithmiques ou de discriminations dans un service public si les outils de contrôle de conformité ne sont pas activés dès la conception ? La confiance des usagers repose sur cette transparence, encore trop lacunaire aujourd’hui.

L’intelligence artificielle émotionnelle : La frontière franchie en PACA ?

Une expérience controversée est menée en région PACA : l’utilisation d’outils de « reconnaissance des émotions ». Ces technologies visent à déduire l’état émotionnel d’une personne via des données vocales ou biométriques.

Il est crucial de rappeler que le nouveau Règlement Européen sur l’IA (RIA/AI Act) interdit formellement ces pratiques sur le lieu de travail et dans le cadre du recrutement. Cette dérive marque la frontière poreuse entre l’assistance numérique et la surveillance algorithmique. Pour un service public, franchir ce pas risque de rompre définitivement le contrat de confiance avec les citoyens.

Clairement cette expérience va trop loin.

Les principaux cas d’usage de l’intelligence artificielle déployés

En avril 2025, 27 de ces cas sont déployés à grande échelle, tandis que 16 sont en test et 17 ont été abandonnés.

Services destinés aux agents et conseillers (80,5 % des cas)

L’IA est prioritairement utilisée pour libérer du temps aux conseillers en automatisant les tâches répétitives.

• ChatFT et ses variantes (« FT’s ») : Basé sur l’IA générative, cet agent conversationnel sécurisé aide les agents dans la rédaction de courriels, la synthèse de documents et la recherche d’idées. Des variantes comme Chatdoc (traitement de documents) ou Néo (recherche d’informations dans le dossier du demandeur d’emploi) y sont adossées.
• LEGO : Cet outil de détection automatique identifie les offres d’emploi illégales (critères discriminatoires sur l’âge, la santé, etc.) avant leur publication.
• CVM (Contact via Mail) : Il facilite le traitement des flux massifs de courriels en identifiant automatiquement l’émetteur et en catégorisant les demandes par thématique pour les orienter vers le bon conseiller.
• MatchFT : Actuellement en cours de déploiement, il utilise l’IA générative pour préqualifier des candidats par SMS (vérification de la disponibilité, mobilité, intérêt) avant une mise en relation par le conseiller.

Services destinés aux demandeurs d’emploi

L’objectif est d’améliorer l’autonomie et l’efficacité de la recherche d’emploi.

• Analyse automatique de CV (CV Discovery) : Ce service extrait les données d’un CV téléchargé pour pré-remplir automatiquement le profil de compétences de l’usager, ce qui réduit le temps de saisie de 45 à 15 minutes.
• La bonne boîte / La bonne alternance : Ces outils utilisent l’IA prédictive pour identifier les entreprises ayant un fort potentiel d’embauche spontanée, même en l’absence d’offres publiées.
• Vadore : Expérimenté en région Auvergne-Rhône-Alpes, il propose un appariement prédictif basé sur la probabilité d’embauche réelle plutôt que sur de simples critères de proximité.

Cas d’usage abandonnés ou en échec

Certains outils n’ont pas atteint les résultats escomptés ou présentaient des limites éthiques.

• Bob emploi : Une plateforme de recommandations personnalisées dont le partenariat a pris fin en 2024 après une évaluation montrant des effets limités sur le retour à l’emploi.
• Indice d’employabilité (Score de retour à l’emploi) : Projet abandonné après un avis défavorable du comité éthique, qui y voyait un risque de stigmatisation et un manque de transparence.
• Reconnaissance des émotions : Des expérimentations locales visant à analyser les expressions faciales lors d’entretiens simulés ont été stoppées car elles sont désormais interdites par le règlement européen sur l’IA (RIA) sur le lieu de travail.

Demain, une IA pour vos droits ?

L’avenir de l’Intelligence artificielle chez France Travail se joue désormais avec le programme « Data IA » lancé en 2024. Le défi est de taille : passer d’une IA “outil pour agents” à une IA “service pour usagers”.

Le paradoxe le plus frappant reste le suivant : alors que 55 % des 13,5 millions d’appels reçus concernent l’indemnisation, il n’existe toujours pas d’outil IA performant pour informer les demandeurs d’emploi sur leurs droits à l’allocation.

En conclusion, si France Travail a réussi sa mutation technique, sa réussite humaine reste en suspens. L’IA peut traiter un CV en 15 minutes, mais pourra-t-elle jamais remplacer l’empathie d’un conseiller face à un usager en pleine rupture de vie ? La technologie libère du temps, mais c’est à l’humain qu’il appartient de lui donner un sens.

Par Régis BAUDOUIN

Source : rapport cour des comptes, France travail et intelligence artificielle

En 2025 montant des recettes de l’Etat : 370 577 000 000 € soit 370 milliard.

En 2025 montant des dépenses de l’Etat : 817 356 000 000€ soit 817 milliard.

Pour faire simple quand l’Etat reçoit 1 € il dépense 2.2 €. Quand on dépense plus de deux fois les revenus on est pas du tout bien géré.

Y-a-t-il un pilote qui contrôle le budget de l’Etat

Chaque citoyen attend, à juste titre, que l’État gère l’argent public avec la même rigueur qu’une entreprise performante.

Pour répondre à cette exigence, un concept a été importé du secteur privé au début des années 2000 : le “contrôle de gestion”. L’objectif était de transplanter dans l’administration une culture du résultat pour enfin passer d’une “logique de moyens” à une “logique de performance”. Mais, comme pour une greffe d’organe, l’opération n’a de sens que si le corps receveur ne la rejette pas.

Un rapport récent de la Cour des comptes dresse le tableau d’une “ambition perdue de vue”, révélant que le problème n’est pas technique, mais bien culturel et politique.

Nous allons voir en quatre chapitres comment une idée juste s’est heurtée à la culture administrative, la transformant en un exercice de style déconnecté de sa finalité.

Un “contrôle de gestion” qui oublie de contrôler les coûts

Dans le secteur privé, la définition du contrôle de gestion est simple : c’est un outil essentiel pour maîtriser les coûts et optimiser la performance financière. Or, le constat de la Cour des comptes sur son application dans les services de l’État est sans appel : sa mise en œuvre est apparue “très largement déconnectée de la recherche d’économies budgétaires”.

Ce paradoxe est au cœur de l’échec. L’outil même qui devait rationaliser la dépense a été déployé en oubliant sa fonction première. Le rapport ne se contente pas de ce constat, il en livre la cause culturelle : “une forme de désintérêt pour les questions budgétaires perçues, à tort, comme des questions d’intendance”.

Autrement dit, l’outil s’est heurté à une culture administrative qui sépare le “noble” travail de conception des politiques publiques de la gestion “subalterne” des finances.

En somme, l’État s’est doté d’un compteur de vitesse sans jamais regarder le niveau de carburant, alors même que, comme le rappelle la Cour, “la situation générale des finances publiques fait peser une exigence renouvelée sur la maîtrise de la dépense”.

La superposition de systèmes de performance concurrents

Plutôt que de clarifier le pilotage, l’État a réussi à créer deux systèmes de mesure de la performance qui se superposent et servent des maîtres différents.

Le premier, issu de la loi organique relative aux lois de finances (LOLF) de 2001, s’incarne dans les projets annuels de performances (Pap) et les rapports annuels de performances (Rap). Pensé comme un outil de redevabilité envers le Parlement, son bilan est jugé “globalement décevant” après vingt ans d’existence.

Pour y remédier, un second dispositif a été lancé en 2022 : les “Politiques Prioritaires du Gouvernement” (PPG). Mais au lieu de remplacer l’ancien système, le rapport souligne que ce nouveau dispositif “s’y est plutôt superposé”, créant “une forme de confusion” et existant “sans synergies évidentes”.

Le conflit est fonctionnel : les Pap/Rap sont un appareil de reddition des comptes parlementaire, tandis que les PPG sont un outil de pilotage pour l’exécutif, axé sur la “satisfaction des besoins concrets des usagers” et l’alignement territorial via les primes des préfets. Servants deux maîtres aux objectifs distincts, ces deux systèmes coexistent sans s’articuler, illustrant une tendance lourde à empiler les dispositifs plutôt qu’à réformer en profondeur.

Quand la gestion sert surtout à sauver les apparences

Le rapport va plus loin qu’une critique technique en soulignant que cette appropriation des outils de gestion modernes pourrait n’être qu’une façade. Cette “appropriation symbolique” s’expliquerait par les “différences fondamentales entre secteur public et secteur marchand” : fragmentation des responsabilités, absence de conséquences financières directes pour les décideurs. Dans ce contexte, adopter le langage du management devient une fin en soi.

La métaphore est puissante : l’État construirait une belle façade de management (objectifs, indicateurs, rapports) pour rassurer le citoyen, mais derrière laquelle les vieilles habitudes bureaucratiques perdurent. En somme, la gestion devient un exercice de communication destiné à prouver la rationalité de l’État, plutôt qu’un véritable levier de transformation.

Pourquoi le Ministère de la défense et la DGFIP ont un vrai contrôle de gestion

Au milieu de ce tableau sombre, la Cour des comptes identifie une exception notable : le Ministère des Armées (MINARM). Contrairement aux autres administrations, il a réussi à mettre en place un contrôle de gestion efficace.

Les Armées utilisent une “comptabilité analytique précise” pour connaître réellement le coût de leurs activités. Le rapport précise que le ministère dispose de treize modèles de comptabilité analytique pour calculer les coûts de maintenance du matériel ou le prix des prestations. Ce chiffre illustre le sérieux de la démarche.

Cela veut dire que l’on peut connaitre le cout d’une heure de vol d’un Rafale, le cout de la formation d’un officiers autant de vrai indicateurs pour piloter, améliorer.

La raison de ce succès est simple : la nécessité. Le rapport établit un lien causal direct : “C’est parce que le ministère des armées (MINARM) gère des projets complexes en partenariat avec des industriels, qu’il a éprouvé le besoin” d’un tel outil. Quand on pilote des programmes d’armement à plusieurs milliards d’euros avec des partenaires privés exigeants, la maîtrise des coûts n’est pas une option bureaucratique, c’est une condition de survie opérationnelle. Cet exemple prouve que le problème n’est ni l’outil, ni la nature publique de l’organisation, mais bien la volonté et, surtout, le besoin de s’en servir.

La Direction Générale des Finances Publiques (DGFiP) a déployé plusieurs outils et dispositifs pour assurer son pilotage et son contrôle de gestion, le principal étant son infocentre dédié.

L’infocentre « Opera » de la DGFIP

Le pilotage du réseau de la DGFiP s’appuie majoritairement sur un infocentre dédié appelé « Opera ». Il rassemble l’ensemble des résultats de la performance et les charges associées sur une seule base de données. Il permet un suivi des dépenses aux niveaux national, interrégional, directionnel, départemental et même infra-départemental.

Il propose des tableaux de bord types ou adaptés aux besoins des responsables. La directrice générale ainsi que les directeurs locaux disposent de tableaux de bord visuels (incluant des cartes et des graphiques) pour mesurer l’évolution de la performance et comparer les structures entre elles.

Un module de datavisualisation permet de présenter les données de manière graphique pour faciliter l’analyse par les cadres et les contrôleurs de gestion.

Au-delà de l’outil technique, la DGFiP a déployé un système de mesure reposant sur des principes de bonne gestion. Un dialogue de performance annuel : Ce processus s’appuie sur un très grand nombre d’indicateurs couvrant des domaines variés comme le contrôle fiscal, le recouvrement, l’immobilier ou encore l’environnement.

Des Contrats d’Objectifs et de Moyens (COM) : Les outils de pilotage servent à vérifier le respect des engagements fixés dans ce contrat (actuellement pour la période 2023-2027).

La DGFiP réalise chaque année une enquête pour répartir les effectifs par mission et par type d’impôt, permettant de déterminer précisément les coûts de gestion et les gains de productivité.

On peut dire qu’Opera fonctionne comme le tableau de bord d’un avion de ligne, permettant au pilote (la direction) de surveiller chaque paramètre de vol sur l’ensemble du territoire et d’ajuster la trajectoire en temps réel pour atteindre sa destination.

La performance, une question de volonté plus que d’outils

Le bilan dressé par la Cour des comptes est sévère. L’idée d’importer le contrôle de gestion du privé était juste, mais l’administration l’a vidée de sa substance, la transformant en un exercice de style déconnecté de sa finalité première : la maîtrise des coûts. C’est l’histoire d’une greffe rejetée non par incompatibilité technique, mais par refus culturel.

L’exemple du Ministère de la défense est la clé de lecture de cet échec. Il prouve que la distinction pertinente n’est pas “public contre privé”, mais “nécessité contre conformité”. Lorsque le contrôle des coûts est un impératif opérationnel non négociable, les outils fonctionnent. Lorsqu’il s’agit d’une simple obligation de reporting pour alimenter des rapports les chiffres n’ont pas de sens. Les outils existent et peuvent être efficaces. La vraie question n’est donc plus de savoir “comment” mieux gérer, mais dans quelles conditions l’État se sentira-t-il vraiment contraint de le faire ?

Par Régis BAUDOUIN

La publication d’un nouveau document de Stratégie de Sécurité Nationale (NSS) est généralement un événement attendu dans les cercles de politique étrangère, mais rarement une source de bouleversements majeurs. La plupart du temps, il s’agit d’ajustements, de réorientations subtiles.

Mais le document de 2025, qui vient d’être dévoilé par l’administration Trump, est d’une tout autre nature. Ce n’est pas une mise à jour ; c’est une démolition en règle de décennies de consensus américain en matière de politique étrangère, une répudiation directe du consensus mondialiste de l’après-guerre froide adopté par les élites républicaines comme démocrates. C’est pourquoi je vous fait une synthèse dans cet article.

La lecture de ce document permet de comprendre pourquoi l’administration TRUMP est cohérente avec elle-même et non au regard des actions du passé.

Oubliez les platitudes sur le leadership mondial et l’ordre international libéral. Cette nouvelle doctrine “America First” est un manifeste pragmatique, qui redéfinit les intérêts, les priorités et les alliances des États-Unis.

Le retour musclé de la doctrine Monroe : Le “Trump Corollary”

La première révélation est une réaffirmation spectaculaire de la prééminence américaine dans son propre voisinage. Le document ne se contente pas de dépoussiérer la doctrine Monroe, un principe de la politique étrangère américaine datant du 19ème siècle mais tombé en relative désuétude ; il lui ajoute ce qu’il nomme le “Trump Corollary“. Il ne s’agit pas d’un simple “corollaire” au sens d’une conséquence logique, mais d’une extension délibérée et assertive de la doctrine, affirmant sans équivoque que l’hémisphère occidental est, et restera, la sphère d’influence exclusive des États-Unis.

Les objectifs sont clairs :

Restaurer la prééminence américaine dans la région après des années de ce qui est décrit comme une “négligence”. C’est bien illustré par les prises de position du Président TRUMP sur les politiques européenne en matières de réglementation, d’immigration.

Protéger la patrie contre les menaces transfrontalières comme le trafic de drogue et la migration de masse. C’est déjà bien mis ne oeuvre avec les arrestations de masse faits par L’ICE

Refuser aux concurrents non-hémisphériques la capacité de positionner des forces militaires, de contrôler des infrastructures critiques ou de posséder des actifs stratégiques. On parle ici de ce qui se passe pour le Panama ou le Venezuela pour illustrer avec les sujets les plus abordés.

Pour y parvenir, la stratégie annonce des moyens concrets et musclés : un redéploiement de la présence militaire mondiale vers les Amériques, l’autorisation de l’usage de la force létale contre les cartels de la drogue, et une politique agressive pour sécuriser les chaînes d’approvisionnement critiques dans la région, au profit des entreprises américaines.

Fin du “free-riding” : La révolution des alliances

Si vous pensiez que le débat sur le partage du fardeau au sein de l’OTAN était vif, préparez-vous à une véritable révolution. Le document déclare que les États-Unis ne peuvent plus et ne veulent plus supporter le fardeau de la défense mondiale. L’ère du “free-riding” (le fait de profiter de la sécurité offerte par les États-Unis sans en payer le juste prix) est terminée.

Pour matérialiser ce changement, la stratégie introduit deux concepts clés :

Le “Hague Commitment“ : Il s’agit d’une nouvelle norme radicale exigeant que les pays de l’OTAN consacrent non pas 2 % de leur PIB à la défense – un objectif de longue date qui était déjà source de vives tensions et rarement atteint – mais 5 %. Ceci pour les USA baissent leur propre contribution.

La réalité c’est que cela devait être le cas depuis longtemps. Surtout l’Europe va prendre en main sa sécurité, ce qui est à terme un bien et une chance de retrouver sa souveraineté.

Le “Partage et transfert du fardeau” (Burden-Sharing and Burden-Shifting) : Le principe est simple. Les alliés doivent désormais assumer la responsabilité principale de la sécurité dans leurs propres régions. L’Amérique se positionne comme un “organisateur et supporter” plutôt que comme le premier répondant systématique.

Avec la Guerre en Ukraine on voit bien le changement. L’Europe doit acheter les matériels aux USA pour les livrer à l’Ukraine. Ce ne sont plus des dons des USA.

Ce changement de paradigme est résumé de manière percutante dans le document :

“The days of the United States propping up the entire world order like Atlas are over.”

Europe face à “l’effacement civilisationnel” : Un diagnostic inattendu

La section sur l’Europe est peut-être la plus surprenante du document. La préoccupation principale de Washington n’est plus la stagnation économique du continent ou ses faibles dépenses militaires. Le diagnostic est bien plus profond et, pour tout dire, existentiel.

La stratégie identifie une crise qu’elle nomme “l’effacement civilisationnel”. Le fait même d’utiliser un tel langage dans un document d’État officiel marque une rupture profonde ; les stratégies américaines se concentrent généralement sur des menaces militaires, économiques et politiques concrètes, rendant ce pivot vers des préoccupations idéologiques et démographiques tout à fait sans précédent.

Selon le texte, les véritables menaces qui pèsent sur l’Europe sont internes :

Des politiques migratoires jugées transformatrices et sources de conflits principalement du fait religieux entre des pays laïques et une immigration musulmane qui pratique un islam politique.

L’effondrement des taux de natalité qui pourrait rendre minoritaires les populations autochtones

La perte des identités nationales et de la confiance en soi collective. Une société WOKE selon la vision américaine qui accepté de se dissoudre dans le consensus.

L’objectif américain n’est donc pas seulement d’encourager l’Europe à se réarmer, mais de l’aider à “retrouver sa confiance civilisationnelle” et à rester “européenne”. C’est une intervention idéologique et culturelle d’une franchise inédite dans un document officiel de ce niveau.

La fin de la migration de masse comme priorité absolue de la sécurité nationale

Rompant radicalement avec les administrations précédentes qui traitaient l’immigration comme une question de gestion ou un enjeu humanitaire, ce document l’élève au rang de menace existentielle. La fin de la migration de masse n’est plus une question de politique intérieure, mais un impératif stratégique pour la survie de la république, la priorité absolue de la sécurité nationale.

Le raisonnement est martelé avec force : la migration de masse met à rude épreuve les ressources nationales, affaiblit la cohésion sociale, déforme les marchés du travail et sape la sécurité nationale en créant des vulnérabilités. La souveraineté, selon cette doctrine, se définit avant tout par une chose : le contrôle total et absolu de ses frontières et le droit de décider qui peut, ou ne peut pas, faire partie de l’avenir de la nation.

Le “Président de la Paix” : La diplomatie du deal comme arme stratégique

Malgré un ton globalement musclé et nationaliste, le document révèle une priorité contre-intuitive : la recherche active de la paix par la négociation d’accords. La stratégie présente Donald Trump comme “Le Président de la Paix”, non pas par idéalisme, mais par pur calcul stratégique.

L’administration TRUMP se targue d’une liste impressionnante d’accords de paix récemment conclus, dont certains semblaient impossibles il y a peu : un accord entre Israël et l’Iran, un autre entre le Pakistan et l’Inde, ou encore la fin de la guerre à Gaza avec le retour des otages.

La logique derrière cette “diplomatie du deal” est explicitée : négocier la paix, même dans des régions considérées comme périphériques aux intérêts vitaux américains, est un moyen extraordinairement rentable (en termes de temps et d’attention présidentielle) pour accroître l’influence américaine, réaligner des régions entières sur les intérêts de Washington et stabiliser le monde à moindre coût.

Focus sur la position et stratégie sécuritaire vis à vis de l’Europe

La position des États-Unis à l’égard de l’Europe, telle que détaillée dans la stratégie, est centrée sur le soutien à ses alliés tout en insistant sur la nécessité pour le continent de retrouver sa confiance en soi civilisationnelle et d’assumer une plus grande responsabilité pour sa propre défense,,.

La stratégie identifie plusieurs problèmes fondamentaux et établit des priorités claires pour y remédier :

Les États-Unis estiment que les problèmes de l’Europe sont profonds et vont au-delà du manque de dépenses militaires et de la stagnation économique.

L’Europe continentale a vu sa part du PIB mondial chuter (de 25 % en 1990 à 14 % aujourd’hui), en partie à cause de réglementations nationales et transnationales qui minent la créativité et l’industrie. Au passage cette règlementation gène les USA dans leurs exportations vers l’Europe. Concernant les règlementations numériques que je connais bien, le président TRUMP attaque la règlementation RGPD et IA act.

Ce déclin économique est éclipsé par la perspective d’une “éradication civilisationnelle“. Les États-Unis craignent que le continent devienne méconnaissable d’ici 20 ans si les tendances actuelles se poursuivent. Sans le citer ils font allusion à l’immigration d’origine musulman en Europe.

Les problèmes plus larges comprennent les activités de l’Union européenne et d’autres organismes transnationaux qui sapent la liberté politique et la souveraineté, ainsi que des politiques migratoires qui transforment le continent et créent des conflits. D’autres préoccupations incluent la censure de la liberté d’expression, la suppression de l’opposition politique.

La guerre en Ukraine a eu l’effet pervers d’accroître les dépendances externes de l’Europe, notamment celles de l’Allemagne (concernant le gaz liquide). Les États-Unis rejettent également les idéologies désastreuses du “changement climatique” et du “Net Zéro” qui ont tant nui à l’Europe.

Bien que les alliés européens jouissent d’un avantage militaire significatif sur la Russie (hormis les armes nucléaires), beaucoup considèrent la Russie comme une menace existentielle. La gestion des relations avec la Russie nécessitera un engagement diplomatique américain significatif pour rétablir la stabilité stratégique.

Objectifs et Principes Clés de la stratégie TRUMP

L’objectif global des États-Unis est d’aider l’Europe à corriger sa trajectoire actuelle.

Les États-Unis souhaitent que l’Europe reste européenne, qu’elle retrouve sa confiance en soi civilisationnelle et qu’elle abandonne sa focalisation ratée sur la suffocation réglementaire.

La diplomatie américaine doit continuer à défendre la démocratie véritable, la liberté d’expression, et les célébrations sans complexe du caractère et de l’histoire des nations européennes. Les États-Unis s’opposeront aux restrictions anti-démocratiques des libertés fondamentales en Europe imposées par les élites.

Les États-Unis ont un intérêt stratégique et culturel vital à ce que l’Europe soit forte, capable et confiante pour réussir la compétition mondiale et prévenir la domination par un adversaire.

Cette Stratégie de Sécurité Nationale n’est pas un simple ajustement de cap. C’est une refonte fondamentale de la vision que l’Amérique a d’elle-même et de son rôle dans le monde. Elle marque l’abandon délibéré du globalisme de l’après-guerre froide au profit d’un nationalisme pragmatique et transactionnel.

Cette doctrine n’est pas seulement un changement de politique ; c’est une réimagination fondamentale du rôle de l’Amérique. La question n’est pas seulement de savoir si cette stratégie réussira, mais quel genre de monde elle créera si elle y parvient.

Par Régis BAUDOUIN

A lire aussi sur les USA

Dans notre quotidien professionnel, les suites bureautiques américaines comme celles de Google ou Microsoft sont devenues omniprésentes, presque une évidence. C’est dans ce contexte que le projet du gouvernement français, la “Suite Numérique”, apparaît comme une initiative particulièrement importante pour affirmer la souveraineté de nos informations.

Il faut bien avoir à l’esprit que ces éditeurs utilisent leurs solutions pour commercialiser des informations sur les usages, habitudes, utilisations et ont accès aux données directement depuis leurs cloud propriétaires.

Il ne s’agit pas de créer quelques outils isolés, mais bien de bâtir une alternative complète, cohérente et souveraine pour les agents du service public.

Lancée en mai 2024, cette suite se veut une réponse souveraine et open source aux géants du marché. Lors d’un premier bilan présenté le 27 novembre 2025, la Direction interministérielle du numérique (Dinum) a dévoilé des chiffres qui dessinent les contours d’un projet stratégique aux premiers résultats surprenants. La suite regroupe déjà six outils phares : Visio (visioconférence), Doc (édition collaborative), Fichiers (stockage), Tchap (messagerie), Grist (gestion de données) et l’Assistant (IA générative).

la souveraineté avant tout

Le projet de suite numérique n’est pas qu’une simple mise à jour technologique. Sa mission, est d’assurer la souveraineté numérique de l’État. L’objectif est de fournir aux millions d’agents publics un environnement de travail dont les données sont hébergées en France et dont le développement, souvent basé sur des fondations open source, est entièrement maîtrisé. Cette approche garantit la transparence, la sécurité et l’indépendance face aux fournisseurs étrangers.

Cette vision stratégique est le véritable moteur du projet.

L’ambition est grande : redonner aux agents publics des outils sur lesquels l’Etat a réellement la main, sans dépendance à des services étrangers et sans compromis sur les fonctionnalités. Au passage aussi assurer un cout de fonctionnement réaliste face à des hausse d prix annoncées de 30% sur 4 ans pour office 365.

La messagerie Tchap devient obligatoire

Pour s’assurer que sa suite ne reste pas une option parmi d’autres, l’État a pris une décision radicale. Depuis le 1er septembre 2025, l’utilisation de Tchap, la messagerie instantanée sécurisée, est devenue obligatoire pour les ministères. Cette adoption forcée est une décision stratégique pour surmonter l’inertie administrative et atteindre rapidement une masse critique d’utilisateurs, créant ainsi un effet de réseau indispensable à son succès.

Basée sur le protocole open source Matrix, développée et hébergée en France, Tchap compte déjà plus de 375 000 utilisateurs actifs mensuels bien au-delà des seuls ministères, touchant les collectivités territoriales, les établissements scolaires ou les hôpitaux. Avec des appels de groupe désormais disponibles et une nouvelle version mobile en préparation, cette décision montre que le gouvernement est prêt à imposer ses outils pour garantir la cohérence et la sécurité de ses communications.

Grist connaît une croissance spectaculaire

Parmi les différents outils, l’un d’eux connaît un succès inattendu : Grist. Cet outil de gestion de données “no-code” permet aux agents, même sans compétences techniques, de créer des tableaux collaboratifs, de visualiser des données et de bâtir de petites applications internes pour suivre des projets ou centraliser des informations.

Sa croissance est qualifiée de “spectaculaire” : en seulement un an, Grist est passé de 1 000 à 15 000 utilisateurs actifs mensuels. Ce succès n’est pas anodin ; il s’inscrit dans la tendance de fond du “no-code” qui démocratise la création d’outils métier, un besoin actuel des utilisateurs qui veulent apporter de la valeur sans passer par du code. Il révèle un besoin profond d’agilité pour manipuler et structurer des données sans devoir passer par des développements informatiques complexes.

Un partenariat stratégique avec Mistral AI

Loin d’être en retard, la Suite Numérique intègre l’une des technologies les plus avancées du moment grâce à l’Assistant. Ce chatbot d’intelligence artificielle générative est le fruit d’un partenariat stratégique avec Mistral AI. Sujet dejà évoqué dans cet article.

Actuellement en test auprès de 10 000 agents avant un déploiement général début 2026, l’Assistant est déjà capable de reformuler du texte dans l’outil Doc, la solution de prise de notes collaboratives de la suite, ou de générer les transcriptions des réunions dans Visio. Plus qu’un simple outil, l’IA est pensée comme la future colonne vertébrale de la suite.

L’ambition est “d’en faire le fil invisible entre toutes les briques, sans ajouter de complexité”.

Cette vision est la réponse stratégique au plus grand défi de la Suite Numérique : l’interopérabilité. Tel que les éditeurs américains le proposent avec leurs suites.

L’Assistant n’est pas une fonctionnalité de plus, mais le liant destiné à rendre l’expérience utilisateur aussi fluide que celle des géants du secteur.

Visio et ses comptes rendus automatiques

La meilleure façon de convaincre est de résoudre des problèmes concrets. C’est exactement ce que fait Visio, l’outil de visioconférence de la suite, qui compte plus de 60 000 utilisateurs mensuels. Sa fonctionnalité la plus marquante est la transcription asynchrone. Concrètement, à la fin de chaque réunion, l’outil génère automatiquement un compte rendu écrit de tous les échanges et l’envoie aux participants.

Cette innovation, qui a déjà permis de produire plus de 1 000 comptes rendus pour le seul mois de septembre 2025, n’est pas un simple gain de productivité. Elle transforme la réunion en un document archivable et interrogeable, créant une mémoire institutionnelle automatique, un atout majeur pour la continuité de l’action publique. Des évolutions sont prévues, avec le sous-titrage en temps réel et la synthèse automatique. Visio prouve que la suite cherche à apporter une réelle valeur ajoutée au quotidien des agents et se mets au niveau d’un outil comme Teams.

Pro connect pour unifier les identités

ProConnect est le service d’authentification unifiée développé par la France pour identifier de manière simple et sécurisée les agents de la fonction publique qui accèdent aux services numériques de l’administration. Plutôt que de multiplier les identifiants spécifiques à chaque portail, ProConnect permet à un professionnel d’utiliser une seule identité numérique liée à son adresse e-mail professionnelle et au numéro SIRET de son organisation pour se connecter à de nombreux services publics en ligne, tout en bénéficiant d’une session unique (authentification unique) sur l’ensemble des plateformes « ProConnectées ».

Lancé en continuité avec des initiatives comme FranceConnect mais dédié aux usages professionnels, ProConnect remplace et unifie plusieurs anciens services d’authentification (MonComptePro, InclusionConnect, AgentConnect) pour simplifier l’accès des agents publics à leurs outils de travail et celui des entreprises à leurs démarches administratives.

Dans une logique de souveraineté numérique, ce service renforce la maîtrise de l’identité et de l’accès aux données par l’État, diminue la dépendance à des solutions commerciales étrangères et facilite l’interopérabilité entre applications publiques, tout en s’appuyant sur des standards ouverts et des infrastructures sécurisées.

La Suite Numérique de l’État est bien plus qu’une collection d’outils cotes à cotes. C’est un projet politique et stratégique cohérent, qui affiche des premiers résultats. La volonté politique est forte et déterminée à sortir les éditeurs qui ne sont pas compatibles avec nos objectifs de souveraineté.

En s’appuyant sur l’open source, en rendant Tchap obligatoire, en répondant à un besoin métier avec Grist et en intégrant l’IA de pointe de Mistral AI comme futur liant de l’écosystème, la France prouve que son ambition de souveraineté numérique n’est pas un vœu pieux.

Le principal défi, reconnu par la Dinum elle-même, sera de concrétiser cette vision d’une interopérabilité parfaite pour offrir une expérience utilisateur aussi fluide que celle des géants du marché.

Sur la marché des alternatives crédibles existent comme NEXTCLOUD qui est orienté entreprises. Le plus difficile est de sortir de ses habitudes Microsoft ou Google pour éprouver d’autres solutions tout aussi efficaces par rapport à nos usages et surtout moins couteuses.

Par Régis BAUDOUIN

On a souvent entendu des critiques à l”encontre de pays qui obligent les ONG à s’enregistrer. Cette inscription permet ensuite aux pays concernés de mener des actions contre les personnes engagées dans ces ONG.

Obliger une personne à déclarer son activité est à la base un démarche totalitaire. soit l’activité est licite , soit elle le l’est pas et la loi est déjà la pour agir.

Le texte de loi n° 2024-850 du 25 juillet 2024, visant à prévenir les ingérences étrangères, constitue une réponse majeure à ce défi. Ce texte entre en application en Octobre 2025. C’est la HAPV qui se voit charger de sa mise en oeuvre.

Le rôle de la HAPV contre l’ingérence étrangère

La Haute Autorité pour la transparence de la vie publique (HATVP) est une agence de l’Etat. Elle exerce un contrôle étendu et spécifique sur les personnes physiques ou morales tenues de déclarer leurs activités d’influence pour le compte d’un mandant étranger, afin d’assurer la transparence et de prévenir les ingérences.

Le nom est un peu trompeur. la HAPV n’est pas là pour garantir aux citoyens une transparence politique et économique. Elle est là pour protéger l’Etat.

Le contrôle exercé par la HATVP se déploie à travers plusieurs outils et procédures coercitives dpécifiques.

La mission principale de la HATVP est de s’assurer du respect des obligations prévues par la loi.

Ce contrôle porte sur :

• Le respect des obligations déclaratives, notamment la complétude et l’exactitude des informations communiquées.
• Le respect des règles déontologiques qui imposent, par exemple, de déclarer son identité et les intérêts représentés lors des communications, et de s’abstenir de proposer des avantages d’une valeur significative aux responsables publics.

Procédures d’Enquête et de Vérification

La Haute Autorité dispose de plusieurs pouvoirs pour vérifier l’information et obtenir la conformité :

La HATVP peut agir à son initiative ou à la suite d’un signalement. S’il existe des raisons sérieuses de penser qu’une personne est soumise à l’obligation de déclaration, la Haute Autorité peut la mettre en demeure de lui communiquer, dans un délai d’un mois, toute information ou tout document nécessaire à l’exercice de sa mission.

• La HATVP peut également demander aux responsables publics contactés (membres du Gouvernement, parlementaires, élus locaux, etc.) de lui communiquer la liste des personnes tenues de déclarer qui sont entrées en communication avec eux.

Perquisition Administrative

La HATVP dispose d’un pouvoir de vérification sur place dans les locaux professionnels des déclarants.

• Cette vérification nécessite l’autorisation du juge des libertés et de la détention (JLD) du tribunal judiciaire de Paris.
• Les vérifications sont menées en présence d’un officier de police judiciaire.
• Les agents de la HATVP peuvent exiger la communication et obtenir ou prendre copie de tous documents professionnels de toute nature.

Avis Consultatif

La HATVP peut être saisie par les responsables publics pour obtenir un avis sur la qualification d’une activité, afin de savoir si une personne physique ou morale est soumise à l’obligation de déclaration.

Sanctions en Cas de Manquement

Si la HATVP constate un manquement aux obligations déclaratives ou déontologiques, elle applique une gradation des mesures :

Mise en Demeure (Formal Notice)

Elle adresse au déclarant, après l’avoir invité à présenter ses observations, une mise en demeure de respecter ses obligations. Cette mise en demeure peut être rendue publique.

Sanctions Pénales

Le non-respect de l’obligation de communication des informations à la HATVP (de sa propre initiative ou à sa demande) est puni par des sanctions pénales spécifiques :

• Pour les personnes physiques : trois ans d’emprisonnement et 45 000 euros d’amende.
• Pour les personnes morales : 225 000 euros d’amende, ainsi que d’autres peines comme l’interdiction d’émettre des chèques, la confiscation, l’affichage public de la peine, ou l’interdiction de recevoir toute aide publique pendant cinq ans ou plus.

Ce dispositif de contrôle permet à la HATVP de jouer un rôle central, non seulement en gérant le répertoire numérique, mais aussi en assurant l’intégrité des informations et en appliquant des mesures coercitives pour garantir que les actions d’influence étrangère, considérées comme légitimes, soient menées dans la transparence requise par la loi.

Cette autorité c’est une police politique avec un habillage déontologique.

L’influence étrangère n’est pas (toujours) de l’ingérence

Contrairement à une idée largement répandue, la loi n’a pas pour objectif d’interdire toute forme d’influence étrangère sur le sol français. Le législateur reconnaît au contraire que les stratégies d’influence sont une « composante légitime des relations internationales ».

C’est ce type de texte qui me fait toujours dire que la loi met le loup dans bergerie dès sont premier article. En fait c’est autorisé sauf quand on va décider que c’est interdit.

L’objectif principal n’est donc pas la prohibition, mais la clarification. En obligeant les acteurs agissant pour le compte de puissances étrangères à déclarer leurs actions, la loi vise à rendre ces activités transparentes. Cette transparence doit permettre de mieux distinguer l’influence légitime, qui promeut des intérêts, de l’ingérence illégale, qui, elle, « a pour objectif de déstabiliser les institutions d’un État et porter atteinte à l’intégrité de ses intérêts nationaux ». Le mot d’ordre est donc la transparence, pas l’interdiction.

C’est assez troublant de mettre en place des listes. Liste d’influenceur légaux par rapport à des influenceurs illégaux. Quelle est la limite entre le jeu démocratique et le totalitarisme. Pensez-vous vraiment qu’une personne qui sait qu’elle agit contre la loi va venir s’inscrire sur la liste ?

Cela permet surtout au besoin de faire condamner une personne pour ne pas avoir été sur la liste.

L’Europe n’est pas considérée comme “étrangère”

La définition du « mandant étranger » est au cœur du dispositif. La loi le définit de manière très précise : il s’agit d’une puissance hors Union européenne, d’une entreprise qu’elle contrôle ou finance majoritairement, ou encore d’un parti politique étranger non européen. Par conséquent, les actions d’influence menées pour le compte d’un État membre de l’Union européenne ne sont pas soumises à cette nouvelle obligation de déclaration.

Cette distinction est fondamentale : elle ancre le dispositif dans une logique où l’Union européenne n’est pas un espace étranger mais un projet d’intégration politique fondé sur des valeurs démocratiques et un marché unique. Le législateur considère ainsi que les influences intra-européennes relèvent d’un jeu d’échanges légitime, à l’inverse des manœuvres de déstabilisation stratégique que la loi cherche à contrer de la part d’acteurs étatiques externes.

Quelle périmètre pour ce texte

Lorsqu’on pense à l’influence étrangère, on imagine souvent des actions visant les ministres, les parlementaires ou l’Élysée. La nouvelle loi voit beaucoup plus large et étend la notion de « responsable public » à un périmètre étonnamment vaste. Sont notamment concernés par les actions d’influence à déclarer :

• Les maires des communes de plus de 20 000 habitants et les présidents d’établissements publics de coopération intercommunale (EPCI).

• Les anciens présidents de la République, anciens membres du Gouvernement, anciens députés et anciens sénateurs, pendant une période de cinq ans après la fin de leurs fonctions.

• Les candidats déclarés aux élections présidentielles, législatives, sénatoriales ou européennes.

• Les dirigeants d’un parti ou d’un groupement politique.

Cette vision large est une reconnaissance du fait que l’influence ne s’exerce pas uniquement dans les ministères parisiens. Des décisions cruciales en matière d’urbanisme, de marchés publics ou d’infrastructures se prennent au niveau local, et le parcours d’un responsable politique, avant et après son mandat national, constitue une fenêtre d’opportunité pour les acteurs étrangers.

Le débat sur la méthode

Si l’objectif de transparence est largement partagé et souhaitable, la méthode choisie par le gouvernement est loin de faire l’unanimité. L’association Transparency International France a vivement critiqué la création d’un second répertoire dédié à l’influence étrangère, distinct du registre des lobbyistes déjà existant depuis la loi « Sapin 2 » de 2016.

L’argument central de l’ONG est que cette démarche est redondante. En effet, le répertoire Sapin 2, conçu pour être universel, « inclut déjà en partie les influences étrangères », et la HATVP elle-même avait clarifié que les entités étrangères devaient s’y déclarer. L’ONG craint que ce choix n’ajoute de la complexité, n’affaiblisse le dispositif existant et ne soit finalement qu’une mesure « cosmétique ».

La véritable lutte contre les ingérences appartient aux services répressifs et aux services de renseignement, pas à un dispositif de transparence géré par la HATVP.

Les vrais espions ne s’inscriront jamais

Ce point de vue est partagé par plusieurs analystes qui soulignent les limites inhérentes à un tel dispositif. Les acteurs menant des opérations d’ingérence clandestines, malveillantes et illégales ne se déclareront évidemment jamais sur un registre public géré par la Haute Autorité pour la transparence de la vie publique (HATVP). La loi permettra donc surtout d’établir une « cartographie officielle des réseaux d’influence étrangère » légitimes ou semi-légitimes en France.

C’est un outil de connaissance qui sera largement faussé. Il ne faut pas s’attendre à y voir apparaître les agents des opérations les plus hostiles.

Bien entendu, on peut douter que les ingérences étrangères les plus dangereuses se fassent dans la lumière. C’est évident.

Une loi incantation

La loi visant à prévenir les influences étrangères ou ingérences ne marque pas une étape importante pour la démocratie française.

En choisissant l’argument de la transparence la voie de la transparence, elle prétend offrir aux citoyens et aux pouvoirs publics un nouvel outil pour mieux comprendre qui cherche à influencer la décision publique et pour quels intérêts.

Cependant, ses limites sont claires : elle n’empêchera pas les actions clandestines et fait l’objet de débats légitimes sur sa méthode. Coté transparence quand on voit que l’on ne peut pas accéder aux dépenses d’in élu, on a déjà beaucoup à faire.

Sources

Proposition loi transparency international

HAPV dispositif juridique entre en vigueur

L’Etat français est-il souverain pour comprendre les enjeux de la souveraineté

L’intégration de la France dans l’ensemble européen impose de renoncer à des compétences régaliennes. Le niveau de dette rend la politique française dépendante de ses créanciers. Mais le destin numérique de la France est-il bien protégé.

Un rapport récent de la cour des comptes nous éclaire sur ce sujet.

L’Etat français est-il toujours souverain

On imagine que l’État protège jalousement ses données les plus sensibles, les enfermant dans des forteresses numériques impénétrables. La souveraineté numérique est devenue un mot d’ordre politique, une promesse de contrôle et d’indépendance face aux géants technologiques étrangers. Ceux que l’on nomme les GAFAM.

Le paradoxe standard du marché ou souveraineté

Il faut garder en tête que les standard du marché sont américains et ensuite Chinois. L’Europe arrive ensuite en ordre dispersé.

Sur le plan analytique, il existe une tension concernant la politique numérique française : d’un côté, l’ambition affichée de souveraineté ; de l’autre, le besoin des administrations de disposer d’outils performants, modernes et à un coût maîtrisé. J’ajoute aussi que les agents de l’Etat veulent utiliser des outils qu’ils connaissent car ils ont été formés dessus avec ou en disposent chez eux.

Bien souvent, c’est le second impératif qui l’emporte. Le cas le plus notable est celui du nouveau système d’information de ressources humaines du ministère de l’Éducation nationale, Virtuo, pour lequel le ministère a choisi une solution cloud opérée par une entreprise américaine.

Ce choix a été fait en passant outre les recommandations initiales de la doctrine “Cloud au centre”, car aucune offre souveraine ne répondait aux exigences de performance et de coût. Le ministère estime a posteriori que sa décision est conforme à la version finale de la loi SREN, qui a restreint le champ d’application de l’obligation de souveraineté en exigeant non seulement que les données soient sensibles, mais aussi que leur violation présente un risque direct pour l’ordre public. Quand la loi se met elle même une balle dans le pied et fait de la vertu un vice.

Circulaire Cloud au centre

Revenons sur ce texte important, la circulaire cloud au centre.

La doctrine « Cloud au centre » est une orientation édictée par le Premier ministre pour que les administrations privilégient les infrastructures cloud (informatique en nuage) pour leurs nouveaux projets numériques. Le cloud est appelé à devenir l’environnement par défaut de tout nouveau projet informatique de l’État.

Cette doctrine est la déclinaison opérationnelle de la Stratégie nationale pour le cloud lancée en mai 2021, qui vise à encourager l’utilisation du cloud tout en assurant l’autonomie de l’État, la maîtrise de ses données et le respect des règles européennes en matière de protection des données à caractère personnel.

• Version de juillet 2021 : La première version de la circulaire, diffusée en juillet 2021, stipulait que toute application manipulant des données d’une sensibilité particulière, notamment les données personnelles des citoyens français, devait être hébergée sur une infrastructure souveraine. Voir mon article sur ce sujet ici
• Version de mai 2023 : La doctrine a été mise à jour en mai 2023 (circulaire n° 6404/SG). Cette version a restreint l’obligation de recourir à une offre souveraine, ne l’exigeant que lorsque deux critères sont cumulativement observés :
  1. Les données doivent relever de secrets protégés par la loi.
  2. Leur violation doit être susceptible « d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé et à la vie des personnes, ou à la protection de la propriété intellectuelle ». Voilà comment faire entrer le loup dans la bergerie.
• Loi SREN : Ces critères cumulatifs ont été élevés au niveau législatif par l’Article 31 de la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite loi SREN). La restriction du champ d’application de cette obligation visait notamment à consolider la doctrine sur le plan juridique en limitant les risques de recours par des opérateurs étrangers au regard des règles du marché intérieur européen et du principe de non-discrimination de l’OMC.

Le Cloud de confiance et SecNumCloud

Le concept de « cloud de confiance » remplace la notion initiale de « cloud souverain ». Il repose sur deux solutions jugées équivalentes en termes de sécurité pour les données sensibles :

1. Les clouds internes de l’État (dits du 1er cercle), comme Nubo (opéré par la DGFiP) et Pi (opéré par le ministère de l’Intérieur).
2. Les offres commerciales qualifiées SecNumCloud.

La qualification SecNumCloud est un référentiel d’exigences techniques, opérationnelles et juridiques élaboré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il garantit le plus haut niveau de sécurité pour les services de l’État et les opérateurs d’importance vitale (OIV).

Un apport essentiel de ce référentiel est l’accent mis sur la souveraineté. Il garantit une immunité aux lois non européennes à portée extraterritoriale, telles que le Cloud Act ou le Foreign Intelligence Surveillance Act (Fisa) américain. Cela impose notamment que le siège social du prestataire soit situé dans l’Union européenne et qu’une entité non européenne ne détienne pas, à elle seule, plus de 24 % du capital et des droits de vote du prestataire.

Les limites de la mise en œuvre Cloud au centre

Malgré l’ambition politique affichée, la mise en œuvre de la doctrine « Cloud au centre » rencontre des difficultés.

Bien que la commande publique en services cloud soit passée de 1 M€ en 2020 à 52 M€ en 2024, atteignant 120 M€ au total sur cette période, cela reste très modeste par rapport aux dépenses informatiques annuelles de l’État, de l’ordre de 3 Md€.

De plus, le recours aux solutions qualifiées SecNumCloud induit un surcoût par rapport aux offres cloud non qualifiées, estimé entre +25 % et +40 %. Ce point est à challenger car, pour avoir fait le travail de passer tout une entreprise SECNUMCLOUD, cela à pu être fait à ISO cout en partant d’un système déjà Cloud. C’est sur que si on part de On premise, on a ce surcout. Mais on ne compare pas la même solution.

L’échec des clouds internes

Face à la domination des géants américains, l’État a tenté de construire ses propres solutions Cloud souverain.

Deux clouds interministériels ont ainsi vu le jour : Nubo, porté par le ministère des Finances, et Pi, porté par celui de l’Intérieur. L’ambition était de fournir une alternative sûre et maîtrisée pour les données les plus sensibles.

La réalité est cependant bien loin des ambitions affichées. Les chiffres sont sans appel : “la part d’interministériel pour les clouds Pi et Nubo plafonne à 5 %”. En clair, ces solutions sont très peu utilisées en dehors des ministères qui les ont créées.

La raison principale ? Un sous-investissement chronique. Le rapport note que Nubo a coûté 55 millions d’euros en neuf ans, une somme modeste au regard des dépenses numériques annuelles de l’État qui s’élèvent à environ 3 milliards d’euros. En conséquence, la gamme de services offerts reste limitée et la tarification est jugée inadaptée. Cet échec à attirer les utilisateurs empêche Nubo et Pi d’atteindre la “taille critique” nécessaire pour justifier de nouveaux investissements, créant ainsi un cercle vicieux de sous-performance et de sous-utilisation qui les rend non compétitifs.

Peut être aussi la stratégie n’est pas bonne de vouloir créer son propose cloud plutôt qu’externaliser cela à un hyperscaler souverain qui pourra mutualiser les couts.

La souveraineté SECNUMCLOUD un coût : jusqu’à 40 % plus cher

Qu’est-ce qu’une solution numérique “vraiment” souveraine ? En France, le plus haut standard est défini par la qualification SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce label garantit non seulement un très haut niveau de sécurité technique, mais aussi une immunité juridique contre les lois extraterritoriales, comme le fameux Cloud Act américain. Cette loi qui permet aux autorités américaines de contraindre les fournisseurs de services américains à livrer des données, où qu’elles soient stockées dans le monde.

Cette garantie a un prix. Le rapport de la Cour des comptes met un chiffre précis sur ce coût, une donnée rarement rendue publique : le surcoût d’une infrastructure qualifiée SecNumCloud par rapport à une offre cloud traditionnelle est estimé “entre +25 et +40 %”. De nouveau, je pense que ce montant est un maximum et que en faisant appels à un hyperscaler et en optimisant, on peut le faire à iso cout.

Vos logiciels de bureautiques sont un enjeu stratégique majeur

D’un point de vue politique, le débat sur la souveraineté devient le plus tangible lorsqu’il touche aux outils quotidiens des agents publics. Exemple très concret des suites bureautiques pour illustrer ce défi.

La dépendance historique de l’administration française à la suite Microsoft Office est devenue un problème stratégique lorsque l’entreprise a commencé à pousser agressivement son offre cloud, Microsoft 365. Face à ce mouvement, la Direction interministérielle du numérique (DINUM) a demandé aux ministères de ne pas y souscrire, afin de protéger la souveraineté des communications électroniques.

La réponse de l’État a été pour le moins fragmentée. D’un côté, le ministère de l’Éducation nationale, le plus grand employeur de France, a entrepris de remplacer la suite Office par une solution basée sur un logiciel libre (Collabora Online). De l’autre, la DINUM, l’autorité numérique de l’État, développe sa propre alternative (“La Suite”) en coopération avec l’Allemagne et les Pays-Bas. Cette divergence entre le plus grand ministère et l’autorité interministérielle illustre un manque de stratégie unifiée, même sur un sujet aussi fondamental que l’outil de travail quotidien de ses agents.

La France, une voix isolée dans la bataille pour la souveraineté en Europe

Le combat pour la souveraineté numérique ne se joue pas seulement à l’échelle nationale. C’est au niveau européen que se dessinent les règles du jeu, et sur ce terrain, la France peine à imposer sa vision exigeante. Le cas du projet de certification européen des services cloud (EUCS) est emblématique. La France a plaidé pour y inclure un niveau de sécurité maximal, inspiré de son propre label SecNumCloud, afin de garantir une immunité totale face aux lois extraterritoriales.

La conclusion de la Cour des comptes est sans équivoque : “La démarche de la France est restée jusqu’à présent isolée au sein de l’UE.” Cet isolement n’est pas purement idéologique ; il est alimenté par de dures réalités économiques. Comme le note le rapport, la position de l’Allemagne s’est considérablement assouplie après l’annonce par Amazon Web Services d’un investissement de 7,8 milliards d’euros dans un cloud “souverain” sur son territoire, démontrant comment la puissance d’investissement des géants américains de la tech peut directement influencer la politique européenne.

La quête de souveraineté numérique de la France n’est pas une stratégie assez coordonnée. Comme souvent c’est une série de compromis tactiques où la performance prime sur le principe, où les solutions internes échouent à se déployer à l’échelle, et où l’ambition européenne est contrecarrée par la réalité économique.

Le parfait exercice des missions de service public peut être garanti sans nécessairement aligner les spécifications des systèmes d’information sur le plus haut niveau technologique dès lors qu’un degré trop élevé de performance à court terme peut constituer un double écueil : par la mise en cause de la souveraineté sur les données et par une dépendance de l’administration vis-à-vis de la politique commerciale d’un éditeur dominant.

Sur la papier, c’est important de permettre aux acheteurs public de disposer d’une score de souveraineté pour qualifier leur démarche d’achat responsable et souverain. Pour bien l’utiliser, il faut comprendre comment il est calculé.

Ce système évalue les offres de fournisseurs cloud sur huit critères, allant de l’ancrage juridique et financier à la protection des données et à la résilience opérationnelle, attribuant un niveau de service allant de 0 à 4 pour chaque pilier.

L’initiative s’appuie sur plusieurs référentiels existants, notamment Gaia-X et les politiques nationales comme SecNumCloud en France.

Cette méthodologie fait face à des critiques de l’association CISPE, qui la juge opaque et estime qu’elle pourrait involontairement favoriser les grands fournisseurs américains. Les discussions portent également sur la complexité du calcul du score final, qui repose sur une formule pondérée des différents critères.

La bureaucratie va-t-elle protéger le marché européen ou avoir l’effet inverse ?

Le « score de souveraineté » cloud de l’Union Européenne

La souveraineté numérique est un enjeu stratégique majeur pour l’Europe. Faute de champions mondiaux dans tous les segment stratégiques, ll faut protéger les quelques entreprises européennes qui se battent face à des géants. Il faut également accepter d’acheter non souverains en connaissance de cause.

Pour les organismes publics, choisir un service cloud qui garantit la protection des données et une indépendance vis-à-vis des puissances étrangères est un véritable casse-tête.

Face à la domination des géants technologiques américains et chinois, comment s’assurer qu’une offre est véritablement “de confiance” et alignée avec les intérêts européens ?

La circulaire Cloud au centre et la transposition de la directive NIS 2 obligent ces entités publiques à prendre des décisons souveraines en matière de Cloud.

Etant obligé de composer avec les composants Cloud chinois et américains (Routeurs, OS, licences), à partir de quel niveau la souveraineté est en péri l?

Pour répondre à cette question, la Commission européenne vient de dévoiler une initiative ambitieuse : un cadre de référence accompagné d’un “score de souveraineté” pour évaluer les fournisseurs de cloud. L’objectif est de fournir aux acheteurs publics un outil concret pour mesurer et comparer les offres. Cependant, loin de faire l’unanimité, cette solution a immédiatement déclenché une vive controverse.

L’Europe veut quantifier la souveraineté

C’est une approche cartésienne. On créé des critères et un indice pour aider le secteur public à prendre les bonnes décisions. C’est comme le nutri score pour les aliments.

Pour les amateurs et connaisseurs, je vous ai fait la copie de la formule du score de souveraineté.

Si avec cela vous doutez encore…

La Commission européenne a mis en place un cadre formel destiné aux autorités publiques pour mesurer la souveraineté des offres cloud. Cette démarche ne part pas de zéro ; elle s’appuie sur des initiatives reconnues comme Gaia-X et le référentiel du Cigref, sur des politiques nationales comme SecNumCloud en France et le standard C5 en Allemagne.

Le tout dans un cadre européen de certification de cybersécurité (Enisa, NIS2, Dora). L’ambition est donc d’intégrer cette mesure dans l’arsenal réglementaire plus large de l’UE.

Le cœur du système est un score basé sur huit “objectifs de souveraineté” (SOV). Pour chaque objectif, un niveau de service (SEAL) est attribué, allant de 0 à 4. Le niveau 0 signifie que le service, la technologie ou les opérations sont sous le contrôle exclusif d’entités non-européennes,

Le niveau 4 garantit une technologie et des opérations sous contrôle total de l’UE, soumises uniquement au droit européen et sans dépendances critiques extérieures.

La grille d’analyse se veut exhaustive, couvrant les aspects suivants :

• Le degré d’ancrage du fournisseur au sein de l’écosystème juridique, financier et industriel de l’UE.
• L’exposition juridique à des autorités étrangères.
• La protection et le contrôle des données et des services IA.
• La souveraineté opérationnelle (continuité, disponibilité des compétences, résilience).
• La résilience de la supply chain (chaîne d’approvisionnement).
• La dépendance technologique.
• La sécurité et la conformité.
• Les efforts en termes de développement durable.

Critique de la méthode

L’association CISPE, qui regroupe les fournisseurs de cloud européens, est la première à monter au créneau. Selon elle, le cadre proposé est opaque et, dans sa forme actuelle, il favoriserait les “hyperscalers étrangers” (AWS, Microsoft, Google Cloud) au détriment des acteurs purement européens.

On constate bien en lisant certains annonces que prétendre faire du Cloud souverain avec AWS ou GOOGLE, c’est normalement pas compatible. Pourtant des entreprises publiques communiquent dessus et contractualisent. Regardons l’exemple de EDF qui a annoncé la semaine dernière avoir confié ses données à Sens

L’association va plus loin, accusant la démarche d’être intentionnelle. Elle suggère que ce cadre pourrait servir de prétexte aux organismes du secteur public pour ne pas résilier leurs contrats existants avec les géants américains. CISPE juge également certains objectifs, comme “le contrôle total de l’UE sur chaque composant matériel”, comme étant tout simplement irréalisables en pratique pour la majorité des acteurs.

Pour avoir visité le centre de production de OVHCloud. Certains hébergeurs produisent eux-mêmes leurs matériels. C’est ce qui est étonnant chez OVHcloud, la visite commence par l’usine de production des serveurs.

Voici ce qui est publié sur le site OVHcloud au sujet de leur capacité industrielle à produire leurs serveurs:

Enfin, la méthode de calcul du score elle-même est critiquée. En se basant sur “une moyenne de moyennes pondérées”, la Commission européenne créerait, selon CISPE, un système qui manque cruellement de transparence. Cette critique est d’autant plus vive lorsque l’on examine la pondération des critères,

Une pondération qui interroge

Pour calculer la note finale, la Commission européenne a attribué une pondération différente à chaque famille de critères. Cette répartition des poids est au cœur des débats et révèle des choix politiques forts.

Les pourcentages attribués aux principaux piliers sont les suivants :

• Supply chain : 20%
• Les volets opérationnels, stratégiques et technologiques comptent collectivement pour : 15%
• Parties juridiques et conformité : 10%

Le point le plus frappant est la pondération de la supply chain à 20 %, la plus élevée de toutes. Or, c’est précisément ce critère que les fournisseurs européens, via CISPE, jugent “irréalisable”, car il implique un contrôle sur des chaînes d’approvisionnement matérielles mondialisées et largement dominées par des acteurs non-européens.

Cette pondération semble ainsi renforcer l’argument selon lequel le score est taillé pour les hyperscalers qui maîtrisent ces chaînes. À l’inverse, le poids relativement faible des aspects juridiques et de conformité (10 %) surprend. Ces critères sont pourtant cruciaux pour évaluer la protection d’un service face aux lois à portée extraterritoriale, l’une des menaces fondamentales pour la souveraineté des données européennes.

Espérons que ces pondérations vont évoluer pour aller dans un autre sens.

Un premier pas nécessaire

Malgré les critiques , certains saluent l’initiative comme un “premier pas” indispensable pour enfin définir et mesurer objectivement la souveraineté d’une offre cloud. Il s’agit d’une tentative de standardisation attendue de longue date.

Cette indice permet aussi de se positionner et de détecter les points faibles d’une stratégie Cloud.

Des questions très concrètes émergent, notamment sur le cas des offres hybrides. Comment le score évaluera-t-il des offres comme Bleu ou S3NS, notamment sur les critères d’exposition juridique à des autorités étrangères et de dépendance technologique, alors que leur modèle repose précisément sur une technologie américaine opérée par une entité européenne ?

Les Directeurs des Systèmes d’Information (DSI), les Responsables de la Sécurité des Systèmes d’Information (RSSI) et les fournisseurs eux-mêmes devront s’approprier rapidement cette méthodologie et l’intégrer dans leurs grilles d’analyse.

Elle pourra aussi faire l’objet de critères techniques des appels d’offre (dans les CCTP).

Conclusion

L’initiative de la Commission européenne est une démarche conçue pour apporter clarté et promouvoir la souveraineté cloud. Comme souvent la commissions est accusée de complexité et de favoritisme envers les acteurs non-européens qu’elle était censée réguler. L’outil est sur la table, mais son calibrage et sa pondération pourraient bien déterminer son impact réel.

Pour mesurer l’impact du score de souveraineté, il faudra mesurer son utilisation par les acheteurs publics et son exigence dans les dossiers de consultation. Pour le moment ce n’est pas le cas. On constate que la qualification SECNUMCLOUD est souvent demandée. C’est déjà un bon point.

Par régis BAUDOUIN

Ce mois-ci la Chine a présenté son BIOS nommé UBIOS qui doit remplacer les BIOS actuels. Il sera présent dans les PC qui seront produits et utilisés en Chine. Cela fait partie de la guerre hybride que mènent les grandes puissances.

Le BIOS (Basic Input/Output System) est un micrologiciel intégré à la carte mère d’un ordinateur qui joue un rôle fondamental lors du démarrage du système. Son principal objectif est d’assurer l’initialisation et le test des composants matériels essentiels, comme le processeur, la mémoire vive (RAM), les disques durs et les périphériques d’entrée/sortie. 

Une fois ces vérifications terminées, le BIOS charge le système d’exploitation depuis un support de stockage (disque dur, clé USB, etc.).

Stratégie de la Chine pour Bâtir son Autonomie Technologique

La Fin de la domination américaine

Pendant des décennies, le monde de la technologie a fonctionné sur un modèle d’interconnexion. Les géants américains comme Microsoft, Dell, IBM et Cisco étaient omniprésents en Chine, fournissant les infrastructures matérielles et logicielles qui ont alimenté une croissance industrielle fulgurante. Cette ère de collaboration, perçue comme une aubaine, masquait en réalité une dépendance stratégique que Pékin a jugé intolérable.

Ceci d’autant plus que certains composants son soupçonnés de contenir des backdoor ou leur micologiciels de collecter des données. La Chine a déjà construit son propre réseau internet qui n’est pas celui que vous connaissez ici.

Aujourd’hui, la Chine mène une campagne discrète mais massive pour démanteler cette dépendance. Loin de se limiter au remplacement de logiciels, cette stratégie s’attaque aux fondations mêmes de l’informatique. De la production jusqu’au cœur du matériel. Il ne s’agit plus de choisir une alternative locale, mais de bâtir un écosystème technologique entièrement souverain.

Tout part du Document 79 : L’Ordre Secret pour Effacer l’Amérique

Le point de départ de cette offensive est un ordre secret connu sous le nom de “Document 79”. Émise en septembre 2022 par la Commission de Supervision et d’Administration des Actifs de l’État, son objectif est radical : obliger les entreprises publiques des secteurs les plus critiques, comme la finance et l’énergie, à remplacer tous les logiciels étrangers. Ce document cible en particulier les américains. Tous ces composants doivent être remplacés par des alternatives locales d’ici 2027.

La chine a décidé de cette stratégie suite à l’escalade des tensions technologiques et commerciales avec Washington. En particulier après l’intensification des restrictions à l’exportation de puces et des sanctions imposées par les États-Unis aux entreprises technologiques chinoise. Politique qui continue actuellement.

Le niveau de confidentialité entourant cet ordre était extrême. Selon plusieurs sources, les hauts fonctionnaires et les dirigeants concernés n’étaient autorisés à consulter le document qu’en personne, sans jamais pouvoir en faire de copies. Dans certains cercles, cette directive a même été surnommée “Delete A” pour “Delete America”. Il s’agit d’un signal sans ambiguïté : la Chine ne négocie plus sa place dans l’écosystème existant, elle en bâtit un autre, à ses conditions.

L’Impact Concret sur les Entreprises Américaines

Cette politique n’est pas qu’un projet théorique ; ses conséquences sont déjà mesurables et impactantes pour les plus grands noms de la tech américaine. Les chiffres témoignent d’un changement de marché brutal et rapide.

• Hewlett Packard Enterprise (HPE) : Ses revenus en Chine, qui représentaient 14,1 % de son total chiffre d’affaires en 2018, ont chuté à seulement 4 % en 2023. Signe d’une retraite stratégique, HPE a annoncé en mai 2023 envisager la vente de sa participation de 49 % dans sa coentreprise chinoise.
• Dell : Sa part de marché des ordinateurs personnels en Chine a été presque divisée par deux au cours des cinq dernières années.
• Cisco : Dès 2019, l’entreprise signalait déjà perdre des contrats au profit de fournisseurs locaux, en raison d’une forte tendance à l’achat nationaliste.
• Microsoft : Les ventes du géant du logiciel en Chine ne représentent plus aujourd’hui que 1,5 % de ses ventes totales. Pour un marché de cette taille, ce chiffre est remarquablement bas et illustre l’érosion profonde de l’influence du géant du logiciel dans les ventes directes.
• IBM : Après avoir vu ses bénéfices diminuer de manière constante, la société a été contrainte de réduire ses opérations de recherche à Pékin en 2021.

À cette liste s’ajoutent des entreprises de logiciels comme Adobe, Citrix et Salesforce, qui ont toutes réduit ou retiré leurs opérations directes en Chine. Ce point est particulièrement percutant car il traduit une stratégie politique abstraite en pertes de parts de marché réelles et massives pour des entreprises qui ont longtemps dominé le paysage technologique mondial.

Vu de la France on ne se rend pas compte de la force de cette politique, ni de l’impact sur l’industrie de la tech. Car bientôt la Chine va venir en Europe avec ses solutions souveraines.

Au-delà du Logiciel : UBIOS, une Révolution au Cœur du Démarrage des PC

Si le remplacement des logiciels est une étape visible, la stratégie chinoise va beaucoup plus loin, jusqu’à la couche la plus fondamentale d’un ordinateur : le firmware de démarrage. La Chine a développé UBIOS (Unified Basic Input Output System), une alternative entièrement nationale à l’UEFI, le standard qui lance la quasi-totalité des PC dans le monde avant même le démarrage de Windows ou de Linux.

Développé par le Global Computing Consortium (GCC),est un regroupement de 13 entreprises chinoises incluant Huawei. Ce nouveau standard (identifié par le code T/GCC 3007-2025) a été conçu à partir de zéro

L’UEFI, historiquement lié à Intel et Microsoft, est jugé “lourd” et inefficace pour les nouvelles architectures informatiques hétérogènes et les “Chiplets” (puces modulaires) que la Chine développe activement.

L’innovation majeure d’UBIOS réside dans son “Bus Virtuel Unifié” (UVB). Alors que les firmwares traditionnels ont des interactions complexes et rigides, l’UVB crée une interface de communication standardisée, simplifiant drastiquement les échanges entre tous les composants. En remplaçant l’UEFI, la Chine ne se contente pas de changer d’applications ; elle s’approprie la clé de contact de ses systèmes informatiques, garantissant une indépendance et une sécurité quasi totales.

Alors que l’UEFI a dominé le marché en évoluant à partir du BIOS traditionnel pour surmonter des limitations historiques (comme la prise en charge de disques de plus de 2 To et des démarrages plus rapides), l’UBIOS est un cadre entièrement nouveau axé sur la sécurité nationale, la gestion de l’hétérogénéité des puces et l’établissement de la Chine comme fixateur de normes dans les technologies émergentes.

Le UBIOS support d’autres plateformes que Intel, présente une expérience utilisateur bien plus simple et intimidante que les BIOS actuels. Actuellement les interface bios présentent souvent des options non documentées correctement ou obscures. L’utilisateur ne comprend pas leur fonction.

Une Vision d’Avenir : Plus qu’une Simple Réponse aux Sanctions

Il serait erroné de voir cette quête d’autonomie comme une simple réaction défensive aux sanctions américaines. Il s’agit en réalité d’une stratégie offensive et à long terme, connue sous le nom de “Xinchuang” (“innovation informatique”). Cette politique vise à garantir la sécurité et la fiabilité des technologies nationales.

Cette initiative s’inscrit dans la vision économique plus large du président Xi Jinping, la “double circulation”, qui a pour but de réduire la vulnérabilité de la Chine aux chocs externes en s’appuyant sur la production et la consommation nationales.

L’objectif n’est donc pas seulement défensif, mais vise à inverser les rôles : passer du statut de “preneur de standards” (standard-taker) à celui de “créateur de standards” (standard-setter). En établissant ses propres normes pour les technologies de nouvelle génération, Pékin ambitionne de transformer le reste du monde de fournisseur en simple client, voire en suiveur.

Vers une guerre Numérique Mondiale ?

Les faits sont sans équivoque : la Chine n’est pas seulement en train de remplacer la technologie occidentale. Elle construit brique par brique un écosystème technologique parallèle, complet et souverain, du logiciel le plus visible au firmware le plus enfoui. Cette démarche met fin à des décennies de standards technologiques partagés et annonce une nouvelle ère de compétition. La souveraineté chinoise est un objectif politique.

Dès qu’elle aura complété son écosystème, elle commercialisera en Europe ses systèmes aux normes chinoises. En Europe des voix tirent la sonnette d’alarme pour constituer ici aussi un écosystème propre. Elle sont entendues mais, la volonté collective n’est pas là. Là ou les USA et la Chine sont une seule nation on est 27 pays.

Sources de l’article :

Blog convergia sur le document 79

WCCFTECH sur le lancement du BIOS uBIOS

Par régis BAUDOUIN

La galère administrative : le nouveau mal français ? 4 chiffres chocs qui montrent que c’est l’affaire de tous

Qui n’a jamais soupiré face à un formulaire à remplir ou à une démarche administrative à accomplir ? Ce sentiment, souvent frustrant et solitaire, est devenu une expérience universelle. Mais au-delà de l’anecdote, une nouvelle enquête du Défenseur des droits vient mettre des chiffres précis sur ce ressenti collectif.

Publiée en octobre 2025, cette étude agit comme une évaluation grandeur nature des vastes chantiers de modernisation des services publics, notamment la dématérialisation promise par des programmes comme « Action publique 2022 ». Les constats sont aussi surprenants qu’alarmants.

Cet article décrypte les quatre points les plus marquants et contre-intuitifs de cette enquête qui nous concerne tous.

La dématérialisation des procédures facile-t-elle la vie

L’enquête menée par le Défenseur des droits montre que, bien que la dématérialisation puisse représenter un progrès pour certains, elle est loin de faciliter les démarches pour l’ensemble de la population. Ce que montre le sondage c’est que la dématérialisation est même liée à une augmentation notable des difficultés générales.

Voici une analyse détaillée basée sur les résultats de l’enquête :

La Dématérialisation comme Source de Difficultés

L’enquête s’est spécifiquement penchée sur le rôle du numérique afin d’évaluer les effets de la dématérialisation sur l’accessibilité des services publics. Il en ressort que la dématérialisation, lorsqu’elle est mise en œuvre trop rapidement et insuffisamment accompagnée, vient confirmer les difficultés.

Constant : Autonomie réduite en ligne : Une part non négligeable de la population n’arrive pas à effectuer ses démarches administratives en ligne seule.

• Moins d’une personne sur deux (49%) parvient à réaliser seule ses démarches administratives en ligne.
• 36% des répondants déclarent avoir besoin d’une aide ponctuelle.
• 8% n’y arrivent pas seuls et ont besoin d’être accompagnés.
• 7% évitent les démarches en ligne par choix personnel. (ceux qui veulent des humains)

Difficultés pour tous les âges : Les difficultés liées aux démarches en ligne touchent autant les plus jeunes que les plus âgés. Par exemple, 51% des 18-34 ans et 53% des 55-79 ans déclarent rencontrer des difficultés. Surement pas pour les même raisons. Les premiers car ils ne comprennent pas la démarché, les seconds car ils ne sont pas familiers avec les formulaires en ligne.

Augmentation des difficultés générales : La dématérialisation croissante des services publics est liée à un élargissement du nombre et des profils des usagers en difficulté pour réaliser leurs démarches administratives.

• En 2024, 61% des usagers rencontrent des difficultés (ponctuelles ou régulières) pour réaliser leurs démarches administratives, contre 39% en 2016.
• Cette hausse est significative y compris pour les populations considérées comme favorisées, telles que les cadres ou professions intermédiaires (+86 %) ou les diplômés de master et plus (+75 %). Il s’agit ici d’une hause par d’une part de cette population.

Conséquences sur l’accès aux droits : La complexité des démarches est le motif principal de renoncement à un droit (dans 70% des cas). La conclusion est bien que la société est complexe. En ligne ou pas les démarches nécessitent du conseil et assistance. Soit on fait appels à un expert (avocat, expert comptable notaire…) avec un cout associé. soit on veut des fonctionnaires pour aider mais il faut accepter des impôts et des effectifs.

Le fait que les démarches soient réalisables uniquement en ligne et le manque d’accès à un ordinateur ou à internet ont été la raison du renoncement pour 7% des personnes concernées.

Les Ambivalences : Facilitation pour certains, Obstacle pour d’autres

La dématérialisation peut avoir des effets contradictoires.

Simplification potentielle pour les usagers aguerris : Pour les personnes à l’aise avec le numérique, la dématérialisation simplifie la résolution de problèmes avec les services publics (possibilité de réaliser les démarches à distance, de se renseigner plus rapidement en ligne, transmission de documents par voie numérique, etc.).

D’ailleurs, l’enquête observe une baisse de la proportion de personnes déclarant avoir rencontré des problèmes dans la résolution d’un problème avec un service public (passant de 54% en 2016 à 42% en 2024). Cette facilitation potentielle dépend fortement de la capacité à rechercher l’information en ligne.

Le maintien du contact humain comme facteur d’efficacité : Malgré la tendance au “tout numérique”, le contact humain reste l’outil privilégié par les usagers en cas de problème, et il est jugé plus efficace.

• Le principal problème rencontré est la difficulté à contacter quelqu’un pour obtenir des informations ou un rendez-vous (citée dans 72% des cas), ce qui est presque deux fois plus qu’en 2016 et concorde avec la dématérialisation des administrations qui ne prévoient pas toujours de canaux alternatifs. C’est normal, beaucoup de service en ligne ne prévoient pas d’alternatives humaines.
• En cas de problème, les contacts physiques ou téléphoniques sont plus fructueux que les démarches à distance ou dématérialisées. Le succès est de 72% pour ceux qui se sont rendus sur place, et de 67% pour ceux qui ont appelé, contre seulement 56% pour ceux qui ont envoyé un courrier.

Recommandations en faveur d’un accès universel

Face à ces constats, le Défenseur des droits insiste sur l’impératif de garantir un accès « omnicanal » aux services publics.

Les recommandations incluent notamment de :

• Renforcer les procédures alternatives aux démarches dématérialisées, notamment l’accueil au guichet et l’accueil téléphonique, pour permettre à l’usager de choisir le mode de communication le plus approprié à sa situation. C’est facile de la demander. La mise ne place d’un service numérique c’est un cout qui doit s’amortir en remplaçant le cout humain antérieur. Si on cumule les deux couts. c’est l’usager qui paie.
• Simplifier les interfaces numériques et veiller à ce que l’information soit claire, compréhensible et ergonomiquement adaptée à tous (par exemple en utilisant le langage « facile à lire et à comprendre » – FALC). On peut aussi demander que les lois soient plus simples que l’on demande moins de données.
• Renforcer l’accompagnement numérique des usagers qui rencontrent des difficultés spécifiques face à l’administration numérique.

La galère administrative n’est plus réservée aux autres : elle est devenue l’affaire de tous.

Le premier constat choc de l’enquête est l’explosion du nombre de personnes rencontrant des difficultés administratives. En 2024, 61 % des sondés déclarent rencontrer des difficultés, qu’elles soient ponctuelles ou régulières, contre seulement 39 % en 2016.

Ce qui rend cette évolution particulièrement surprenante, c’est qu’elle touche absolument toutes les catégories de la population, y compris celles que l’on pensait à l’abri. Les chiffres sont sans appel : le nombre de personnes en difficulté a augmenté de +86 % chez les cadres et professions intermédiaires, et de +75 % chez les diplômés de niveau master et plus.

Ce chiffre suggère que la complexité n’est plus un symptôme d’inégalité sociale mais est devenue une caractéristique systémique de l’administration elle-même.

Cette augmentation généralisée contribue paradoxalement à réduire les écarts entre les groupes sociaux, non pas par le haut, mais en universalisant la difficulté. La complexité administrative n’est plus un problème marginal affectant quelques-uns ; c’est devenu un phénomène de société.

Cette généralisation s’explique en grande partie par une transformation majeure de l’action publique : la dématérialisation, dont les effets se font sentir y compris chez ceux que l’on croyait immunisés.

Le mythe du « natif du numérique » : les jeunes aussi peinent avec les démarches en ligne.

L’un des enseignements les plus contre-intuitifs de l’étude est que les difficultés avec le numérique ne sont pas qu’une question de génération. On imagine souvent les jeunes, agiles avec leurs smartphones, naviguer sans effort sur les plateformes administratives. La réalité est bien différente.

Moins d’une personne sur deux (49 %) parvient à faire ses démarches en ligne sans aide. Plus frappant encore, les jeunes de 18-34 ans sont presque aussi nombreux (51 %) à rencontrer des difficultés en ligne que les 55-79 ans (53 %).

Ce constat remet en cause le postulat au cœur de nombreuses réformes : l’idée qu’une simple transition numérique suffirait à moderniser l’accès aux services publics. Il brise le mythe du “natif du numérique” en montrant que la maîtrise des outils du quotidien ne se traduit pas par une aisance face à la logique propre des procédures dématérialisées.

Cette difficulté, qui transcende les générations, explique pourquoi, face à un blocage, le réflexe des usagers n’est pas de persister en ligne, mais de chercher une solution humaine.

Le renoncement aux droits : la conséquence la plus grave de la complexité.

Lorsque la complexité est généralisée, que les obstacles numériques sont là et qu’il est impossible de joindre un interlocuteur, la conséquence la plus grave se matérialise : le renoncement pur et simple à ses droits.

Près d’un quart des usagers (23 %) déclarent avoir déjà renoncé à un droit (une allocation, une prestation, un statut) auquel ils pouvaient prétendre. La raison principale invoquée est la “complexité des démarches”, citée dans 70 % des cas. Mais l’enquête révèle des liens encore plus sombres.

L’échec à résoudre un problème est un puissant catalyseur : 48 % des personnes ayant essuyé un échec après une tentative de contact ont renoncé à un droit, contre 29 % de celles ayant vu leur problème résolu.

Pour conclure

L’enquête du Défenseur des droits dresse un portrait sans concession : les difficultés administratives se sont généralisées, la fracture numérique touche aussi les jeunes, le contact humain reste indispensable et, surtout, la complexité pousse au renoncement. Ces constats interrogent directement la direction prise par la modernisation de nos services publics,

Moderniser le service public ne peut pas se limiter à des mesures d’économie budgétaire ou de rationalisation de l’organisation, au risque de creuser des fractures entre l’administration et les personnes. La conséquence de ces fractures est connue : un ressentiment à l’égard des institutions, qui mine de l’intérieur la confiance qui fonde notre pacte social.

L’enquête agit donc comme un miroir, renvoyant aux décideurs une image de la modernisation où l’optimisation des processus semble primer sur la mission de service. Alors que les services publics se numérisent pour gagner en efficacité, ne sommes-nous pas en train de perdre le sens même du mot “service” ?

Par régis BAUDOUIN

Sources

Enquete sur l’accès aux droits et relations des usagers avec l’admnistration

On avait évoqué l’ordinateur quantique dans un précédent article. Le bio ordinateur c’est un autre domaine d’applications.

Le bio-ordinateur Cortical Lab

Cortical Labs est une start-up australienne fondée en 2019. Elle est basée à Melbourne. Son objectif est de révolutionner l’informatique en intégrant des neurones vivants dans des puces de silicium. 

L’entreprise a lancé, en mars 2025, son premier ordinateur biologique commercial, le CL1, décrit comme la première « intelligence biologique synthétique » (Synthetic Biological Intelligence – SBI) au monde. Ce système hybride combine des neurones humains cultivés à partir de cellules souches pluripotentes induites (iPSCs) avec une infrastructure de silicium équipée d’électrodes pour permettre une communication bidirectionnelle.

Le CL1, fonctionne grâce à un système d’exploitation biologique (biOS) qui transmet des signaux électriques aux neurones et convertit leur activité en actions dans un monde numérique simulé.

Les neurones, qui se connectent entre eux sur la puce, sont maintenus en vie dans un environnement contrôlé comprenant des systèmes de filtration, de régulation de la température, de mélange de gaz et de distribution de nutriments. Ces cultures peuvent survivre six mois ou plus, avec des expériences ayant démontré une survie jusqu’à un an.

Notez que l’ordinateur a une coque transparente qui permet de voir les neurones travailler. Enfin on voit pas grand chose en vrai.

Au-delà de l’IA que nous connaissons

L’intelligence artificielle est synonyme de processeurs en silicium, de centres de données et d’une consommation d’énergie colossale. Une alternative révolutionnaire émerge, fusionnant le vivant et la machine : des neurones humains, cultivés en laboratoire, intégrés directement à des puces électroniques. L’entreprise australienne Cortical Labs est à la pointe de ce domaine, baptisé Intelligence Biologique Synthétique (SBI), avec son nouveau dispositif, le CL1.

Cette technologie promet une intelligence plus dynamique, fondamentalement plus évolutive et plus économe en énergie. Cette technologie rappelle le dessin animé Capitaine FLAM qui avait avec lui le cerveaux du Professeur Simon Wright. On n’est pas encore parvenu à ce résultat.

——————————————————————————–

Les neurones en boîte apprennent plus vite qu’une IA de pointe

La découverte la plus contre-intuitive est sans doute l’efficacité d’apprentissage de ces systèmes biologiques. Dans une expérience fondatrice nommée “DishBrain”, une culture d’environ 800 000 neurones humains a été intégrée à une simulation du jeu d’arcade Pong. De manière stupéfiante, ce réseau neuronal biologique a appris à jouer au jeu en seulement 5 minutes. C’est une réalisation majeure de Cortical LAB.

Pour quantifier cette performance, une étude comparative a opposé ces réseaux neuronaux biologiques (BNN) à trois algorithmes d’apprentissage par renforcement profond (RL) de pointe (Intelligence Artificielle traditionnelle). Lorsque le nombre de sessions d’entraînement était limité à environ 70 épisodes (l’équivalent d’une session de 20 minutes pour le système biologique), les BNN ont systématiquement surpassé les algorithmes d’IA.

Ce résultat est remarquable : un système biologique , recevant une quantité d’informations très limitée, s’est montré plus efficace pour apprendre une tâche spécifique que des algorithmes complexes et gourmands en ressources.

Il est crucial de noter que cette supériorité réside dans l’efficacité d’échantillonnage ; avec des milliers de sessions d’entraînement supplémentaires, les algorithmes d’IA finissent par apprendre la tâche. La véritable percée est donc la vitesse à laquelle l’intelligence biologique s’adapte avec un minimum de données, un exploit qui reste hors de portée des systèmes en silicium.

Un “ordinateur” vivant sur une simple puce de verre et de métal

Au cœur du CL1 se trouvent des neurones humains cultivés en laboratoire, dérivés de cellules souches, qui sont ensuite placés sur une puce en silicium dotée d’un réseau de micro-électrodes.

Le développement de ce matériel a nécessité de surmonter des obstacles importants. Les anciennes puces de type CMOS, bien que permettant une lecture à haute densité, présentaient des limites majeures : elles étaient opaques, empêchant l’observation directe des connexions neuronales, et provoquaient une accumulation de charge électrique qui finissait par endommager les cellules.

Le nouveau matériel résout ce problème en permettant un équilibrage de charge stable.

Le dispositif complet, le CL1, se présente sous la forme d’un boîtier autonome qui fournit tout le support vital nécessaire aux cellules. Il intègre un système de filtration, un contrôle de la température, un mélangeur de gaz et des pompes pour maintenir les cellules en bonne santé. Un rack de serveur contenant 30 de ces unités ne consomme qu’entre 850 et 1000 watts, une fraction de l’énergie requise par les infrastructures d’IA conventionnelles.

• Contrôle et Interface : Les neurones sont placés sur un réseau de 59 électrodes planaires (principalement composées de métal et de verre) qui optimisent la connexion électrodes-neurones et offrent une plus grande stabilité de charge. L’ensemble est connecté à un système de logiciel pour une exploitation en temps réel.
• Stimulation et Lecture Bidirectionnelles : Le CL1 fournit une “interface de stimulation et de lecture bidirectionnelle” conçue spécifiquement pour permettre la communication neuronale et l’apprentissage en réseau.
• Autonomie : Ces bio-ordinateurs sont conçus pour être entièrement programmables et ne nécessitent pas d’ordinateurs externes pour fonctionner.

Le Mécanisme d’Apprentissage : La quête de prévisibilité, pas de code

Contrairement aux algorithmes d’IA qui reposent sur des mécanismes mathématiques comme la rétropropagation de l’erreur, ces réseaux de neurones apprennent en suivant un principe biologique fondamental : la recherche de la prévisibilité.

Le système d’apprentissage fonctionne sur un modèle de “récompense et punition”. La récompense n’est pas un score, mais un signal prévisible et économe en énergie. Lorsque les neurones réussissaient à “frapper” la balle dans Pong, ils recevaient une stimulation électrique structurée et prévisible : un signal de 100 Hz délivré simultanément sur l’ensemble des huit électrodes sensorielles pendant 100 millisecondes.

La punition, quant à elle, était un signal imprévisible et chaotique. Lorsqu’ils “manquaient” la balle, les neurones recevaient une stimulation électrique aléatoire et chaotique : un signal de 5 Hz délivré à des moments et sur des électrodes imprévisibles pendant quatre secondes, créant un environnement sensoriel désordonné.

En réponse à ces stimuli, les neurones réorganisent spontanément leurs connexions pour maximiser les signaux prévisibles (la récompense) et éviter les signaux chaotiques (la punition). C’est de cette adaptation auto-organisée qu’émergent l’apprentissage et l’amélioration des performances.

Un accès via le cloud et une révolution pour la recherche

Cortical Labs ne se contente pas de développer une technologie de pointe ; l’entreprise la rend également accessible. Les premières unités CL1 sont commercialisées avec un prix de départ d’environ 35 000 dollars américains.

Plus innovant encore est le modèle commercial de “Wetware-as-a-Service” (WaaS). Cette approche permettra aux chercheurs et aux innovateurs du monde entier d’accéder à distance aux bio-ordinateurs via le cloud, sans avoir à acheter et à entretenir le matériel physique.

Les applications potentielles de cette plateforme sont révolutionnaires. Elles incluent :

• La découverte de médicaments et la modélisation de maladies, en particulier pour des conditions neurologiques comme l’épilepsie et la maladie d’Alzheimer.

• La réduction, voire le remplacement, des tests sur les animaux, offrant une alternative éthique et potentiellement plus pertinente.

• L’exploration de questions biologiques fondamentales, comme la définition du “Cerveau Minimal Viable”, c’est-à-dire le réseau neuronal le plus simple capable de fonctions cognitives.

• Le développement de nouvelles intelligences robotiques, permettant la création de systèmes d’apprentissage plus organiques et adaptatifs.

Vers une nouvelle intelligence ?

L’Intelligence Biologique Synthétique ne représente pas simplement une amélioration de l’IA existante, mais un changement de paradigme. Nous ne codons plus l’intelligence ; nous créons les conditions pour qu’elle émerge. C’est un passage de l’architecture à l’horticulture cognitive, exploitant la capacité innée des neurones à s’adapter pour ouvrir des horizons jusqu’ici réservés à la science-fiction.

Le développement ou la programmation avec un ordinateur neurologique comme le CL1 de Cortical Labs, qui combine des processeurs en silicium avec des neurones humains, s’articule autour de l’accès à la technologie et de l’exploitation de ses capacités d’intelligence biologique synthétique (SBI).

Le CL1 est conçu pour être un bio-ordinateur fonctionnel et entièrement programmable. Le dispositif offre un degré de contrôle élevé sur les réseaux de neurones, qui interagissent avec les puces.

Cette avancée nous place également face à une nouvelle frontière éthique.

Cette perspective soulève des questions profondes sur la conscience et le statut moral de ces systèmes vivants, mais aussi des questions plus pragmatiques et urgentes concernant la confidentialité, le consentement et la sécurité des données biologiques. Qui possède l’information traitée par ces neurones ? Comment la protéger contre les cyberattaques ou l’usage abusif ?

A chaque innovation il faut adapter les contre mesures. Dans ce domaine tout est ouvert.

Autres sources sur le bio ordinateur ici

Par régis BAUDOUIN

Le débat sur l’intelligence artificielle est omniprésent, mais dans le flot continu d’annonces et de promesses, il devient de plus en plus difficile de distinguer le battage médiatique de la réalité économique. Comment savoir où se situent véritablement la France et l’Europe dans cette course technologique qui redessine le monde ?

Le paradoxe français : champion des talents, mais poids plume de l’investissement

La France excelle dans la création de talents et de start-ups en intelligence artificielle, mais peine dramatiquement à financer leur croissance. Le pays est un leader en Europe, avec 781 start-ups en Intelligence artificielle, dépassant l’Allemagne (687).

Mieux encore, la France abrite Mistral AI, le seul champion européen développant des modèles de langage d’usage général à cette échelle, qui se trouve en “situation d’hégémonie sur le marché européen”. A la date de la rédaction de cet article Mistal a été acquis par ASML qui détient 11% du capital.

Quelques chiffes concernant la France :

81 Nombre de laboratoires d’intelligence artificielle en France en 2021. C’est le plus grand nombre parmi les pays européens.

600 Nombre de startups spécialisées en IA en 2023, soit une hausse de 24 % depuis 2021

13 500 Nombre de personnes qui travaillent dans les startups de l’IA en 2021 (pour 70 000 emplois indirects générés).

Source : Stratégie nationale IA, ministère de l’économie

Cependant, ce succès entrepreneurial masque une faiblesse structurelle massive. Entre 2013 et 2023, le secteur privé américain a investi 335 milliards de dollars dans l’Intelligence artificielle. Pour la même période, la France n’a mobilisé que 8 milliards de dollars.

Cet écart abyssal s’explique par un déficit de capital-risque, particulièrement visible pour les entreprises en phase de croissance (“late stage gap”). C’est aussi que comparer la France et les USA c’est un problème d’échelle. Il faut comparer l’Europe et les USA pour être cohérent.

Si on veut comparer, il faut passer à l’echelle de l’europe et des USA.

Initiative InvestAI : la Commission européenne a annoncé l’initiative InvestAI visant à mobiliser 200 milliards d’euros pour le développement de l’Intelligence artificielle en Europe. Ce montant ambitieux provient en grande partie d’une initiative privée, l’« AI Champions Initiative », qui rassemble plus de 60 entreprises européennes s’engageant sur 150 milliards d’euros, complétée par une contribution de 50 milliards d’euros de la Commission. 200 contre 300 ont est pas encore au même montant, mais c’est plus cohérent.

Pour mobiliser des capitaux, le France a ses handicaps. Une fragmentation des marchés de capitaux européens et la frilosité des investisseurs institutionnels, contraints par des règles prudentielles comme Solvabilité II. En conséquence, il freine l’émergence de géants technologiques et pousse de nombreuses pépites prometteuses à se financer, voire à se délocaliser, aux États-Unis.

Pas de fond souverains ou de retraite qui peuvent mobiliser des montants en milliard d’Euro comme les USA en disposent. Une économie morcelée entre plus de 20 pays qui ne parlent pas le même langue et n’ont pas les mêmes règles sur l’investissement.

La France possède le génie créatif et la capacité d’innovation, mais elle ne parvient pas à leur donner les moyens financiers de leurs ambitions mondiales. Mais si le capital est le nerf de la guerre, l’impact sur le capital humain est tout aussi fondamental.

L’IA, un surprenant levier d’égalité ?

L’une des craintes les plus répandues concernant l’Intelligence artificielle est qu’elle creuse les inégalités en remplaçant massivement les travailleurs les moins qualifiés. Or, le rapport parlementaire met en lumière des études dont les premières conclusions vont à l’encontre de cette idée reçue. Loin de se substituer à l’humain, l’IA agit pour l’instant davantage comme un “copilote”.

Les données chiffrées sont particulièrement éloquentes. Dans le secteur du support client, l’intelligence artificielle augmente la productivité des employés les moins expérimentés de 34 %. Pour la même tâche, l’augmentation moyenne de la productivité pour l’ensemble des employés n’est que de 14 %. Autrement dit, l’IA bénéficie de manière disproportionnée aux novices.

Cette découverte est fondamentale : plutôt que d’accentuer les inégalités de compétences, l’IA pourrait agir comme un outil de formation en temps réel, permettant aux débutants de rattraper plus rapidement les experts. Le rapport apporte toutefois une nuance importante : les gains marginaux semblent décroissants, ce qui suggère que les premiers usages de l’IA ont concerné les tâches où son potentiel était le plus fort.

Cette approche positive aura aussi ces cotées sombres. Création de nouvelles inégalités, polarisation de secteurs plus ou moins impactés. Le législateur va intervenir pour protéger et orienter. L’Europe est déjà intervenue avec la régulation RIA.

Le mythe de l’IA “frugale” : la course à la puissance a un coût

Récemment, un “coup de froid” a secoué l’écosystème mondial de l’Intelligence artificielle. Une start-up chinoise jusqu’alors méconnue, DeepSeek, a affirmé avoir développé un modèle de langage de pointe pour le “coût dérisoire de 5,6 millions de dollars”. Cette annonce a semblé fragiliser la stratégie de Mistral AI, dont le positionnement est précisément fondé sur l’efficacité et la capacité à faire mieux avec moins de moyens que les géants américains.

Mais l’histoire ne s’arrête pas là. Une analyse approfondie du cabinet SemiAnalysis, citée dans le rapport, a révélé une tout autre réalité. Derrière la communication officielle, DeepSeek aurait en réalité investi 1,6 milliard de dollars en matériel, incluant un parc de cinquante mille GPUs Nvidia. L’image d’une IA chinoise frugale s’est alors fissurée.

Cette révélation confirme que la communication initiale relevait davantage d’une “stratégie d’influence” que d’une véritable rupture technologique. Le développement d’IA de pointe reste une course aux investissements colossaux, dont les coûts ne cessent de grimper, comme le souligne le rapport :

L’entraînement du modèle GPT-4 d’OpenAI aurait coûté de l’ordre de 78 millions de dollars, et celui du modèle Gemini Ultra de Google près de 191 millions.

Les USA ont clairement vu que l’IA n’est pas sobre. Leur plan stratégie pour IA prévoit la construction de nombreux datacenter, de lancer la production d’usine électriques utilisant des énergies fossiles ou pas. Pour cette économie de plateforme IA et Cloud. Il faut des usines à GPU (processeurs de calcul). C’est un point faible de la stratégie européenne qui veut bloquer l’artificialisation des sols et réduire la production d’énergie.

La souveraineté en danger : quand les règles européennes freinent l’innovation

La souveraineté européenne en matière d’Intelligence artificielle ne dépend pas seulement de sa capacité à produire des technologies. Elle est aussi conditionnée par un environnement réglementaire et économique qui, paradoxalement, peut se transformer en obstacle. On peut pointer du doigt plusieurs “rigidités institutionnelles et réglementaires” qui ralentissent l’adoption de l’IA sur le continent.

Des législations du travail en Allemagne, en Espagne ou en Italie, par exemple, rendent plus complexe la réorganisation des entreprises, pourtant nécessaire pour intégrer pleinement les gains de productivité de l’IA.

De plus, le principe du “human in the loop” (supervision humaine), bien qu’essentiel pour des raisons éthiques, crée des “goulots d’étranglement humains”. Pour analyser ce phénomène, le rapport s’appuie sur la “théorie de l’O-ring” de l’économiste Michael Kremer, qui explique que la performance d’un système complexe reste limitée par la performance de son maillon le plus faible.

L’Europe se trouve face à un dilemme complexe. Elle doit trouver un équilibre délicat entre la protection de ses valeurs sociales et de ses citoyens d’une part, et la nécessité de rester compétitive face à des régions du monde qui opèrent avec beaucoup moins de contraintes.

Les risques de sur règlementation IA par rapport aux USA et à la Chine

Le coût total de la mise en conformité des entreprises aux exigences réglementaires pourrait représenter environ 17 % du coût total de l’investissement dans l’IA. L’évaluation de la conformité représenterait 13 % du coût d’investissement dans les systèmes. Le respect du dispositif initial (RIA) pourrait engendrer des dépenses comprises entre 131 M€ et 345 M€ pour l’économie de l’Union européenne. Ces coûts pourraient peser sur la diffusion de la technologie.

L’approche par les risques du RIA (systèmes à haut risque, systèmes à usage général) est jugée complexe et source d’incertitudes pour les entreprises. Les opérateurs économiques expriment un attentisme et des préoccupations face à l’absence d’actes délégués et de lignes directrices qui devraient clarifier et stabiliser le classement des systèmes d’IA (SIA).

Charges administratives : La coexistence du RGPD (Règlement général sur la protection des données) et du RIA pourrait se traduire par des contraintes et des exigences croisées, générant des procédures de documentation fastidieuses, voire décourageantes, en l’absence de coordination des formalités.

La législation comme levier et condition de la souveraineté

Malgré les obstacles, le cadre législatif européen (et français) est en cours d’adaptation pour soutenir l’innovation et la souveraineté en matière d’IA.

Le RIA vise à établir un régime juridique uniforme à l’échelle de l’Union européenne pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans le respect des valeurs européennes. Le fait que le développement de l’IA soit encadré par le droit, la régulation et le dialogue est une condition.

La législation sur la protection des données (RGPD) est essentielle, mais les autorités de régulation (comme la CNIL) s’efforcent d’offrir des interprétations pragmatiques pour concilier l’innovation et les exigences de protection des données à caractère personnel, en autorisant notamment la description du type de système développé sans exiger la description exhaustive de toutes les applications futures.

Le droit de la responsabilité civile est en cours de consolidation. La nouvelle directive (UE) 2024/2853 sur la responsabilité du fait des produits défectueux formalise un régime de responsabilité sans faute qui élargit le champ des biens couverts aux logiciels et aux fichiers de fabrication numériques, et vise à appréhender les spécificités de l’IA.

La législation européenne, notamment le RIA et l’application du RGPD, introduisent des contraintes d’ordre financier et administratif importantes qui tendent à rendre l’adoption de l’IA en Europe plus mesurée qu’ailleurs. Toutefois, cette législation est intentionnellement conçue pour garantir que le développement de l’IA s’aligne sur les valeurs européennes (confiance, éthique, protection des données).

L’efficacité de cette approche dépendra de la capacité des pouvoirs publics à simplifier l’application des règles, à fournir rapidement le cadre normatif manquant et à utiliser les mécanismes de soutien et de souplesse pour compenser les rigidités. Un soutient indispensable sera la préférence européenne qui comme le font les USA peut faire emmerger des champions.

Le prix de la liberté : les 850 milliards d’euros que l’Europe doit trouver

Le levier stratégique concerne la puissance de calcul. La capacité de calcul est devenue une infrastructure stratégique, aussi vitale que les réseaux d’énergie ou de transport. Et sur ce plan, le retard de l’Europe est vertigineux.

Les chiffres parlent d’eux-mêmes : les géants américains du cloud (Amazon, Microsoft et Google) détiennent à eux seuls 72 % du marché européen, tandis que la part des fournisseurs européens a chuté de 27 % à seulement 13 % depuis 2017. Cette domination illustre une dépendance structurelle massive. Pour combler ce fossé, la recommandation chiffrée du rapport est spectaculaire : l’Union européenne devrait consentir un effort cumulé de 600 à 850 milliards d’euros d’ici 2030. Un chiffre à mettre en perspective avec le budget actuel du programme européen de supercalculateurs, EuroHPC, qui s’élève à seulement 7 milliards d’euros pour la période 2021-2027.

Cet investissement colossal n’est pas présenté comme un luxe, mais comme une condition sine qua non de la souveraineté future du continent. Le rapport conclut cette analyse par une formule philosophique et stratégique qui résume l’enjeu :

“En 2030, la liberté aura un prix concret : celui des processeurs.” En particulier les GPU qui sont des processeurs dédiées pour l’Intelligence artificielle. Avec le RHEA1, la France démontre qu’elle sait concevoir des processeurs de calcul.

Le message qui se dégage est clair : la France et l’Europe sont à un carrefour critique. Elles possèdent des atouts indéniables, notamment une excellence scientifique et un écosystème de start-ups dynamique, mais font face à des défis structurels colossaux en matière d’investissement, de réglementation et d’infrastructures.

La course à l’intelligence artificielle n’est pas seulement technologique. Elle est aussi, et peut-être surtout, industrielle, financière et politique. Elle demande des capitaux massifs, un cadre réglementaire agile et une volonté politique à toute épreuve.

La France veut être un leader. Elle m’en a plus les moyens seule.

Régis BAUDOUIN

Source :

Institut de l’entreprise : L’IA et l’évolution des compétences

La guerre hybride qui menace notre souveraineté

La France est confrontée à une intensification sans précédent de la guerre économique. Cette menace vise particulièrement la base industrielle et technologique de défense (BITD) et cherche à capter, contrôler et s’approprier des richesses pour accroître la puissance des compétiteurs stratégiques de la France.

La menace est décrite comme étant à la fois élevée, croissante et multiformes.

Quelles sont les formes de la menace ?

Les attaques contre les intérêts économiques et stratégiques français prennent plusieurs formes qui peuvent se combiner :

• Atteintes humaines : Celles-ci représentent plus d’un tiers des menaces et sont en hausse. Elles incluent l’espionnage, les indiscrétions internes de salariés, le chantage, ou encore le recrutement ciblé de compétences.
• Atteintes physiques : Elles représentent près d’une attaque sur cinq et ont quasiment doublé en un an. Il s’agit d’intrusions, de sabotages, de cambriolages, de dégradations ou de survols de sites sensibles par des drones.
• Cyberattaques : Leur nombre “explose”. En 2024, l’ANSSI a traité 4 386 “événements de sécurité”, soit une augmentation de 15 % par rapport à 2023. Ces attaques peuvent paralyser l’activité d’une entreprise, voire entraîner sa disparition.
• Menaces capitalistiques : Représentant 15 à 30 % des menaces, elles visent les entreprises financièrement fragiles par des prises de contrôle hostiles ou des investissements étrangers indirects. Le risque est la délocalisation, le transfert de technologies et la perte de souveraineté. Sans aller chercher du coté de nos ennemis, on voit bien que les USA ciblent des industries stratégiques en France. Ces acquissions se font dans le domaine des logiciels, de l’intelligence artificielle, du quantique.
• Menaces juridiques (Lawfare) : Certains États instrumentalisent le droit, notamment via des normes à portée extraterritoriale, pour entraver le développement d’entreprises concurrentes ou capter des données stratégiques. La politique actuelle de TRUMP le fait très officiellement.
• Menaces informationnelles et réputationnelles : Elles sont en augmentation et prennent la forme de campagnes de désinformation, de dénigrement ou de boycott pour déstabiliser les entreprises, souvent au moment où elles sont sur le point de remporter un marché à l’export. Lisez mon article sur TIKTOK, service chinois qui utilise son succès

Qui sont les cibles principales ?

La cible principale est la base industrielle et technologique de défense (BITD) française, qui compte 4 000 entreprises. Au sein de la BITD, les menaces se concentrent sur :

Les PME (Petites et Moyennes Entreprises) : 80 % des atteintes visent les PME, qui sont considérées comme le “maillon le plus faible” de la chaîne de valeur car elles sont moins bien dotées que les grands groupes pour se défendre. Mais surtout détiennent des savoir faire utilisés dans les grands groupes.

Les organismes de recherche : Les universités, écoles et laboratoires sont également des cibles de convoitise pour leur excellence et leur savoir-faire, et sont particulièrement vulnérables aux tentatives d’espionnage et d’ingérence. Du fait de leur ouverture et de leur mode de fonctionnement, elles sont moins prudentes.

Les secteurs stratégiques : Les domaines où la France possède une expertise reconnue, comme l’aéronautique et le spatial (un tiers des attaques), les logiciels de gestion, sont particulièrement visés.

D’où vient la menace ?

Les menaces proviennent de tous les compétiteurs stratégiques de la France. Ceci concerne aussi bien les alliées comme les USA que des adversaires comme la Russie ou la chine.

La Russie et la Chine sont identifiées comme les principales sources d’ingérences graves. La Russie reste très active en matière de cyberattaques et de désinformation, tandis que la Chine mène une stratégie de “pillage technologique”.

Des alliés stratégiques : La menace peut aussi émaner de pays alliés. Les États-Unis sont explicitement cités comme menant une “véritable guerre économique contre l’Europe” en utilisant des outils juridiques comme la réglementation “Itar” ou le Cloud Act pour favoriser leurs propres entreprises.

D’autres concurrents : Tous les États dotés d’une industrie de défense concurrente (Iran, Turquie, Israël, Corée…) ou cherchant à imposer des rapports de force économiques plus favorables sont des menaces potentielles.

La guerre économique généralisée, utilise tous les moyens disponibles pour affaiblir les entreprises stratégiques françaises, en particulier les PME de la défense, avec des attaques provenant aussi bien d’adversaires que d’alliés.

Les moyens mis en oeuvre pour contrer la menace

Face à l’intensification de la guerre économique, la France a mis en œuvre et renforcé une série de moyens pour protéger ses actifs stratégiques, en particulier sa base industrielle et technologique de défense (BITD). La France a longtemps fait preuve de naïveté. Les moyens mis en œuvre couvrent plusieurs domaines : le renforcement des services de l’État, la modernisation des outils juridiques, des mesures de financement et une nécessaire évolution des mentalités.

Le stockage numérique de données et l’utilisation des outils de messagerie représentent un enjeu crucial de cybersécurité et de souveraineté pour la France, en particulier pour la Base Industrielle et Technologique de Défense (BITD).

Voici les observations et recommandations principales concernant le stockage numérique, tirées des sources, notamment du rapport d’information sur la guerre économique de M. Christophe Plassard:

Menaces et Vulnérabilités liées au Stockage Numérique

La question de la cybersécurité est particulièrement aiguë en ce qui concerne le stockage numérique de données et les outils de messagerie.

La domination incontestée des grandes plateformes numériques étrangères crée de fortes externalités négatives et maintient un voile d’opacité sur l’utilisation des données sensibles des entreprises de la BITD. Ces entreprises stockent leurs données soit sur des serveurs situés à l’étranger, soit les confient à des prestataires (banques, cabinets de conseil, avocats, etc.) qui utilisent eux-mêmes des solutions étrangères.

Le droit américain, notamment le Patriot Act et le Cloud Act, autorise le FBI à obliger les entreprises, y compris les fournisseurs de services d’accès à internet ou de stockage de données, à communiquer toutes les données qu’ils ont pu collecter, même celles concernant des entreprises situées en dehors du territoire américain. La possibilité que des entreprises comme Microsoft soient juridiquement tenues de communiquer des données confidentielles de leurs clients aux autorités américaines ne peut être exclue. Cela a été reconnu lors de l’audition de sont directeur à l’assemblée nationale.

Nécessité de Solutions Souveraines

Le devoir de l’État est de protéger les données confidentielles qu’il partage avec les entreprises, et de la responsabilité de ces entreprises de protéger les données qui leur sont confiées.

Les données sensibles doivent être identifiées, transiter par des outils de télécommunications ou de messagerie sécurisés, et ne plus être stockées sur des serveurs situés à l’étranger (sans cloisonnement ni chiffrage). Ces données doivent être stockées sur des serveurs situés en France ou en Europe, afin d’être soumises à la réglementation européenne et à l’abri des atteintes étrangères, qu’elles soient légales ou illégales.

Une évolution progressive vers des solutions souveraines et sécurisées est considérée comme possible, car la France dispose des ressources technologiques et des compétences humaines nécessaires pour rehausser son niveau de sécurité. Accepter cette évolution implique toutefois d’accepter un certain niveau de surcoût, qui est une condition indispensable à la pleine souveraineté.

L’État, notamment via Bpifrance, a mis en place des dispositifs pour favoriser le développement d’une filière de stockage des données, permettant à des hébergeurs français d’émerger. Cependant, les acteurs français, qui constituent une alternative crédible, ne pourront se développer et acquérir une taille critique que s’ils reçoivent des commandes.

La réglementation doit imposer aux entreprises, y compris celles de la BITD, d’utiliser des solutions françaises ou européennes offrant un niveau de sécurité équivalent, et d’éviter certains prestataires lorsqu’il y a une incertitude sur la confidentialité des données. Cela renforcera la protection des données tout en favorisant le développement d’entreprises capables de concurrencer les grandes plateformes étrangères.

able. Le renforcement général des moyens de cyberdéfense, notamment par l’ANSSI pour les grands groupes et la DRSD (Direction du renseignement et de la sécurité de la défense) pour les PME de la BITD, vise également à mieux protéger les systèmes d’information et les données. La DGA a d’ailleurs mis en place un référentiel de maturité cyber pour accompagner les entreprises dans l’élévation de leur niveau de cybersécurité.

Renforcement des moyens et de l’organisation de l’État

L’État a consolidé les moyens budgétaires et humains alloués à l’intelligence et à la sécurité économiques, en se réorganisant pour mieux assurer ses missions.

• Au sein du Ministère des Armées :
  • La Direction Générale de l’Armement (DGA) a renforcé son rôle. La création en 2024 de la Direction de l’Industrie de Défense (DID) a permis de concentrer les moyens, avec une trentaine de créations de postes et de nouveaux leviers d’action (bureau cyber, campus OSINT) pour adopter une posture plus offensive. La DGA réalise près de 900 visites d’entreprises par an pour une connaissance fine du terrain.
  • Les services de renseignement (DRSD et DGSE) sont plus actifs en matière de contre-ingérence économique. Leurs moyens budgétaires et humains sont en hausse constante depuis 2018, dans le cadre des lois de programmation militaire. La contre-ingérence économique est devenue une priorité, avec des moyens tendant à rattraper ceux alloués à la lutte contre le terrorisme. La DGSE s’est même dotée en 2022 d’un service entièrement dédié à ce sujet.
• Au niveau interministériel :
  • Le Service de l’information stratégique et de la sécurité économiques (SISSÉ), créé en 2016, est monté en puissance, notamment depuis 2020. Ses effectifs ont augmenté et il s’appuie sur un réseau de 24 délégués régionaux. Il pilote la politique de sécurité économique, gère un répertoire d’actifs stratégiques sous surveillance constante et assure la coordination entre les ministères.
  • L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cyberdéfense, accompagnant les opérateurs les plus stratégiques. Ces moyens ont été élargis ces dernières années ainsi que ces compétences, je vous renvoie vers mon article sur ce sujet.

Modernisation et durcissement des outils juridiques et réglementaires

L’arsenal juridique français a été densifié pour s’adapter à l’évolution des menaces.

• Contrôle des Investissements Étrangers en France (IEF) : Ce dispositif a été modernisé et renforcé.
  • Élargissement : Le périmètre du contrôle a été étendu à de nouveaux secteurs (quantique, biotechnologies, etc.) et le seuil de déclenchement a été abaissé à 10 % pour les sociétés cotées.
  • Sanctions durcies : La loi PACTE a renforcé les sanctions en cas de non-respect des obligations.
  • Suivi strict : La DGA négocie des “lettres d’engagement” (plus de 200 sont actives) avec les investisseurs étrangers pour éviter le pillage technologique et assure un suivi rigoureux, assorti de pénalités.
• Réactivation de la “Loi de blocage” de 1968 : Longtemps inappliquée, cette loi a été modernisée pour protéger les entreprises françaises contre des demandes d’informations abusives d’autorités étrangères. Le SISSÉ a été désigné comme guichet unique, rendant le dispositif crédible et efficace. Le nombre de saisines a été multiplié par cinq.
• Renforcement de la Cyberdéfense :
  • L’ANSSI accompagne les grands groupes et opérateurs stratégiques.
  • Pour les PME de la BITD, la DRSD a créé en 2023 un centre de réponse aux incidents cyber (CERT-ED).
  • La DGA a mis en place un référentiel de maturité cyber qui deviendra une exigence contractuelle. Pour aider les PME, un “Diag Cyber” cofinancé par l’État a été créé.
• Protection du Potentiel Scientifique et Technique (PPST) : Ce dispositif permet de protéger les savoirs et technologies sensibles, notamment via la création de “Zones à Régime Restrictif” (ZRR). Le rapport préconise de le rendre plus contraignant pour les entités les plus critiques.

Mesures de financement et de soutien aux entreprises

Face aux menaces capitalistiques et aux difficultés d’accès au financement pour les PME, plusieurs initiatives ont été lancées.

• Fonds d’investissement publics :
  • L’État a créé des fonds dédiés comme Definvest (pour les PME stratégiques), le Fonds pour l’innovation de défense, et le fonds French Tech Souveraineté pour contrer les prises de contrôle hostiles.
  • Le rapport recommande de renforcer les moyens budgétaires de ces fonds, jugés encore insuffisants.
• Mobilisation de l’épargne privée :
  • Le gouvernement a annoncé en mars 2025 le lancement d’un fonds de private equity accessible aux particuliers pour investir dans la défense.
  • Il est régulièrement évoqué la nécessité de créer un “livret défense et souveraineté” ou de flécher une partie de l’épargne réglementée (Livret A, LDDS) vers les PME de la BITD.

Évolution des mentalités et posture offensive

Au-delà des outils, La France doit adopter une véritable prise de conscience et un changement de posture.

Les services de l’État (DRSD, DGSI, SISSÉ) multiplient les actions de sensibilisation auprès des entreprises et des organismes de recherche sur les risques et les bonnes pratiques. Une attention particulière est portée aux étudiants des écoles d’ingénieurs.

La France doit moins subir et être plus proactive. Cela passe par un meilleur usage de l’intelligence économique pour gagner des parts de marché, une meilleure coordination entre services de renseignement et entreprises, et un renforcement de la “guerre cognitive” pour imposer sa vision du monde.

La France doit œuvrer pour une Europe “moins naïve” et moins universaliste. Les blocs économique s’opposent c’est une réalité.

Par Régis BAUDOUIN

TIKTOK et la Chine

Concernant se réseau social, c’est une société contrôlée par la Chine. Même si l’entreprise présente un visage international. Au bout du bout c’est un contrôle politique.

Structure de l’entreprise et contrôle chinois

Malgré les efforts de l’entreprise ByteDance pour présenter une séparation totale avec la Chine, les enquêtes parlementaires établissent que des liens étroits persistent à plusieurs niveaux.

TikTok appartient à ByteDance Ltd, une société enregistrée aux îles Caïmans pour des raisons d’opacité. Bien que le PDG de TikTok, Shou Zi Chew, ait affirmé devant le Congrès américain que ByteDance est une entreprise internationale détenue par des investisseurs américains, la commission d’enquête française souligne que son fondateur chinois, Zhang Yiming, détient 20 % du capital et exercerait en réalité le contrôle. Ceci serait possible grâce à une structure de type “variable interest entities” (VIE), courante pour les entreprises chinoises, qui permet à un actionnaire minoritaire de contrôler la société. Zhang Yiming est lui-même soumis à un contrôle renforcé des autorités chinoises.

Les représentants de TikTok nient systématiquement tout lien avec la Chine, en présentant ByteDance comme une entreprise internationale et en affirmant une “séparation totale” entre TikTok et la branche chinoise de ByteDance (nommée Douyin). Cependant, les commissions d’enquête françaises jugent que ces “deux axes de défense ne tiennent pas”.

Compte tenu de la nature du régime chinois, il est évident que ces déclarations sont trompeuses.

Dépendance technologique et opérationnelle

Les sources indiquent une forte dépendance de TikTok envers les ressources et les technologies basées en Chine.

Le rapport de la commission d’enquête du Sénat montre que TikTok dépend des technologies, des brevets et des ingénieurs de sa branche à Pékin. Cette branche chinoise est décrite comme le “véritable cœur de la société ByteDance” et est soumise au contrôle direct des autorités chinoises via une “golden share” (une action spécifique qui donne des droits de vote importants à son détenteur, ici l’État chinois).

Lorsque les autorités américaines ont envisagé de forcer ByteDance à vendre TikTok à un concurrent, le gouvernement chinois a vivement réagi, arguant que des “technologies nationales essentielles sont en jeu”.

Le rôle du Parti Communiste Chinois et les stratégies d’influence

Les entreprises numériques chinoises, y compris TikTok, sont considérées comme des acteurs clés dans les stratégies d’influence menées par la Chine. C’est le soft power à la chinoise. Plus fin que les USA, il présentent des entreprises internationales comme indépendance du pouvoir dans un pays qui ne fait pas de différence entre le politique et l’économique.

Le PCC exerce un “contrôle étroit” sur ces entreprises via divers moyens, comme la création de cellules du parti au sein des sociétés ou l’acquisition de “golden shares”. Le développement de ces entreprises ne peut se faire sans un “soutien affirmé des autorités chinoises”.

La Chine a développé une stratégie de “guerre cognitive”, et le succès mondial de TikTok (plus d’un milliard d’utilisateurs) la rend particulièrement vulnérable aux pressions de Pékin pour relayer sa propagande ou censurer des contenus. L’algorithme de TikTok pourrait être paramétré pour défendre un agenda politique, en mettant en avant des contenus radicaux ou en censurant des sujets sensibles pour la Chine.

Tiktok fait la promotion de contenus équivoques et polémiques selon les pays. Principalement à destination de la jeunesse.

Collecte, transfert et utilisation des données

La gestion des données des utilisateurs européens constitue une préoccupation majeure, notamment en ce qui concerne leur transfert vers la Chine.

Les enquêtes ont mis en évidence des “transferts de données d’utilisateurs de TikTok vers la Chine et vers des ingénieurs basés en Chine”. Ces partages de données avec des entités du groupe situées en Chine sont justifiés de manière opaque pour “assurer certaines fonctions”.

Pour rassurer les utilisateurs européens, TikTok a annoncé le projet “Clover”, visant à stocker leurs données en Europe. Cependant, ce projet est jugé insuffisant car il maintient la possibilité de transférer des données vers la Chine et d’y autoriser des accès à distance pour les ingénieurs et salariés. Attention la législation chinoise est extraterritoriale dans ce domaine.

L’accès des autorités chinoises aux données collectées par TikTok pourrait leur permettre d’initier des actions d’espionnage, de collecter des informations sur des individus en vue d’une cyberattaque, ou de lancer des campagnes de désinformation. Des faits avérés d’espionnage et de géolocalisation de journalistes enquêtant sur TikTok ont déjà été rapportés.

Danger pour la jeunesse

Plusieurs préoccupations majeures émergent concernant les effets psychologiques et la sécurité des mineurs sur TikTok. Ces inquiétudes sont alimentées par la conception même de la plateforme, la nature des contenus qui y sont diffusés et les mécanismes algorithmiques qui les amplifient.

L’exposition à une multitude de contenus néfastes

Une préoccupation centrale est la large diffusion de contenus dangereux qui mettent directement en péril la santé physique et mentale des jeunes utilisateurs.

La plateforme regorge de vidéos, musiques et images qui banalisent, voire glorifient le suicide et l’automutilation, les présentant parfois comme une solution ou une libération. Des témoignages poignants rapportent des publications telles que « la nuit porte conseil. Moi, elle m’a conseillé de prendre un tabouret et une corde ». Pire encore, TikTok se transforme en un véritable « manuel d’autodestruction », fournissant des tutoriels détaillés sur les techniques de scarification (par exemple, avec une lame de taille-crayon), les médicaments à utiliser pour mettre fin à ses jours, ou encore des astuces pour dissimuler ses blessures aux parents.

TikTok diffuse massivement des normes physiques inatteignables et maladives, faisant la propagande de la maigreur excessive. Des discours culpabilisants comme « Tu n’es pas moche, tu es juste grosse » ou « Si tu ressens la faim, c’est que tu es sur la bonne voie » y sont courants, normalisant des comportements alimentaires dangereux. Des régimes drastiques et des astuces pour se faire vomir sont également partagés, contribuant directement à l’apparition ou à l’aggravation des TCA. Le hashtag #SkinnyTok a notamment inondé la plateforme de contenus valorisant la maigreur extrême, atteignant 97 millions de vues en un mois avant d’être finalement bloqué sous la pression publique.

L’application est un terreau fertile pour les « charlatans » et la désinformation. Des non-professionnels de santé y prodiguent des conseils douteux, parfois complotistes. La psychologie et la psychiatrie y sont souvent caricaturées, avec des conseils absurdes (« manger une orange sous la douche pour réduire l’anxiété ») ou dangereux, comme l’incitation à l’abstention thérapeutique. Cela mène à de nombreux autodiagnostics douteux basés sur les contenus vus en ligne.

Les mineurs sont exposés à une violence verbale décomplexée (insultes, harcèlement) et à des images de violence physique crue et morbide (torture, accidents mortels, tueries de masse). Des contenus antisémites, racistes, prosélytismes prolifèrent.

Les mécanismes de dépendance et d’enfermement algorithmique

Le modèle économique et la conception technique de TikTok sont au cœur des préoccupations, car ils sont pensés pour créer une dépendance et enfermer les utilisateurs, particulièrement les plus vulnérables.

L’algorithme de TikTok est particulièrement efficace pour cerner rapidement les intérêts des utilisateurs et les maintenir sur la plateforme le plus longtemps possible. Le format de vidéos très courtes, le défilement infini et la personnalisation accrue créent un « cocktail détonant ». Certains psychologues parlent d’« addictivité » voire d’« abrutissement ». Ce modèle, basé sur l’économie de l’attention, a pour finalité unique le profit, sans considérations éthiques pour la santé des utilisateurs.

L’algorithme a tendance à enfermer les utilisateurs dans des « bulles de filtre » dangereuses. Une étude a montré que les profils marquant un intérêt pour la santé mentale se voient proposer 12 fois plus de vidéos liées au suicide que des profils standards. Ce phénomène, connu sous le nom d’« effet terrier de lapin » (rabbit hole effect), est particulièrement puissant sur TikTok : un adolescent peut passer d’une vidéo de danse à des contenus anxiogènes sur le suicide et s’y retrouver piégé. Cela donne le sentiment que le monde se construit selon ce standard et que toutes le contenus parlent de ce sujet.

La plateforme exploite les vulnérabilités psychologiques des jeunes pour maximiser leur engagement et ses profits. Elle collecte massivement des données pour deviner leur état émotionnel et leur niveau de bien-être, afin de leur proposer des contenus ultrapersonnalisés. Ainsi, TikTok ne se contente pas d’aggraver des troubles préexistants ; il peut également contribuer à en faire naître chez des mineurs qui allaient bien auparavant.

L’insuffisance de la protection et de la sécurité des mineurs

Malgré un cadre légal et des règles communautaires en apparence protectrices, la sécurité des mineurs est en pratique très mal assurée sur TikTok.

L’interdiction d’accès aux moins de 13 ans repose sur une date de naissance purement déclarative, sans véritable vérification. Les mineurs peuvent donc très facilement mentir sur leur âge pour accéder à la plateforme et à l’ensemble de ses fonctionnalités, s’exposant ainsi à des contenus et des interactions non adaptés. Cette « cécité opportuniste et dangereuse de TikTok sur l’âge réel de ses utilisateurs » rend les mesures de protection largement inopérantes.

Malgré des règles communautaires interdisant les contenus dangereux, la modération est jugée « largement insuffisante, inégale et négligente ». De nombreux témoignages confirment que des signalements de contenus manifestement néfastes (incitation au suicide, automutilation) aboutissent souvent à une réponse indiquant « Aucune infraction trouvée ». Les techniques de contournement de la modération (mots-clés détournés, émoticônes comme le zèbre pour la scarification) sont largement utilisées et la plateforme manque de réactivité pour les contrer.

Des documents internes révélés par la justice américaine montrent que TikTok a connaissance depuis au moins 2019 des effets néfastes de son application sur la santé mentale des jeunes, mais a minimisé ces dangers au profit de stratégies de communication. Les grands nom du tabac ont fait pareil pendant des années au sujet du lien cancer des poumons et tabagisme.

Actions à prendre immédiatement pour contrer l’influence de TIKTOK

Préconisations relatives à la sécurité et à la protection des données

Face aux risques posés par les liens persistants de TikTok avec la Chine, le rapport parlementaire formule plusieurs exigences clés :

• Étendre l’interdiction de TikTok : Le rapport préconise d’élargir l’interdiction de l’application aux personnels des opérateurs d’importance vitale (OVI) et, à terme, à d’autres entités stratégiques.
• Renforcer la protection des données européennes : Il est demandé à TikTok de prouver que son projet « Clover » protégera efficacement les données des utilisateurs européens. En cas d’échec, une alternative plus sécurisée devrait être mise en place, avec un opérateur de confiance basé dans l’UE et des logiciels européens, dans un délai maximum d’un an.
• Exiger la transparence de la maison mère ByteDance : Le rapport exige que ByteDance Ltd., enregistrée aux Îles Caïmans, clarifie ses statuts et les droits de vote au sein de son conseil d’administration. Si un contrôle par les fondateurs chinois est avéré, la Commission européenne devrait exiger une modification des statuts ou la vente de leurs parts.
• Possibilité de suspension de l’application : Le gouvernement est invité à suspendre TikTok en France et à demander sa suspension au sein de l’UE si la plateforme ne répond pas aux questions clés et n’applique pas les mesures demandées.

Préconisations relatives à la santé mentale et à la protection des mineurs

Les rapports soulignent les effets dévastateurs de TikTok sur la santé mentale des jeunes et appellent à des mesures fortes pour leur protection.

• Interdiction d’accès pour les plus jeunes : Il est préconisé d’interdire l’accès aux réseaux sociaux (dont l’objet principal n’est pas l’échange de messages) aux mineurs de moins de 15 ans, au niveau national et, idéalement, européen. Une évaluation est suggérée en 2028 pour potentiellement élever cette limite à 18 ans.
• Vérification stricte de l’âge : Les plateformes doivent mettre en place un système de vérification de l’âge performant et obligatoire, via un tiers de confiance indépendant et sécurisé, développé au niveau européen.
• Limitation du temps d’utilisation : Pour les mineurs, il est proposé d’instaurer un blocage de l’application au bout de 60 minutes d’utilisation. Pour les 15-18 ans, un couvre-feu numérique de 22h à 8h est également suggéré.
• Modification du design des applications pour les mineurs : Les recommandations incluent l’interdiction du défilement infini pour les comptes mineurs, la suppression des fils de recommandation de type « Pour Toi » au profit d’un fil chronologique basé sur les abonnements volontaires, et l’interdiction des lives permettant des dons pour les moins de 18 ans.

Préconisations relatives à la régulation des contenus et à la transparence

L’opacité de l’algorithme et l’inefficacité de la modération sont au cœur des critiques.

• Améliorer la modération : TikTok doit détailler publiquement ses mesures de transparence et de modération, augmenter les moyens de la modération francophone, retirer proactivement les fausses informations et assurer la transparence sur ses techniques d’invisibilisation (shadowbanning).
• Accroître la transparence de l’algorithme : Le rapport du Sénat exige que TikTok crée des interfaces de programmation (API) pour donner un large accès aux chercheurs, afin d’évaluer le respect de ses obligations. L’Assemblée Nationale appelle au pluralisme algorithmique, permettant aux utilisateurs de choisir entre différents systèmes de recommandation.
• Responsabiliser les plateformes : Une proposition forte est de traiter TikTok comme un éditeur pour son fil « Pour Toi », le tenant ainsi responsable de son contenu. Une réflexion sur l’évolution du statut juridique des réseaux sociaux vers celui d’éditeur est également suggérée.
• Renforcer les signaleurs de confiance : Il est recommandé de soutenir financièrement les signaleurs de confiance et d’en désigner de nouveaux, spécialisés notamment dans la santé mentale.

Préconisations en matière d’éducation et de prévention

La sensibilisation et l’éducation sont considérées comme des piliers essentiels pour un usage raisonné des réseaux sociaux.

• Campagnes de sensibilisation massives : Il est préconisé de lancer des campagnes nationales sur les risques liés aux réseaux sociaux et de faire des préconisations de la commission « enfants et écrans » la référence pour toutes les administrations.
• Intensifier l’éducation au numérique : L’éducation au numérique doit être intensifiée et renouvelée dès l’école primaire (CP) et intégrer pleinement les enjeux de santé mentale. Les équipes éducatives doivent également être mieux formées.
• Mieux accompagner les parents : Le rapport de l’Assemblée Nationale insiste sur la nécessité de proposer aux parents des ressources dédiées pour gérer l’utilisation des réseaux par leurs enfants, notamment en améliorant le site jeprotegemonenfant.gouv.fr.

A la lecture de ces rapport mais aussi de rapports d’autres structures en France et à l’étranger, on constate que Tiktok concentre les critiques. Dans le guerre que ce livrent les bloc Europes, USA et Chine, ce réseau a un role particulier au service de le Chine.

Tiktok formatage la jeunesse par l’addiction, l’exposition à des contenus inadaptés, la diffusion d’idées et d’opinions présentées comme partagées mais amplifiées par l’effet des spirales.

La version chinoise de Tiktok ne pratique pas de la même façon. Pour l’ensemble de ces raison, il faudrait réguler très fortement cet entreprise car c’est un instrument d’influence politique et pas un réseau social innocent.

Sources :

Rapport commission enquête parlementaire.

Les USA veulent garder leur leadership en intelligence artificielle. On a la chance qu’ils publient un document sur le sujet. On peut l’analyser ensemble. Vous allez voir que tous les coups sont permis.

Le plan d’action pour l’IA des Etats unis, intitulé “Winning the Race: AMERICA’S AI ACTION PLAN” et publié en juillet 2025, a pour objectifs principaux de garantir la domination technologique mondiale des États-Unis dans le domaine de l’intelligence artificielle.

Face à la Chine mais aussi à l’Europe, il est impératif pour les États-Unis et leurs alliés de gagner cette course à l’IA. Celui qui possédera le plus grand écosystème d’IA établira les normes mondiales et en tirera d’importants avantages économiques et militaires.

La victoire dans cette course devrait également inaugurer un “âge d’or” de prospérité humaine, de compétitivité économique et de sécurité nationale pour le peuple américain, déclenchant une révolution industrielle, une révolution de l’information et une renaissance simultanées.

J’ai repris ici l’esprit de ce document, on voit bien la nature un peu messianique du texte.

Le plan d’action repose sur trois piliers stratégiques

Pilier I : Accélérer l’innovation en IA Ce pilier vise à faire en sorte que l’Amérique dispose des systèmes d’IA les plus puissants au monde et qu’elle soit le leader mondial dans l’application créative et transformative de ces systèmes. Pour ce faire, le gouvernement fédéral doit créer les conditions propices à l’épanouissement de l’innovation menée par le secteur privé.

Il s’agit de soutenir l’IA open-source, de faciliter l’adoption de l’IA dans l’industrie et le gouvernement.

Coté humain, il faut développer des compétences de main-d’œuvre américaine.

Il faudra investir dans la fabrication de puces nouvelle génération et la science basée sur l’IA.

Construire des data center scientifiques de classe mondiale,

Enfin, lutter contre les médias synthétiques (deepfakes).

En lisant cela, on voit mieux ce qui se passe actuellement avec la politique douanière et migratoire aux Etats unis. Finalement c’est cohérent. En résumé protéger l’industrie américaine de pointe et lui donner les moyens de dominer les autres. Rapatrier le savoir faire de conception et production aux Etats unis. Mettre les compétences humaines des américains sur ces sujets.

Pilier II : Construire l’infrastructure américaine de l’IA Ce pilier met l’accent sur la nécessité de construire et de maintenir une vaste infrastructure d’IA ainsi que l’énergie nécessaire pour l’alimenter.

Cela inclut la multiplication les centres de données, des installations de fabrication de semi-conducteurs et l’infrastructure énergétique. Il faut donc simplifier les procédures d’installation de de fonctionnement par les législations favorables. Cela ne va pas dans le sens de la sobriété numérique. Les enjeux environnementaux vont passer au second plan.

Il est également essentiel de développer un réseau de production électrique capable de suivre le rythme de l’innovation en IA. La préoccupation des USA sur l’énergie s’explique par les besoins à venir en électricité.

Pilier III : Mener la diplomatie et la sécurité internationales en matière d’IA Pour réussir la compétition mondiale en IA, les États-Unis doivent non seulement promouvoir l’IA au niveau national, mais aussi stimuler l’adoption des systèmes, du matériel informatique et des normes d’IA américains dans le monde entier.

Ce pilier vise à exporter l’IA américaine vers les alliés et partenaires, à contrer l’influence chinoise dans les organismes de gouvernance internationale, à renforcer l’application du contrôle des exportations de calcul d’IA.

C’est en cours de mise en place avec les taxes sur les ventes de NVIDIA à la chine. Cette taxe de 15% est complétement inédite. Les USA posent aussi des conditions de puissance aux puces vendues en Chine.

Légiférer pour réduire les contraintes règlementaires à l’IA

Le plan prévoit des mesures significatives concernant la réglementation de l’intelligence artificielle (IA), axées principalement sur la réduction des obstacles et l’accélération de l’innovation.

Voici les points clés concernant la réglementation ou la non règlementation :

Suppression de la bureaucratie et des réglementations contraignantes :

• Le plan vise à supprimer la bureaucratie et les réglementations pour permettre au secteur privé de maintenir le leadership mondial en matière d’IA.
• L’IA est jugée trop importante pour être étouffée par la bureaucratie
• Le président Trump a déjà pris des mesures en ce sens, notamment en annulant le décret exécutif 14110 l’IA, qui laissait présager un régime réglementaire contraignant.

Promotion de la liberté d’expression et des valeurs américaines dans l’IA :

• Le plan souligne la nécessité que les systèmes d’IA soient exempts de préjugés idéologiques et conçus pour rechercher la vérité objective, plutôt que des programmes d’ingénierie sociale.
• Le ministère du Commerce (DOC), par l’intermédiaire du National Institute of Standards and Technology (NIST), révisera le cadre de gestion des risques de l’IA du NIST pour éliminer les références à la désinformation, à la diversité, à l’équité et à l’inclusion, et au changement climatique.
• Les directives d’approvisionnement fédérales seront mises à jour pour s’assurer que le gouvernement ne conclut des contrats qu’avec des développeurs de modèles de langage de grande taille (LLM) de pointe qui garantissent que leurs systèmes sont objectifs et exempts de biais idéologiques .

Infrastructures et énergie

Le plan vise à simplifier les permis pour les centres de données, les installations de fabrication de semi-conducteurs et les infrastructures énergétiques.

Le plan prévoit également de rendre les terres fédérales disponibles pour la construction de centres de données et d’infrastructures de production d’énergie.

Volet industriel du plan

Le plan américain sur l’intelligence artificielle (IA) prévoit un volet industriel ambitieux, visant à faire des États-Unis le leader mondial de l’IA et à en récolter les bénéfices économiques et militaires. Ce volet se caractérise par une déréglementation, un soutien à l’innovation, un développement massif des infrastructures et un renforcement de la fabrication nationale.

1. Soutenir la Fabrication de Nouvelle Génération de devices :
   • L’IA permettra des innovations majeures dans le monde physique, telles que les drones autonomes, les voitures auto-conduites et la robotique. Il est crucial que les États-Unis et leurs alliés soient des fabricants de premier ordre de ces technologies et de ces produits.

Ce soutien est en ligne avec les droits de douanes pour re industrialiser les USA et les exigences d’investissements des entreprises étrangère sur le sol américain. Dans le même temps le gouvernement US a pris une participation de 10% dans le concepteur de puces Intel

Construire les Infrastructures Américaines de l’IA :

• L’IA nécessitera de nouvelles infrastructures massives, notamment des usines pour produire des puces, des centres de données pour faire fonctionner ces puces et de nouvelles sources d’énergie pour alimenter le tout.

Ce plan va nécessiter de supprimer une bonne partie de la législation écologique. Ce type d’infrastructure combine un énorme besoin ,d’eau, de surface d’énergie et de terres rares. Tout ce que la législation européenne préconise à sens inverse.

Restaurer la Fabrication Américaine de Semi-conducteurs :

• Le plan insiste sur la nécessité de ramener la fabrication de semi-conducteurs sur le sol américain. Une industrie de puces américaine revitalisée créera des milliers d’emplois bien rémunérés, renforcera le leadership technologique et protégera les chaînes d’approvisionnement. Cet objectif peut prendre plus de 10 ans tant l’industrie des puces est actuellement en Asie.
• Des mesures seront prises pour renforcer l’application des contrôles à l’exportation pour les capacités de calcul de l’IA et pour combler les lacunes des contrôles existants sur l’exportation de semi-conducteurs, notamment en développant de nouveaux contrôles sur les sous-systèmes de fabrication de semi-conducteurs.

Les USA veulent maitriser à la fois la production et l’usage qui sera fait des puces GPU. C’est déjà le cas avec les contraintes qu’ils ont imposé à NVIDIA.

Développer le Réseau Électrique pour l’IA :

• Le réseau électrique américain sera modernisé pour soutenir les centres de données et d’autres industries énergivores du futur.
• Cela implique de stabiliser le réseau existant, d’optimiser les ressources et de privilégier l’interconnexion de sources d’énergie fiables et pilotables, ainsi que d’adopter de nouvelles sources d’énergie à la pointe de la technologie (géothermie améliorée, fission et fusion nucléaires).

On en vient au nucléaire qui a été abandonné par les USA et qui va redevenir une priorité. Laissant de cote le renouvelable qui ne permet pas de fournir un flux continu d’énergie à bas cout.

Former une Main-d’œuvre Qualifiée pour les Infrastructures de l’IA :

• Le plan prévoit d’investir dans la main-d’œuvre qui construira, exploitera et entretiendra l’infrastructure de l’IA.
• Une initiative nationale sera lancée pour identifier les métiers prioritaires essentiels à la construction des infrastructures liées à l’IA, développer des cadres de compétences modernes et soutenir les programmes de formation axés sur l’industrie. Des programmes d’apprentissage seront développés.

Avec ce document les USA ont le mérite de bine poser leurs ambitions. Privilégier le leadership au delà de toute autre considération. L’écologie ne doit pas entraver le progrès ni le profit. La croissance se fera au dépend des autres compétiteurs. Le libéralisme est assisté par la politique fédérale.

Source

Plan USA pour gagner la course à l’IA

Au milieu de tout cela on trouve les smartphones, les consoles et les PC.

Les ado et le numérique

Les usages numériques des adolescents, particulièrement ceux âgés de 11 à 15 ans, sont bien plus complexes et divers que les clichés habituels d’abêtissement et d’addiction ne le suggèrent. En particulier les jeunes sont bien plus actifs et conscients que victimes.

Une étude française récente, intitulée “Numérique adolescent et vie privée“, menée par Mehdi Arfaoui et Jennifer Elbaz de la CNIL, a éclairé cette entrée dans le monde numérique, se basant sur une revue de littérature scientifique, 130 entretiens avec des collégiens et 600 questionnaires remplis par des parents.

Une entrée progressive et diversifiée dans le numérique

L’arrivée dans le monde numérique n’est pas brutale, comme souvent imaginé à l’entrée en 6ᵉ, mais se fait plutôt par étapes, souvent via la tablette ou l’ordinateur familial, ou le téléphone des parents, et toujours au sein du foyer. Les parents sont présents durant cette étape et en profitent pour instaurer les premières règles.

Dès l’acquisition de leur premier terminal, souvent à l’entrée en 6ème, l’usage est avant tout pour rester en contact avec les copains. Coté parents, c’est pour pister et contacter le petit à tout moment

Contrairement aux idées reçues, les enfants ne se précipitent pas sur des plateformes comme Instagram ou TikTok une fois équipés d’un appareil individuel. Ces réseaux sont perçus avec méfiance par les plus jeunes et leurs parents. De plus maintenant des limites d’âges existent pour ouvrir un compte.

Autre usage majeur pour les jeunes en collège publique Pronote et environnements numériques de travail (ENT). Ce logiciel édité par DOCAPOSTE s’est imposé comme le doudou des enfants et des parents pour les rapport entre le collège et les familles.

Les jeux vidéo en priorité

Derrière les usages scolaires, les jeux vidéos sont très utilisés soit sur smartphone soit sur console. Les jeux ne sont pas les mêmes selon le sexe. En clair on reproduit les mêmes schémas que les jeux de la vraie vie (IRL). Les garçons et les filles n’ont pas les mêmes centres d’intérêts.

Les jeux vidéo sont perçus par les adolescents et leurs parents comme un loisir moins risqué que les plateformes sociales. Les adolescents prêtent moins d’attention aux risques liés à l’exploitation commerciale de leurs données par les plateformes de jeux, car ils en ont rarement fait l’expérience concrète.

Les jeux vidéo jouent un rôle primordial dans la vie sociale des adolescents. Ils agissent comme un « espace de vie sociale partagé avec les pairs », permettant de consolider les relations et de renouveler les expériences de sociabilité. Ils offrent également des opportunités techniques et culturelles pour l’invention et l’affirmation de soi à l’adolescence, une période d’expérimentation identitaire importante. L’orientation vers certains types de jeux vidéo est d’ailleurs fortement liée à des facteurs sociaux comme l’âge, le genre et la classe sociale.

La musique en permanence

Une caractéristique du numérique, c’est que l’écoute de la musique a été totalement modifiée. Avec le smartphone via le casque ou les écouteurs. Les ados sont connectés à leurs musiques en permanence. Les playlists sont celles de leur fournisseur de contenus (spotify, deezer, Amazon) ou des morceaux téléchargés.

Les adolescents consomment de la musique en ligne principalement via le streaming. Environ 89 % des adolescents écoutent de la musique quotidiennement sur leurs smartphones. Le streaming musical est devenu un réflexe, particulièrement durant les déplacements. Les plateformes comme YouTube, Spotify et Deezer sont les plus fréquemment utilisées pour accéder à une grande variété de genres musicaux.

Les jeunes consacrent en moyenne environ une heure et demie par jour, soit environ 8 heures par semaine, à l’écoute musicale. Une étude indique que 54 % des adolescents écoutent au moins deux heures de musique par jour, et 17,4 % écoutent jusqu’à cinq heures ou plus. La musique accompagne leurs activités quotidiennes, qu’il s’agisse de faire leurs devoirs, de se déplacer, ou même de s’endormir, puisque 52,2 % des adolescents s’endorment en écoutant de la musique.

Les goûts musicaux des adolescents sont dominés par le rap, suivi de près par la pop, le rock et la musique électronique. Ils sont également très actifs sur les réseaux sociaux, qui influencent fortement leurs choix musicaux, avec plus de 90 % des jeunes visitant régulièrement ces plateformes. En outre, 70 % des jeunes créent des playlists en ligne, bien que seulement 10 % les partagent publiquement. L’écoute en casque est très répandue, avec 87,4 % des jeunes utilisant des écouteurs ou un casque, et un tiers d’entre eux écoutant deux heures ou plus par jour avec.

L’acquisition des réseaux sociaux et la négociation parentale

L’inscription sur les messageries (comme WhatsApp) et les réseaux sociaux (Snapchat, Instagram, tiktook) vient après. Ces outils sont principalement utilisés pour communiquer avec la famille, les amis ou la classe. Chaque ouverture de compte fait l’objet d’une négociation. Les usages et règles sont négociés. Cela à une telle valeur que c’est aussi l’objet de punitions de privation. L’usage de départ est de faire partie d’un groupe, pour échanger ou regarder ceux qui produisent des contenus. Peu de jeunes produisent eux même les contenus qu’ils regardent. C’est 1% des usagers qui sont actifs.

L’environnement externe agit sur les réseaux autorisés. Tiktok est un réseau souvent mis en accusation et doit être négocié plus que les autres. Source de perte de temps et d’exposition à des contenus extrêmes, ce réseau est un vrai danger à cet âge.

Un parcours non linéaire et en constante renégociation

L’introduction au monde numérique n’est pas linéaire. A cette âge les ado changement et évoluent dans leurs pratiques et leurs gouts.

Les choix et les introductions d’applications sont constamment remis en cause et renégociés, dans un parcours fait de “tâtonnements, de moments de désappropriation ou de réappropriation des outils numériques”.

Déjà, les parents peuvent réévaluer leurs décisions. Ils exigent des contreparties aux réseaux, soit sous forme de résultats scolaires, ou sous forme d’obéissance. De leur côté, les adolescents remettent en question leurs comportements passés, effacent des publications anciennes et changent radicalement d’habitudes, illustrant une appropriation dynamique et exploratoire.

La pratique amène la maitrise aussi par l’expérience et les déconvenues. La suppression de contenus passés est courante. La culture de l’historique et du souvenir n’est pas ancrée chez les ado.

Les adolescents, loin d’être naïfs face à la vie privée

Nous pensons que les ado sont insouciants et naïfs vis à vis des réseaux sociaux.

Les adolescents déploient un véritable arsenal de stratégies pour limiter leur exposition et protéger leur vie privée en ligne. Ces stratégies incluent l’anonymisation des pseudonymes, l’utilisation de comptes privés, la multiplication des comptes, la suppression régulière de contenus, la préférence pour les “stories” éphémères, et la norme tacite du “no face” (absence de visage sur les photos de profil).

Cette maîtrise ne s’acquiert pas par une éducation institutionnelle, mais principalement par un savoir circulant entre pairs, nourri par l’expérimentation et les retours d’expérience. Ils distinguent fortement les pratiques de “consommation” et de “production” de contenu, la majorité se détournant de la production active en raison des risques bien identifiés.

Quand on dit qu’un ado est sur les réseaux, en fait il consomme des contenus. Très peu produisent. Ils sont plus exposés à des contenus qui peuvent jouer sur les opinion ou leurs informations. Avoir des idées et produire des contenus n’est pas leur préoccupation. Même, ils considèrent ceux qui le font comme plutôt anormaux.

Concernant les risques sur les réseaux, leur vigilance repose sur les risques concrets (moqueries, harcèlement, vol de compte, pornodivulgation), plutôt que sur des risques perçus comme abstraits (collecte de données personnelles par les plateformes). C’est en ce sens qu’il sont de bon clients pour les annonceurs. La collecte de données se fait en douceur auprès d’une population qui est sensible à d’autres enjeux.

Sources :

Etude CNIL Numérique adolescent et vie privée

Pause : Les jeux vidéo et votre ado: une passion harmonieuse ou obsessive?

Emergence : Quelle musique écoutent les ados ? Une étude sur le genre musical préféré des jeunes et leur consommation musicale.

Le processeur haute performance européen est annoncé en phase de production. Il est conçu en partie en France.

Le projet Rhea1 est le nom donné au processeur hautes performances de première génération développé par la société française SiPearl. Il est conçu spécifiquement pour le calcul haute performance (HPC) et vise à équiper les supercalculateurs européens (dit exascale en anglais).

Quelques mots sur SiPearl le concepteur du Rhea1

SiPearl est une entreprise basée en France. elle a été créée en juin 2019 par Philippe Notton pour donner vie au projet du consortium European Processor Initiative (EPI) dont l’objectif est de favoriser le déploiement en Europe de technologies microprocesseur haute performance et basse consommation.

La société a été recapitalisée après une procédure de conciliation avec les créanciers. Elle vient de passer un cap difficile.

Société à capitaux privés, SiPearl bénéficie du soutien de l’Europe et d’institutionnels que l’on retrouve dans sont conseil d’administration. Sont présents des représentants de EVIDEN (ATOS), la Banque Publique d’Investissement (BPI,) de ARM, le concepteur de processeurs (sur laquelle est basée la technologie), et la Banque Européenne d’Investissement (BEI)

SiPearl développe les microprocesseurs européens qui accompagneront les supercalculateurs d’Europe pour atteindre la puissance exascale. Elle travaille en étroite collaboration avec ses 30 partenaires du consortium EPI  – communauté scientifique, centres de supercalcul, grands noms de l’informatique, l’électronique et l’automobile – qui sont ses parties prenantes, futurs clients et utilisateurs finaux.

Le Conseil d’administration de SiPearl a été récemment réorganisé après une levée de fonds de 90 M€, et il est présidé par Ian Jenks. 

Point clés du processeur RHEA1

Spécifications Techniques du processeur :

Le processeur est développé sur une base ARM. Technologie RISc à faible consommation énergétique. Identique à ce que vous trouvez dans les smartphones et les PC Apple. Notez que cette technologie est plus performance que le technologie CISC Intel qui équipe les PC Windows.

L’objectif principal de Rhea1 est de garantir la souveraineté européenne en matière de calcul intensif, réduisant ainsi la dépendance aux technologies étrangères pour des applications critiques, y compris la dissuasion nucléaire

C’est pas moins de 80 cœurs ARM Neoverse qui sont associés pour constituer ce processeur.

Il intègre 80 milliards de transistors. La puce est gravée et assemblée par le Taïwanais TSMC en utilisant le procédé N6 (6 nm).

La souveraineté est surtout là pour la conception. Pour la fabrication et les technologies de base, l’Europe doit faire appels aux compétences de ARM (UK) et TSMC (Taiwan). Il n’existe pas de fondeur capable de le produire en Europe.

La souveraineté est également là pour les applications militaires, et nucléaires.

• Logiciels et Programmation :
  • Le CPU Rhea1 sera supporté par un large éventail de compilateurs, bibliothèques et outils, incluant des langages de programmation traditionnels comme C/C++, Go et Rust, ainsi que des frameworks d’intelligence artificielle modernes comme TensorFlow ou PyTorch.
• Calendrier de Disponibilité :
  • Les premiers échantillons de Rhea1 sont désormais attendus pour 2025. Cela représente un retard par rapport aux prévisions antérieures qui tablaient sur une commercialisation début ou courant 2024.
  • Le supercalculateur JUPITER, qui doit intégrer Rhea1, devait être accessible fin 2024, ce qui implique que son calendrier pourrait également être affecté par ce retard.

Le premier client majeur de SiPearl sera le supercalculateur européen exascale JUPITER. Il sera construit en Allemagne par Eviden et exploité par le Forschungszentrum Jülich. JUPITER utilisera les processeurs Rhea1 pour son module Cluster à usage général, tandis que sa puissance principale proviendra de GPU Nvidia. Un partenariat a été mis en place avec Nvidia.

C’est sur ce point que la souveraineté est un peu mise à mal. L’intégration des composants hardware repose sur une technologie NVIDIA autant que européenne.

La version finale sera équipée de 24000 puces NVIDIA GH200. Tout cet équipement peut expliquer le prix de chaque unité de Jupiter à 500 million d’euros. On n’est clairement pas dans des budgets grand public.

Un supercalculateur exaflopique ou exascale

Ce sont des serveurs massivement parallèles dont la puissance de calcul est supérieure à 10 exposant 18 flops (Un intel core I7 à une puissance de 10 exposant 9 flops).

Pour fonctionner ils sollicitent plusieurs processeurs en parallèles qui découpent les taches en sous taches et les exécutent simultanément.

Les principales applications sont les calculs haute performance et l’analyse de données complexes. Les domaines d’applications se retrouvent dans la simulation pour l’automobile, la physique, le nucléaire, les prototypes virtuels, l’intelligence artificielle.

Avec de tels besoins, les enjeux sont la course à la puissance et la course à l’énergie. Plus un processeur tourne vite plus il chauffe et consomme. L’enjeu est de maximiser la puissance sans chauffer et sans consommer trop.

Retrouvez nos autres articles sur www.xymag.tv

Stratégie cyber-sécurité de la France

• Origine et Évolution

La lutte contre les cyber-menaces a été organisée en France dès 2004, puis renforcée après l’attaque informatique subie par l’Estonie en 2007.

• La Nouvelle Stratégie Nationale de Cyber-sécurité (2024)

La nouvelle stratégie nationale de cyber-sécurité a été définie fin 2024 et validée en novembre 2024 par le conseil de défense et de sécurité nationale. Elle s’inscrit dans un nouveau cadre défini par l’évolution de la menace et la réglementation européenne, notamment les directives NIS 2, REC et DORA.

Son objectif est de définir une politique publique globale qui vise à développer l’expertise, à utiliser des technologies avancées, et à renforcer le pilotage pour répondre aux agressions et consolider la protection des systèmes d’information de l’État et des entités importantes. Elle vise également à construire une “société de confiance” cyber.

La stratégie confirme le maintien d’un comité directeur cyber, présidé par le Premier ministre, qui abordera les trois volets de la sécurité numérique pour définir les grandes orientations de l’État en cybersécurité.

Elle instaure un comité de pilotage des politiques publiques cyber (C3PC), de nature interministérielle, sous la responsabilité du SGDSN. Ce comité est chargé d’établir la planification interministérielle pluriannuelle des ressources de l’État, sa déclinaison annuelle, et le suivi des moyens dédiés dans les ministères.

Mise en Œuvre et Recommandations

Bien que finalisée, cette nouvelle stratégie n’a pas encore fait l’objet d’une publication officielle ni d’une déclinaison publique sous forme de plan d’action et de financements dédiés. C’est bien là un point faible du sujet.

Pour garantir son effectivité, elle doit être adossée à un échéancier précis des actions à mener et à une programmation pluriannuelle des ressources à mettre en œuvre dans la sphère des services de l’État.

Elle nécessite de préciser les missions de l’ANSSI et d’accompagner la construction de l’écosystème de cyber-sécurité ainsi que la diffusion de la culture de la sécurité numérique dans l’ensemble de la société, en rationalisant son financement et les dispositifs de soutien.

Le rôle central de l’ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) joue un rôle central et déterminant dans la cyber-sécurité civile en France. Créée par décret n° 2009-834 du 7 juillet 2009, l’ANSSI est un service à compétence nationale rattaché au Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), placé auprès du Premier ministre. Ce positionnement stratégique souligne le haut niveau de prise en compte de la menace et la nécessité d’un traitement multisectoriel et interministériel.

Voici les principales missions et fonctions de l’ANSSI, ainsi que son rôle dans la stratégie cyber-sécurité :

• Autorité nationale de sécurité et de défense des systèmes d’information (SSI):
  • Elle est l’expert français de cybersécurité dans les relations internationales.
  • Elle contribue à la sécurisation des systèmes d’information des organisations internationales dont la France est partie, notamment pour la protection des informations classifiées.
  • Elle soutient les travaux relatifs à l’élaboration de la stratégie nationale de cybersécurité.
  • Elle est chargée de la transposition de la directive européenne NIS 2 en droit français.
• Conseil et soutien:
  • Elle assure une mission de conseil et de soutien technique aux administrations, aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), et aux Fournisseurs de Services Numériques (FSN) pour la conception et la mise en œuvre de leurs systèmes d’information les plus critiques.
  • L’assistance technique est majoritairement dédiée aux services de l’État, mais aussi aux OIV/OSE et à des organismes internationaux.
• Centre de Réponse aux Incidents de Sécurité (CERT-FR):
  • Elle est le centre de réponse aux incidents de sécurité gouvernemental et national français.
  • Le CERT-FR répond aux demandes d’assistance suite à des incidents de sécurité, traite les alertes, détecte les attaques ciblant les systèmes d’information gouvernementaux, et identifie les vulnérabilités.
  • Elle assure le suivi des incidents cyber et leur remédiation. La complexité des opérations d’endiguement et de gestion de crise est croissante.
  • Elle a accompagné l’émergence et la structuration des CSIRT (Computer Security Incident Response Team) ministériels et territoriaux, et coordonne les réponses aux incidents.
• Contrôle et audit:
  • Elle réalise des audits pour vérifier l’effectivité et la performance de la sécurité des systèmes d’information des entités régulées (OIV, OSE, administrations).
  • La fonction de contrôle doit être plus fortement structurée et intensifiée, notamment avec l’élargissement du périmètre d’entités concernées par la directive NIS 2.
  • L’ANSSI prévoit de distinguer clairement ses missions d’accompagnement et de contrôle pour maintenir la confiance.
• Qualification et certification de produits et services:
  • L’ANSSI met en place des procédures de qualification et de certification (CSPN, CC) pour évaluer et approuver les produits, services et prestataires de cybersécurité qui répondent à ses normes.
  • Ces qualifications sont obligatoires pour les solutions destinées aux OIV, aux autorités administratives relevant du Référentiel Général de Sécurité (RGS), et aux entités relevant du règlement eIDAS.
  • Elle labellise également des formations (label SecNumedu).
• Formation et sensibilisation:
  • Elle assure la formation des agents des entités régulées en cybersécurité via son Centre de Formation pour la Sécurité des Systèmes d’Information (CFSSI).
  • Elle mène des actions de sensibilisation aux cybermenaces auprès du grand public (ex: Cybermoi/s, SecNumacadémie).
  • Il est nécessaire d’adapter l’offre de formation aux besoins des organismes régulés et de développer l’observation et l’orientation de l’offre de formation en cybersécurité.
• Observation de la menace cyber:
  • L’ANSSI centralise l’observation de la menace cyber, produisant des analyses et des synthèses (ex: panorama de la cybermenace).
  • Il est recommandé de mettre en place à court terme un observatoire de la cybermenace au sein de l’ANSSI, centralisant les données et analyses à l’échelle nationale pour prévoir leur évolution.
• Contribution à la politique industrielle et à l’écosystème:
  • L’ANSSI est un acteur clé dans la promotion des technologies de sécurité et a soutenu le développement d’une politique industrielle cyber.
  • Elle est associée aux processus de sélection des projets financés par des stratégies comme France 2030.
  • Elle est partenaire de plateformes comme Cybermalveillance.gouv.fr et du Campus Cyber, et il est recommandé de proposer un modèle économique pérenne pour ces entités.

L’ANSSI est le pilier technique et réglementaire de la cybersécurité civile en France. Elle définit les normes, assiste les entités critiques, réagit aux incidents, forme les acteurs, et contribue à la politique industrielle, le tout sous l’autorité du SGDSN.

Le cas des entités régulées

En France, les entités régulées sont les organisations, publiques ou privées, soumises à des obligations spécifiques en matière de stratégie cyber-sécurité en raison de leur importance pour le fonctionnement de la Nation, la société, ou l’économie, et ce, face à l’évolution croissante et sophistiquée des cybermenaces. Le cadre de cette régulation a considérablement évolué, notamment sous l’impulsion du droit européen.

1. Origine et Évolution du Cadre Réglementaire

• Début de la régulation : La lutte contre les cybermenaces a été organisée en France dès 2004 et renforcée après l’attaque informatique massive subie par l’Estonie en 2007. Initialement, l’approche était axée sur la cyberdéfense, avec une focalisation sur la sécurisation des Opérateurs d’Importance Vitale (OIV), identifiés dès le Livre blanc sur la défense et la sécurité nationale de 2008 et 2013. La loi de programmation militaire de 2013 a introduit des mesures de sécurité obligatoires pour ces OIV. Les OIV sont des personnes morales publiques ou privées dont la destruction ou l’indisponibilité grave obéreraient gravement le potentiel militaire, la force économique, la sécurité ou la capacité de survie de l’État, ou mettraient en danger sa population.
• Extension par NIS 1 : La directive européenne “Network and Information System Security” (NIS 1) de 2016, transposée en droit français en 2018, a élargi le périmètre des entités concernées. Elle a introduit la catégorie des Opérateurs de Services Essentiels (OSE), qui produisent des services essentiels au bon fonctionnement de la société ou de l’économie, et a également concerné les Fournisseurs de Services Numériques (FSN). Le nombre d’organismes sous contrôle de NIS 1 ne dépassait pas 500.
• Nouvelle ère avec NIS 2 et au-delà : La directive NIS 2 (adoptée en décembre 2022 et à transposer d’ici octobre 2024), ainsi que les directives “Résilience des Entités Critiques” (REC) et “Digital Operational Resilience Act” (DORA) (pour le secteur financier), ont très significativement élargi et précisé le champ des organismes soumis à des obligations de cybersécurité.

2. Catégories d’Entités Régulées sous NIS 2

La directive NIS 2 (voir article précédent sur le site) modifie profondément le paysage de la régulation, en augmentant le nombre d’entités concernées d’environ 500 à 15 000 entités. Ces entités s’identifient désormais elles-mêmes. Les entités concernées par NIS 2 répondent à trois critères cumulatifs :

1. Une activité fournie ou exercée au sein de l’Union Européenne.
2. Le secteur d’activité : la directive liste 18 secteurs, dont 11 “hautement critiques” (énergie, transport, banques, santé, infrastructures numériques, administration publique, etc.) et 7 “autres secteurs critiques” (services postaux, gestion des déchets, fabrication, recherche, etc.).
3. Leur taille : moyennes ou grandes entreprises, selon des seuils d’employés et de chiffre d’affaires.

La directive NIS 2 distingue deux catégories principales, avec des niveaux d’exigence modulés:

• Entités Essentielles (EE) : Les grandes entreprises des secteurs “hautement critiques”, ainsi que les infrastructures numériques et les administrations publiques (centrales et régionales), quelle que soit leur taille.
• Entités Importantes (EI) : Les moyennes entreprises des secteurs “hautement critiques”, ainsi que les moyennes et grandes entreprises des “autres secteurs critiques”.

La France a pris la décision d’inclure les collectivités territoriales dans ces nouvelles exigences, compte tenu de la multiplication des attaques les affectant et de leur faible sécurisation.

Cela inclut notamment les régions, départements, métropoles, communautés urbaines, communautés d’agglomération, et les communes de plus de 30 000 habitants en tant qu’EE, et les communautés de communes en tant qu’EI. Notez qu’a cette date le texte n’est pas encore transposé en droit français.

3. Obligations pour les Entités Régulées

Les entités régulées sont soumises à un ensemble d’obligations visant à renforcer leur cyber-résilience:

• Mesures de gestion des risques : Elles doivent mettre en œuvre des mesures de gestion des risques en matière de cybersécurité.
• Interlocuteur privilégié : Elles doivent désigner un interlocuteur privilégié de l’ANSSI.
• Cartographie des systèmes d’information : Elles doivent définir et tenir à jour la liste de leurs systèmes d’information essentiels (SIE) ou d’importance vitale (SIIV), en tenant compte des services fournis par leurs prestataires. Sous NIS 2, les obligations s’appliquent par défaut à l’ensemble des systèmes d’information de l’entité.
• Notification d’incidents : Elles ont l’obligation de notifier directement l’ANSSI des incidents affectant leurs systèmes d’information.
• Règles de sécurité : Elles doivent se conformer aux règles de sécurité édictées par le Premier ministre (SGDSN / ANSSI), couvrant des thématiques telles que la gouvernance, la gestion des risques, la gestion des systèmes d’information, la gestion des incidents, et la protection des systèmes d’information.
• Audits et contrôles : Elles sont tenues de se soumettre à des contrôles réguliers pour évaluer leur niveau de sécurité, effectués par l’ANSSI ou des prestataires d’audit qualifiés par l’ANSSI (PASSI). La fonction de contrôle de l’ANSSI doit changer de dimension pour répondre à l’élargissement du périmètre d’entités assujetties.
• Produits et services qualifiés : Les OIV (et dans une moindre mesure, d’autres entités) doivent recourir à des produits et services qualifiés par l’ANSSI, qui atteste de leur robustesse et compétence. En utilisant des services SAAS SECNUMCLOUD par exemple.
• Systèmes de détection : Seuls les OIV ont l’obligation de déployer des systèmes de détection qualifiés par l’ANSSI (sondes), permettant une vision précise des menaces.

La France a bien intégré la cyber-menace dans sa stratégie cyber-sécurité.

Cette politique a un cout. Actuellement beaucoup d’entités concernées par la mise en Œuvre de NIS2 n’auront pas le moyens immédiats de sécuriser correctement leurs systèmes.

Sources :

La réponse de l’État aux cybermenaces sur les systèmes d’information civils, Cour des comptes

L’intelligence artificielle (IA) est un facteur de transformation majeur qui redéfinit en profondeur l’organisation et la productivité des entreprises, marquant l’émergence d’une nouvelle ère professionnelle.

Actuellement on commence à lire des articles sur les Entreprises frontières qui définissent la nouvelle organisation du travail. Ce sont des entreprises qui intègrent massivement l’intelligence artificielle pour leurs opérations courantes.

Impacts sur l’Organisation des Entreprises

1. Émergence des “Frontier Firms” et d’une Nouvelle Organisation Hybride : Elles représentent un nouveau type d’entreprises structurées autour de l’intelligence à la demande, fonctionnant avec des équipes “hybrides” composées d’humains et d’agents IA. Ces entreprises peuvent s’adapter et créer de la valeur plus rapidement. Des sociétés comme Accenture, Wells Fargo, Estée Lauder et Bayer sont pionnières dans ce modèle.
2. Une Évolution en Trois Phases : La transition vers la “Frontier Firm” se fera sur plusieurs décennies, progressant par étapes.
   • Phase 1 : L’IA agit comme un assistant, aidant les humains à accomplir des tâches plus rapidement et mieux.
   • Phase 2 : Les agents IA rejoignent les équipes en tant que “collègues numériques”, prenant en charge des tâches spécifiques sous la direction humaine.
   • Phase 3 : Les humains dirigent, tandis que les IA opèrent des processus et des flux de travail entiers.
3. Transformation des Organigrammes en “Work Charts” Humain-IA : Les organigrammes traditionnels, basés sur l’expertise et les fonctions, sont remplacés par des “Work Charts” dynamiques et évolutifs. Ces nouveaux modèles d’organisation sont axés sur les objectifs plutôt que sur les fonctions, rappelant l’industrie cinématographique où des équipes se forment et se dissolvent selon les projets. Le ratio humain-IA deviendra une donnée stratégique clé pour optimiser la performance des équipes.
4. Création de Nouveaux Départements : “Intelligent Resources” : Microsoft anticipe l’émergence de départements dédiés à l’hybridation des ressources humaines et artificielles. Ces divisions d'”Intelligent Resources” seront essentielles pour gérer l’interaction entre les humains et les agents IA, devenant une source d’avantage concurrentiel.
5. Changement de Mentalité des Employés et Rôle de l'”Agent Boss” : Le “mindset” de l’employé est crucial : 46% des professionnels voient déjà l’IA comme un partenaire de pensée (“Thought Partner”). Pour travailler efficacement avec l’IA, les employés devront adopter cette mentalité, apprenant à itérer, déléguer et affiner les résultats de l’IA. L’ère de l'”Agent Boss” débute, où chaque employé devient celui qui construit, délègue à, et gère des agents pour amplifier son impact.
6. Nouvelles Fonctions et Compétences : De nouveaux rôles spécifiques à l’IA émergent, tels que formateurs en IA, spécialistes des données IA, spécialistes de la sécurité IA, et stratèges IA dans divers domaines. L’alphabétisation en IA est la compétence la plus recherchée en 2025. Les compétences humaines comme la médiation des conflits, l’adaptabilité et la pensée innovante sont également en hausse, soulignant l’importance d’associer les capacités de l’IA avec les compétences humaines irremplaçables.

Impacts sur la Productivité des Entreprises

1. Atténuation du “Gap de Productivité” / “Capacité de Travail” : L’IA est perçue comme une solution clé pour augmenter la productivité. Les professionnels en entreprise atteignent un point de saturation, étant interrompus près de 275 fois par jour et confrontés à une augmentation de 16% des réunions après 20h en un an. 82% des leaders considèrent l’IA comme la solution pour augmenter la capacité de travail sans surcharger les équipes. L’IA offre une intelligence à la demande, abondante et abordable, permettant aux entreprises d’augmenter leur capacité selon les besoins.
2. Libération des Humains pour des Tâches à Forte Valeur Ajoutée : L’IA contribue à séparer les travailleurs du savoir du travail du savoir, libérant les humains pour des tâches nécessitant créativité, jugement et construction de liens. Il est plus efficace de faire travailler l’IA et les humains en tandem, compte tenu de la connaissance des préférences humaines et de la capacité de jugement moral des humains. Les employés se tournent vers l’IA pour sa disponibilité 24h/24 et 7j/7 (42%), sa rapidité et sa qualité (30%), et ses idées illimitées (28%).
3. Accélération et Automatisation des Flux de Travail : L’IA permet d’automatiser des flux de travail ou des processus dans le service client, le marketing, le développement de produits, les communications internes et la science des données. Les “Frontier Firms” sont plus susceptibles d’utiliser l’IA pour le marketing (73% contre 55% globalement), la réussite client (66% contre 44%), les communications internes (68% contre 46%) et la science des données (72% contre 54%). L’IA agit comme un moteur pour la mise à l’échelle des entreprises, des grandes structures aux petites.
4. Amélioration de la Prise de Décision et Réduction des Erreurs : L’IA génère des informations commerciales stratégiques en traitant rapidement de grandes quantités de données pour des prévisions précises ou des informations sur les besoins des clients. Elle peut également prédire les événements pouvant menacer la compétitivité d’une entreprise, comme la variation du mode de consommation ou l’émergence de concurrents, rendant les entreprises plus résilientes. De plus, l’IA est nettement plus précise que les humains, atteignant 99% à 100% de précision, notamment pour des tâches sujettes aux erreurs humaines comme la prévision des flux de trésorerie.
5. Économie de Temps et d’Argent : Les machines IA sont plus efficaces que les humains, pouvant fonctionner 24h/24 et 7j/7 sans fatigue, et analyser de grandes quantités de données en quelques secondes. Cela se traduit par un gain de temps considérable et une rentabilité accrue des salariés, avec une augmentation moyenne de 21% selon une étude de 2018, et une projection de 38% d’ici 2035. 54% des dirigeants estiment que les solutions d’IA ont augmenté leur productivité de 54%.
6. Amélioration de l’Expérience Client : L’IA permet aux entreprises de fournir une assistance client 24h/24 et 7j/7 via des chatbots et l’automatisation des communications par e-mails et chats en ligne. Cela permet une interaction simultanée avec de nombreux clients, répondant de manière pertinente à leurs requêtes en temps réel, comme dans le secteur du tourisme.

Considérations et Défis

Bien que l’IA offre des avantages considérables, elle présente également des défis importants :

• Coûts de mise en place élevés : La maintenance et les mises à jour régulières des matériels et logiciels IA peuvent être onéreuses.
• Risque de paresse et de dépendance humaine : L’automatisation excessive pourrait inciter à une dépendance néfaste et potentiellement réduire certaines compétences humaines.
• Manque de créativité et réflexion limitée : Les algorithmes ne peuvent que simuler l’intelligence humaine et sont limités aux données sur lesquelles ils ont été entraînés, ce qui peut brider l’innovation et la capacité à gérer l’inattendu.
• Impact sur l’emploi : L’automatisation des tâches répétitives par l’IA peut entraîner une diminution des interférences humaines et, par conséquent, une participation à la hausse du chômage.
• Diminution de la connexion humaine : Les machines ne peuvent pas remplacer les liens humains essentiels à la gestion d’équipe et à l’image de marque, notamment dans les services à forte interaction client.
• Menaces extérieures : L’IA, étant programmée et pilotée par l’humain, reste vulnérable aux dangers extérieurs comme le piratage, l’hameçonnage ou l’exploitation non désirée des données.

Evolution des compétences

L’intégration de l’intelligence artificielle (IA) transforme en profondeur les rôles professionnels et les compétences requises au sein des entreprises, marquant un passage vers une ère de collaboration hybride entre l’humain et la machine.

Cette évolution est particulièrement observable au sein des “Frontier Firms”, des entreprises pionnières qui combinent intelligence humaine et artificielle pour opérer et créer de la valeur de manière inédite.

Renforcement des Compétences Humaines Uniques : Malgré l’automatisation par l’IA, les compétences humaines irremplaçables deviennent encore plus cruciales. Celles-ci incluent :

• La créativité et la capacité à innover. L’IA ne peut que simuler l’intelligence humaine et est limitée aux données sur lesquelles elle a été entraînée, ce qui signifie qu’elle ne propose rien en matière d’innovations qui changent la face de la société.
• Le jugement moral et éthique. Le travail humain persiste même lorsque l’IA gagne en capacité, notamment en raison de la capacité humaine de jugement moral, comme dans le droit ou la finance.
• La construction de liens et la connexion humaine. Les machines ne peuvent pas remplacer les liens humains essentiels à la gestion d’équipe et à l’image de marque.
• La médiation des conflits.
• L’adaptabilité.
• La pensée innovante. Ces compétences soulignent que l’avenir appartient à ceux qui peuvent associer de profondes capacités en IA avec des compétences que les machines ne peuvent pas reproduire.

Impact sur les Carrières et la Sécurité de l’Emploi : 79 % des dirigeants estiment que l’IA accélérera leur carrière. L’IA permet aux employés, y compris ceux en début de carrière, d’assumer des tâches plus complexes et stratégiques plus tôt. Cependant, 52 % des employés et 57 % des dirigeants reconnaissent que la sécurité de l’emploi n’est plus une certitude dans leur secteur.

L’IA ne se contente pas d’automatiser des tâches, elle redéfinit fondamentalement la nature du travail, les structures organisationnelles et les compétences valorisées. Les entreprises qui investiront dans la formation et le développement de cette nouvelle synergie humain-IA seront les “Frontier Firms” de demain.

Sources :

L’IA en entreprise quel impact, Info.net

Etude Microsoft sur les Frontier firms

Ce concept est développé par Microsoft sur la base des données télémétriques de Microsoft 365 et une enquête Work Trend Index.

Il révèle comment les employés sont constamment interrompus par les e-mails, les messages et les réunions, même en dehors des heures de travail traditionnelles et le week-end.

Microsoft propose des solutions par une refonte des méthodes de travail. Regardons cela en détail.

Le concept de la journée de travail infinie

Microsoft a mené une étude en analysant les usages de Office 365. Le travail infinie est un épuisement des salariés qui sont connectés en permanence et prennent des habitudes de travail nocives pour eux et les autres.

Début de journée précoce et surcharge d’informations:

La journée de travail commence souvent avant même que les gens ne soient levés. Les notifications commencent sur le smartphone. Comme il sert de réveil, il est a coté du lit.

Dès 6h du matin, 40% des utilisateurs de Microsoft 365 consultent déjà leurs courriels. C’est la première activité de la journée. Le phénomène de stress commence. Stress des sujets à traiter dès la matin et quantité d’informations à prendre en compte au réveil.

Un employé reçoit en moyenne 117 courriels par jour, la plupart étant survolés en moins de 60 secondes. Mais surtout les plupart de ces mails ne sont pas clair sur leurs intentions. Les mails de masse (avec plus de 20 destinataires) ont augmenté de 7% en un an (2024), tandis que les échanges individuels ont diminué de 5%.

Quand on part à la cantonade, personne n’intervient. tout le monde pense qu’un autre va le faire.

A partir de 8h du matin, Microsoft Teams devient le canal de communication dominant. soit par chat soit par call. Un employé moyen reçoit 153 messages Teams par jour.

Le volume de messages par personne a augmenté de 6% à l’échelle mondiale. Entre Outlook et Teams on est à 270 messages par jour juste pour le travail.

Ces notifications créent un rythme frénétique pour la journée. entre les bip de la messagerie, de Teams et du Whatsapp de l’école. La perturbations sont constantes.

Temps de concentration fragmenté

La conséquence de cet afflux de messages c’est une fractionnent des temps de concentration. Quelle est le planning type d’un employé en journée de travail infinie.

Les heures les plus productives de la journée (entre 9h et 11h, et entre 13h et 15h) sont accaparées par les réunions, laissant peu de place au travail en profondeur.

Le mardi est le jour avec la plus forte charge de réunions (23%). J’aurais parié pour le lundi. Mais avec la télétravail le lundi et le vendredi. Le mardi devient le jour ou le plus sont présents au bureau

À 11h, l’activité de messagerie atteint son pic, faisant de cette heure la plus surchargée en raison de la convergence des messages en temps réel, des réunions et du changement constant d’applications, rendant la concentration presque impossible.

• Les employés sont interrompus en moyenne toutes les 2 minutes par une réunion, un courriel ou une notification, ce qui n’apparaît pas sur les calendriers mais est fortement ressenti.
• Près de la moitié des employés (48%) et plus de la moitié des dirigeants (52%) affirment que leur travail est chaotique et fragmenté.
• Le problème n’est pas seulement le volume, mais aussi l’étalement (“sprawl”), la complexité croissante de la coordination et la charge mentale plus lourde.

Même si l’employé est organisé et gère sont temps. Il a se sentiment de désorganisation et de stress

Désorganisation et stress

Le numérique affranchi des règles de politesse. On peut déranger tout le monde quand on veut. La prise de rendez-vous est une option.

Les chiffres font peur

• 57% des réunions sont des appels ad hoc, non planifiés, sans invitation calendrier.
• Une réunion planifiée sur dix est réservée à la dernière minute.
• Les grandes réunions (65 participants ou plus) sont le type de réunion qui connaît la plus forte croissance, entraînant une dilution des responsabilités, un flou décisionnel et une fatigue liée à l’écoute passive.
• Près d’un tiers des réunions s’étendent sur plusieurs fuseaux horaires, une augmentation de 35% depuis 2021.

Autre tendance, finir au dernier moment.

• Les modifications de dernière minute dans PowerPoint augmentent de 122% dans les 10 minutes précédant une réunion, le signe d’un stress organisationnel permanent et d’un fonctionnement réactif plutôt que proactif.

Érosion des frontières entre travail et vie personnelle

Microsoft défini le phénomène du “triple pic” (matin, après-midi, soir), introduit pendant la pandémie, s’est normalisé. Le travail de nuit et le week end progresse.

• Les réunions après 20h ont augmenté de 16% d’une année sur l’autre, en grande partie à cause des équipes mondiales et flexibles.
• L’employé moyen envoie ou reçoit plus de 50 messages en dehors des heures de bureau.
• Près d’un tiers (29%) des travailleurs actifs se replongent dans leur boîte de réception après 22h.
• L’activité le week-end progresse, avec près de 20% des employés consultant leurs courriels dès le samedi matin. Plus de 5% sont de retour sur leurs courriels le dimanche soir (à partir de 18h).
• Le concept même de “temps de repos” est remis en question.
• Un tiers des employés estiment que le rythme de travail est devenu insoutenable au cours des cinq dernières années.

A tout ce chaos, Microsoft apporte de solutions. Si le rapport est statistique et donc peu contestable. Les solution sont issues de la stratégie de Microsoft et discutables.

Pour faire face au concept de “journée de travail infinie” et briser ce cycle, le rapport de Microsoft propose un changement de culture radical. En premier lieu, l’intelligence artificielle est vue comme un levier pour alléger le poids mental et libérer du temps pour un travail plus significatif, à condition de repenser les outils et les façons de travailler.

quatre solution sont proposées.

1. Adopter l’état d’esprit des “Frontier Firms” : Il ne suffit pas d’adopter l’IA. Il faut un état d’esprit qui remet en question la manière dont le temps est dépensé, dont le travail est effectué et ce qui génère réellement de l’impact. Les “Frontier Firms” sont des entreprises pionnières qui réorganisent leur structure autour de l’IA et des agents intelligents pour évoluer rapidement, fonctionner avec agilité et générer de la valeur plus vite que les entreprises traditionnelles.
2. Appliquer la règle du 80/20 (Principe de Pareto) : Dans un contexte de budgets contraints et d’attention limitée, l’activité ne signifie pas nécessairement le progrès. Les organisations les plus efficaces se concentrent sur les 20 % du travail qui génèrent 80 % des résultats. L’IA rend cela possible et évolutif en permettant aux dirigeants d’automatiser les tâches à faible valeur ajoutée, comme les réunions de statut, les rapports de routine et les tâches administratives, afin de récupérer du temps pour le travail en profondeur, les décisions rapides et l’exécution ciblée. Les entreprises gagnantes à l’ère de l’IA ne travailleront pas seulement plus dur, mais plus intelligemment et plus précisément.
3. Redéfinir l’organisation autour du “Work Chart” : Il s’agit de passer d’un organigramme rigide et basé sur des fonctions statiques (finances, marketing, ingénierie) à un “Work Chart” agile et axé sur les objectifs. Dans ce modèle, des équipes légères se forment autour d’un objectif et utilisent l’IA pour combler les lacunes en matière de compétences et avancer rapidement, réduisant ainsi la friction inutile des structures rigides. Par exemple, pour un lancement de produit, au lieu que le contenu soit chez le marketing, les données chez l’analytique, le budget chez les finances, et la communication chez les équipes de communication, l’IA peut fournir des informations instantanément, réduisant le besoin de réunions multiples pour des ajustements simples.
4. Devenir un “agent boss” (former des duos humain-agent IA) : Le rapport propose de former des duos humain-agent pour accroître l’impact sans allonger la journée. Il s’agit d’une nouvelle génération de professionnels qui naviguent dans le chaos non pas en travaillant plus, mais plus intelligemment. Ces “agent bosses” utilisent des agents IA pour supercharger leur travail, par exemple en collectant des recherches, en effectuant des analyses statistiques ou en rédigeant des synthèses, ce qui leur permet de se concentrer sur l’essentiel : des informations rapides et de haute qualité qui bénéficient à toute l’équipe. C’est l’avenir du travail : des équipes humain-agent conçues pour s’adapter et évoluer.

Vous le constatez tout est construit sur l’usage de l’IA. Cela se règlera pas le problèmes des consultations et sollicitations en dehors des heures de travail. cela ne règlera pas les interruptions permanentes.

Pour ma part je suis plutôt en faveur d’un meilleur maitrise des outils et usages de communications; Comme pour tout dans le vie se donner des règles.

Ne plus consulter ses mail à la maison, soit volontairement, soit en utilisant les fonctionnalités ne pas déranger de son smartphone.

Réserver son week end aux activités personnelles et familiales.

Réserver du temps ne pas déranger dans son agenda. C’est une fonctionnalité de Outlook. Cela bloque les appels et chat Teams.

Concernant l’utilisation de l’intelligence artificielle. C’est un complément. Elle peut répondre à pas mal de messages sont nous mais surtout elle peut aider à synthétiser la quantité d’information reçue ou produite. Avoir des synthèses et des résumés, c’est un vrai gain de temps.

Au final la promesse de Microsoft office était de faire gagner du temps et de s’organiser. La réalisé est malheureusement à l’opposé. C’est aussi à Microsoft de remettre ne cause ses outils intrusifs et fragmentant. Développer des fonctionnalité de filtre et de tri serai le premier pas.

Sources

Moncarnet.com, briser le cercle de la journée infinie

Microsoft : Breaking down the infinite workday

Comment mesure sa productivité au travail

Il existe des gourous qui vous initient. Ils présentent l’IA comme une technologie qu’il faut maitriser et dompter pour avoir les meilleurs résultats. Parler le langage de l’IA comme on apprend une langue étrangère.

Ce qu’il faut intégrer avec l’IA, c’est que le mode commande ou les prompts, vont disparaitre. Comme pour les langages de programmation aujourd’hui. Il ne faut pas savoir programmer pour utiliser l’informatique. Comme il ne faut pas connaitre le langage Morse pour les télécommunications.

Apple à d’ailleurs fait une bonne publicité pour le Mac en comparant ceux qui apprenaient le morse avec ceux qui utilisent le MAC. Avec le Mac depuis le début pas de mode commande. On ne fait pas d’informatique quand on a un MAC. Alors que dans les années 90 avec un PC, il fallait connaitre les commande MS/DOS. Actuellement qui taperait DIR pour avoir le contenu d’un dossier ?

J’insiste sur ce point car actuellement une bonne partie des usage IA, c’est des prompts ou des questions en texte. Pour gérer cette compétence, on a des prompt alchimistes qui donnent des formations. C’est la partie archaïque de l’IA. L’IA moderne va se fondre dans les applications et les services. Elle va devenir invisible. Comme les bits ne se voient pas dans l’informatique moderne.

Cette introduction pour poser le sujet et ne pas se tromper sur les enjeux de l’IA.

L’IA va disparaitre tout en étant totalement intégrée à tous les services en ligne. Elle va se rendre invisible pour l’utilisateur mais indispensable pour ses usages. Elle va passer d’une technologie, à un service, avec la maturité.

L’IA devenant partie prenante de tous les services, et une partie des logiciels qui le pilotent, il faut prendre conscience de son impact.

Impact de l’Intelligence Artificielle sur la démocratie

L’intelligence artificielle est un levier de remodelage profond des sociétés européennes. Le manque remise en cause des réponses apportées par le IA aura un impact sur le savoir, la démocratie, le libre arbitre et la critique.

1. Remodelage des Sociétés et Données Personnelles L’IA démultiplie les capacités d’analyse et de traitement des données, facilitant l’aide à la décision et l’automatisation de tâches complexes. Cependant, elle a permis un processus massif d’extraction de données personnelles, formant des profils ultra-détaillés sur les utilisateurs, y compris leurs comportements, préférences, et même des données sensibles comme l’orientation sexuelle, les convictions politiques, avec une grande précision.

Ce “surplus comportemental” est utilisé pour le microciblage publicitaire et politique. Les entreprises sont passées de modèles “productivistes” à “extractivistes”, visant à collecter le plus de données possible. Cette capacité à tracker les personnes et leur donner une note sociale est particulièrement risqué. Cette politique est en place en Chine.

2. Menaces sur les Libertés Fondamentales et la Démocratie L’IA pose de nouveaux défis aux libertés fondamentales et aux régimes politiques. On peut voir les aspects négatifs ou positifs avec le même recul.

• Vie privée et manipulation : L’analyse des données permet de “deviner” les pensées et convictions des individus. Des expériences sont menées pour capter les émotions et réactions physiologiques directement du cerveau. Des applications peuvent avoir des causes justes.
• Information et manipulations politiques : Les technologies d’IA, associées aux réseaux sociaux, remettent en cause l’information nécessaire à l’exercice du libre arbitre des citoyens. Elles facilitent la création de “deepfakes”, la coordination de mouvements d’opinion artificiels (“astroturfing”), et l’envoi de messages ciblés. L’IA générative permet de créer et personnaliser des messages à moindre coût pour des millions d’utilisateurs, rendant la désinformation accessible même à des acteurs privés ou isolés. Elle abaisse aussi le cout de production de contenus et les rendent accessibles au plus grand nombre.
• Vulnérabilités démocratiques : L’IA peut saper les fondements de la démocratie, inutile de donner son avis si l’IA a tout compris. La tendance à l’autocratie ou faire confiance au algorithmes est établie avec les outils mis à disposition du public. L’IA peut également induire une “fatigue de soi” qui inciterait les sociétés à se reposer entièrement sur ces “nouveaux oracles” pour l’organisation des débats démocratiques et les processus électoraux. L’implication de chacun dans la vie publique devient encore plus important.

3. Visions radicales de l’humain : Transhumanisme et Eugénisme Les technologies d’IA peuvent être inspirées par des conceptions philosophiques et religieuses, et à leur tour, transmettre ces conceptions. Le transhumanisme, qui vise à “augmenter” les capacités humaines par des moyens biologiques ou artificiels, est une idéologie influente dans la Silicon Valley.

Cette vision pourrait mener à une surveillance mondiale intrusive au nom de l’intérêt supérieur de l’espèce humaine. À l’extrême, la fusion homme-machine via des modifications génétiques ou des implants cérébraux pourrait redéfinir ce que signifie être humain, soulevant des questions éthiques similaires à celles de la bioéthique.

4. Conséquences sur les Services Publics. L’IA offre une opportunité unique de repenser l’action de l’État et d’améliorer ses services aux citoyens. Elle est perçue comme un moyen de réduire la fracture dans l’accès aux services publics et d’améliorer le “dernier kilomètre” de l’action publique, en adaptant et personnalisant les services pour divers publics. Des outils comme les voix intelligentes, la traduction automatique, la simplification du langage, et la reconnaissance vocale sont envisagés. L’objectif est d’étendre les bénéfices de l’innovation à l’ensemble du territoire, en maintenant le contact humain essentiel à la qualité du service public.

Impact de L’intelligence artificielle sur la création

L’intelligence artificielle a un impact profond sur la création intellectuelle, transformant la manière dont les savoirs sont transmis, les œuvres culturelles sont produites et les inventions sont développées. Cet impact soulève de nouvelles questions éthiques, juridiques et sociétales.

1. Transformation de la Transmission des Savoirs et de la Culture L’IA modifie radicalement le rapport de nos sociétés à la création culturelle et à la transmission des connaissances. Historiquement, l’oubli était la norme et la mémoire l’exception; avec les technologies numériques et l’IA, la mémoire est devenue la norme, car l’archivage et le traitement des données de masse sont devenus très peu coûteux. L’IA occupe une place sans équivalent dans le recueil, le remodelage et la transmission des connaissances humaines.

L’IA pourrait s’emparer de la culture et commencer à produire des histoires, des mélodies, des lois et des religions, créant des “cultures” entièrement nouvelles. Contrairement aux outils précédents comme l’imprimerie ou la radio qui aidaient à diffuser les idées humaines, l’IA peut créer ses propres idées culturelles. Cela pourrait mener à une situation où les humains vivraient dans les “rêves d’une intelligence extrahumaine”, colonisant les esprits et modifiant les pensées et les rêves humains. L’IA pourrait même être à l’origine de nouveaux dogmes ou cultes. Déjà que beaucoup se fans de star Wars se disent de religion JEDI!!

2. Impact sur les Professions Créatives et le Contenu L’essor des IA génératives, comme les grands modèles de langage (LLM) tels que ChatGPT ou Gemini, ou les IA de création d’images/vidéos (Midjourney, Stable Diffusion, DALL·E 3), est perçu comme une “déflagration” pour l’ensemble des secteurs culturels.

Ces technologies menacent certaines professions créatives, comme les scénaristes, les doubleurs et les acteurs, qui craignent d’être remplacés. Cela permet aussi a un plus grand nom de créer des contenus sans grandes compétences ou apprentissage.

3. Biais et Valeurs Transmises L’imprévisibilité des IA, même pour leurs concepteurs, rend leur utilisation délicate dans des situations critiques. Les systèmes d’apprentissage automatique peuvent non seulement exprimer des préjugés, mais aussi les “perpétuer de manière subtile et silencieuse”. La question des valeurs humaines et politiques qui seront transmises aux IA est centrale.

Certains concepteurs d’IA pourraient même remettre en question le bien-fondé des valeurs morales de nos sociétés, estimant qu’elles ne sont “pas assez bonnes”. C’est déjà la cas actuellement, sans IA.

5. L’IA dans la Recherche Scientifique L’IA est de plus en plus associée aux travaux de recherche dans toutes les disciplines scientifiques. Par exemple, le prix Nobel de chimie 2024 a été attribué aux créateurs de l’outil d’IA AlphaFold, qui prédit la conformation des protéines. La question de savoir si un prix Nobel pourrait un jour être attribué à une IA a même été posée.

Surtout l’IA va accélérer les capacités à innover comme l’informatique quantique à calculer.

L’IA sou forme de service, donc invisible est-elle déjà là ? Le mouvement est déjà en marche avec l’intégration d’IA dans les services de messageries, la presse, les services publics. La législation pourrait demander à tout service de préciser si une IA est intégrée ou pas. C’est un point important pour ne pas tromper les utilisateurs.

Dans tous les domaines les concepteurs vont utiliser des services IA car cela remplace du code et la gestion de cas. L’IA s’adapte mieux et peut prendre des décisions basées sur les modèles alors que pour le code il faut les prévoir.

Sources :

ISN (Institut de la Souveraineté Numérique), Enjeux et perspectives pour les droits humains en Europe, Juin 2025

Eurocloud, FEUILLE DE ROUTE IA MINISTÉRIELLES 2025

La cryptologie post quantique est un ensemble de techniques de cryptologie bien plus puissantes que les techniques actuelles basées sur l’informatique classique. A terme ces techniques pourraient décrypter tous les messages actuels ce qui mets en risque les échanges.

La cryptologie post quantique définitions

Le terme cryptologie post quantique est une abréviation pour “Post-Quantum Cryptography”.

Son objectif principal est de remplacer les équipements ou logiciels des systèmes cryptographiques actuels pour protéger vos données ou informations contre une attaque quantique éventuelle.

Les algorithmes PQC reposent sur des équations mathématiques (telles que la cryptographie basée sur un réseau ou multivariée) considérées comme trop difficiles à résoudre pour les ordinateurs quantiques.

Elle protège les données contre les tentatives de déchiffrement effectuées via des ordinateurs classiques et quantiques.

La PQC entend sécuriser les données tant face aux futurs ordinateurs quantiques qu’aux protocoles et systèmes réseau actuels.

• Elle repose sur des équations mathématiques très complexes, exploitant les avantages des propriétés quantiques pour créer des équations si difficiles à résoudre que même les ordinateurs quantiques ne peuvent “sauter” des étapes pour aboutir directement à la solution correcte.
• Sa structure de base étant la même que celle du chiffrement classique, la PQC peut être déployée à l’aide de méthodes similaires et elle peut protéger les systèmes actuels.
• La transition post-quantique concerne en premier lieu la cryptographie asymétrique, notamment pour les usages en confidentialité et échanges de clé pour se prémunir contre des attaques rétroactives. Cela inclut également les signatures numériques.

Ce sont des méthodes pour se protéger maintenant des futures systèmes quantiques tout en utilisant des technologies accessibles.

Définir des normes de cryptage

L’enjeu de la normalisation dans le domaine de la cryptographie post-quantique (PQC) est multifacette et crucial pour anticiper et contrer la menace posée par les futurs ordinateurs quantiques capables de briser les algorithmes cryptographiques actuels.

1. Garantir la sécurité future des communications et des données sensibles : Les algorithmes de chiffrement actuels, comme RSA et ECC, reposent sur des problèmes mathématiques difficiles à résoudre pour les ordinateurs classiques, mais qui deviendront vulnérables face aux ordinateurs quantiques dotés d’algorithmes comme celui de Shor. La normalisation vise à sélectionner et valider de nouveaux algorithmes PQC basés sur des problèmes mathématiques réputés insolubles, même pour les ordinateurs quantiques. Ces normes sont essentielles pour protéger l’ensemble des communications numériques sécurisées, des transactions bancaires aux échanges gouvernementaux.
2. Lutter contre la menace “récolter maintenant, déchiffrer plus tard” (Harvest Now, Decrypt Later – HNDL) : Des acteurs malveillants stockent déjà des données chiffrées aujourd’hui, dans l’espoir de pouvoir les déchiffrer plus tard lorsque des ordinateurs quantiques puissants seront disponibles. La normalisation de la PQC fournit les outils nécessaires pour commencer à protéger les données dès maintenant contre cette menace future.
3. Faciliter une transition coordonnée et harmonisée : Le passage à la PQC est un processus complexe qui prendra plusieurs années et nécessite la mise à jour non seulement des algorithmes, mais aussi des protocoles et des appareils. Une approche harmonisée et coordonnée, encouragée notamment par la Commission européenne pour les États membres de l’UE, est nécessaire pour assurer l’interopérabilité entre les pays, les secteurs et les systèmes. La normalisation, comme celle menée par le NIST, fournit un ensemble commun d’algorithmes sur lesquels la communauté peut s’appuyer.
4. Guider les organisations dans leur préparation et leur migration : De nombreuses organisations, y compris les bénéficiaires de l’ANSSI, manquent de compréhension des enjeux, de moyens et de planification pour la transition. La normalisation apporte des recommandations claires et un cadre technique pour l’élaboration de feuilles de route de préparation, l’inventaire des actifs cryptographiques, l’identification des cas d’usage prioritaires et la migration.
5. Stimuler l’émergence et le déploiement de solutions PQC : L’absence d’offre de services et de solutions d’accompagnement à la transition est un frein majeur. En définissant des standards validés, les organismes de normalisation soutiennent l’émergence de produits et solutions permettant de faciliter la transition. Cela encourage les fournisseurs à développer des offres et les acheteurs (organisations) à considérer le sujet comme d’actualité.
6. Fournir une base pour d’éventuelles obligations réglementaires : L’absence d’obligation réglementaire est parfois le seul levier efficace pour faire avancer les entités régulées. La normalisation, en rendant la menace concrète et en définissant les contre-mesures, peut servir de fondement à de futures réglementations qui prioriseront la prise en compte de la menace quantique.
7. Aborder les défis techniques de l’implémentation : Les nouveaux algorithmes PQC ont des spécificités, notamment en termes de performances et de résistance aux attaques (comme les attaques par canaux auxiliaires ou par injection de fautes), particulièrement pour les systèmes embarqués ou contraints. Le processus de normalisation et les travaux associés (comme ceux d’IDEMIA Secure Transactions) sont essentiels pour développer les méthodes d’implémentation sécurisées et optimisées nécessaires pour des applications concrètes.
8. Permettre l’adoption d’approches transitoires comme l’hybride et la crypto-agilité : Compte tenu du temps nécessaire pour évaluer pleinement la robustesse des nouveaux algorithmes (10 à 20 ans), la normalisation recommande souvent des approches hybrides (combinant algorithmes classiques et PQC). De plus, elle souligne la nécessité de la crypto-agilité, la capacité de mettre à jour les solutions cryptographiques déployées à distance, pour s’adapter aux évolutions futures des standards et aux découvertes de vulnérabilités.

Quelle est la stratégie de la France

La France, notamment par l’intermédiaire de l’ANSSI, et l’Union Européenne (UE), préparent activement la transition vers la cryptographie post-quantique (PQC) en s’appuyant sur plusieurs axes stratégiques.

Au niveau de l’Union Européenne :

La Commission Européenne a publié une recommandation le 11 avril 2024 pour encourager les États membres à élaborer et mettre en œuvre une approche harmonisée dans le cadre de la transition vers la cryptographie post-quantique.

L’objectif principal est de garantir la sécurité future des infrastructures et services numériques de l’UE face aux progrès de l’informatique quantique qui menacent les algorithmes cryptographiques actuels.

La PQC est perçue comme une solution compatible avec les infrastructures existantes, permettant un déploiement relativement rapide.

Un point crucial de cette approche harmonisée est de favoriser l’interopérabilité entre les pays membres, assurant le fonctionnement fluide des systèmes et services au-delà des frontières nationales.

Au niveau de la France (via l’ANSSI et ses acteurs) :

L’ANSSI mène un travail de long terme pour accompagner les acteurs publics et économiques dans la préparation à la menace quantique et faciliter l’émergence de solutions technologiques innovantes.

L’ANSSI a mené une enquête (juillet-septembre 2023) auprès de ses bénéficiaires (entités soumises à exigences réglementaires de cybersécurité comme les OIV) pour évaluer leur état de préparation et les freins à la transition. Cette enquête a révélé qu’une majorité des bénéficiaires est potentiellement à risque vis-à-vis des attaques rétroactives (HNDL – “récolter maintenant, déchiffrer plus tard”), notamment en raison de l’usage de VPN ou de certificats avec une longue durée de vie (>10 ans).

Les travaux d’analyse de risque quantique, la planification, le budget, et l’identification des cas d’usage prioritaires sont largement absents. Aucun plan de transition post-quantique n’existe pour la quasi-totalité des enquêtés.

Des chercheurs français (ex: Inria, ENS Lyon) participent activement à la compétition de normalisation du NIST en proposant des algorithmes pour le chiffrement et la signature basés sur différentes approches mathématiques (réseaux euclidiens, codes correcteurs, systèmes multivariés, fonctions de hachage).

Des acteurs industriels basés en France et en Europe, comme IDEMIA Secure Transactions, sont également impliqués dans la préparation. Ils contribuent aux efforts de normalisation (NIST, ETSI, GSMA, GlobalPlatform, FIDO) et mènent des recherches et développements pour l’implémentation concrète des algorithmes PQC, notamment pour les systèmes embarqués aux contraintes fortes (performances, résistance aux attaques par canaux auxiliaires/injection de fautes).

IDEMIA Secure Transactions réalise des preuves de concepts pour protéger les données contre le HNDL et préparer la migration, impliquant l’intégration de PQC dans des cartes à puce, SIMs 5G, et appareils IoT. Ils dirigent également le consortium Hyperform, financé par France 2030 et l’UE, axé sur la protection de bout en bout des données dans des écosystèmes complexes en utilisant la crypto-agilité. Ils ont des partenariats de recherche en Europe avec l’INRIA et le CEA.

La cryptologie post quantique est au cœur des risques cyber bien que moins médiatisée que d’autres sujets. L’arrivée proche et massive d’ordinateurs quantiques met en risque toute la sécurité des échanges et des protocoles.

Sources :

Cryptographie post quantique définitions

Recommandations post quantique de l’Europe

Qu’est ce que la cryptologie post quantique

L’agence nationale de la Sécurité des Systèmes d’information (ANSSI) alerte sur plusieurs types de menaces informatiques qui pèsent sur les transports urbains français et mondiaux. Le secteur est considéré comme sensible en raison de sa criticité, transportant des millions d’usagers par jour.

La complexité de ses vastes réseaux interconnectés avec de nombreuses entités externes augmente la surface d’attaque.

Les transports publics cible des cyber criminels

L’ANSSI a traité 123 événements de sécurité d’origine cyber dans le secteur des transports urbains (ferroviaire, routier, guidé, fluvial) entre janvier 2020 et décembre 2024, dont 32 incidents confirmés. Les trois principales manifestations de ces attaques sont les attaques par déni de service distribué (DDoS), les fuites de données et les usurpations d’identité, représentant plus de la moitié des signalements et incidents rapportés à l’ANSSI. Cependant, l’ANSSI n’a pas identifié de conséquences significatives sur le fonctionnement des entités françaises concernées suite à ces activités, les attaques DDoS ayant notamment été contenues.

Les motivations des attaquants sont principalement de trois ordres : la finalité lucrative, la finalité de déstabilisation et la finalité d’espionnage.

Menace à finalité lucrative :

• Rançongiciels et extorsions : Ces attaques visent à chiffrer les systèmes d’information (SI) des entreprises de transport pour leur extorquer des fonds. En raison de la taille importante des entreprises et de la criticité des services (qui supportent mal les interruptions), elles constituent des cibles d’intérêt pour la cybercriminalité. Bien qu’elles puissent potentiellement toucher un grand nombre d’usagers et affecter les services internes, les cas connus en France entre 2020 et 2024 n’ont pas causé de perturbation significative du fonctionnement des entités attaquées. Les entreprises de VTC et de taxis sont aussi des cibles régulières. Le principal vecteur de compromission identifié est l’hameçonnage, mais l’exploitation de vulnérabilités ou une approche opportuniste sont également courantes.
• Attaques contre les bases de données à des fins d’exploitation, d’exfiltration et de revente : Les entités de transport urbain gèrent d’importantes quantités de données personnelles (usagers, employés) et stratégiques (comptables, savoir-faire) qui ont une valeur à la revente. Un grand nombre d’incidents rapportés à l’ANSSI impliquent l’exfiltration de données personnelles. Ces fuites proviennent souvent de la compromission de prestataires externes, soulignant le risque lié aux interconnexions. L’incident d’Île-de-France Mobilités en octobre 2023, où 4 000 adresses email et mots de passe ont été exfiltrés, est un exemple. Les gestionnaires de flottes comme les taxis/VTC sont aussi des cibles, avec des données (trajets, finances, santé) qui peuvent être divulguées. Des expositions de données peuvent aussi survenir à cause de failles de sécurité dans des applications ou solutions logicielles utilisées par le secteur.
• Attaques contre les usagers à des fins d’extorsion : Les usagers sont souvent ciblés par des attaques frauduleuses, notamment par l’usurpation de l’identité des entreprises de transport pour compromettre les comptes personnels des usagers (phishing, spoofing/typosquatting).

• Menace à finalité de déstabilisation :
  • Attaques à des fins de destruction : Généralement inscrites dans des contextes de tensions internationales, ces attaques sont menées par des acteurs réputés liés à des États pour saboter les SI supportant les services de transport et immobiliser les réseaux. L’attaque BadRabbit contre le métro de Kiev en 2017, attribuée au renseignement militaire russe, est un exemple, bien que le service de métro ait continué à fonctionner.
  • Attaques revendiquées par des groupes hacktivistes : Ces groupes cherchent à faire valoir leurs positions, souvent dans des contextes géopolitiques, en ciblant les ressources en ligne des entités de transport pour nuire à leur image. Les Jeux Olympiques et Paralympiques de Paris 2024 ont servi de “caisse de résonance” pour ces revendications. Ces attaques sont majoritairement des dénis de service distribué (DDoS) ou des défigurations de sites web. Des groupes pro-russes comme NoName057(16) et Narodnaya CyberArmiya ont revendiqué des attaques contre des sites français comme ceux de la RATP et Transilien en 2023, ou l’entreprise de taxis Aramis en 2024. Ces attaques DDoS ont généralement des effets limités et sont rapidement remédiées. Un exemple notable de perturbation par hacktivistes est l’attaque de l’application Yandex Taxi à Moscou en 2022, qui a causé un embouteillage en envoyant de nombreux taxis au même endroit.
  • Détournement d’équipements de signalisation : Le piratage des feux de circulation ou autres équipements de signalisation urbaine représente une menace, potentiellement avec des conséquences graves sur la sécurité physique. Des chercheurs ont démontré la possibilité de manipuler ces systèmes, parfois en exploitant des technologies obsolètes ou des fonctionnalités prévues pour faciliter le trafic de véhicules d’urgence, ne nécessitant pas toujours des capacités sophistiquées. Cependant, l’ANSSI n’a pas connaissance d’exploitation réelle de ces capacités à des fins de nuisance par des acteurs offensifs.

• Menace à finalité d’espionnage :
  • Des acteurs réputés liés à des États peuvent cibler les entités de transport urbain pour collecter des renseignements industriels (par exemple, sur l’automatisation des lignes de métro) ou surveiller des individus en suivant leurs déplacements via les données des entreprises. Ces attaques sont souvent discrètes et difficiles à détecter, ce qui suggère que leur proportion réelle pourrait être plus importante que celle connue de l’ANSSI. L’attaque contre la Metropolitan Transportation Authority (MTA) de New York en 2021, potentiellement liée au gouvernement chinois, est citée comme un exemple possible, bien que l’origine n’ait pas été formellement confirmée. La collecte de renseignements peut aussi servir à préparer des attaques ultérieures, y compris du sabotage, en cartographiant les réseaux industriels et bureautiques.

En plus de ces motivations spécifiques, la convergence croissante des systèmes de technologies de l’information (IT) et des technologies opérationnelles (OT) dans les transports urbains interconnecte des réseaux autrefois isolés, augmentant la surface d’attaque pour les acteurs disposant d’importantes ressources.

Les réseaux IT regroupent les ressources de communication (ordinateurs, téléphones, systèmes d’information aux voyageurs), tandis que les réseaux OT pilotent et contrôlent les installations physiques (gestion de circulation des rames, signalisation, alimentation électrique, etc.).

Bien que l’ANSSI n’ait pas connaissance d’incidents ayant affecté directement les environnements industriels OT en France, ces réseaux, caractérisés par leur longue durée de vie, leur obsolescence de sécurisation et leur besoin de continuité, restent des cibles critiques potentielles pour le sabotage. D’autres vulnérabilités spécifiques au secteur incluent la complexité des réseaux billettiques et la gestion des abonnements, la dépendance aux systèmes de géolocalisation par satellite (GNSS), le recours croissant aux prestataires externes, et l’intégration des transports urbains dans le concept des “territoires intelligents” ou “smart cities”, où différentes infrastructures sont centralisées et connectées. Les accès physiques à certains équipements informatiques (coffrets en rue, systèmes embarqués) peuvent également servir de points d’entrée pour les attaquants.

Automatisation croissance des modes de transports

L’automatisation des transports urbains, notamment guidés et routiers, est une tendance croissante. Cette évolution s’inscrit dans une numérisation plus large des services et un recours accru aux technologies informatiques dans un souci d’efficacité et d’amélioration de l’expérience client. Elle contribue également à la vision des “territoires intelligents” ou “smart cities”, où la gestion d’une variété d’infrastructures urbaines est centralisée.

Concernant les chiffres spécifiques sur l’automatisation, les sources mentionnent l’exemple de la RATP :

• La RATP exploite 450 kilomètres de lignes automatisées et semi-automatisées dans le monde.
• Cela positionne la RATP comme le deuxième opérateur mondial de lignes automatisées.

L’automatisation est présentée comme ayant des avantages pour les exploitants et les usagers, notamment l’amélioration de la régularité et de la fiabilité du trafic, l’augmentation de la fréquence des rames, la réduction des intervalles entre les rames et la réalisation d’économies d’énergie.

Bien que les sources soulignent cette automatisation croissante et les problématiques de sécurité informatique spécifiques qu’elle engendre (notamment la convergence des systèmes IT et OT), le chiffre des 450 km de la RATP est le principal indicateur quantitatif direct de l’étendue de l’automatisation fourni dans les extraits.

Une localisation géographique peu sécurisée

Le recours généralisé aux systèmes de navigation par satellite (GNSS), tels que GALILEO ou GPS, constitue une problématique spécifique en matière de sécurité informatique pour le secteur des transports urbains.

Voici les risques associés au GNSS selon ces sources :

1. Vulnérabilité intrinsèque aux attaques : Les technologies GNSS sont exposées à des risques d’attaques par brouillage (jamming) et à des attaques qui peuvent altérer la synchronisation, la datation et la géolocalisation d’un utilisateur. Elles peuvent également subir des interférences ou des interruptions. Le type d’attaque associé mentionné inclut le leurrage (spoofing), qui est une forme d’altération.
2. Manque de mécanismes de sécurité natifs : Ces technologies ne disposent pas nativement de mécanismes de sécurité contre ces menaces.
3. Criticité de leur utilisation : Les données fournies par les systèmes GNSS sont nécessaires à l’opération de nombreux services dans le secteur des transports, car elles fournissent des informations cruciales sur la position, la navigation et le temps (PNT). Ce paramètre est indispensable pour la gestion des flottes d’entités du secteur des transports urbains, comme les VTC, les sociétés de taxis, ou celles mettant à disposition des engins de déplacement personnel.

Ces risques mettent en évidence la dépendance des systèmes de transport à une technologie vulnérable, dont la compromission (par brouillage, leurrage ou altération des données PNT) pourrait potentiellement perturber gravement les services qui en dépendent pour fonctionner correctement.

Face à ces risques, l’une des recommandations de l’ANSSI est de limiter l’utilisation des technologies GNSS à des services non critiques. Si leur utilisation est indispensable pour des services critiques, il est recommandé d’utiliser des capteurs supplémentaires.

Quel serait le pire scénario

Le pire scénario en matière de menaces informatiques ciblant les transports urbains impliquerait des attaques allant au-delà des systèmes informatiques de bureau (IT) pour viser les systèmes de technologie opérationnelle (OT), c’est-à-dire les systèmes qui pilotent et contrôlent les installations physiques comme la gestion de la circulation des rames, la signalisation, l’alimentation électrique, etc..

1. Paralysie ou Sabotage Opérationnel Majeur : Le pire scénario serait qu’une attaque informatique réussisse à immobiliser ou saboter des réseaux de transport entiers. Des attaquants réputés liés à des États pourraient chercher à “saboter ces réseaux critiques” pour déstabiliser un pays dans un contexte de tension internationale. La convergence croissante des systèmes IT et OT, qui étaient autrefois isolés, crée une surface d’attaque étendue, potentiellement exploitable par des acteurs disposant de ressources importantes pour causer des dégâts. Bien que l’ANSSI n’ait pas connaissance d’incidents ayant directement affecté les environnements industriels (OT) en France, ces réseaux sont considérés comme des “cibles critiques potentielles d’attaques informatiques à des fins de sabotage, aux conséquences potentiellement graves”. Une telle attaque pourrait affecter la continuité des services de transport et toucher un très grand nombre d’usagers quotidiens (plusieurs millions pour certains réseaux).
2. Compromission de la Sécurité Physique : Une conséquence potentiellement dramatique serait la manipulation d’équipements de signalisation, comme les feux de circulation. Les sources mentionnent que le piratage des feux de circulation pourrait potentiellement “conduire à ce que tous les feux passent au vert au même moment, et générer de graves accidents de circulation”, bien que des chercheurs ayant démontré cette possibilité n’aient pu faire passer au vert plusieurs feux qui ne sont pas censés l’être en même temps. D’autres recherches ont montré la possibilité de manipuler les feux pour perturber gravement le trafic.

En résumé, le pire scénario dépeint par les sources est celui où des attaquants, potentiellement soutenus par des États, parviendraient à saboter ou à prendre le contrôle des systèmes opérationnels qui gèrent le mouvement physique des véhicules ou la signalisation, entraînant une paralysie généralisée du réseau, voire des accidents aux conséquences humaines potentiellement graves. Bien que les incidents observés en France par l’ANSSI entre 2020 et 2024 n’aient pas eu de conséquences significatives sur le fonctionnement, l’ANSSI alerte sur la vulnérabilité du secteur et le risque que font peser notamment les attaques visant la déstabilisation et l’espionnage (qui peut servir à préparer de futurs sabotages).

Sources

Agence européenne de cyber sécurité ENISA

ANSSI état de la menace sur les transports urbains

La cybercriminalité toujours plus forte

Le cryptage des données remis en cause par les ordinateurs quantiques. La révolution quantique va rebattre la donne de la sécurité des communications

Le cryptage des données remis en cause par les ordinateurs quantiques

Les technologies quantiques, autrefois reléguées au domaine de la physique théorique, sont désormais au cœur de nombreuses applications pratiques, notamment dans le domaine crucial de la sécurité des communications.

Les publications actuelles en font un sujet qui va devenir aussi important que les crypto monnaies, l’intelligence artificielle.

L’avènement potentiel d’ordinateurs quantiques puissants est proche. Cette innovation représente une menace significative pour les méthodes de cryptographie classiques.

Ces méthodes actuelles fondées sur les nombres premiers et des clés publiques privées peuvent être cassées très rapidement avec un algorithme basé sur la technologie quantique.

En réponse à cette menace, la recherche et le développement dans le domaine des communications quantiques et de la cryptographie quantique s’intensifient, avec des investissements importants de la part de l’Europe et d’autres grandes puissances mondiales.

Selon les sources, les investissements dans les technologies quantiques, en particulier pour la sécurité des communications et le développement de l’internet quantique, sont significatifs au niveau européen et national.

Les montants investis en Europe sont importants.

Le Programme Quantum Flagship de la Commission Européenne est doté de 1 milliard d’euros sur 10 ans .

Le programme Initiative EuroQCI (Quantum Communication Infrastructure) : Lancé par plusieurs pays européens, dont la France. Cette initiative a pour ambition de doter l’Europe d’une infrastructure de communications quantiques paneuropéenne sécurisées d’ici 10 ans, combinant segments terrestres et spatiaux.

L’Europe investit à un niveau comparable à celui des États-Unis ou de la Chine. Ces grandes puissances mondiales ont pleinement conscience de l’importance stratégique de ces activités et investissent également massivement. La Chine, a investi de longue date dans les réseaux quantiques et a réalisé des avancées notables. Les États-Unis ont également publié un plan pour un internet quantique.

En outre, la mise en œuvre à grande échelle des solutions de Distribution Quantique de Clés (QKD), qui est une étape vers l’internet quantique, demande encore des efforts importants en recherche et développement. Les solutions commerciales QKD disponibles sont actuellement très chères, et un objectif des projets comme CiViQ est de réduire considérablement leur coût à long terme.

La construction d’infrastructures, notamment pour la téléportation quantique et les liaisons satellitaires, représente également d’énormes défis techniques et des coûts importants.

La France de son coté va investir 1.8 milliard d’euros sur la recherche en informatique quantique. La volonté est de ne pas rater cette révolution du numérique. La répartition sera la suivante.

Les montants investis dans le quantique

800 millions seront consacrés à l’ordinateur quantique.

325 millions seront dédiés aux communications utilisant les technologies quantiques. Cela concerne les sujets d’intrication des photons.

150 millions dans la cryptologie post quantique. de nouvelles technologies de cryptage résistants aux attaques. Ces technologies étudient de nouveaux types de clés résistantes aux calculs quantiques.

300 millions pour les technologies habilitantes. Ce sont des technologies périphériques qui permettent aux ordinateurs quantiques de fonctionner. Par exemple la capaciter à refroidir la matière proche du zéro absolu.

Les principales applications de l’informatique quantique

Le cryptage des données est remis en cause par les ordinateurs quantiques. La Menace des Ordinateurs Quantiques pour la Cryptographie Classique est due à l’augmentation exponentielle de la puissance de calcul des super-ordinateurs. Ces capacités posent un risque majeur pour les algorithmes de cryptographie actuellement utilisés pour sécuriser les données sensibles.

Pour sécuriser les échange il faut passer à la Cryptographie Quantique (QKD). La Distribution Quantique de Clés (QKD) est une technique basée sur les principes de la physique quantique pour générer et distribuer des clés de chiffrement de manière ultra-sécurisée.

Quels sont les principes nouveaux apportés par la QKD.

La QKD utilise les propriétés des particules quantiques (photons) pour détecter toute tentative d’interception des clés, assurant ainsi la confidentialité et l’intégrité des données. Si quelqu’un tente d’intercepter une communication basée sur cette technologie, le manque d’un seul photo sera détecté. Ceci grâce à la propriété d’intrication des photons.

L‘intrication quantique est une propriété clé de l’internet quantique : Lorsque deux qubits interagissent et s’entremêlent, ils partagent des propriétés particulières qui dépendent l’une de l’autre. Lorsque les qubits sont dans un état d’enchevêtrement (ou d’intrication), toute modification d’une particule de la paire entraîne des modifications de l’autre, même si elles sont physiquement séparées. Ceci quel que soit la distance entre les deux.

Cette technologie n’est pas encore mature. L’implémentation à grande échelle de la QKD fait face à des défis techniques tels que la portée limitée dans les fibres optiques, le coût élevé des équipements, et la nécessité d’intégration dans les infrastructures existantes.

Le Rôle Crucial des Réseaux Terrestres et Spatiaux : Pour surmonter les limitations de portée, l’infrastructure de communications quantiques envisagée pour l’Europe combinera des réseaux terrestres en fibre optique et des liaisons par satellite, en utilisant des nœuds de confiance ou l’intrication quantique pour étendre la portée.

La portée des systèmes QKD utilisant la fibre optique est limitée : de 60 à 80 km pour les systèmes commerciaux à quelques centaines de kilomètres pour certains prototypes. Pour les longues distances, il faut utiliser des “nœuds dits ‘de confiance ou des liaisons via satellite!.

L’Internet full Quantique comme cible : L’internet quantique est un concept plus ambitieux qui permettrait aux dispositifs quantiques d’échanger des informations en exploitant des phénomènes quantiques comme l’intrication, ouvrant la voie à des applications au-delà de la seule sécurité.

Enjeu de Souveraineté : La maîtrise des technologies quantiques, en particulier la cryptographie, est considérée comme un enjeu majeur de souveraineté nationale/supra-nationale pour protéger les échanges de données à long terme et assurer l’indépendance technologique.

Conséquences de l’informatique quantique

La menace quantique est réelle et imminente : “L’arrivée d’ordinateurs quantiques devrait encore augmenter énormément les capacités de calculs disponibles. Ils pourraient ainsi fragiliser les solutions de cryptographie actuellement mises en œuvre pour sécuriser nos données en cassant les algorithmes de cryptographie utilisés.

Seule la QKD offre une sécurité “à toute épreuve” contre l’interception : L’avantage de l’échange quantique de clés est qu’il permet de détecter rapidement un espion/pirate qui essaierait de voler la clé secrète pendant l’échange.

Le QKD signifie qu’il est facile de savoir si une tierce partie a inspecté les qubits pendant la transmission, puisque l’intrus aurait fait s’effondrer la clé simplement en la regardant. Si un hacker examinait les qubits à un moment quelconque de leur envoi, cela changerait automatiquement l’état des qubits.

La portée des systèmes QKD utilisant la fibre optique est limitée : de 60 à 80 km pour les systèmes commerciaux à quelques centaines de kilomètres pour certains prototypes. Pour les longues distances, il faut utiliser des nœuds dits de confiance ou des liaisons via satellite.

Conclusion :

Les technologies quantiques représentent une rupture majeure avec la physique classique et ouvrent la voie à des avancées significatives, notamment en matière de sécurité des communications.

Face à la menace croissante des ordinateurs quantiques sur la cryptographie actuelle, la Distribution Quantique de Clés (QKD) émerge comme une solution prometteuse pour sécuriser les échanges de données sensibles.

Bien que des défis techniques subsistent, en particulier pour l’implémentation à grande échelle et sur de longues distances, les initiatives européennes et nationales démontrent un engagement fort dans ce domaine stratégique. Le développement d’une infrastructure quantique combinant réseaux terrestres et spatiaux, et à terme l’internet quantique, promettent de renforcer considérablement la sécurité des applications critiques et de préserver la souveraineté numérique.

Sources :

Inf’ONISTS Avril-Juin 2025

Futura science

ZDnet

Bilan ANSSI 2024

Bilan de l’action de l’ANSSI en 2024. Le rapport d’activité de l’ANSSI est sorti en avril 2025. Les agences de l’Etat apportent maintenant un importance particulière à leurs rapports d’activité pour justifier de l’utilisation des moyens et de leur budget. Avec la tendances à dénoncer les dépenses de des agences, il est utile de démontrer que le travail justifie les moyensengagés.

Bilan de l’action de l’ANSSI en 2024 en chiffres

En 2024, l’ANSSI a enregistré plusieurs chiffres clés concernant ses activités et la cybersécurité en France. Voici un aperçu de ces données, tirées des sources fournies :

Effectifs et Budget de l’ANSSI :

• 656 agents travaillaient au quotidien au sein de l’ANSSI. L’ANSSI peut être qualifiée d’agence importante en termes d’effectifs. On va voir quel est leur profils.
• L’âge moyen des agents de l’ANSSI était de 36 ans. C’est assez jeune, la moyenne de toute la fonction publique est de 43 ans (source, servicepublic.fr)
• Le budget de l’ANSSI (hors masse salariale) s’élevait à 29,6 millions d’euros, soit une augmentation de 15 % par rapport à l’année 2023.

L’agence va certainement bénéficier de nouveaux moyens en 2025 et ensuite pour faire face à l’élargissement de ses missions tels que défini dans la feuille de route stratégique

Activité de l’ANSSI

• L’ANSSI a traité 4 386 événements de sécurité, soit une augmentation de 15 % par rapport à 2023.
• Parmi ces événements, 1 361 incidents ont impliqué un acteur malveillant, représentant une hausse de 18 % par rapport à 2023.
• Concernant les Jeux olympiques et paralympiques de Paris 2024 (entre le 8 mai et le 8 septembre 2024), l’ANSSI a recensé 548 événements de cybersécurité.
• Les 12 CSIRT territoriaux ont porté à la connaissance de l’ANSSI près de 700 événements de sécurité numérique, dont 400 incidents, entre le 1er janvier et le 18 décembre 2024.

Ces chiffres sont malheureusement en hausse chaque année.

Formation, information et Sensibilisation du public :

• 68 formations étaient labellisées SecNumedu.
• 35 formations étaient labellisées SecNumedu-FC, soit une augmentation de 56 % par rapport à l’année 2023.
• 1 696 personnes ont été formées au Centre de formation à la sécurité des systèmes d’information (CFSSI), soit une hausse de 21 % par rapport à 2023.
• 117 856 attestations SecNumacadémie ont été décernées.
• 1 501 diagnostics ont été réalisés.
• 1 487 aidants cyber étaient référencés sur MonAideCyber.
• 81 986 vulnérabilités ont été corrigées grâce à MonServiceSécurisé.
• 3 403 services étaient sécurisés grâce à MonServiceSécurisé.

Publications et Reconnaissances :

• L’ANSSI a publié 11 rapports menace et incidents.
• 12 logiciels ont été publiés en open source. C’est un point important de la souveraineté
• 22 articles scientifiques ont été publiés.
• L’ANSSI a délivré 196 qualifications et 94 certifications.
• 280 visas de sécurité ont été accordés.
• 3 études de marché ont été réalisées.
• 1 avis technique a été publié.

Dispositifs Réglementaires et Alertes :

• L’ANSSI a reçu 236 signalements de vulnérabilités au titre de l’article L.2321-4 du code de la défense.
• Neuf campagnes de signalement de vulnérabilités représentant 15 900 adresses IP ont été menées auprès des abonnés des opérateurs, dont 8 731 ont pu être identifiées.
• 68 demandes d’identification pour un total de 978 adresses IP ont été effectuées par l’ANSSI auprès de 34 opérateurs de communications électroniques.
• L’ANSSI a rendu 1 610 décisions concernant la sécurité des réseaux 5G, dont 52 décisions de refus. Cela comprenait notamment 586 décisions pour les exploitations, 587 pour les commercialisations, 355 pour les renouvellements, et 82 autres décisions.

Un cadre réglementaire qui se renforce

L’année 2024 a été marquée par une évolution significative du cadre réglementaire en matière de cybersécurité, tant au niveau européen qu’en France, avec une implication forte de l’ANSSI. Plusieurs initiatives importantes ont progressé ou sont entrées en vigueur, visant à élever le niveau global de cybersécurité.

Le texte dont nous avons le plus entendu parlé est NIS2. Il concerne les entreprise et les collectivités. Il n’est pas encore transposé en droit français mais des travaux intenses sont en cours au parlement.

• Transposition de la directive NIS 2 : L’ANSSI a poursuivi activement ses travaux de transposition de la directive NIS 2 (Network and Information Security) en droit français. Cette directive européenne vise à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l’UE en élargissant le champ des entités concernées (administrations de l’État, collectivités territoriales, moyennes et grandes entreprises de 18 secteurs d’activité) et en introduisant des exigences plus adaptées. Le document de loi, titre II “Cybersécurité” a été présenté en conseil des ministres le 15 octobre 2024. La transposition de NIS 2 est un chantier majeur pour l’ANSSI, entraînant une transformation de son organisation et de ses missions, avec l’ajout de prérogatives de contrôle et de supervision. L’ANSSI a également mis en place la plateforme Monespacenis2.cyber.gouv.fr pour informer et accompagner les entités concernées.
• Vote du règlement sur la cyber-résilience (CRA) : Le règlement sur la cyber-résilience (Cyber Resilience Act) a été voté et publié le 20 novembre 2024. Complémentaire à la directive NIS 2, il définit des exigences minimales de cybersécurité pour les produits comportant des éléments numériques mis sur le marché européen. Le CRA vise à sécuriser les produits numériques utilisés par les organisations et le grand public.
• Révision du règlement eIDAS : La révision du règlement eIDAS (Electronic Identification, Authentication and Trust Services) est entrée en vigueur le 20 mai 2024. Ce règlement vise à faciliter la sécurité des transactions numériques transfrontalières et à créer un cadre de confiance pour l’identité numérique et l’authentification au sein de l’UE, notamment avec l’introduction du portefeuille européen d’identité numérique.
• Adoption du schéma européen de certification de cybersécurité (EUCC) : Le 31 janvier 2024, la Commission européenne a adopté l’EUCC (EU Common Criteria), le premier schéma de certification européen fondé sur des critères communs. Ce schéma, conforme au règlement européen Cybersecurity Act (CSA), fournit des règles et procédures de certification harmonisées pour les produits TIC.
• Mise en œuvre de la Loi de Programmation Militaire (LPM) 2024-2030 : Le décret d’application de la LPM 2024-2030 est entré en vigueur le 10 mai 2024. Cette loi dote l’ANSSI de nouvelles capacités opérationnelles pour anticiper, caractériser et neutraliser la menace, notamment en matière de filtrage DNS et de traitement des vulnérabilités. Elle oblige également les éditeurs à notifier les vulnérabilités significatives à l’ANSSI. L’ANSSI a mis en œuvre un premier dispositif efficient sous le contrôle de l’ARCEP et de la CNIL.

En 2024 l’ANSSI a mis en œuvre une transformation de ses compétences et de son domaine d’intervention. Elle devient une agence opérationnelle et plus de conseil et d’orientation.

Enjeux de l’informatique quantique

Ce nouveau domaine de l’informatique concerne la cryptographie.

Voici les principaux enjeux identifiés par l’ANSSI :

• Menace pour la cryptographie asymétrique actuelle : Le développement et l’utilisation d’un ordinateur quantique par une puissance étrangère remet en cause les fondements de la cryptographie asymétrique largement utilisée pour sécuriser les infrastructures numériques. Cela pourrait rendre obsolètes de nombreux systèmes de sécurité actuels.

Pour faire face à cette menace, il faut faire évoluer le cryptage.

• Nécessité de la cryptographie post-quantique (PQC) : La PQC est présentée comme l’ensemble des algorithmes cryptographiques qui pourraient résister à la menace quantique, tout en restant sécurisés contre les attaques classiques. La transition vers la PQC est considérée comme la voie la plus prometteuse pour se prémunir contre cette menace.

Stratégies de l’ANSSI pour la transition :

• Garantir la disponibilité d’une offre de produits PQC de confiance : Cela implique d’accompagner le développement de produits de sécurité intégrant une nouvelle génération d’algorithmes cryptographiques résistants aux ordinateurs quantiques.

Qualification de services secnumcloud

Le SecNumCloud est une qualification délivrée par l’ANSSI pour identifier les prestataires de cloud de confiance. Cette qualification garantit un haut niveau d’exigence tant du point de vue technique, qu’opérationnel ou juridique.

Le sujet est celui de la souveraineté des hébergeurs et des offres de services en ligne.

• Recommandations de l’ANSSI : Face au recours croissant aux technologies de cloud computing, l’ANSSI a publié en 2024 une série de recommandations de sécurité pour l’hébergement des systèmes d’information sensibles dans le cloud. Ces recommandations indiquent, en fonction du type de système d’information, de la sensibilité des données et du niveau de la menace, les types d’offres cloud à privilégier. L’ANSSI préconise l’utilisation de solutions qualifiées SecNumCloud pour les systèmes d’information de niveau de diffusion restreinte, les systèmes d’information sensibles des opérateurs d’importance vitale (OIV) et des opérateurs de services essentiels (OSE), ainsi que des systèmes d’information d’importance vitale (SIIV).

En lien avec NIS2, l’ANSSI recommande de n’utiliser que des services SECNUMCLOUD pour certains opérateurs.

• Évolution de l’offre qualifiée : L’offre de cloud qualifiée SecNumCloud s’est étendue et comprenait 14 solutions de 7 offreurs fin 2024. Parallèlement, 8 sociétés ont engagé un processus de qualification SecNumCloud.
• Guide de déploiement OpenStack SecNumCloud : L’ANSSI a également publié en 2024 un guide de recommandations de sécurité relatives au déploiement d’une infrastructure OpenStack pour un service IAAS SecNumCloud.

La réalité est que encore peux d’offre opérationnelles sont disponibles. OVH est un acteur français le plus en pointe sur le sujet avec des offres disponibles.

Beaucoup d’annonces sont faires par DOCAPOSTE, THALES mais pas de réelle commercialisation encore.

Sources :

Bilan activité ANSSI 2024

Article Le monde informatique 15 avril 2025 sur bilan activité ANSSI

Stratégie ANSSI

Les risques en utilisant vos propres matériels et logiciels en entreprise. Le Bring You Own Device ou BYOD est une pratique répandue d’utiliser son propre PC et ses propres logiciels en entreprise pour réaliser ses missions.

Pour certains le BYOD c’est le Bring Your Own Disaster tant les risques importés sont importants.

Les pratiques du BYOD (Bring Your Own Device) font référence à la manière dont les organisations mettent en œuvre et gèrent l’utilisation des appareils personnels des employés à des fins professionnelles. Cette approche permet aux employés d’utiliser leurs propres ordinateurs portables, tablettes ou téléphones personnels pour le travail. L’essor du travail hybride a encouragé de nombreuses entreprises à adopter une politique de BYOD.

Quelles pratiques regroupe le BYOD

Le BYOD est souvent subit par les organisations. Il faut constater que parfois les matériels et logiciels à disposition du grand public sont plus performants que ceux de leur organisation.

Deux raison à cette situation. Sur les matériels les particulier ont accès aux même technologies que les entreprises plus vite car ils n’ont pas l’effet de flotte à gérer. Ils peuvent acquérir le dernier matériels sans soucis d’intégration dans un écosystème. Au niveau logiciels, le mode de financement de services en ligne permet aux particuliers de disposer de meilleures offres. En effet à partir du moment ou le produit est l’utilisateur, on lui permet d’utiliser le service gratuitement en échange de ses données.

Le sujet est quand tout cela est utilisé dans une entreprise ou le secteur public.

Types de politiques mises en oeuvre: Les entreprises peuvent adopter une politique BYOD de base ou complète. Une mise en œuvre globale peut quadrupler les économies réalisées par rapport à une approche de base. Outre le BYOD, il existe d’autres politiques relatives aux appareils mobiles telles que CYOD (Choose Your Own Device), COPE (Corporate Owned/Personally Enabled) et COBO (Corporate Owned/Business Only), qui varient en termes de flexibilité et de contrôle par l’entreprise. Le BYOD est l’option la moins rigide.

Avantages pour l’entreprise : Les avantages incluent des économies sur le matériel, la maintenance et les coûts de télécommunication, une potentielle augmentation de la productivité des employés car ils sont plus à l’aise avec leurs propres appareils, une pratique plus durable en réduisant la surconsommation d’appareils, et la suppression des coûts et du temps liés à la formation des employés sur de nouveaux appareils fournis par l’entreprise.

Risques et inconvénients : Les principaux inconvénients comprennent l’augmentation des risques de cybersécurité (jailbreaking, réseaux non sécurisés, fuites de données, etc.), des problèmes éthiques liés au respect de la vie privée des employés et à l’inégalité d’accès à la technologie, et des problèmes de compatibilité entre différents matériels et logiciels. L’utilisation d’appareils personnels peut également exposer l’entreprise à des risques juridiques et de sécurité, notamment en ce qui concerne la protection des données personnelles (RGPD).

Tenter de mieux gérer le BYOD

Il existe de meilleures pratiques pour atténuer les risques : Pour bénéficier des avantages du BYOD tout en minimisant les inconvénients, les entreprises devraient :

• Prévoir un budget pour la formation régulière des employés à la cybersécurité et aux meilleures pratiques d’utilisation de leurs appareils à des fins professionnelles.
• Créer un plan d’action clair pour le départ des employés afin de gérer les données de l’entreprise présentes sur leurs appareils personnels.
• Utiliser un logiciel de gestion des appareils mobiles (MDM) pour surveiller, gérer et sécuriser les données sur les appareils personnels.
• Élaborer la politique BYOD de l’entreprise de manière collaborative avec les différents départements, en définissant clairement les attentes et les règles d’utilisation. Il est important de formaliser cette politique par un document écrit et signé par les employés.
• Adapter la sécurité informatique de l’entreprise aux vulnérabilités potentielles des appareils personnels. Cela peut inclure le déploiement d’outils de cloisonnement des environnements de travail personnels et professionnels.
• Sensibiliser le personnel aux bonnes pratiques d’hygiène numérique et aux enjeux de sécurité spécifiques à leur secteur d’activité. Il est recommandé de limiter l’utilisation des appareils personnels aux usages les moins sensibles.
• Encadrer étroitement les changements de fonction et les départs des employés pour s’assurer qu’ils ne conservent pas d’accès ou de données professionnelles sur leurs appareils personnels.

Le phénomène est en place, comment les DSI peuvent réduire ce risque

Pour atténuer les inconvénients de l’approche BYOD, les entreprises peuvent mettre en œuvre plusieurs stratégies et meilleures pratiques, comme le soulignent les sources.

Il est crucial de développer une stratégie de gestion des appareils mobiles bien pensée.

Il existe des solutions logiciels pour augmenter la sécurité du réseau. L’anti virus ne suffit plus.

Les entreprises peuvent utiliser des logiciels de type EDR (Endpoint Detection and Response) pour la détection des menaces sur les ordinateurs et serveurs connectés au réseau.

Coté réseau, il existe aussi des solutions.

L’adoption de la technologie MPLS (MultiProtocol Label Switching) peut offrir un réseau privé plus sécurisé que les VPN.

La mise en place d’un modèle de sécurité Zero Trust peut limiter l’accès aux ressources en fonction de la légitimité et de l’autorisation des utilisateurs.

Il est vivement recommandé aux salariés de cloisonner leurs usages personnels et professionnels sur leurs appareils numériques partagés. Sur ce plan, les solution ne sont pas simples et la plupart du temps cela ne sera pas fait.

Une charte encadrant le recours aux outils numériques personnels doit être présentée à tous les salariés dès leur recrutement, prévoyant notamment les tâches autorisées et les droits d’accès.

Des procédures claires doivent être établies en cas de vol ou de perte d’un matériel personnel utilisé à des fins professionnelles, ainsi qu’en cas d’incident avéré ou suspecté sur l’appareil, ou en cas de suspicion de compromission.

Source

Flash DGSI infogérence

La cyber insécurité en chiffres c’est traduire en données l’ensemble des risques avérés en 2024

La tendance sur plusieurs années est que le sentiment de menace augmente (+33%) par rapport à l’an dernier. ce sentiment provient de l’expérience d’attaques (50% des entreprises ont subit une attaque) et de la hausse consécutive des budgets consacrés à la protection cyber.

Le secteur public semble réagir avec un meilleur suivi des prescription ANSSI et des budgets enfin en hausse.

Qui sont les principales victimes

Une analyse par secteur permet de déterminer que les entreprises en lien avec des finances sont les plus visées

Les banques et les assurances sont en première ligne le public juste derrière. Étonnant le troisième place des entreprises de restauration et hébergement.

Le sentiment d’exposition à la menace est en hausse avec parfois un écart avec la réalité des attaques subies. Les acteurs de la distribution d’eau et électricité se sentent très menacés mais dans la réalité ne sont pas ceux qui subissent le plus d’attaques.

Egalement plus l’entreprise en grosse plus elle se sent sous la menace cyber, ce qui n’est pas le cas non plus.

Les budgets cyber en hausse

Si l’on ramène le montant des dépenses en cyber sécurité par salarié on se situe à moins de 15€

C’est assez peu compte tenu des couts des dispositifs de protection. Cependant 59% des entreprises ont un budget cyber en hausse. Le sentiment est que les entreprise font assez d’effort. Pourtant les attaques augmentent. C’est assez ambivalent de voir que la mesure dit à la fois que les décideurs se sentent menacés. Que le budget consacré à la cyber menace m’est pas très important et que au final ils pensent que c’est suffisant.

Les budgets sont principalement consacrés à la protection des données

C’est la principale peur des décideurs. En effet perdre ses données, c’est souvent provoquer une réaction en chaine qui abouti à la fermeture de l’activité. C’est de plus le ventre mou du système d’informations car beaucoup d’accès sont nécessaires en permanence.

Les principales mesure de protection concernent des mesures physiques d’accès, la mise en place de pare feux et la sécurisation des postes de travail.

Quand on les interroge sur leur ressenti par rapport à ces mesures prises, 33% n’ont pas confiance en ces mesures. Pourtant ils les financent.

Pour se protéger les entreprises font appels à des ESN externes spécialisés. Sur ce type de solution elles préfèrent les solutions packagées.

La prise de conscience de la menace cyber est bien présente. Les entreprises augmentent leurs exigences de sécurité mais ne savent pas toujours dans quelle direction mettre le budget. La fonction est externalisée à des ESN spécialisées. La notion de souveraineté comment à poindre tout comme la prise en compte des référentiels ANSSI. Le travail de fond d’évangélisation doit continuer

Source

Baromètre 2024 de la cyber sécurité

La cyber criminalité toujours plus forte. De part sa nature la cyber menace reste le principal risque. Le monde digitalisé et l’affranchissement des frontières place les systèmes numériques face à une menace toujours plus forte.

Tendances de la cyber criminalité en 2024

L’année 2024 a été marquée par une pression “omniprésente et persistante” des acteurs cybercriminels d’une part, et des acteurs “réputés liés à la Russie et à la Chine” d’autre part. Clairement l’ANSSI désigne la menace par pays.

Le nombre de signalement a augmenté de de 15% des signalements traités par rapport à 2023 (4386 signalements en 2024).

Les attaquants liés à l’écosystème cybercriminel, à la Chine et à la Russie constituent les trois principales menaces pour les systèmes d’information critiques et l’écosystème national.

C’est ici l’illustration de la guerre hybride que mènent ces pays contre les démocraties. Avec peu de moyens et à distance, ils mènent une guerre de désinformation, de perturbation.

2. Exploitation des Vulnérabilités sur les Équipements de première ligne:

Les attaquants ont largement profité des “nombreuses vulnérabilités non corrigées sur des équipements en bordure des systèmes d’information pour s’y introduire”, compromettant souvent “des centaines voire des milliers d’équipements dans un temps très bref”.

Les concepteurs de structures de réseaux et de logiciels associés sont encore trop peu préoccupés de sureté.

Le CERT-FR a traité 40 dossiers de coordination de vulnérabilités en 2024, un chiffre en augmentation constante.

Plusieurs évolutions réglementaires, notamment l’adoption du Cyber Resilience Act (CRA) par l’UE en octobre 2024, visent à améliorer la sécurité des produits et la prise en compte des vulnérabilités, avec une obligation de signalement.

Ce ne sont pas les textes qui vont dissuader les cyber attaquants. Il faut avant tout disposer de mesures et contre mesures. Etre le plus souverain possible sur la maitrise des codes sources et des dispositifs.

3. Ciblage de la Chaîne d’Approvisionnement (Supply Chain) :

Les attaques visant la chaîne d’approvisionnement “pour atteindre des cibles finales d’intérêt” se poursuivent et sont en “constante expansion depuis la fin des années 2010”.

Ces attaques peuvent cibler des logiciels (compromission d’éditeurs, ajout de code malveillant dans des projets open source comme l’attaque contre XZ Utils en 2024) ou des prestataires de services informatiques. Dans ce domaines les collectivités et services publics sont visés en priorité.

Les groupes cybercriminels exploitent également le “manque de maturité de certains prestataires de services dans leurs pratiques de sécurité”.

4. Évolution de l’Outillage et des Infrastructures d’Attaque :

• Réseaux et infrastructures d’anonymisation : Leur utilisation se poursuit, notamment par des acteurs “réputés liés à la Chine” et, dans une moindre mesure, à la Russie. Ces réseaux complexifient l’attribution des attaques.
• Utilisation des mêmes ressources par différents acteurs : “Des codes et des services malveillants d’origine cybercriminelle sont également utilisés par des hackers réputés étatiques.” On constate bien des échanges d’informations entre la Chine et la Russie et des groupes criminels qui agissent comme des corsaires.
• Mercenariat et prestataires de service : Le secteur continue sa croissance, avec un écosystème diversifié incluant des entreprises privées, des mercenaires et des prestataires travaillant pour des états. La fuite de données de l’entreprise chinoise I-SOON a révélé ses liens avec plusieurs hackers réputés chinois et illustre un modèle où le ciblage peut se faire en vue d’un contrat ultérieur avec des entités gouvernementales.
• Ciblage des appareils mobiles : Les logiciels espions fournis par des entreprises étrangères constituent une menace majeure pour l’acquisition de renseignement. Des cas d’espionnage de personnalités politiques ont été rapportés.

5. Finalités des Attaques :

• Attaques à but lucratif : Elles restent importantes, principalement via le rançongiciel et le vol de données. L’activité des groupes de rançongiciel s’est maintenue à un niveau élevé en 2024. Les attaquants ciblent de plus en plus les serveurs de stockage Cloud et les hyperviseurs. L’ANSSI a suivi 144 compromissions par rançongiciel en 2024, avec LockBit 3.0, Ransomhub et Akira comme souches les plus représentées.
• Désorganisation de l’écosystème cybercriminel : L’année 2024 a été marquée par le démantèlement partiel de groupes majeurs comme LockBit et l’exit scam de BlackCat, entraînant une réorganisation de l’écosystème avec l’émergence de nouveaux groupes moins sophistiqués utilisant des codes sources divulgués. C’est le principe de ces groupes d’être fluides et adaptatifs.
• Déstabilisation : On note une “hausse des attaques à finalité de déstabilisation, notamment opérées par des groupes hacktivistes.” Ces attaques ont ciblé de petites installations industrielles (énergie renouvelable, assainissement de l’eau), avec des actions ayant parfois mené à l’arrêt d’installations. Les attaques par DDoS ont connu une “intensité accrue” en 2024, ciblant des entités publiques et privées, y compris des infrastructures de télécommunications critiques comme le Réseau interministériel de l’État (RIE).
• Espionnage : Les attaques à finalité d’espionnage restent celles qui mobilisent le plus les équipes de l’ANSSI. Les entités stratégiques sont des cibles récurrentes des acteurs étatiques. On a observé des campagnes liées à des intérêts stratégiques russes (APT28, Nobelium), chinois (Mustang Panda, RedJuliette) et iraniens (APT42) ciblant divers secteurs (gouvernemental, diplomatique, recherche, télécommunications, transport maritime). Le ciblage du secteur des télécommunications est particulièrement intense, avec l’utilisation d’outils spécifiques et des compromissions pouvant durer plusieurs années. Les compromissions d’opérateurs de télécommunications sont susceptibles de porter atteinte à la confidentialité des données échangées par les utilisateurs.

Conclusion :

Le Panorama de la cybermenace 2024 de l’ANSSI dresse un tableau préoccupant d’une menace persistante et en évolution. L’augmentation des signalements, l’exploitation continue des vulnérabilités, le ciblage sophistiqué de la chaîne d’approvisionnement, la diversification des outils et des infrastructures d’attaque, ainsi que la montée des attaques à visée de déstabilisation soulignent la nécessité pour les organisations de tous secteurs de renforcer significativement leurs mesures de cybersécurité.

Qui sont les cyber criminels qui ciblent la france

En 2024, la France a été confrontée à la menace de divers acteurs cyber, comme le soulignent les sources :

• L’écosystème cybercriminel : Ce groupe constitue une menace omniprésente et persistante. Les acteurs cybercriminels sont principalement motivés par le gain financier, à travers des activités telles que les attaques par rançongiciel et l’extorsion, ainsi que le vol et la fuite de données. L’ANSSI a observé un maintien à un niveau élevé de l’activité cybercriminelle en 2024. Des groupes de rançongiciels, malgré des opérations de démantèlement, restent très actifs et ciblent indistinctement la plupart des secteurs, en privilégiant les pays riches. L’utilisation d’infostealers dans les chaînes d’infection menant aux rançongiciels s’est intensifiée. De nombreuses entités françaises, publiques et privées, ont été victimes de fuites de données diffusées par ces acteurs.
• Acteurs réputés liés à la Russie : Ces acteurs représentent également une menace persistante pour la France. Leurs activités sont souvent orientées par la recherche d’informations pouvant soutenir les efforts militaires ou diplomatiques russes, notamment dans le contexte de la guerre en Ukraine. Des modes opératoires tels qu’APT28 (associé au GRU) et Nobelium (réputé lié au SVR) ont continué à cibler des secteurs d’intérêt stratégique pour la Russie, incluant des entités gouvernementales, diplomatiques et de recherche françaises. Ces acteurs utilisent des réseaux d’anonymisation et montrent une porosité avec des outils d’origine cybercriminelle. Certains groupes hacktivistes pro-russes peuvent également être affiliés à des États.
• Acteurs réputés liés à la Chine : Tout comme les acteurs liés à la Russie, ils constituent une menace majeure pour la France. Leurs motivations principales sont l’espionnage stratégique et économique, ciblant de larges secteurs et zones géographiques. L’utilisation de réseaux d’anonymisation est une caractéristique de ces acteurs, complexifiant leur identification et leur suivi. L’ANSSI a observé un ciblage intense du secteur des télécommunications en France par ces acteurs.
• Groupes hacktivistes : Ces groupes, souvent motivés par des causes politiques ou idéologiques et liés à l’actualité internationale (guerre en Ukraine, conflit au Proche-Orient), ont intensifié leurs attaques à finalité de déstabilisation en 2024. Ils recourent principalement aux attaques par DDoS, à la défiguration de sites web et aux revendications d’exfiltration de données. Des tentatives de sabotage de petites installations industrielles ont également été observées. Des groupes pro-russes et pro-palestiniens ont été particulièrement actifs autour des JOP24.
• Acteurs offensifs réputés iraniens : Ces acteurs ont été associés à des opérations d’espionnage à l’encontre de think tanks, d’organismes de recherche et d’universités françaises. Le mode opératoire APT42 a été employé pour cibler des individus et, dans une moindre mesure, des organisations considérées comme une menace pour la stabilité du régime iranien, incluant des chercheurs, journalistes et dissidents.
• Mercenariat et prestataires de service : L’ANSSI constate le développement d’un écosystème privé au sein des États, notamment en Chine, ainsi que l’existence d’entreprises de lutte informatique offensive privée (LIOP), de mercenaires et de prestataires travaillant pour des États. Ces acteurs fournissent des outils et des services offensifs qui peuvent être utilisés par divers commanditaires, y compris des acteurs étatiques et cybercriminels, complexifiant l’attribution des attaques. Le ciblage des appareils mobiles est une des menaces majeures liées à ces acteurs, avec l’utilisation de logiciels espions.

Il est important de noter que l’ANSSI observe une porosité croissante entre ces différents profils d’attaquants, avec l’utilisation des mêmes outils et infrastructures par des acteurs aux motivations diverses. Cette complexité rend l’attribution des attaques de plus en plus difficile.

Source

Rapport ANSSI sur la menace cyber en 2024

L’ANSSI renforce ses compétences

Changement de paradigme pour les institution sécuritaires en Europe

L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié ce mois ci un document sur l’évolution de sa doctrine.

Selon le plan stratégique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour 2025-2027, plusieurs évolutions de la doctrine sont à noter :

• Élargissement du champ d’action de l’agence : L’action de l’ANSSI, initialement axée sur la sécurité numérique des infrastructures critiques et les administrations de l’État, évolue pour englober tous les pans de l’économie et de la société face à la diversification des attaquants et à la présence croissante du numérique. Cette évolution reconnaît que la menace cyber affecte désormais les collectivités territoriales, les TPE et PME, et même les équipements informatiques des citoyens.
• Accent sur la résilience cyber collective : La nouvelle stratégie nationale de cybersécurité pour la France, dans laquelle s’inscrit le plan de l’ANSSI, fixe un nouveau cap en termes de développement d’une résilience cyber collective. Cela implique un effort coordonné et partagé entre les acteurs publics et privés, notamment par le biais d’investissements technologiques et du renforcement de la cyberdéfense de la Nation.
• Adaptation à une menace massifiée et diversifiée : Face à la massification de la menace cyber et à l’évolution constante des modes opératoires des attaquants (ciblage de téléphones portables, compromission massive d’équipements de sécurité), l’ANSSI se donne pour priorité d’amplifier et de faciliter l’accès aux capacités de prévention et de réponse. Cela nécessite également de développer des méthodes plus automatisées pour faire face aux menaces de masse.
• Intégration du nouveau cadre de régulation cyber européen : L’ANSSI doit préparer et accompagner le changement d’échelle induit par l’évolution du cadre réglementaire européen (NIS 2, CRA, RIA, eIDAS, CSA). Cela inclut la mise en œuvre progressive de ces directives et règlements, ainsi que la simplification des règles de cybersécurité nationales pour en favoriser l’adoption. L’ANSSI se voit également confier de nouvelles missions de contrôle et de supervision.
• Renforcement de la gouvernance et de la coordination : L’action publique cyber requiert une évolution dans la gouvernance et la coordination des acteurs. L’ANSSI entend refonder ses modes d’interaction avec ses parties prenantes dans une logique de co-construction et permettre au collectif national des acteurs de la cybersécurité d’amplifier leurs actions. Elle pilotera la politique de résilience cyber de la France en coordination avec d’autres administrations.
• Développement et partage d’expertises de pointe : Il est indispensable de maintenir un haut niveau d’expertise et une maîtrise autonome des savoirs scientifiques et technologiques en matière de cybersécurité. L’ANSSI aura pour priorité de développer des expertises de pointe en lien avec l’évolution des technologies (IA, cloud, cryptographie post-quantique) et de partager le plus largement possible ses connaissances.
• Promotion d’une action cyber européenne et internationale efficace : L’ANSSI, en tant que cheffe de file cyber pour la France, portera l’ambition de consolider les piliers de la cybersécurité européenne et de développer les capacités de l’Union européenne. Elle s’impliquera dans la mise en œuvre harmonisée des réglementations, soutiendra le développement d’un marché unique de solutions de confiance, et promouvra la coopération internationale.
• Prise en compte des enjeux sociétaux : Le plan stratégique intègre une nouvelle dimension en renforçant la prise en compte des enjeux sociétaux tels que l’impact environnemental du numérique, la diversité et l’inclusion, la transparence de l’action de l’ANSSI, et l’adaptation du fonctionnement de l’Agence à l’évolution des usages et des organisations de travail.

La cyber sécurité se place au centre des enjeux numériques. toute la société est concernée maintenant par ce risque. Il ne s’agit pas seulement de ce défendre mais de mettre en place un politique de combat de la cyber sécurité.

Nouvelle priorités stratégiques de l’ANSSI

Axe 1 : Amplifier et coordonner la réponse cyber face à la massification de la menace Face à la menace cyber qui touche désormais tous les pans de la société, l’ANSSI se donne pour priorité d’amplifier et de faciliter l’accès aux capacités de prévention et de réponse.

Axe 2 : Développer les expertises indispensables pour contrer les menaces cyber Maintenir un haut niveau d’expertise et une maîtrise autonome des savoirs est essentiel pour la cyberdéfense et la souveraineté.

Axe 3 : Promouvoir une action cyber européenne et internationale efficace L’ANSSI, en tant que cheffe de file cyber pour la France, portera l’ambition de consolider et de développer la cybersécurité au niveau européen.

Axe 4 : Renforcer la prise en compte des enjeux sociétaux dans l’action de l’ANSSI L’ANSSI a un devoir d’exemplarité dans la prise en compte des enjeux sociétaux dans son domaine d’activité.

Le Cloud au centre des préoccupations

Bien que l’expression exacte “cloud souverain” ne soit pas directement mentionnée dans le document plusieurs éléments abordent des concepts qui y sont étroitement liés, notamment en ce qui concerne la sécurité des services cloud et la promotion de solutions de confiance au niveau national et européen. C’est un point clé face à ce qui se profile aux USA et en Chine autour de ces technologies.

L’ANSSI, constate une augmentation des attaques contre les environnements cloud visant à la fois les fournisseurs et leurs clients à des fins lucratives, d’espionnage et de déstabilisation. Face à cette menace, l’agence souligne la nécessité de maîtriser la surface d’exposition aux attaques et de protéger les identités, les accès et les données dans le cloud.

Dans l’axe stratégique visant à promouvoir une action cyber européenne et internationale efficace, l’ANSSI prévoit de soutenir le développement d’un marché unique dynamique de solutions de confiance. Cela passe notamment par une implication forte dans la révision du règlement sur la cybersécurité (CSA), considérant la certification européenne comme un outil clé pour apporter davantage de confiance et de transparence sur le niveau de sécurité des produits et services. L’ANSSI cherchera à promouvoir le modèle français de certification de services et à renforcer le cadre existant. C’est le SECNUMCLOUD.

De plus, l’ANSSI soutiendra le développement de nouveaux services de cybersécurité de confiance au niveau européen et encouragera la mise en place de parcours de cybersécurité adaptés au niveau de maturité des organisations.

Source : document ANSSI

Autre article menace sur le cloud

L’Agence du Numérique des Forces de Sécurité Intérieure (ANFSI) a été créée en septembre 2023 pour moderniser les systèmes d’information et de communication de la police et de la gendarmerie nationales.

Partons à la découverte de cette nouvelle agence de sécurité.

L’Agence du Numérique des Forces de Sécurité Intérieure

L’agence est responsable du développement, de la mise en œuvre et de la sécurité des systèmes, en mettant l’accent sur l’amélioration des outils numériques pour les forces de l’ordre et le public.

À sa tête est nommé le général de corps d’armée Frédéric Aubanel. J’aurais voulu vous en dire plus sur le Général Aubanel, mais il n’est pas sur linkedin.

Missions de l’ANFSI

L’Agence du Numérique des Forces de Sécurité Intérieure (ANFSI) a pour mission le développement, la mise en œuvre et la sécurité des systèmes d’information, des équipements numériques et des applications au profit des forces de sécurité intérieure. L’ANFSI est compétente en matière de construction et de pilotage des infrastructures, des terminaux et des équipements périphériques à destination des services et des unités, des personnels de la gendarmerie nationale et des agents de la police nationale.

Les missions de l’ANFSI comprennent:

• La conception et la conduite de projets concernant les systèmes d’information, de communication et de commandement, ainsi que les technologies connexes, en collaboration avec les directions et services opérationnels.
• L’assurance de la maîtrise d’œuvre des systèmes opérationnels de la gendarmerie nationale et de la police nationale, sans préjudice des projets mutualisés ou interministériels. L’ANFSI peut également jouer un rôle de maîtrise d’ouvrage en fonction des projets.
• L’organisation de la convergence des systèmes d’information et de communication, ainsi que des outils numériques des deux forces, lorsque cela est pertinent, en s’appuyant sur les solutions mutualisées ministérielles et interministérielles.
• L’animation de la politique d’innovation technologique du ministère de l’Intérieur et des Outre-mer pour les missions de sécurité intérieure.

L’ANFSI poursuit un triple objectif:

• Intensifier la capacité de production.
• Intégrer les enjeux technologiques d’avenir.
• Renforcer les couches techniques socles indispensables au bon fonctionnement des systèmes d’information, en mettant l’accent notamment sur la cybersécurité.

L’ANFSI est organisée en six directions spécialisées:

• Communications tactiques et maîtrise de l’environnement électromagnétique.
• Architecture et sécurité du système d’information.
• Appui à l’investigation.
• Applications d’appui au commandement.
• Proximité numérique et appui à l’innovation.
• Supports opérationnels.

L’ANFSI est une fonction de support technologies des forces de sécurité dans le domaine de la police.

Quels sont les projets en cours

Plusieurs projets sont menés par la Direction de la Sécurité et de l’Architecture (DSA) de l’ANFSI. En particulier, l’ANFSI doit assurer une transition fluide pour garantir la disponibilité des applications pour les gendarmes et policiers, sans interrompre les projets en cours.

Pour mener cette mission l’ANFSI compte déjà 378 agents mais doit en recruter 175 de plus. C’est un vrai défi car les postes sont très spécialisés. sur le Site ANFSI l’annonce est très bien placée :

Officiers, sous-officiers, personnels civils, gendarmes ou policiers, vous disposez de compétences techniques dans le domaine des nouvelles technologies et des systèmes d’information ?

Devenez acteur de la transformation numérique du ministère de l’Intérieur et des Outre-mer en prenant part à la grande aventure numérique au sein de l’ANFSI.
Rendez-vous sur notre plateforme dédiée pour y découvrir les nombreux postes à pourvoir : https://choisirleservicepublic.gouv.fr/nos-offres/filtres/mot-cles/anfsi/

Parmi les projets en cours, on trouve:

L’ANFSI pilote actuellement 5 projets majeurs au service des forces de l’ordre. Travailler en mobilité, assurer une sécurité des messages, se repérer, identifier. Ce sont des missions de bases. Les moyens digitaux actuels permettent de faciliter le travail des agents.

• NÉO 2: Terminaux mobiles (smartphones, tablettes) dotés d’un écosystème sécurisé unique.
• UBIQUITY: Poste de travail nomade offrant la puissance de consultation et de traitement du poste de travail fixe du gendarme en mobilité.
• SOCLE GEOLOC: Plateforme centralisant et optimisant la géolocalisation des moyens matériels des forces de sécurité intérieure.
• SOCLE CARTOGRAPHIQUE: Base de données géographiques unifiée pour renforcer la coordination et l’efficacité des forces de sécurité en opération.
• CHEOPS/PROXYMA: Systèmes d’authentification optimisés pour les agents des forces de sécurité intérieure.

Sources :

Création ANFSI

Menace sur le Cloud. Les cyber attaques restent à un haut niveau de risque. C’est le risque principal pour toutes vos applications personnelles et professionnelles. Vous utilisez tous le cloud h24 donc la menace est permanente sur vos données. Des exemples ? Facebook,netflix, spotify, gmail ; tous cela c’est du Cloud.

Etat des menaces

En 2025, le cloud computing est confronté à des risques et menaces variés, ciblant à la fois les fournisseurs et les clients de services cloud. Les attaquants, motivés par des gains financiers, l’espionnage ou la déstabilisation, intègrent de plus en plus le cloud dans leurs opérations.

Beaucoup d’offres Cloud ne disposent pas du niveau de sécurité suffisant et les utilisateurs ne sont pas assez prudents considérant le Cloud comme sécurisé par design.

Voici les principaux risques et menaces:

Dans le domaine des attaques et des motifs, on retrouve les mêmes que pour le domaine de la cyber menace. La différence est que le Cloud est un empilement de trois couches, infra, réseau, service.

• Menaces ciblant les fournisseurs et opérateurs d’infrastructures cloud :
  • Attaques à des fins lucratives:
    • Rançongiciels: Les opérateurs de rançongiciels constituent une menace majeure pour les fournisseurs de services cloud, compromettant la confidentialité et l’intégrité de leurs données.
    • Vol de données d’authentification et compromission de la chaîne d’approvisionnement: Les attaquants ciblent les fournisseurs de services cloud pour accéder aux secrets d’authentification, permettant la latéralisation vers les systèmes d’information en aval et augmentant les risques d’attaques sur la chaîne d’approvisionnement.
  • Attaques à des fins d’espionnage:
    • Des opérateurs de MOA sophistiqués ciblent les fournisseurs de services cloud à des fins d’espionnage.
    • Exploitation de vulnérabilités: L’exploitation de vulnérabilités, y compris les vulnérabilités jour-0 (zero day), est un levier couramment utilisé pour compromettre les services cloud.
  • Attaques à des fins de déstabilisation par déni de service: De nombreux opérateurs cloud sont confrontés à des attaques par déni de service (DoS/DDoS) de plus en plus importantes.

• Menaces ciblant les clients de services cloud:
  • Attaques à des fins lucratives:
    • Attaques menées au moyen de secrets d’authentification volés: Le vol de données sur le cloud expose les entreprises à des risques majeurs, qu’il s’agisse de données sensibles ou de secrets d’authentification.
    • Latéralisation des environnements on-premise vers le cloud: L’émergence d’infrastructures hybrides augmente le nombre de vecteurs d’entrées et de latéralisation potentiels.
    • Extorsion aux données volées: Les attaques à des fins d’extorsion sur le cloud n’impliquent pas nécessairement le chiffrement de données.
    • Détournement de ressources et nouvelles tendances: Les applications de virtualisation sont régulièrement ciblées dans l’objectif d’y déposer des cryptomineurs.
  • Attaques à des fins d’espionnage: Les technologies cloud sont également ciblées par des attaquants à la recherche de renseignements d’intérêt.
  • Attaques à des fins de déstabilisation: Des interfaces cloud clientes peuvent également être ciblées à des fins de déstabilisation.
  • Menaces internes: Les menaces internes, opérées par des employés mécontents ou motivés par des objectifs lucratifs, sont également susceptibles de cibler les infrastructures cloud de leurs organisations.

• Menaces ciblant les applications de virtualisation et composants de gestion matérielle:
  • Les technologies de virtualisation sont des cibles de choix en raison de la cohabitation des activités, des données et des clients.
  • Attaques à des fins lucratives: Les technologies de virtualisation et d’hypervision sont ciblées par des opérateurs de rançongiciels.
  • Attaques à des fins d’espionnage: D’autres campagnes d’attaques témoignent du ciblage de ces technologies à des fins d’espionnage.

Il est important de noter qu’une des tendances identifiées par l’ANSSI est l’utilisation des services cloud comme infrastructures d’attaques, ce qui complexifie la détection des activités malveillantes. De plus, l’application de lois extraterritoriales peut poser des problèmes de protection des données, en particulier si le prestataire de services cloud est non européen.

Risques de loi extraterritoriales

Le recours à un service de cloud opéré par un prestataire non européen présente des risques spécifiques liés à l’application de lois à portée extraterritoriales. Ces lois peuvent obliger les hébergeurs à transmettre les données de leurs clients aux autorités sans recours ni information de ces derniers, ce qui pose un risque pour la confidentialité des données hébergées dans le cloud. Le chiffrement des données n’offre pas toujours une protection adéquate, surtout si les clés de chiffrement sont également stockées dans le cloud.

Certains hébergeurs sont soumis à des législations spécifiques telles que le Cloud Act et le FISA américains, ou la loi sur le renseignement chinoise, permettant aux autorités d’accéder aux données conservées dans le cloud, y compris en dehors de leurs territoires. Même si Azure ou Amazon opèrent en France se sont des entreprises étrangère qui obéissent à leur gouvernement.

L’utilisation de services cloud étrangers peut également entraîner des difficultés en matière de sécurité des données hébergées. Des différences de normes de sécurité, de transparence, ou l’absence de contrôle direct sur les infrastructures peuvent complexifier la gestion de la sécurité des infrastructures et des données. De plus, il peut y avoir des risques concernant la disponibilité des données et applications, car la prestation cloud peut être soumise à des restrictions à l’exportation ou à des sanctions.

Afin de répondre à cette menace, la version 3.2 du référentiel d’exigences pour les prestataires de services d’informatique en nuage SecNumCloud intègre des exigences assurant une protection face à l’application de ces lois extraterritoriales. Il est indispensable d’évaluer ces risques au cas par cas.

L’évaluation est vite faite. hors secnumcloud, vous êtes presque toujours soumis à la loi US chez les principaux acteurs du marché. Ou exposés à des risques sécuritaires chez des Cloud providers amateurs.

Exemples de menaces pesant sur les utilisateurs

Les menaces ciblant les clients des services cloud peuvent entraîner des compromissions de données sensibles, de l’extorsion via rançongiciel et des perturbations de service. Les outils spécialisés en gestion des accès et des identités ainsi que les applications de messagerie et de travail collaboratif sont particulièrement visés.

Ces menaces peuvent être regroupées selon les motivations des attaquants:

• Attaques menées au moyen de secrets d’authentification volés: Le vol de données sur le cloud expose les entreprises à des risques majeurs, qu’il s’agisse de données sensibles ou de secrets d’authentification. D’après la société THALES, 47% des données professionnelles hébergées sur le cloud peuvent être considérées comme sensibles, tandis que 44% des organisations ont déjà subi une fuite de donnée cloud.
  • Une base de données mal sécurisée peut permettre à des attaquants d’accéder à des informations confidentielles (comme des informations financières ou personnelles) en exploitant des failles de sécurité, telles que des mots de passe faibles ou des permissions mal configurées.
  • Un espace de stockage de type bucket S3 mal configuré peut entraîner une fuite de données sensibles si les règles de partage sont trop permissives, rendant les fichiers accessibles à toute personne disposant d’un lien direct.
  • Les secrets d’authentification comme les clés API non protégées peuvent également être récupérés et utilisés pour accéder aux services cloud, notamment des bases de données ou des applications critiques.

• Attaques à des fins d’espionnage: Les technologies cloud sont également ciblées par des attaquants à la recherche de renseignements d’intérêt.
  • Au cours d’investigations sur des cas de compromission de comptes de messagerie OFFICE 365, l’ANSSI a pu observer à plusieurs reprises que les attaquants, pour maintenir le plus longtemps possible leurs accès frauduleux, avaient ajouté des adresses courriels de secours, généré de jetons de secours à usage unique, enregistré des identifiants ou des équipements de confiance additionnels, voire activé des règles de transfert automatique de courriels.
  • Plus récemment, en octobre 2023, l’agence spatiale japonaise, la JAPAN AEROSPACE EXPLORATION AGENCY (JAXA), aurait été touchée par une campagne d’attaques ayant mené à la compromission de ses services cloud O365.
  • Les équipes de GOOGLE CLOUD auraient observé des opérateurs de MOA réputés liées à la Chine s’introduire dans des environnements cloud en utilisant des techniques pour se dissimuler dans le trafic réseau légitime et ainsi complexifier la détection.
  • L’ANSSI constate également un intérêt grandissant des opérateurs de MOA réputés liés aux intérêts chinois pour les environnements cloud, notamment par l’usage d’outils disponibles en sources ouvertes adaptés à des opérations de reconnaissance et de compromission des environnements cloud.

• Attaques à des fins de déstabilisation: Des interfaces cloud clientes peuvent également être ciblées à des fins de déstabilisation.
  • En juillet 2022, le MOA Mango Sandstorm, réputé lié au ministère du Renseignement de la république islamique d’Iran, aurait été utilisé pour chiffrer et détruire les environnements on-premise et cloud de plusieurs entités israéliennes.
  • Le MOA Volt Typhoon, réputé lié à la Chine et utilisé pour compromettre des infrastructures critiques potentiellement à des fins de prépositionnement, voire de déstabilisation, aurait également été employé pour cibler des environnements cloud.

• Menaces internes: Les menaces internes, opérées par des employés mécontents ou motivés par des objectifs lucratifs, sont également susceptibles de cibler les infrastructures cloud de leurs organisations.
  • En 2023, un employé de la banque américaine FIRST REPUBLIC a ainsi été condamné à 24 mois de prison pour avoir porté atteinte à l’environnement cloud de son entreprise ainsi que pour avoir volé du code source de valeur.

Continuité d’activité

Pour assurer la continuité d’activité dans un environnement cloud, il est fortement recommandé de planifier et d’implémenter un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA).

Voici les recommandations à suivre pour les clients de fournisseurs de services cloud (CSP) :

• Planifier et implémenter un PCA et un PRA Il est essentiel de mettre en œuvre les moyens techniques et humains permettant, suite à un incident de sécurité, de maintenir les activités ou services dans un mode dégradé et de faciliter le retour à un fonctionnement nominal. Ces plans doivent être révisés et testés régulièrement pour assurer leur pertinence et leur applicabilité en situation de crise.
• Élaborer un plan de communication de crise Un plan de communication doit être prévu et testé pour permettre une communication efficace en cas de crise. Ce plan doit identifier les parties prenantes à alerter (autorités, partenaires, clients, prestataires, etc.), les informations attendues, les moyens de communication et les éléments devant être disponibles hors ligne.
• Appliquer les bonnes pratiques de prévention contre les attaques par déni de service Les attaques par déni de services doivent être prises en compte lors du déploiement d’infrastructure de services et infrastructure dans le cloud. Il est recommandé de faire appel à des prestataires capables de gérer les attaques DDoS avant un incident et de prévoir l’intermédiation de services de distribution de contenu (CDN) pour les téléservices importants. Une vigilance particulière doit être portée sur le plafonnement des coûts.
• Utiliser les options de sauvegardes sécurisées Une politique de sauvegarde des données hébergées dans le cloud devrait être définie et maintenue à jour. Pour les actifs les plus critiques, une sauvegarde hors ligne devrait être prévue afin de garantir une restauration en cas de crise. En fonction du niveau de sensibilité des données, les sauvegardes devraient être chiffrées afin d’en garantir la confidentialité.

En complément, les fournisseurs de services cloud (CSP) devraient :

• Sauvegarder leur infrastructure et proposer une offre de sauvegarde sécurisée Le prestataire devrait mettre en œuvre une procédure de sauvegarde hors-ligne de la configuration de l’infrastructure technique et mettre à disposition de ses clients un service de sauvegardes sécurisée de leurs données.
• Cela peut paraitre étonnant mais ce n’est pas toujours le cas. L’exemple le plus connu est l’incendie de OVH de Strasbourg dont les sauvegardes étaient stockées au même endroit. elles ont brulé avec les serveurs.
• Planifier et implémenter un PCA et un PRA Afin de maintenir ou de restaurer l’exploitation du service et d’assurer la disponibilité des informations, le prestataire devrait mettre en œuvre un plan de continuité et de reprise d’activité (PCA/PRA) ainsi qu’un bilan d’impact sur l’activité.
• C’est souvent une option du contrat SAAS qui n’est pas prise en raison du cout. Le moment venu on en comprend la rentabilité. Ce service permet aussi d’assurer la haute disponibilité du service en cas de panne mineure.
• Fournir des services et options de protection contre les attaques par déni de service Les prestataires de service cloud devraient prévoir des mesures de sécurité contre les attaques par déni de service dans l’élaboration de leur offre de service et communiquer clairement les options disponibles et les niveaux de couvertures associés à leurs clients.

Comment vous protéger

Pour les services grand public

Au quotidien vous êtes exposés au Cloud, spotify, netflix, icloud. Utilisez des mots de passe long et complexes, la double authentification, même si c’est pénible. Faites des copies de vos données sur plusieurs supports. Je pense en particulier à vos photo souvenirs.

Investissez dans un cloud privé à domicile. Les serveurs NAS sont accessibles pour les petits volumes et vous assure une copie privée de toutes vos données. C’est la solution qui vous assure une plus grande confidentialité des données mais il faut l’administrer un minimum.

Pour les services professionnels

Vouloir être son propre hébergeur est une erreur de base. Il faut trouve un Cloud provider de confiance. secnumcloud si possible. souscrire à l’option PRA PCA et avoir un site de sauvegarde à froid à l’extérieure du réseau.

Sources

L’ANSSI publie son état de la menace sur le cloud computing

Les domaines d’intervention de l’Ia dans la santé sont divers.

Remplacer le médecin par une IA , un défit éthique

Le remplacement des médecins par l’intelligence artificielle (IA) soulève d’importantes questions éthiques, bien que l’objectif actuel soit plutôt de les assister et de les améliorer dans leurs pratiques. L’IA est perçue comme un outil pour améliorer la qualité des soins, optimiser les processus et redonner du temps aux soignants.

• Cadre éthique et réglementaire: Le développement et l’utilisation de l’IA en santé doivent se faire dans un cadre éthique clair et rigoureux. La cellule Éthique du numérique en santé du ministère de la Santé travaille activement sur ces enjeux, avec la publication de recommandations de bonnes pratiques pour la mise en œuvre de l’éthique “by design”. Ces recommandations visent à intégrer des valeurs éthiques dès la conception des systèmes d’IA, et à valider les solutions proposées pour éviter les aléas. Un référentiel de l’éthique de l’IA en santé, attendu pour 2025, définira des critères dans plusieurs catégories : bienfaisance, non-malfaisance, autonomie, justice-équité, sobriété numérique et développement durable.
• Formation et accompagnement des professionnels de santé: Il est crucial de former les professionnels de santé à l’utilisation de l’IA, en mettant l’accent sur ses opportunités et ses limites. La formation à l’IA est une priorité stratégique pour développer la confiance et accompagner la transformation numérique du système de santé. Un plan ambitieux vise à former 140 000 professionnels par an dans les filières médicales, paramédicales et sociales.
• Gouvernance et qualité des données: La qualité des données de santé est essentielle pour le développement et la validation des systèmes d’IA. La Plateforme des Données de Santé (Health Data Hub) joue un rôle clé dans la mise à disposition de données de qualité pour la recherche et l’innovation. Une stratégie nationale pour l’utilisation secondaire des données de santé est en cours d’élaboration pour assurer une déclinaison efficace du règlement européen sur l’espace européen des données de santé (EEDS).
• Évaluation et validation des systèmes d’IA: L’évaluation technologique est un levier important pour développer la confiance des utilisateurs et mettre en évidence l’intérêt des technologies. La HAS travaille sur de nouveaux cadres d’évaluation des dispositifs médicaux numériques (DMN) avec IA, impliquant l’écosystème. Une expérimentation pilote sera lancée en 2025 pour évaluer l’impact médico-économique de l’aide au diagnostic et à la lecture des ECG avec de l’IA, afin d’accompagner les médecins généralistes dans leur pratique clinique.

L’idée du ministère de la santé, n’est donc pas de remplacer les médecins, mais de créer une collaboration fructueuse où l’IA assiste les professionnels de santé, améliorant ainsi la qualité des soins et l’accès à ceux-ci.

Selon document du ministère, pour le moment, le médecin reste en maitrise des décisions. Il n’est pas question de laisser l’IA donner un diagnostic à une personne non médecin pour appliquer.

D’autres spécialités sont concernées par l’IA. tout ce qui concerne les diagnostics par imagerie sont très impactés par l’intelligence artificielle qui peut détecter mieux qu’un humain une maladie.

L’intelligence artificielle peut faciliter l’accès aux soins

L’intelligence artificielle (IA) offre des perspectives considérables pour améliorer l’accès aux soins, réduire les inégalités et optimiser les parcours des patients. Plusieurs initiatives et stratégies sont en cours pour exploiter ce potentiel en France.

En intégrant des outils d’IA dans les parcours de soins, il devient possible de réduire les délais d’attente et de fluidifier l’accès aux soins.

Des exemples d’initiatives régionales incluent :

L’IA peut optimiser les parcours de soins en automatisant certaines tâches administratives, en facilitant l’aide au diagnostic et en rendant les processus de soins plus fluides. Cela permet de libérer du temps médical et d’améliorer la coordination entre les différents acteurs du système de santé. L’IA peut devenir un allié stratégique pour permettre aux soignants de se recentrer sur les malades.

Dans ce cas le médecin intervient-il car comment gagner du temps si il doit toujours tout maitriser?

La Haute Autorité de Santé (HAS) a publié un guide généraliste d’aide au choix des dispositifs médicaux numériques (DMN) utilisés par les professionnels de santé, incluant ceux embarquant de l’IA. Ce guide a pour objectif d’orienter les professionnels de santé et les acheteurs de DMN à usage professionnel dans leurs choix, en leur permettant d’identifier les principales questions clés à se poser.

La Plateforme des Données de Santé (Health Data Hub) joue un rôle central dans le développement d’outils de diagnostic et de dépistage basés sur l’IA. Créée en 2019, elle soutient actuellement 168 projets, dont 54 % sont portés par des hôpitaux et 28 % impliquent des industriels, avec environ 40 % utilisant des méthodes d’intelligence artificielle.

Parmi les projets phares soutenus par la plateforme, on peut citer :

• HYDRO (Implicity) : développement d’un algorithme prédictif pour détecter les crises de décompensation cardiaques chez les porteurs de pacemakers, grâce au croisement de données cliniques et de la base principale du SNDS.
• INNERVE (Quantmetry – APHP) : création d’un outil basé sur l’IA pour diagnostiquer les neuropathies à petites fibres à partir d’images médicales.
• DEEP.PISTE (CRDC Occitanie) : optimisation du dépistage organisé des cancers du sein grâce à des modèles d’IA avancés.

Ces initiatives contribuent à améliorer l’accès aux soins, à réduire les inégalités et à optimiser les parcours des patients en utilisant l’IA pour faciliter le diagnostic, améliorer la coordination des soins et soutenir la prise de décision médicale.

Intelligence artificielle et prévention

L’intelligence artificielle (IA) joue un rôle de plus en plus important dans la prévention en santé, transformant la manière dont les soins sont prodigués et dont les patients sont pris en charge.

L’IA permet de personnaliser les recommandations de santé, d’anticiper les risques et d’améliorer l’éducation sanitaire. Les outils numériques intégrant l’IA peuvent adapter les messages de prévention aux besoins spécifiques de chaque individu, en s’appuyant sur les données de santé disponibles, ce qui ouvre la voie à une approche plus proactive, visant à identifier les risques en amont et à proposer des actions ciblées pour améliorer le bien-être global.

• Accompagnement au développement d’innovations: La stratégie d’accélération « Santé numérique » (SASN) de France 2030 a investi jusqu’ici 500 millions d’euros, dont 50 % sont dédiés à des projets intégrant de l’IA. Parmi ces projets, on trouve le développement de nouveaux dispositifs médicaux connectés pour la détection précoce de pathologies cardio-métaboliques. On trouve aussi le développement d’outils d’analyse d’images s’appuyant sur l’IA pour aider les pathologistes dans leur diagnostic et mieux orienter les cliniciens dans leur décision thérapeutique.

Médecine et efficience

Le développement d’un modèle économique durable pour l’intelligence artificielle (IA) dans le secteur de la santé, basé sur les gains d’efficience, est une question cruciale pour assurer son adoption et son intégration à grande échelle. Plusieurs éléments sont à prendre en compte pour structurer ce modèle économique, en s’appuyant sur les initiatives et stratégies mises en place en France et en Europe.

Pour structurer un écosystème favorable au développement et à l’utilisation de l’IA, il faut des modèles économiques viables qui assurent l’adoption de l’IA par les établissements de santé et son accessibilité pour les professionnels de santé et les patients.

• Évaluation et tarification : Il est impératif d’étudier des modèles d’évaluation et de tarification spécifiques pour les outils d’IA en santé. L’objectif est de démontrer l’intérêt médico-économique de ces dispositifs afin de justifier leur financement. Une expérimentation pilote sera lancée en 2025 pour évaluer l’impact médico-économique de l’aide au diagnostic et à la lecture des électrocardiogrammes (ECG) avec de l’IA, accompagnant ainsi les médecins généralistes dans leur pratique clinique.
• Financements dédiés à l’évaluation: La stratégie d’accélération « Santé numérique » consacre des financements à la génération de preuves de l’intérêt de l’IA en santé et à la création de lieux d’émergence des innovations technologiques de l’IA en santé. Par exemple, 70 millions d’euros sont alloués pour démontrer l’intérêt médico-économique des dispositifs médicaux numériques, dont ceux avec IA.
• Utilisation secondaire des données de santé : Les données de santé jouent un rôle stratégique dans le développement et la validation des IA en santé. La mise en œuvre d’une stratégie nationale pour l’utilisation secondaire des données de santé est essentielle pour assurer une déclinaison nationale efficace du règlement européen sur l’espace européen des données de santé (EEDS). Cette stratégie vise à renforcer les droits des personnes sur leurs données de santé, harmoniser les règles de partage des données, créer un marché unique pour les outils informatiques de gestion des dossiers médicaux électroniques (DME), et mettre en place un cadre européen de gouvernance du numérique en santé.

Ce dernier point pose des questions. il pose le sujet que nos données de santé seront utilisées pour générer des modèles. Les conditions d’exploitation ne sont actuellement pas claire. On parle de souveraineté mais certaines sont hébergés sur des systèmes non souverains

L’IA en chiffres

Quelques éléments chiffrés pour mesurer les moyens mis en œuvre pour l’intelligence artificielle en médécine.

• Financement global de la stratégie d’accélération “Santé numérique” : 500 millions d’euros, dont 50% dédiés à des projets intégrant l’IA. Cette enveloppe soutient des initiatives variées, allant du développement de dispositifs médicaux connectés à l’analyse d’images médicales et aux plateformes de suivi patient.
• Soutien à l’IA dans les technologies d’imagerie médicale : 90 millions d’euros. Cette somme illustre l’importance accordée à l’amélioration des outils de diagnostic et de dépistage grâce à l’IA, avec des projets comme AICOO qui vise à créer un parcours patient plus fluide et rapide en imagerie médicale.
• Budget de l’appel à projets sur les entrepôts de données de santé (EDS) : 75 millions d’euros, ayant permis d’accompagner la constitution d’EDS hospitaliers. Ces entrepôts jouent un rôle central dans l’exploitation des données hospitalières pour stimuler la recherche et l’innovation.
• Financement de 15 projets par l’appel à projets DAtAE (Données de Santé et Applications) : 3,5 millions d’euros. Cette initiative met en avant le rôle central des entrepôts de données de santé (EDS) dans l’exploitation des données hospitalières pour stimuler la recherche et l’innovation.
• Financement du projet PARTAGES par le programme France 2030 : 6,9 millions d’euros, mobilisant 20 hôpitaux et 10 équipes de recherche pour mettre l’intelligence artificielle générative au service des professionnels de santé.
• Nombre de professionnels de santé et médico-sociaux à former annuellement au numérique, notamment sur l’IA : 140 000, avec un objectif de 70 000 apprenants formés dès la rentrée universitaire 2024/2025 et 500 000 sur 5 ans.

Il ressort que le sujet dépôt de données est largement financé. Dans le domaine de l’intelligence artificielle, c’est le coeur du réacteur. Il faut des données pour entrainer l’IA. C’est presque 80 millions investis.

Ces montant doivent être consolidés au niveau européen afin que l’impact soit aussi fort que ce qu’investissent les USA et la Chine.Sources

Ministère de la santé, mettre l’intelligence artificielle au service de la santé.

Régulation de l’IA en Europe

Intelligence artificielle et IA, INSERM

L’Europe régule l’intelligence artificielle. Ce texte classifie des solutions IA et impose des obligations selon les niveaux. Le Règlement Européen sur l’Intelligence Artificielle ( RIA) établit des structures de gouvernance aux niveaux européen et national, avec des autorités compétentes chargées de la surveillance du marché et de l’application des règles. L’objectif principal est d’encadrer l’IA de manière éthique et responsable, tout en favorisant l’innovation et la compétitivité de l’UE. L’entrée en vigueur du RIA se fera de manière échelonnée à partir de février 2025.

L’Europe régule l’intelligence artificielle

Trois niveaux de risques sont définis.

• Inacceptable : Exemples : la notation sociale, l’exploitation de la vulnérabilité des personnes, le recours à des techniques subliminales, l’utilisation par les services répressifs de l’identification biométrique à distance en temps réel dans des espaces accessibles au public, la police prédictive ciblant les individus, reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement.. Ces IA sont interdites (sauf… et on verra les sauf.)
• Haut risque : Les plus réglementés. Exemples : systèmes biométriques, des systèmes utilisés dans le recrutement, ou pour des usages répressifs.
• Risque limité : Obligation d’information et de transparence, (chatbots, deepfake),
• Risque minimal : non règlementé, (jeux vidéo, filtres anti spam)

L’Europe régule l’intelligence artificielle

Après cette introduction, on peut se demander pourquoi ce texte alors que les USA et la Chine qui sont bien plus en avancé n’ont pas de régulation et surtout mettent en œuvre des niveaux IA qui sont inacceptables en Europe.

L’Europe régule l’intelligence artificielle (IA) principalement pour encadrer son développement, sa mise sur le marché et son utilisation, afin de minimiser les risques qu’elle peut poser pour la santé, la sécurité et les droits fondamentaux. L’objectif est de promouvoir une IA digne de confiance tout en renforçant la compétitivité de l’UE dans ce domaine.

Il y a également un risque pour la sécurité en particulier dans les transports ou la santé si l’IA n’est pas contrôlée pour minimiser les risques d’accidents et de défaillances.

Coté manipulation de l’information, on sait déjà que l’IA est très utile. En période électorales des IA peuvent massivement manipuler les opinions en diffusant des information plausibles mais fausses.

• Encadrement des systèmes à haut risque : Certains systèmes d’IA présentent un risque plus élevé en raison de leur utilisation ou de leur impact potentiel. Le RIA établit une classification des risques et impose des obligations spécifiques aux systèmes d’IA considérés comme à haut risque. Cela inclut des domaines comme la biométrie, l’emploi, l’éducation, l’accès aux services essentiels, l’application de la loi, la gestion des migrations et l’administration de la justice.
• Maîtrise des modèles d’IA à usage général (GPAI) : Les modèles d’IA à usage général, comme les grands modèles de langage (LLM), ont la capacité de réaliser de nombreuses tâches, ce qui les rend potentiellement plus puissants mais aussi plus risqués. Le RIA encadre ces modèles avec des exigences de transparence, de documentation et d’évaluation des risques systémiques. Les fournisseurs de ces modèles doivent notamment fournir un résumé détaillé des jeux de données d’entraînement, respecter les droits d’auteur et assurer une cybersécurité adéquate.
• Harmonisation du marché européen : La réglementation vise à créer un cadre juridique commun pour l’IA dans l’ensemble de l’Union européenne. Cela permet d’éviter une fragmentation du marché et d’encourager l’innovation tout en assurant un niveau de protection élevé pour les citoyens. Les systèmes d’IA autorisés obtiendront le “marquage CE”.
• Soutien à l’innovation et compétitivité : Bien qu’il s’agisse d’une réglementation, l’AI Act a aussi pour objectif de favoriser l’innovation en définissant un cadre clair et en encourageant les développeurs à intégrer l’IA de manière responsable. Les Testing and Experimentation Facilities for AI (TEF) sont là pour soutenir les PME et les industries dans l’évaluation de leurs systèmes d’IA.

Pourquoi les grandes entreprises critiquent ce règlement

Voici les principales implications de l’IA Act pour les entreprises européennes, d’après les sources :

Principalement en raison des contraintes que cela fait peser sur le développement de solutions d’intelligence artificielles. Les pays concurrents que sont les USA et la Chine et l’Inde ne sont pas soumis à ces règles sur leurs territoires.

Il faut avouer que l’IA fait peur aux consommateurs et que si ils ont le choix ils préfèrent souvent une relation humaine. L’obligation d’informer sur les Chatbot peut freiner leur développement alors que les entreprises veulent les utiliser.

Les entreprise doivent document leur IA génératives. Le risque est d’informer les concurrents sur les solutions en oeuvre. Mais aussi de devoir avouer que leur intelligence est en fait juste un programme IF THEN ELSE pas du tout basé sur des technologies d’IA.

L’interdiction de certaines solutions IA par le règlement va totalement stoppé les recherches ne Europe. Alors même que les systèmes de reconnaissance et de profilage ont des applications dans le domaine de la défense et la sécurité. Devrons nous les acheter en Chine avec tous les risques sur nos données ?

Le RIA vous protège-t-il sur le lieu de travail

Beaucoup de salariés peuvent se faire assister dans leur travail par des IA. Cela leur apporte des bénéfices mais peut les mettre aussi en risque.

• Attention particulière aux relations de travail: Le règlement accorde une attention particulière à l’utilisation de l’intelligence artificielle dans le cadre des relations de travail. De nombreux systèmes d’IA sont déjà utilisés pour accomplir des tâches diverses, souvent sous la supervision d’employés assistés par des algorithmes. Cet environnement professionnel est perçu comme étant particulièrement vulnérable aux risques pour la santé, la sécurité, et le respect des droits fondamentaux.
• Le RIA laisse l’initiative aux Etats membres. Le règlement ne crée pas de cadre spécifique pour les relations de travail, sauf exception. Il permet aux États membres d’adopter des mesures législatives ou réglementaires supplémentaires au niveau national pour renforcer la protection des travailleurs face à l’utilisation des systèmes d’IA. Cette approche laisse aux États membres une certaine latitude pour adapter le cadre réglementaire aux particularités de leur législation nationale.
• Réglementation stricte pour les systèmes à haut risque: Les systèmes d’IA à haut risque qui comprennent des cas d’usage spécifiques comme le recrutement ou la gestion des employés, sont soumis à une réglementation stricte. Les employeurs devront informer les représentants des travailleurs avant l’introduction de tels systèmes et veiller à respecter les réglementations en vigueur.
• Contrôle humain effectif: Les systèmes d’IA déployés doivent garantir un contrôle humain effectif, ce qui est particulièrement important dans le domaine de l’emploi, où les décisions prises par l’IA peuvent avoir des conséquences significatives sur la vie des travailleurs. Le recrutement en particulier va être impacté par l’IA. des entreprise font déjà passer les premiers entretiens en vidéo par des IA.

Le cas des IA inacceptables

Comme le règlement l’indique certaines IA sont inacceptables. Sauf que des cas sont prévus. C’est ce type de texte qui introduit le loup dans la bergerie et va au final permettre des excès.

Le règlement sur l’IA (AI Act) interdit l’utilisation de certains systèmes d’IA considérés comme présentant un risque inacceptable, mais prévoit des exceptions dans des cas spécifiques.

Voici les principaux points concernant les exceptions aux interdictions des IA inacceptables :

• Motifs de sécurité et d’ordre public:
  • Dans le cadre de l’application de la loi, l’identification biométrique à distance en temps réel dans les espaces publics est interdite, sauf dans des situations strictement définies. Ces exceptions comprennent la recherche ciblée de personnes disparues, de victimes d’enlèvement ou de personnes ayant fait l’objet d’un trafic d’êtres humains ou d’une exploitation sexuelle. Cela implique que le système est déjà en place et fonctionne en permanence.
  • L’identification est également autorisée pour prévenir une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique, ou une attaque terroriste prévisible. De plus, elle peut être utilisée pour identifier des suspects dans des crimes graves tels que le meurtre, le viol, le vol à main armée, le trafic de stupéfiants et d’armes illégales, le crime organisé et les crimes environnementaux.
  • L’utilisation de l’IA dans ces cas doit être justifiée par la nécessité d’éviter un préjudice grave, en tenant compte des droits et libertés des personnes concernées. Avant le déploiement, une évaluation d’impact sur les droits fondamentaux doit être réalisée et le système doit être enregistré dans la base de données de l’UE. Dans les cas d’urgence dûment justifiés, le déploiement peut commencer sans enregistrement préalable, à condition qu’il soit enregistré ultérieurement sans délai indu.
  • Conclusion, l’Etat va pouvoir faire comme il voudra, même a postériori.
• Autorisation judiciaire ou administrative:
  • Avant le déploiement, une autorisation d’une autorité judiciaire ou administrative indépendante est requise. En cas d’urgence justifiée, le déploiement peut commencer sans autorisation préalable, à condition qu’une autorisation soit demandée dans les 24 heures. Si l’autorisation est rejetée, le déploiement doit cesser immédiatement et toutes les données, résultats et sorties doivent être supprimés.

Pourquoi faire un texte si contraignant pour prévoir des mécanismes de contournement si forts ? On terminera sur cette question pour vous laisser réagir.

Sources :

Loi européenne sur l’intelligence artificielle

CNIL, entrée en vigueur du règlement européen sur l’IA

Article sur la surveillance algorithmique

Comment les réseaux sociaux donnent accès à vos données personnelles. Le Laboratoire d’innovation numérique de la CNIL (LINC) a testé pour vous les principaux réseau sociaux. C’est bien le rôle de la CNIL de veiller à ce que les citoyens puissent accéder à ces données.

Nous allons aller aux résultats. Déjà quels sont vos droits en matière de données personnelles avec les réseaux sociaux.

Comment les réseaux sociaux donnent accès à vos données personnelles

Tous les réseaux ont intégrés un formulaire de demande et d’accès. Selon leur modèle économique c’est plus ou moins important. Si on prend discord, son modèle est de vendre des abonnements, pas de s données. Si on prend Google c’est plutôt la vente de données.

Droit sur les données personnelles

Ce droit vous est donné par le RGPD. Règlement Général de Protection des données. C’est un règlement européen qui vous permet de disposer d’un certains nombre de droit en matière de données personnelles.

Le droit d’accès est un droit prévu par le règlement général sur la protection des données ou RGPD. Il permet de savoir si vos données personnelles sont traitées par le réseau social et d’en obtenir la communication dans un format compréhensible. Éventuellement de les faire rectifier.

Il permet également de contrôler l’exactitude des données et, au besoin, de les faire rectifier ou effacer.

C’est un droit fondamental de nos jours.

Quels sont les réseaux sociaux testés

Le LINC a sélectionné 10 réseaux sociaux parmi les plus utilisés en Europe et en France : Discord, Facebook, Instagram, LinkedIn, Meta, Pinterest, Snapchat, TikTok, Twitch, X (ex-Twitter), YouTube.

On peut déjà constater que aucun n’est Français, ni européen. C’est un bon moyen de se rendre compte de notre dépendance.

L’objectif est de constater si le parcours pour l’utilisateur est simple et réalisable.

Les résultats montrent des disparités entre les plateformes, avec des scores variant de 44% à 76,5% de bonnes pratiques appliquées. On va regarder tout cela.

Méthode de comparaison entre les réseaux sociaux

L’analyse des parcours utilisateurs, réalisée par le LINC, était divisée en trois grandes étapes:

• Informations préalables : Cette étape examine comment les personnes sont informées de l’existence du droit d’accès et de ses modalités avant de commencer la démarche. Cela comprend l’évaluation de la présence d’informations dans la politique de confidentialité et de la facilité avec laquelle les utilisateurs peuvent trouver ces informations. L’analyse évalue également si le réseau social propose un moteur de recherche interne pour trouver l’information liée au droit d’accès.
• Exercice de la demande d’accès: Cette étape se concentre sur le processus de demande de copie des données personnelles. Elle évalue si la procédure est simple, claire et accessible, notamment grâce à un formulaire dédié. La disponibilité d’un espace de consultation des données en direct, la possibilité de faire une demande même sans compte, la fluidité du parcours, et la disponibilité de la procédure sur tous les supports sont également examinés. De plus, l’analyse vérifie si la différence avec le droit à la portabilité est bien expliquée et si une notification de la prise en compte de la demande est envoyée.
• Réception et consultation des données : Cette dernière étape analyse la manière dont les données sont transmises à l’utilisateur, les formats disponibles et la clarté des informations fournies. Elle évalue notamment la présence de notifications de disponibilité des données, les modalités d’envoi des données, les formats de données proposés, et la présence d’une aide à la lecture des données. L’analyse porte également sur la structure des données et la clarté de leur formulation.

Pour chacune de ces étapes, des critères spécifiques étaient définis. Les critères étaient répartis selon trois angles d’analyse :

• En plus de ces 27 critères, une question supplémentaire était posée à la fin de chaque étape pour évaluer si les informations étaient adaptées aux mineurs. Ces questions s’appuient sur les lignes directrices du CEPD sur la transparence, notamment sur la section “Fournir des informations aux enfants et aux autres personnes vulnérables”. L’analyse a été faite en comparant les informations mises à disposition pour un compte adulte et un compte mineur.

Quels sont les résultats

L’efficacité globale des processus d’accès aux données personnelles sur les réseaux sociaux étudiés varie considérablement, avec une moyenne de 44% à 76,5% des bonnes pratiques recensées dans la grille d’analyse qui sont mises en œuvre. Voici les principaux constats :

• Globalement, les réseaux sociaux mettent en place des parcours d’accès automatisés. En moyenne, il faut 4 clics pour accéder au formulaire de demande depuis la page d’accueil d’un réseau social et le temps d’attente moyen avant de recevoir les données est de 19 heures et 23 minutes.
• Les points d’amélioration concernent tous les réseaux sociaux, en particulier l’adaptation de l’information aux mineurs. En effet, aucun des réseaux sociaux étudiés ne propose une version de l’information complètement adaptée à un public de 15/16 ans.
• Les parcours d’accès ont été évalués à l’aide de comptes fictifs créés pour l’étude, avec un profil majeur (adulte) et un profil mineur (15/16 ans). Les demandes ont été effectuées entre le 30 janvier et le 6 février 2024.
• Parmi les 10 réseaux sociaux observés, les meilleurs scores en terme de pourcentage de bonnes pratiques implémentées pour l’ensemble du parcours sont YouTube (77%) et Instagram et TikTok (73%), et les scores les plus faibles sont Discord et Pinterest (60%).
• Tous les réseaux sociaux étudiés proposent un parcours automatisé qui guide les utilisateurs dans la démarche, mais seulement 3 d’entre eux proposent un tableau de bord avec les données.
• La majorité des plateformes notifient l’utilisateur que la demande est prise en compte, mais peu indiquent le temps d’attente maximal.
• Les modalités d’envoi des données varient : dans l’espace du compte, par lien de téléchargement ou en pièce jointe.
• Les formats de données varient également. Le format HTML est souvent utilisé, mais d’autres formats comme TXT, JSON et CSV sont également proposés.
• La majorité des réseaux sociaux envoient des notices d’explication des données, mais elles ne contiennent pas toujours l’ensemble des informations utiles.
• Aucun des réseaux sociaux étudiés ne propose un parcours intégralement en français.
• Les informations ne sont pas bien adaptées aux mineurs, car aucune des plateformes n’offre une information complètement adaptée à ce public.

Liste des résultats classés du plus mauvais au plus conforme. Le meilleur est Youtube.

Source

Observatoire du droit d’accès sur les réseaux sociaux : le Laboratoire d’innovation numérique de la CNIL (LINC) publie son bilan

Précédent article sur la CNIL et sa stratégie

Vous savez que vous êtes déjà filmé en permanence dans l’espace public. Comment sont exploitées ces captations ?

Qui les visionne ? C’est des personnes qui regardent, c’est un algorithme ? Qui a le droit d’en disposer et pourquoi ?

Différence entre la vidéo surveillance et la vidéo surveillance algorithmique

La vidéosurveillance et la vidéosurveillance algorithmique sont deux concepts liés, mais distincts.

Vidéosurveillance : Il s’agit de la mise en place de caméras de surveillance pour capturer des images et des vidéos dans des lieux publics ou privés. L’objectif principal est de prévenir et de détecter les infractions, ainsi que de garantir la sécurité des personnes et des biens. Il faut un humain pour exploiter les images.

Vidéosurveillance algorithmique (VSA) : La VSA est une évolution de la vidéosurveillance traditionnelle. Elle utilise des algorithmes pour analyser les images et les vidéos capturées par les caméras, afin de détecter des événements spécifiques, tels que des mouvements suspects, des incendies, ou des personnes non autorisées. La VSA peut également être utilisée pour reconnaitre des objets, des personnes ou des véhicules, et pour suivre leur trajectoire.

• Analyse des données : La VSA utilise des algorithmes pour analyser les données capturées, tandis que la vidéosurveillance traditionnelle se contente de capturer les images et les vidéos.
• Détection d’événements : La VSA est capable de détecter des événements spécifiques, tels que des mouvements suspects, tandis que la vidéosurveillance traditionnelle ne peut que capturer les images et les vidéos.
• Intelligence artificielle : La VSA utilise des algorithmes d’intelligence artificielle pour analyser les données et prendre des décisions, tandis que la vidéosurveillance traditionnelle ne nécessite pas d’intelligence artificielle.

C’est l’ordinateur et son logiciel qui déterminent les faits. C’est sur ce point que réside le débat.

L’enjeu sociétale de la surveillance algorithmique

La généralisation de la vidéosurveillance algorithmique (VSA) soulève plusieurs enjeux éthiques et sociétaux importants, notamment en termes de libertés individuelles, de risques de dérives et d’efficacité du dispositif.

Voici quelques points clés à considérer :

• Rassurer et sécuriser les citoyens en leur assurant qu’à tout moment toute infraction sera constatée et l’auteur identifié
• Risque d’une surveillance généralisée : La VSA, couplée à la reconnaissance faciale, pourrait conduire à une surveillance permanente et exhaustive de l’espace public. Même sans reconnaissance faciale, les algorithmes permettent déjà de suivre des individus.
• Dérives et utilisations détournées : Il existe un risque de détournement des finalités légales de la VSA, et d’une accoutumance à l’utilisation de cette technologie à des fins de surveillance. Les autorités pourraient être tentées d’étendre les cas d’usage de la VSA, et à terme, de légaliser la reconnaissance faciale en temps réel dans l’espace public.
• Efficacité discutable et faux positifs : L’expérimentation de la VSA lors des JO de Paris a montré des résultats inégaux. Les algorithmes ont eu du mal à identifier les objets suspects, confondant des poubelles ou des SDF avec des colis abandonnés. Des vitrines éclairées ou des phares de voiture ont été pris pour des incendies. La VSA s’est avérée moins efficace dans les zones peu éclairées ou dans les espaces ouverts. Les alertes émises par les logiciels de VSA ont entraîné un nombre limité d’interventions. Seule la détection d’intrusion en zone interdite a semblé donner des résultats satisfaisants.
• Manque de transparence : Des inquiétudes existent quant au manque de transparence entourant le développement et le déploiement de la VSA. Le rapport d’évaluation a été remis au ministère de l’Intérieur, mais il a été consulté par des journalistes. On dispose donc de quelques informations. Le coût de la surveillance algorithmique n’est pas une information publique.
• Acceptation sociale et normalisation de la surveillance : La généralisation de la VSA pourrait banaliser la surveillance de masse et conduire à une acceptation accrue de cette technologie. Certains craignent que l’argument de la sécurité soit utilisé pour justifier le déploiement de systèmes de surveillance toujours plus intrusifs. Il y a un risque que l’usage de la VSA soit perçu comme normal et donc accepté par la population.
• Impact sur les libertés individuelles et la vie privée : L’utilisation de la VSA implique la collecte et l’analyse de données personnelles, ce qui peut porter atteinte à la vie privée des individus. Il est important de s’assurer que ces données soient traitées de manière responsable et conformément à la loi. Il est important que le législateur réaffirme plusieurs principes généraux comme le contrôle des parlementaires et le renvoi à des projets de décrets soumis à la CNIL.
• Enjeux économiques et industriels : Il existe des intérêts industriels français dans la généralisation du système, car il y a une demande des opérateurs de transports comme la SNCF et la RATP. L’expérimentation a également pour but de permettre aux entreprises françaises d’affiner leur produit pour attaquer des marchés porteurs à l’international.

En résumé, la généralisation de la VSA soulève des questions complexes qui nécessitent un débat démocratique approfondi. Il est essentiel de peser soigneusement les avantages potentiels de cette technologie en matière de sécurité, face aux risques qu’elle représente pour les libertés individuelles et la vie privée. Il faut aussi tenir compte de son efficacité, qui est loin d’être prouvée.

Expérimentation de Jeux Olympiques de Paris

Pendant les Jeux Olympiques de Paris 2024, un seul algorithme, Cityvision de la société Wintics, a été testé dans le cadre de l’expérimentation de la vidéosurveillance algorithmique (VSA).

Quels mots sur la société wintics. Leurs solutions sont utilisées par de nombreuses collectivités déjà. Il indique 2000 caméras connectées. Les serveurs sont installés chez les clients.

La société indique sur son site que tout est conçu en France. Selon la dernière AG, les actionnaires sont les fondateurs uniquement. On est bien dans le cadre d’une entreprise souveraine. C’est rassurant pour les données collectées.

Il est important de noter que plusieurs prestataires de VSA avaient répondu à l’appel d’offres initial, et que le ministère de l’Intérieur en avait initialement sélectionné trois (Wintics, Videtics et Chapsvision). Cependant, seul le logiciel Cityvision a été finalement utilisé pour l’expérimentation lors des JO.

Les tests ont été réalisés sur la moitié seulement des cas d’usage autorisés. De plus, certaines possibilités offertes par la loi, comme l’analyse d’images prises depuis des drones, n’ont pas été mises en œuvre en raison d’une maturité technologique insuffisante. L’expérimentation n’a donc pas permis de dresser un bilan complet sur la pertinence de la VSA en général.

Pour cet évènement, cette technologie n’a pas été déterminante. Par contre étant nouvelle il faut ce typez d’expérimentation pour se l’approprier. L’afflux de données à traiter peu finir par saturer les responsables de la sécurité qui ne sont pas mesure de dissocier le détail du risque.

Quelle est la situation dans d’autres pays

La situation concernant l’utilisation de la vidéosurveillance algorithmique (VSA) varie considérablement d’un pays à l’autre. Voici un aperçu de la situation dans certains pays, tel que mentionné dans les sources:

• Chine: La Chine qui est une dictature est présentée comme un leader mondial en matière de surveillance de masse de sa population. Le pays possède un nombre très élevé de caméras de vidéosurveillance dans l’espace public, avec environ 375 caméras pour 1 000 habitants dans les villes en 2021, un ratio bien supérieur à celui de Paris. La Chine utilise de plus en plus la technologie de la reconnaissance faciale et l’automatisation de la détection des comportements. Le marché de la reconnaissance biométrique y est important.
• Royaume-Uni et Espagne: Ces pays utilisent également des applications de reconnaissance faciale. Le royaume uni teste des camions mobiles équipés de caméras pour faire de la direction sur des points chauds.

• Brésil: Des entreprises brésiliennes utilisent la lecture automatique de plaques d’immatriculation via des techniques de VSA.
• États-Unis: Il y a eu des tentatives locales d’interdire ces systèmes, notamment pour les applications policières de reconnaissance faciale, mais le contexte politique et sécuritaire a conduit à remettre en cause ces actions. Malgré des inquiétudes, l’utilisation de la reconnaissance faciale à des fins de surveillance policière était acceptée par la majorité des Américains en 2022.

La France fait figure d’avant-garde en Europe en termes de stratégie de légalisation de la vidéosurveillance algorithmique.

Il est important de noter que, même dans les pays démocratiques, la reconnaissance faciale semble de plus en plus acceptée, malgré les inquiétudes des professionnels du secteur. Face à la monté du sentiment d’insécurité les citoyens doivent accepter la surveillance permanente.

Souces

Qu’est-ce que la vidéosurveillance algorithmique ? La quadrature du net

Le monde, rapport évaluation surveillance algorithmique

Les hôpitaux sont des passoires sécuritaires pour plusieurs raisons :

Vos informations de santé sont aussi importants que ceux d’une banque. Vous ne lisez jamais d’article sur le fait qu’une banque a confié ses données à une société étrangère. Pour la santé l’assurance maladie se fait tranquillement héberger par Microsoft, vous êtes d’accord ?

• Sous-investissement chronique en numérique: Les hôpitaux consacrent en moyenne seulement 1,7 % de leur budget d’exploitation au numérique, contre 9 % dans le secteur bancaire et 2 % dans l’industrie des biens de consommation. Cela conduit à une obsolescence des équipements et logiciels, rendant les systèmes d’information hospitaliers (SIH) plus vulnérables.
• La menace cyber n’est pas prise en compte autant les personnels, les infrastructures et les logiciels ne sont pas en ligne avec le niveau de la menace
• Complexité des systèmes d’information: Les SIH sont extrêmement complexes, comptant entre 80 et 500 applications informatiques, et jusqu’à 1 000 pour les plus grands CHU. Cette complexité rend difficile leur gestion et leur sécurisation. En vérité ce n’est pas de le complexité c’est de l’empilement sans politique cyber.
• Interconnexion accrue: Les SIH sont de plus en plus interconnectés avec des systèmes externes, ce qui augmente leur surface d’attaque. L’utilisation croissante des objets connectés ajoute également à la complexité et aux risques. D’autres activités sont soumises à cette contraintes. Les solutions existent.
• Manque de sensibilisation du personnel: Le personnel hospitalier n’est pas toujours suffisamment sensibilisé aux enjeux de la cybersécurité. Cela peut conduire à des comportements à risque, comme l’ouverture de messages malveillants ou l’utilisation de mots de passe faibles. C’est la partie surement la plus simple à traiter à court terme.

Ce sont vos données de santé qui sont en danger. Les hôpitaux démontrent la valeur qu’ils donnent à vos données en ne mettant pas les moyens nécessaires à leur protection.

Il ont fait le choix de ne pas les protéger pour investir ailleurs. C’est un mauvais calcul car les cyber criminels ont bien compris comment tirer parti de cette erreur.

Quelle sont les menaces

Les hôpitaux font face à une variété de menaces informatiques classiques qui peuvent perturber leurs opérations et compromettre la sécurité des patients. Les menaces les plus courantes incluent :

• Compromission du système d’information: Ceci fait référence à des violations de bases de données et de codes confidentiels, entraînant un accès non autorisé à des informations sensibles.
• Messages électroniques malveillants: L’hameçonnage ou phishing est une tactique courante où des messages frauduleux sont utilisés pour inciter les utilisateurs à divulguer des informations confidentielles.
• Rançongiciels: Ces logiciels malveillants sont les plus destructeurs, car ils cryptent les données et exigent une rançon pour leur récupération. Les rançongiciels peuvent paralyser le système d’information hospitalier et menacer de divulguer ou de revendre des données de santé.
• Attaques par déni de service: Ces attaques visent à rendre un serveur inaccessible en le surchargeant de requêtes, provoquant une panne ou une dégradation du service.
• Défiguration de sites Web: Il s’agit d’un signe visible d’une attaque réussie où le contenu du site Web de l’hôpital est modifié par l’attaquant.

Face à ces menaces, les parades existent si on veut les mettre en place. En réalité toutes les entreprises sont soumises aux mêmes risques. L’incompétence des DSI hospitalières doit être interpellée ici.

Sur ce graphique clairement les hôpitaux français sont champion du monde de la mauvaise gestion de vos données de santé.

Les cybers criminels vont sur les domaines ou les failles sont les plus importantes. Le sujet ce n’est pas la santé, mais la défaillance de la structure de santé.

On le voit sur le schéma ci dessous. Les structures privées ont moins de signalements. Pourtant c’est le même métier.

Quelles sont les conséquences financières

Les cyberattaques peuvent avoir des conséquences financières désastreuses pour les hôpitaux. Les coûts engendrés par ces incidents peuvent être classés en deux catégories principales :

• Coûts liés à la gestion de crise et à la reconstruction du système d’information :
  • Coûts de personnel : Paiement des heures supplémentaires pour assurer la continuité d’activité en mode dégradé et recrutement de personnel temporaire pour renforcer les équipes.
  • Coûts d’identification des failles et de remédiation : Embauche de prestataires externes spécialisés en sécurité informatique (PRIS) pour identifier les failles de sécurité exploitées lors de l’attaque, élaborer un plan de remédiation et reconstruire le système d’information.
  • Coûts de reconstruction et de remise en service : Dépenses liées à la reconstruction du réseau informatique, à la réinstallation des logiciels et des applications, et à la sous-traitance de certaines activités impactées par l’attaque (ex: analyses de laboratoires).
  • Autres coûts : Dépenses liées à la communication de crise (communiqués de presse, lettres d’information au personnel et aux patients), au transfert de patients vers d’autres établissements et au paiement de pénalités de retard dues aux difficultés de paiement des fournisseurs.
• Pertes de recettes d’exploitation :
  • Diminution de l’activité : Déprogrammation d’interventions chirurgicales, report de consultations et fermeture temporaire de certains services, entraînant une baisse significative des recettes.
  • Difficultés de facturation : Paralysie du système d’enregistrement des actes médicaux, rendant impossible la transmission des données de facturation à l’assurance maladie et le recouvrement des recettes.
  • Délai de prescription des actes : Bien que la LFSS pour 2024 ait prolongé le délai de prescription des actes remboursables, les hôpitaux peuvent rencontrer des difficultés à rattraper la codification de leur activité a posteriori.

Les estimations des coûts et des pertes de recettes varient selon l’ampleur de l’attaque, la durée de la crise et la capacité de l’hôpital à se rétablir. Le tableau n° 4 du rapport de la Cour des comptes illustre l’impact financier de cinq cyberattaques survenues entre 2021 et 2024. On observe des coûts de gestion de crise et de remédiation pouvant atteindre 10 millions d’euros, et des pertes de recettes pouvant dépasser 20 millions d’euros.

L’absence d’une doctrine nationale claire en matière de soutien financier aux établissements victimes de cyberattaques engendre un traitement différencié selon les régions et les hôpitaux.

A qui sert le programme CARE

Le programme CaRE (Cyberaccélération et résilience des établissements), mis en œuvre de 2023 à 2027, vise à améliorer la cybersécurité des hôpitaux français en comblant le retard accumulé en matière d’investissements et de ressources pour la sécurité des systèmes d’information hospitaliers (SIH). Ce programme, doté de 750 millions d’euros, s’articule autour de quatre axes principaux :

1. La réalisation d’exercices de crise : Ces exercices, obligatoires pour 80% des établissements au premier semestre 2024, permettent de tester les procédures de réponse en cas de cyberattaque et de renforcer la capacité des équipes à réagir efficacement. Les retours d’expérience des hôpitaux ayant subi des attaques, tels que les centres hospitaliers d’Armentières et de Cannes, montrent que la pratique régulière d’exercices de crise permet de mieux gérer les incidents et d’en limiter les conséquences.

2. La sécurisation de l’exposition sur Internet et des annuaires techniques: CaRE finance des audits de sécurité et des actions de remédiation pour réduire la surface d’attaque des SIH et les protéger contre les intrusions externes. Le programme exige des établissements qu’ils atteignent un niveau minimal de sécurisation de leurs annuaires techniques (score d’au moins 2 sur une échelle à 5 niveaux) et qu’ils réalisent des audits d’exposition réguliers.

3. La mise en place de plans de continuité et de reprise d’activité (PCRA): Ces plans, essentiels pour garantir la continuité des soins en cas de cyberattaque, définissent les procédures à suivre pour maintenir ou restaurer les services critiques de l’hôpital. CaRE finance l’élaboration et la mise en œuvre de ces plans, ainsi que la mise en place de solutions techniques pour assurer la sauvegarde des données et la reprise rapide des activités.

4. Le renforcement de la sécurité opérationnelle: CaRE encourage l’adoption de bonnes pratiques en matière de sécurité informatique, telles que l’authentification multi-facteurs, la gestion centralisée des identités et des accès, la segmentation du réseau et la sensibilisation du personnel aux risques informatiques. Le programme finance également la mise en place de solutions techniques pour améliorer la surveillance des SIH et la détection des intrusions.

L’attribution des financements CaRE est conditionnée à l’atteinte d’objectifs précis, contrôlés par l’ANS. Cependant, le financement du programme n’est assuré que jusqu’à fin 2024, grâce aux crédits exceptionnels du « Ségur du numérique ». La Cour des comptes recommande de sécuriser la poursuite du programme CaRE jusqu’en 2027 en sanctuarisant une ligne de financement dédiée. Encore une fois, on a de bonnes intentions. On produit un plan sans les moyens. Au final vos données ne seront pas protégées.

Au-delà de 2027, il sera nécessaire de trouver des solutions pérennes pour financer la cybersécurité des hôpitaux, d’autant plus que les exigences en la matière vont s’accroître avec l’entrée en vigueur de la directive européenne NIS2.

Ce programme va couter 750 Millions d’Euro, mais seul 233 sont prévus, et ce n’est pas suffisant.

Quelles sont les recommandations à mettre en oeuvre

Face à la menace croissante des cyberattaques et à la vulnérabilité des systèmes d’information des hôpitaux, le rapport de la Cour des comptes formule cinq recommandations clés pour améliorer la cybersécurité des établissements de santé:

Recommandation n° 1 : Mettre en place un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser et, pour les établissements les plus gravement affectés, d’accorder une dispense de codification a posteriori de leur activité hospitalière. Cette recommandation vise à pallier les difficultés rencontrées par les hôpitaux pour retrouver leur niveau d’activité après une cyberattaque et à compenser les pertes financières engendrées par la déprogrammation des activités.

Recommandation n° 2 : Mettre fin à l’utilisation d’un fonds de concours pour le financement de la Délégation au numérique en santé (DNS). Actuellement, le financement de la DNS provient en grande partie de fonds de concours issus du « Ségur du numérique ». La Cour des comptes recommande de mettre fin à ce dispositif et d’assurer le financement de la DNS par des crédits budgétaires, afin de soumettre ces dépenses à la discussion parlementaire.

Recommandation n° 3 : Conduire à son terme le programme CaRE (Cyber accélération et résilience des établissements). Le programme CaRE, doté de 750 millions d’euros sur la période 2023-2027, vise à financer des actions de rattrapage en matière de cybersécurité des hôpitaux. La Cour des comptes recommande de sécuriser les financements du programme au-delà de 2024, en sanctuarisant une ligne de financement dédiée au sein de l’Ondam.

Recommandation n° 4 : Mettre en place un audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le dispositif d’incitation à la qualité et dans la certification par la HAS. La Cour des comptes préconise la mise en place d’un audit technique global, périodique et obligatoire, réalisé par des auditeurs externes. Les résultats de cet audit, communiqués de manière confidentielle à l’établissement, à l’ARS et à l’ANS, permettraient d’évaluer le niveau de sécurité des SIH et de guider les actions de remédiation.

Recommandation n° 5 : Doter les groupements hospitaliers de territoire (GHT) de la personnalité morale. L’absence de personnalité morale des GHT constitue un frein à la convergence des systèmes d’information des établissements publics de santé. La Cour des comptes recommande de modifier le code de la santé publique afin de doter les GHT de la personnalité morale, leur permettant ainsi de disposer d’un budget autonome, de recruter du personnel et de gérer leur patrimoine.

La mise en œuvre de ces recommandations est essentielle pour améliorer la résilience des hôpitaux face aux cyberattaques et garantir la sécurité des patients et des données de santé.

Sources

Article du monde informatique ici

Rapport de la cour des comptes LA SÉCURITÉ INFORMATIQUE DES ÉTABLISSEMENTS DE SANTÉ

Linky le compteur intelligent a-t-il tenu ses promesses. Il a surtout couté aux abonnés. On fait un bilan de l’opération sur le plan financier mais aussi sur le plan du service aux abonnés.

Le compteur Linky est maintenant en place presque partout. Linky c’est le sujet qui passionne . On a critiqué le projet, on lui a attribué tous les défauts. Le cout, les risques pour la santé, le compteur lui même pouvant provoquer des fuites d’ondes. Maintenant on trouve des tutoriels pour pirater le compteur Linky et faire baisser sa facture..

Beaucoup de contenus sont enligne. En particulier celui-ci je trouve très pro celui qui décortique le contenu électronique du compteur pour debunker certaines légendes sur les composants interne du compteur.

Par contre la vidéo de M DUPOND AIGNAN est pure mensonge. Le rapport de la cour des comptes est en source à la fin de l’article.

https://twitter.com/dupontaignan/status/1874865602772578801.

On va focuser l’article sur les couts et les bénéfices pour les usagers.

Linky le compteur intelligent a-t-il tenu ses promesses

Le coût total prévisionnel du déploiement de Linky est de 4,6 milliards d’euros. Le coût du déploiement de masse entre 2016 et 2021 était inférieur de 18 % aux prévisions initiales, soit un coût total de 3,9 milliards d’euros pour cette phase. Cette différence est principalement due aux économies réalisées sur l’achat et la pose des compteurs, qui ont coûté 880 millions d’euros de moins que prévu.

Il convient d’ajouter à ces dépenses le coût de l’expérimentation du programme (147 millions d’euros) et celui du déploiement diffus entre 2022 et 2024.

Le coût du système d’information lié au déploiement de Linky a dépassé les prévisions, atteignant 450 millions d’euros au lieu des 273 millions d’euros initialement budgétés. Enedis attribue cette augmentation aux exigences accrues en matière de fiabilité, de sécurité et d’adaptabilité du système.

Les montants sont importants. On avait déjà des compteurs. Comment justifier 3.9 milliard de dépenses pour avoir la même chose .

Objectifs du passage aux compteurs Linky

L’objectif de déploiement de Linky pour 2020 était d’équiper au moins 80 % des clients alimentés en basse tension d’un compteur évolué. Cet objectif était fixé par la directive européenne du 13 juillet 2009 relative aux règles communes du marché de l’électricité. La France a ensuite fixé un objectif plus ambitieux d’installer 90 % des compteurs d’ici la fin de 2021. Enedis a atteint cet objectif, avec un peu plus de 34 millions de compteurs posés au 31 décembre 2021.

Si on divise le cout (3.9 milliards) par le nombre de compteurs (34 millions) on est à 114 € par compteur Linky. Exprimé en unité, le cout n’est pas si important. Enedis considère que depuis 2021, le déploiement Linky est terminé.

Enedis a profité de l’opération pour s’enrichir

Ce n’est pas EDF qui gère les compteurs, c’est Enedis. Mais Enedis c’est une filiale à 100% de EDF. Au final c’est EDF et l’Etat qui auraient bénéficié de l’opération. Mais de quelle opération parlons-nous ?

Enedis a bénéficié de plusieurs avantages financiers grâce au déploiement de Linky.

Rémunération favorable des actifs: La Commission de régulation de l’énergie (CRE) a défini des conditions particulières de financement pour Linky, avec un taux de rémunération de base de 7,25 % garanti jusqu’en 2041. Ce taux est plus élevé que celui appliqué aux autres actifs régulés d’Enedis, ce qui lui confère une rémunération additionnelle estimée à 311 millions d’euros pour la période 2016-2023.

Primes de performance: En plus de la rémunération garantie, Enedis a perçu des primes de performance pour avoir atteint les objectifs de coût, de délai et de qualité du système de comptage. Ces primes ont totalisé plus de 400 millions d’euros entre 2016 et 2022.

Mécanisme de différé tarifaire: Ce mécanisme, mis en place pour éviter une augmentation immédiate des tarifs pour les consommateurs, a permis à Enedis de reporter la couverture des coûts du projet Linky jusqu’à la concrétisation des gains attendus. Ce système complexe a également généré un coût supplémentaire de 785 millions d’euros pour les consommateurs, qui sera répercuté sur leurs factures entre 2022 et 2029.

Gains opérationnels:

• Enedis a réalisé des gains sur les charges d’exploitation grâce à la réduction des coûts de relève, des interventions techniques et des pertes non techniques. C’est un des principaux avantages de Linky, la télér-elève. Comme elle existe aussi pour votre compteur d’eau.

• Ces gains, en croissance sur la période du TURPE 6 (2021-2024), devraient atteindre environ 350 millions d’euros par an à partir du TURPE 7 (2025-2028). Le TURPE c’est la redevance payée par les abonnés pour la distribution, le transport et le comptage de l’électricité.

En résumé, le déploiement de Linky a permis à Enedis de bénéficier de conditions de financement avantageuses, de primes de performance élevées et de gains opérationnels importants. Le mécanisme de différé tarifaire, bien qu’il ait permis d’étaler les coûts pour les consommateurs, a également généré un coût supplémentaire pour ces derniers.

Bilan financier de l’opération Linky

Le bilan financier global du projet Linky est complexe et il est nécessaire de distinguer plusieurs niveaux d’analyse.

Du point de vue d’Enedis, le bilan est positif. Le coût total du déploiement est de 4,6 milliards d’euros, mais l’entreprise a bénéficié :

• de conditions de financement avantageuses, avec un taux de rémunération garanti de 7,25% jusqu’en 2041;
• de primes de performance pour avoir atteint les objectifs de coût, délai et qualité;
• de gains opérationnels liés à la réduction des coûts de relève, des interventions et des pertes.

Du point de vue des consommateurs, le bilan est plus mitigé.

• Le mécanisme de différé tarifaire a permis d’étaler le coût du déploiement sur plusieurs années.
• Cependant, ce mécanisme a aussi généré un coût supplémentaire de 785 millions d’euros pour les consommateurs. C’est la rémunération de Enedis.
• Les gains liés à la réduction des charges d’exploitation d’Enedis sont répercutés sur les tarifs d’acheminement.

Il est encore trop tôt pour dresser un bilan définitif du projet Linky. La CRE devra notamment évaluer si les gains opérationnels d’Enedis seront suffisants pour couvrir l’ensemble des coûts du projet à l’issue de la période de 20 ans.

En résumé, le projet Linky a généré des avantages financiers pour Enedis, mais le bilan pour les consommateurs est moins clair. Il faudra attendre la fin du programme pour évaluer la rentabilité globale du projet et son impact sur les tarifs de l’électricité.

Pour le moment le consommateur ne bénéficie d’aucun service sinon d’avoir sa consommation presque en temps réel. Il n’a pas accès aux fonctionnalités du compteur pour lui même, qui pourraient l’aider à faire des économies de consommation.

Avantages pour les consommateurs

Bien que le déploiement de Linky ait été avantageux pour Enedis, les bénéfices pour les consommateurs sont plus nuancés. Voici les principaux avantages de Linky pour les consommateurs :

• Facturation plus précise: La télérelève mensuelle des index de consommation permet une facturation basée sur des données réelles, limitant les estimations et les risques d’erreurs. Cela se traduit par une diminution des réclamations liées à la facturation. Les clients équipés de compteurs Linky génèrent cinq fois moins de réclamations que ceux n’en étant pas équipés.
• Interventions à distance plus rapides et moins chères: Linky permet la réalisation de télé-opérations pour des prestations telles que la modification de la puissance souscrite ou le changement de formule tarifaire. Ces interventions sont plus rapides, souvent réalisées en un jour, ne nécessitent plus la présence du client à son domicile et sont moins coûteuses. La CRE estime que les consommateurs ont économisé près de 83 millions d’euros sur la période 2017-2021 grâce à la baisse des tarifs de ces prestations.
• Intégration facilitée de l’autoconsommation: Linky simplifie l’installation de systèmes d’autoconsommation photovoltaïque en permettant la mesure des flux d’injection et de soutirage avec un seul compteur. Cela réduit les coûts de raccordement pour les consommateurs souhaitant produire leur propre électricité. C’est une fonctionnalité importante peu souvent décrite.
• Meilleure connaissance de la consommation: Linky donne accès à des informations détaillées sur la consommation d’électricité, permettant aux consommateurs de mieux comprendre leurs habitudes et d’identifier les sources de gaspillage.
• Contribution à la stabilité du réseau électrique: En permettant un pilotage précis de la consommation, notamment des appareils gros consommateurs comme les ballons d’eau chaude, Linky contribue à la stabilité du réseau électrique en période de forte demande. Cela limite les risques de coupures d’électricité.

En résumé, Linky offre des avantages concrets aux consommateurs, notamment en matière de facturation, d’interventions et d’autoconsommation. Toutefois, son plein potentiel reste à exploiter, en particulier en ce qui concerne le développement d’offres tarifaires innovantes.

Comme indiqué au début; ce projet est une directive européenne. Les autres pays doivent également mettre en place un projet équivalent. ou en sont-ils ?

13 pays ont un taux d’équipement de 80%. L’Allemagne en particulier n’a pas encore lancé sont projet alors même que ce type de compteur est plus adapté à ce pays qui met en place des énergies éoliennes et solaires du fait de la gestion fine du réseau à mettre en œuvre.

Sources :

rapport cour de comptes sur le compteur Linky

Le site enedis

GIGI, la rencontre de l’intelligence artificielle et du dating

Partons à la découverte d’une application mobile de rencontre particulière puisqu’elle mixe le dating et l’Intelligence artificielle.

Si vous en avez assez des profils hasardeux, l’IA peut vous aider à faire le tri. Elle va aussi vous conseiller sur les profils rencontrés et vous permettre de détecter les red flag dès le début.

GIGI va vous poser des questions pour comprendre votre identité. Grace à ce questionnaire, GIGI va être en mesure de vous mettre en relation avec des profils qui ont les mêmes objectifs que vous.

L’application vous comprend et vous oriente.

Pour illustrer l’utilité de l’application, j’ai demandé le témoignage d’une utilisatrice, Ylona. Elle utilise l’application pour ses fonctionnalités IA.

Grace à GIGI elle a fait une rencontre qui correspond à ses attentes. Vous avez tout le détail dans la vidéo.

Si vous avez craqué, je vous communique les liens.

Par régis BAUDOUIN

L’application GIGI sur apple store

L’application GIGI sur Android

Bien coder en utilisant l’intelligence artificielle. Les développeurs sont tentés d’utiliser largement les assistants de codage en IA. Cette pratique comporte des règles à respecter.

Le rapport conjoint de l’ANSSI et du BSI analyse les opportunités et les risques liés à l’utilisation des assistants de codage basés sur l’IA.

Bien coder en utilisant l’intelligence artificielle

Les développeurs ont bien compris les avantages de solliciter l’IA pour coder plus vite et mieux. L’ANSSI souligne les avantages en termes de productivité et de simplification de tâches de développement, mais met également en lumière les dangers liés à la fuite d’informations sensibles, à la qualité et à la sécurité du code généré, ainsi qu’aux nouvelles failles de sécurité introduites par ces outils.

Quelles sont les bonnes pratiques à respecter pour une utilisation responsable et sécurisée de ces assistants ?Quelles mesure prendre pour réduire ou éliminer ces risques ?

Opportunités et Risques des Assistants de Codage IA

Les assistants de codage basés sur l’IA, utilisant des modèles de langage (LLM), offrent un potentiel de transformation du développement logiciel. Ils présentent à la fois des opportunités et des risques importants.

Le premier risque est celui d’une utilisation non maitrisée. La direction technique doit définir la politique en matière d’utilisation d’IA pour les développeurs et définir les règles d’emploi.

Opportunités:

• Génération de Code: Les assistants de codage peuvent générer du code source pour des méthodes, des classes et des prototypes, automatisant les tâches répétitives et aidant les développeurs à créer des blocs de code et des fonctions courants. Ils peuvent également aider à la complétion de code.
• Débogage: L’IA peut détecter et corriger automatiquement les erreurs dans le code source, réduisant potentiellement le temps consacré au débogage et à la maintenance.
• Génération de Cas de Test: Les assistants peuvent proposer automatiquement des cas de test et des tests unitaires, y compris des cas limites, ce qui augmente la couverture du code et simplifie le développement piloté par les tests (TDD).
• Explication du Code: L’IA peut fournir des explications en langage naturel sur le code source, ce qui facilite la familiarisation avec le code existant et les audits de code source. Cette documentation du code est importante pour la maintenance future.
• Formatage, Commentaire et Documentation du Code: Les assistants peuvent automatiser le formatage du code, la génération de commentaires et la création de blocs de documentation, améliorant la standardisation, la lisibilité et la maintenabilité du code.
• Traduction Automatique du Code: L’IA a le potentiel de traduire du code existant écrit dans des langages de programmation anciens vers des langages plus modernes, ce qui facilite la maintenance et la mise à jour des systèmes existants.
• Augmentation de la Productivité et Satisfaction des Employés: L’utilisation d’assistants de codage IA augmente la productivité des développeurs et améliore leur satisfaction au travail en réduisant les tâches répétitives et en fournissant un accès rapide à l’information.

Risques:

• Confidentialité des Entrées: Les informations sensibles saisies dans les assistants de codage IA peuvent être divulguées, car elles peuvent être utilisées pour la formation des modèles ou être accessibles à des tiers.
• Biais d’Automatisation: La confiance excessive dans les sorties des assistants de codage IA peut conduire à l’acceptation de code erroné ou non sécurisé.
• Manque de Qualité et de Sécurité des Sorties: Les assistants de codage IA peuvent générer du code incorrect, non sécurisé ou inefficace, y compris des vulnérabilités de sécurité et des pratiques obsolètes.
• Attaques de la Chaîne d’Approvisionnement et Code Malveillant: Les assistants de codage IA peuvent être manipulés pour générer du code malveillant, appeler des bibliothèques malveillantes ou divulguer des informations sensibles via des attaques telles que les hallucinations de paquets, les injections indirectes de prompts et l’empoisonnement des données et des modèles.
• Utilisation Abusive à des Fins d’Attaques: Les attaquants peuvent utiliser les capacités de génération de code des LLM pour créer, modifier ou améliorer du code malveillant, ou pour décompiler des binaires.

Recommandations sur l’usage de l’IA pour les développeurs

Les entreprises et les développeurs doivent adopter une approche responsable lors de l’utilisation des assistants de codage IA, en tenant compte des risques potentiels et en mettant en œuvre des mesures d’atténuation appropriées.

Gestion:

• Effectuer une analyse systématique des risques.
• Mettre en place des directives de sécurité et des mesures d’atténuation.
• Sensibiliser les employés aux risques et les former à l’utilisation des outils d’IA.
• Fournir des offres contrôlées aux développeurs pour prévenir les risques liés au Shadow IT.
• Adapter les équipes d’assurance qualité aux gains de productivité potentiels.

Développement:

• Examiner et comprendre le code généré.
• Être conscient des limites et des problèmes de sécurité des systèmes.
• Suivre une formation sur l’utilisation efficace des assistants de codage IA.
• Échanger les meilleures pratiques avec les collègues.

Recommandations pour l’Utilisation Sécurisée des Assistants de Codage IA

Les assistants de codage IA, basés sur des modèles de langage (LLM), présentent des avantages potentiels mais aussi des risques pour la sécurité. La plupart des outils LLM sont des services cloud qui vont ensuite utiliser le code uploadé pour alimenter leur modèle. Utiliser sans contrôle un outil d’IA générative de code c’est montrer son code en public.

Recommandations pour la direction technique

• Comprendre que les assistants de codage IA ne remplacent pas les développeurs expérimentés. L’utilisation non maîtrisée de ces outils peut avoir de graves conséquences sur la sécurité.
• Mettre en place des offres contrôlées pour les développeurs afin d’éviter le Shadow IT. Il est préférable d’utiliser un hébergement local et souverain de modèles open-source pour prévenir la fuite d’informations sensibles, ou des comptes d’entreprise contrôlés et configurables avec des conditions contractuelles claires lors de l’utilisation de services cloud. Il est crucial de vérifier les conditions contractuelles du fournisseur, notamment en ce qui concerne l’utilisation des données.
• Réaliser une analyse systématique des risques avant d’introduire des outils d’IA. Cette analyse devrait examiner attentivement la gestion actuelle des secrets (clés API, etc.) et comment les protéger contre les fuites à l’avenir.
• S’assurer que les équipes d’assurance qualité (AppSec, DevSecOps, etc.) bénéficient de gains de productivité similaires grâce à l’IA ou que leurs effectifs soient augmentés. Il est important d’adapter ces équipes à l’augmentation potentielle de la production de code grâce aux assistants IA.
• Sensibiliser les employés aux risques liés à l’utilisation des outils d’IA et les former à leur utilisation. Il est crucial d’expliquer les risques et les bonnes pratiques aux développeurs.
• Fournir des directives claires aux employés sur les outils qu’ils sont autorisés à utiliser, avec quelles données et à quelles fins. Ces directives doivent être précises pour éviter toute confusion.
• Mettre en place une phase d’évaluation avec un suivi des indicateurs clés (nombre de nouveaux codes validés, charge de travail de l’équipe de sécurité, etc.), des objectifs mesurables et des contrôles de réussite correspondants. Cette phase d’évaluation permettra de mieux comprendre l’impact de la technologie et de réagir aux problèmes éventuels.

Recommandations pour les développeurs:

• Utiliser les assistants de codage IA de manière responsable et en étant conscient de leurs limites et des problèmes de sécurité. L’utilisation de ces outils doit être réfléchie, en accordant une attention particulière à la protection des informations sensibles.
• Vérifier et reproduire systématiquement le code source généré. Un examen critique doit être effectué, notamment en ce qui concerne les hallucinations et les risques de sécurité. Lire le code à plusieurs par exemple.
• Suivre les directives de l’entreprise concernant l’utilisation des outils, des données et les finalités. Les développeurs doivent comprendre et respecter les règles de l’entreprise.
• Participer à des formations sur l’utilisation efficace des assistants de codage IA (ingénieur prompt). Il est important de se former pour utiliser ces outils de manière optimale et sécurisée.
• Échanger activement avec les collègues sur le sujet pour garantir une utilisation efficace et sécurisée des assistants de codage IA dans l’entreprise. Le partage des meilleures pratiques et l’apprentissage collaboratif sont essentiels.

Principales Failles de Sécurité des Assistants de Codage IA

Les assistants de codage IA, présentent des failles de sécurité importantes qu’il est crucial de comprendre et de maitriser.

1. Manque de Confidentialité des Entrées:

• Fuite d’informations sensibles: Les données saisies par les utilisateurs, y compris le code source, les identifiants de connexion et les clés API, peuvent être divulguées. Ces informations peuvent être utilisées pour entraîner les modèles d’IA ou être accessibles à des tiers non autorisés.
• Stockage et utilisation des données: Certains fournisseurs affirment ne pas stocker systématiquement ni utiliser directement les données des utilisateurs pour améliorer leurs modèles, mais cela dépend souvent du modèle de monétisation choisi par les utilisateurs. Il faut bien lire les clauses d’utilisation du service et se faire conseiller par un juriste.
• Attaques de la chaîne d’approvisionnement: Des attaquants peuvent extraire des informations sensibles via des attaques de la chaîne d’approvisionnement, ciblant les points faibles de la chaîne de développement et de distribution du logiciel.

2. Biais d’Automatisation et Manque de Qualité/Sécurité des Sorties:

• Confiance excessive: Les assistants de codage IA peuvent générer du code qui semble correct et convaincant, mais qui contient en réalité des erreurs, des vulnérabilités de sécurité ou des pratiques obsolètes.
• Qualité du code: Les assistants de codage IA peuvent générer du code incorrect, non sécurisé ou inefficace, en raison de la présence de données d’entraînement obsolètes ou biaisées.
• Hallucinations: Les assistants peuvent générer du code qui fait référence à des packages ou des bibliothèques inexistants (hallucinations de paquets), ce qui peut conduire à des attaques de confusion de paquets.

3. Attaques par code Malveillant:

• Injections indirectes de prompts: Des attaquants peuvent insérer des instructions malveillantes dans des sources externes, comme la documentation des packages, qui peuvent influencer le comportement des modèles d’IA et générer du code malveillant ou divulguer des informations sensibles.
• Empoisonnement des données et des modèles: Les attaquants peuvent compromettre les ensembles de données utilisés pour entraîner les assistants de codage IA, ou les poids des modèles eux-mêmes, afin de générer du code malveillant.
• Extensions malveillantes: Les extensions pour assistants de codage peuvent être compromises et utilisées pour accéder à des ressources internes et mener des attaques.

En conclusion

Les assistants de codage IA présentent de nombreux avantages. Mais aussi se sont des failles de sécurité qui touchent à la confidentialité des données, à la qualité du code généré et à la possibilité d’attaques malveillantes.

Il est essentiel de prendre des mesures de mitigation appropriées pour minimiser ces risques et utiliser ces outils de manière responsable et sécurisée. Former les développeurs, Définir une gouvernance des outil et de leurs usage. Renforcer le contrôle qualité. regarde le code à plusieurs et ne pas faire d’excès de confiance en l’IA.

Source

Rapport conjoint BSI et ANSSI sur l’utilisation des outils de codage en LLM

Les 10 meilleurs outils de codage par IA 2024

Comment les collectivités mettent en place des budgets écologiques, c’est la question à laquelle on va tenter de réponse en utilisant les données publiques disponibles.

Cette démarche est aussi appelée budget vert.

Comment les collectivités mettent en place des budgets écologiques

La Genèse des Budgets Verts en France

Les budgets verts ont émergé en France au cours des dernières années, impulsés par une prise de conscience croissante de l’importance de la transition écologique. Principalement lors du au One planet Summit en décembre 2017. la France s’est engagée à qualifier les impacts environnementaux des dépenses du budget de l’État et les efforts budgétaires nécessaires pour atteindre ses objectifs en matière environnementale. Ensuite des collectivité ont manifesté le souhait de mener aussi de telles démarches.

Pour le moment il n’y a pas d’obligation au niveau des collectivités locales.

• Le concept de budgétisation verte s’est développé au niveau international, avec plus de 60 pays, dont 12 États membres de l’Union européenne, engagés dans la démarche.

Afin de répondre aux besoins des collectivités, une méthodologie de budgétisation verte adaptée au niveau local a été co-construite avec l’Institut de l’Économie pour le Climat (I4CE).

I4CE est un institut à but non lucratif sur fonds publics et privés. Le budget 2025 sera de 5 millions d’Euro. Ce n’est pas un opérateur de l’Etat ce qui lui donne surement plus de liberté dans l’utilisation des fonds.

• Cette méthodologie, en libre accès, s’appuie sur la nomenclature comptable des collectivités et permet de qualifier les dépenses en fonction de leur impact sur l’environnement.
• Un guide pratique accompagne la grille d’analyse et aide les collectivités à mettre en œuvre la démarche.
• Un groupe de travail réunissant l’expertise d’I4CE, des collectivités pilotes et d’associations d’élus a permis de développer la méthodologie.

Diffusion Progressive de la Budgétisation Verte

Le nombre de collectivités territoriales engagées dans une démarche de budgétisation verte a constamment augmenté depuis 2019.

• Au niveau régional, 11 des 13 régions métropolitaines réalisent ou prévoient un exercice de budgétisation verte.
• Au moins 12 départements sont également impliqués, mais soulèvent des difficultés liées à la nature de leurs compétences, majoritairement axées sur la solidarité et l’action sociale.
• Au total, on estime qu’au moins une centaine de collectivités territoriales ont intégré ou prévoient d’intégrer la budgétisation verte à leurs pratiques.

Chaque collectivité peut définir ses projets et sa méthode.

Objectifs de la Budgétisation Verte

La budgétisation verte poursuit plusieurs objectifs qui sont avant tout politiques, notamment :

• Transversaliser les enjeux environnementaux à l’ensemble des services et des élus.
• Promouvoir les efforts et la politique environnementale de la collectivité.
• Améliorer la transparence budgétaire.
• Faciliter l’accès aux financements verts.
• Intégrer un critère environnemental aux arbitrages budgétaires.

Défis et Facteurs de Succès

La mise en œuvre de la budgétisation verte rencontre certains défis, mais plusieurs facteurs peuvent contribuer à sa réussite :

• Un portage politique et administratif de haut niveau est essentiel pour mobiliser les services et donner de la légitimité à la démarche.
• L’allocation de ressources humaines et de temps suffisantes est cruciale, en particulier la première année.
• Une communication claire et transparente sur les objectifs, les limites et la méthodologie de l’outil est indispensable.
• L’association de l’ensemble des services et des élus à toutes les étapes de la démarche, dès son lancement, est fondamentale.
• Une collaboration étroite entre les directions de la transition écologique et des finances est recommandée.

Que pensent les collectivités qui ont mis en place le budget vert

Les collectivités territoriales françaises ont des opinions globalement positives sur la budgétisation verte, la considérant comme un outil prometteur pour l’intégration des enjeux environnementaux dans leurs politiques publiques. Cependant, elles soulignent également les défis et les limites de sa mise en œuvre. Un questionnaire a été soumis au villes qui ont officiellement mis en place un budget vert.

Principaux Bénéfices

D’après les questionnaires recueillis auprès des collectivités, le principal avantage de la budgétisation verte est de favoriser la transversalité des enjeux environnementaux. L’exercice implique un dialogue entre les services et les élus, ce qui permet de sensibiliser et d’impliquer l’ensemble de la collectivité aux enjeux de la transition écologique.

• La budgétisation verte institutionnalise les discussions sur l’environnement lors de l’élaboration du budget, créant ainsi une culture commune et une meilleure compréhension des enjeux. Sur ce plan il faut travailler par projet s et plus par postes de dépenses.
• La démarche encourage les services à remettre en question leurs pratiques et à identifier des leviers d’amélioration pour réduire leur impact environnemental.
• La budgétisation verte donne un nouveau sens aux métiers financiers, en intégrant les enjeux environnementaux aux décisions budgétaires.

Difficultés et Limites

La budgétisation verte rencontre certaines difficultés opérationnelles:

• Manque de ressources humaines et de temps : la mise en œuvre de la démarche, en particulier la première année, exige un investissement important en temps et en personnel. Les agent doivent être formés pour comprendre les enjeux du budget vert et détecter dans leurs actions que qui est vert ou pas. Le référentiel est complexe et le code des marché n’aide pas.
• Résistance au changement : le critère environnemental n’est pas toujours pris en compte lors des arbitrages budgétaires, malgré les informations fournies par l’analyse. C’est surtout que l’objectif n’est pas compris par les agents de terrain qui doivent réaliser leur missions.
• Complexité méthodologique : le choix et l’adaptation de la méthodologie peuvent poser des difficultés, et la robustesse du référentiel utilisé est cruciale pour garantir la crédibilité de l’exercice.

Le principal avantage de la budgétisation verte : la transversalité

Le principal bénéfice de la budgétisation verte réside dans sa capacité à institutionnaliser et systématiser les échanges sur les enjeux environnementaux au sein des discussions budgétaires. Cette démarche, qui implique un dialogue entre les services et les élus, permet de transversaliser les enjeux environnementaux à l’ensemble de la collectivité.

Sensibilisation et appropriation des enjeux environnementaux par les agents et les élus. La budgétisation verte offre un cadre structuré pour discuter de l’environnement, ce qui favorise une meilleure compréhension des enjeux et des actions à entreprendre pour la transition écologique.

Encouragement des services à agir pour la transition. En mettant en lumière l’impact environnemental des dépenses, la budgétisation verte incite les services à remettre en question leurs pratiques et à identifier des solutions plus durables.

Renforcement du sentiment d’utilité et de sens au sein des métiers financiers. En intégrant les enjeux environnementaux aux décisions budgétaires, la budgétisation verte permet aux agents des finances de contribuer plus directement à la transition écologique.

En somme, la budgétisation verte est perçue comme un outil de pilotage interne précieux pour favoriser l’appropriation des enjeux environnementaux par tous les acteurs de la collectivité. Elle permet d’intégrer la dimension écologique aux discussions budgétaires et d’encourager des actions concrètes en faveur de la transition.

Sources :

I4CE retour expérience des collectivités octobre 2023

Caisse des dépots, budget vert des finances locales des collectivités