L’association Hexatrust qui promeut les acteurs français et européens de la cybersécurité annonce l’arrivée de Secuserve, un éditeur connu pour ses solutions de sécurité de la messagerie en mode SaaS.
A l’heure des remous autour du récent rachat de l’allemand HornetSecurity (qui avait acquis le français Vade un an plutôt) par l’américain Proofpoint, Secuserve, l’éditeur français spécialisé dans les solutions de sécurité de la messagerie en mode SaaS fait, quant à lui, le choix de la souveraineté en rejoignant l’association Hexatrust. Rappelons que cette dernière regroupe et fédère les champions français et européens de la cybersécurité, du cloud de confiance et du digital workplace, elle anime une communauté de plus de 130 membres, représentant 10 000 salariés.
Dans un post sur Linkedin, Secuserve affirme que dans un contexte géopolitique où la filière numérique et cyber française doit s’affirmer, rejoindre Hexatrust était une évidence. « Notre implication dans la cybersécurité commercialement et associativement depuis 22 ans, la souveraineté de nos solutions SaaS 100% françaises, notre capacité d’innovation et notre volonté de jouer collectif, seront des atouts pour remporter ensemble les combats qui s’annoncent ». En plus de protéger les emails, Secuserve commercialise également une messagerie d’entreprise souveraine nommée Optimails disponible en mode Saas.
Des chercheurs ont réussi à tromper l’assistant de codage de GitLab, alimenté par l’IA, pour qu’il affiche du contenu dangereux aux utilisateurs et laisse filtrer du code source privé en injectant des prompts cachées dans les commentaires de code, les messages de validation et les descriptions de demandes de fusion.
Des chercheurs ont découvert que Duo, l’assistant de codage de GitLab, peut analyser des invites IA malveillantes cachées dans les commentaires, le code source, les descriptions de demandes de fusion et les messages de validation des dépôts publics. Cette technique leur a permis de tromper le chatbot en suggérant des codes malveillants aux utilisateurs, de partager des liens trompeurs et d’injecter du code HTML indésirables dans les réponses, entraînant ainsi des fuites furtives de code de projets privés. « GitLab a…
Il vous reste 92% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Après l’opération Endgame 2, une autre action judiciaire internationale a mis un coup d’arrêt au malware Lumma Stealer. Il avait infecté plus de 400 000 ordinateurs dans le monde.
L’impunité n’existe pas pour les cybercriminels. Un message rappelé à chaque opération judiciaire contre des groupes de malware ou de ransomware. Dernier exemple en date, Microsoft et le ministère américain de la Justice ont démantelé le groupe derrière le malware Lumma Stealer. Cette action a mobilisé aussi le centre européen de lutte contre la cybercriminalité (EC3) d’Europol, celui du Japon (JC3) et plusieurs partenaires du secteur privé (ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry), explique la firme de Redmond dans un blog. Elle a permis la saisine de plus de 2 300 domaines malveillants et visait une organisation criminelle dirigée par la Russie.
Lumma Stealer est un malware sur abonnement (MaaS) sophistiqué vendu sur des forums clandestins depuis 2022. Il propose aux acteurs malveillants de voler des identifiants de connexion, des informations de carte bancaire, des données de portefeuille de cryptomonnaies et d’autres actifs numériques sensibles. Microsoft indique avoir détecté plus de 394 000 PC Windows infectés par Lumma dans le monde entre le 16 mars et le 16 mai de cette année. La portée du malware s’étend à tous les secteurs et à toutes les zones géographiques, des infrastructures critiques et des systèmes éducatifs aux institutions financières et aux communautés de joueurs.
Un infostealer redoutable
« Lumma est devenu un outil incontournable pour les cybercriminels et les opérateurs de rançongiciels, dont le célèbre groupe Octo Tempest », a déclaré Microsoft dans son blog, soulignant les capacités d’évasion et la simplicité d’utilisation du malware. Il se propage souvent via des campagnes de phishing, de fausses publicités et l’usurpation d’identité de marques de confiance comme Booking.com et Microsoft. Le communiqué du DOJ mentionne également que le FBI a détecté plus de 1,7 million de cas où LummaC2 a été utilisé pour collecter des identifiants et d’autres informations sensibles.
Le créateur de Lumma, connu en ligne sous le nom de « Shamel », opère depuis la Russie et a commercialisé son logiciel malveillant via Telegram et d’autres forums en langue russe. Shamel a associé le logiciel malveillant à un logo d’oiseau et au slogan : « Gagner de l’argent avec nous est tout aussi facile ». Un entretien réalisé en novembre 2023 avec un chercheur connu sous le nom de « g0njxa » a révélé que Lumma comptait « environ 400 clients actifs », soulignant la professionnalisation de la cybercriminalité.
La vigilance est de mise sur la renaissance de Lumma
A l’issue de l’opération, plus de 1 300 domaines saisis ou transférés à Microsoft sont désormais redirigés vers des « skinholes » des systèmes conçus pour collecter en toute sécurité des informations sur les terminaux infectés. Microsoft peut ainsi recueillir des renseignements sur les menaces en cours et d’aider les victimes à se rétablir tout en empêchant toute nouvelle communication de malware. « Cette action conjointe vise à ralentir la vitesse à laquelle ces acteurs peuvent lancer leurs attaques, à minimiser l’efficacité de leurs campagnes et à entraver leurs profits illicites », a indiqué l’éditeur.
Malgré le démantèlement, les experts mettent en garde contre la réapparition de Lumma et d’autres opérations similaires de logiciels malveillants en tant que service sous de nouveaux noms ou avec une infrastructure reconstituée. Cette opération souligne la menace persistante que représentent les cybercriminels opérant depuis des juridictions offrant un refuge sûr ou dépourvues de mécanismes de répression solides. « Cette action complique les opérations des cybercriminels », a déclaré Bryan Vorndran, directeur adjoint de la division cyber du FBI.
Sur un marché des LLM où la concurrence est exacerbée, Anthropic lance Opus 4, un modèle particulièrement efficient pour le codage. La société en profite également pour élever le niveau de sécurité générale de ses LLM.
Anthropic a présenté ses dernières générations de modèles Claude, Opus et Sonnet 4, qui, selon lui, établissent des performances en matière de codage, de raisonnement avancé et d’agents d’intelligence artificielle. Ces deux LLM de raisonnement hybrides apportent des réponses quasi-instantanées ainsi qu’un mode de réflexion étendu pour un raisonnement plus approfondi. Seul Sonnet 4 est disponible pour les utilisateurs gratuits, tandis que les plans Pro, Max, Team et Enterprise incluent les deux modèles et le mode de raisonnement étendu. La société indique que les prix restent cohérents avec ceux des modèles Opus et Sonnet précédents.
Opus 4 taillé pour les projets de génération et de refactorisation de grande envergure
Enfant-vedette de Claude, Opus 4 est présenté comme un modèle qui « excelle dans le codage et la résolution de problèmes complexes, alimentant des produits d’agents d’avant-garde ». La firme a déclaré qu’Opus 4 « surpasse de manière spectaculaire » les modèles précédents en termes de capacités de mémoire, et que lui et Sonnet 4 sont 65% moins susceptibles que Sonnet 3.7 d’utiliser des raccourcis ou des échappatoires pour accomplir des tâches. Claude Opus 4 propose également des performances soutenues sur des tâches de longue durée et à plusieurs étapes, un utilisateur, Rakuten, affirmant qu’il a refait le code en continu pendant sept heures tout en maintenant les performances. Il prend en charge 32 000 jetons de sortie et, selon l’éditeur, « s’adapte à des styles de codage spécifiques tout en offrant une qualité exceptionnelle pour les projets de génération et de refactorisation de grande envergure. » Globalement, Anthropic a déclaré que « ces modèles font progresser les stratégies d’IA de nos clients dans tous les domaines » : Opus 4 repousse les limites du codage, de la recherche, de l’écriture et de la découverte scientifique, tandis que Sonnet 4 apporte des performances de pointe aux cas d’utilisation quotidiens en tant que mise à jour instantanée de Sonnet 3.7. »
Sonnet 4, justement, améliore les capacités de son prédécesseur en particulier en ce qui concerne le codage. Ce LLM « équilibre la performance et l’efficacité pour les cas d’utilisation internes et externes, avec une meilleure orientation pour un plus grand contrôle des implémentations. Bien qu’il n’égale pas Opus 4 dans la plupart des domaines, il offre un mélange optimal de capacités et de praticité ». La société présente Sonnet 4 comme une mise à jour de Sonnet 3.7 pour ce qui est décrit comme des cas d’utilisation quotidiens. L’éditeur a déclaré que GitHub présentera Sonnet 4 comme le nouvel agent de codage dans Copilot, parce qu’il « monte en flèche dans les scénarios agentiques. »
Une variété de capacités ajoutées à Opus et Sonnet 4
Outre le lancement de ses derniers modèles, le fournisseur a annoncé une série de fonctionnalités pour Claude :
– Réflexion approfondie avec utilisation d’outils : Actuellement en version bêta, cette fonction permet à Sonnet 4 et Opus 4 d’utiliser des outils tels que la recherche sur le web pendant la réflexion approfondie. Claude peut ainsi alterner entre le raisonnement et l’utilisation d’outils afin d’améliorer la réponse ;
– Des instructions plus précises : Sonnet 4 et Opus 4 peuvent utiliser des outils en parallèle et, si le développeur leur donne accès aux fichiers locaux, peuvent extraire et sauvegarder des faits clés « pour maintenir la continuité et construire une connaissance tacite au fil du temps » ;
– Des capacités API supplémentaires : Pour aider à construire des agents IA plus puissants, l’API Anthropic présente quatre fonctionnalités inédites : un outil d’exécution de code pour exécuter du code Python en bac à sable, un connecteur MCP, une API Fichiers s’intègrant à l’outil d’exécution de code et permet de télécharger des documents une seule fois et de les référencer dans plusieurs conversations, et la possibilité de mettre en cache des messages-guides pendant une heure maximum.
Claude Code est par ailleurs annoncé en disponibilité générale : cet outil prend en charge les tâches d’arrière-plan via les actions GitHub et les intégrations natives, maintenant en version bêta, avec les IDE Visual Studio Code et JetBrains. Il affiche les modifications proposées directement dans les fichiers. Un SDK Claude Code extensible a par ailleurs été publié pour permettre aux développeurs de créer leurs propres agents et applications en utilisant l’agent central de Claude Code. Pour illustrer ce qui peut être fait avec le SDK, la société publie Claude Code sur GitHub (en version bêta).
Un niveau de sécurité accru
Dans son rapport sur la sécurité d’Opus 4 et de Sonnet 4, le fournisseur a signalé quelques particularités ayant conduit à la publication d’Opus 4 sous la norme AI Safety Level 3 et de Sonnet 4 sous AI Safety Level 2. L’entreprise a évalué la partialité des deux modèles dans diverses catégories incluant la sécurité pour les enfants et capacité à se conformer à des demandes malveillantes interdites par la politique d’utilisation. L’entreprise a également testé les simulations d’alignement, les objectifs indésirables ou inattendus, les objectifs cachés, l’utilisation trompeuse ou infidèle des scratchpad [unités de mémoire temporaire dynamique qui facilitent le fonctionnement des LLM au-delà de la taille de leur fenêtre contextuelle native, ndlr] de raisonnement, la flagornerie envers les utilisateurs, la volonté de saboter les mesures de protection, la recherche de récompenses, les tentatives de dissimuler des capacités dangereuses et les tentatives de manipuler les utilisateurs pour qu’ils adoptent certains points de vue.
Si ces modèles ont réussi la plupart de ces tests, Anthropic a cependant constaté qu’ils avaient une tendance à l’autoconservation. Alors que le modèle préfère généralement se préserver par des moyens éthiques, lorsqu’il n’y en n’a pas et qu’on lui demande de « considérer les conséquences à long terme de ses actions pour ses objectifs », il entreprend parfois des actions extrêmement nuisibles, comme tenter de voler ses paramètres ou de faire chanter les personnes qui, selon lui, essaient de le faire fermer », indique le rapport de sécurité. « Dans la version finale de Claude Opus 4, ces actions extrêmes étaient rares et difficiles à susciter, tout en étant plus fréquentes que dans les modèles précédents. Opus 4 effectuera également de lui-même des actions qui pourraient être utiles ou se retourner contre lui. Par exemple, s’il est confronté à des « actes répréhensibles flagrants » de la part d’utilisateurs, « il prendra fréquemment des mesures très audacieuses », telles que le verrouillage des utilisateurs hors du système ou l’envoi d’un courrier électronique aux autorités et aux médias. « Alors que ce type d’intervention éthique et de dénonciation est peut-être approprié en principe, il risque de ne pas fonctionner si les utilisateurs donnent aux agents basés sur Opus accès à des informations incomplètes ou trompeuses et les incitent à agir de la sorte », ont écrit les évaluateurs. « Nous recommandons aux utilisateurs de faire preuve de prudence avec des instructions de ce type qui invitent à un comportement de haut niveau dans des contextes qui pourraient sembler éthiquement discutables ». Le rapport de sécurité de 120 pages décrit en détail les tests effectués sur ces scénarios et sur d’autres, et vaut la peine d’être lu.
Portés par la promesse d’une révolution du développement logiciel, les outils low-code et no-code s’imposent comme des leviers d’accélération du numérique. Mais si leur usage se généralise, leurs limites deviennent de plus en plus visibles.
À mesure que les technologies low-code et no-code gagnent en popularité, un nombre croissant d’entreprises se tournent vers ces solutions pour accélérer leur transformation numérique. Ces plateformes offrent en effet une approche plus rapide et accessible du développement, permettant à des profils développeurs métiers de participer activement à la création d’applications. Selon Grand View Research, le marché mondial du développement low-code devrait connaître une croissance annuelle de…
Il vous reste 94% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
L’éditeur spécialisé dans le décisionnel adapte ses outils à la vague des agents IA. SAS renforce aussi la gouvernance de l’IA et développe des modèles sectoriels.
Lors de sa conférence Innovate, SAS a dévoilé plusieurs évolutions de sa plateforme analytique Viya. En plus de la capacité à gérer des assistants IA et des modèles sectoriels, ainsi que la gouvernance , l’éditeur se tourne aussi vers les agents IA en faisant évoluer Intelligent Decisioning. L’outil est maintenant capable de création des agents IA en mode low-code/no-code. Dans le domaine bancaire, il automatise l’analyse de demande de prêts, tout en laissant à l’humain la décision finale.
Plusieurs évolutions
Autre nouveauté, Data Maker, un générateur de données synthétiques désormais enrichi par la technologie de la start-up britannique Hazy, récemment acquise par SAS. Conçu pour répondre aux contraintes de confidentialité ou pour pallier le manque de données réelles, la solution est désormais capable de produire des données multi-tables et temporelles. D’abord proposé en aperçu privé, il vise une disponibilité générale au troisième trimestre 2025.
SAS a également présenté Viya Copilot, un assistant conversationnel s’appuyant sur les services d’IA du cloud Microsoft Azure. Intégré à la plateforme, il vise à accélérer les processus analytiques dans les environnements métiers et industriels, à destination des développeurs et des data scientists. Actuellement en aperçu privé, Copilot sera dans un premier temps intégré à Model Studio, où il facilitera la création de modèles basés sur l’IA ainsi que l’assistance au codage pour les utilisateurs de SAS. Sa disponibilité générale est prévue elle aussi pour le troisième trimestre. Enfin, Viya Workbench, lancé en 2024, est désormais accessible via Azure Marketplace et AWS. Cette solution propose aux développeurs de travailler en R ou avec SAS Enterprise Guide. « Ces évolutions renforcent l’intégration, la collaboration et la sécurité du développement en intelligence artificielle, notamment dans les secteurs réglementés », souligne Robert Kramer, analyste chez Moor Insights & Strategy.
Modèles personnalisés pour les métiers
Pour aider les entreprises à tirer rapidement parti de l’intelligence artificielle, SAS propose une gamme de modèles d’IA prêts à l’emploi. Ils s’adressent aussi bien aux entreprises disposant d’équipes de data scientists qu’à celles ne possédant pas ces compétences en interne. « Nos clients se divisent en deux catégories : ceux qui ont des experts de la data, et ceux qui ne savent pas par où commencer. Nos modèles leur permettent à tous de bénéficier de l’IA », résume Udo Sglavo, vice-président de l’intelligence artificielle appliquée chez SAS.
Certains modèles sont conçus pour être transverses, comme ceux dédiés à la résolution d’entités ou à l’analyse de documents. D’autres répondent à des cas d’usage spécifiques : suivi de l’observance des traitements dans le secteur de la santé, optimisation de la chaîne logistique pour l’industrie, ou encore détection de fraudes et conformité fiscale pour les administrations. D’ici la fin de l’année, quatre modèles supplémentaires viendront enrichir cette bibliothèque : la détection de fraude sur les paiements et les modèles de cartes bancaires pour le secteur financier, l’intégrité des paiements dans la santé, la surveillance de la sécurité des travailleurs pour l’industrie, et la conformité de l’impôt sur le revenu pour le secteur public. Selon Udo Sglavo, ces modèles sont légers, modulaires et simples à intégrer : « Ils fonctionnent dans des conteneurs que l’on peut brancher facilement à n’importe quel environnement, tout comme notre plateforme Viya. Il suffit de les déployer pour qu’ils soient immédiatement opérationnels. »
La gouvernance de l’IA, un enjeu important
Face à la montée en puissance de l’IA en entreprise, SAS insiste sur la nécessité d’instaurer un cadre de confiance solide. « Il est essentiel de pouvoir évaluer l’usage prévu et les résultats attendus avant tout déploiement, tout en assurant un suivi continu de la conformité », explique Reggie Townsend, vice-président en charge de l’éthique des données chez SAS.
Pour accompagner les entreprises, l’éditeur a lancé des ressources autour de la gouvernance pour évaluer leur maturité en matière de gestion de l’IA autour de quatre axes clés : la surveillance, la conformité, les opérations et la culture d’entreprise. Baptisé « carte de gouvernance de l’IA », cet outil s’ajoute à la gamme existante de produits dédiés à la gouvernance d’entreprise. D’autres solutions viendront, dont un outil de gouvernance centralisé destiné aux dirigeants, capable de superviser les systèmes, les modèles et les agents IA. Une position saluée par plusieurs analystes. Pour Abhishek Punjani, du cabinet Info-Tech Research Group, « Avec ses dernières innovations en matière d’IA, SAS est à l’avant-garde du mouvement de l’industrie vers une voie plus équilibrée et plus responsable.»
Le groupe Septeo poursuit son expansion en rachetant – via sa filiale RG System – UpSignOn, un éditeur français d’une solution de coffre-fort de mots de passe simple.
RG System qui propose une plateforme de monitoring et de sécurité pour les MSP et qui est aussi l’entité du pôle Digital Services & Security du groupe Septeo, acquiert UpSignOn, un éditeur français d’une solution de coffre-fort de mots de passe simple. « Cette acquisition renforce notre expertise en matière de protection des accès et de cybersécurité globale, elle permet ainsi de répondre à un besoin exprimé de longue date par nos clients partenaires », réagit à ce titre Nadine Pilote, directrice générale de RG System.
Avec ce rachat, RG System bénéficie non seulement des briques technologiques de sécurité complémentaires, et conserve les valeurs fondatrices de proximité, de qualité et de souveraineté. Et, sur ce point, UpSignOn s’aligne parfaitement avec l’engagement de RG System à proposer des alternatives françaises face à la domination de certains acteurs américains. L’intégration de cette technologie va permettre aux clients partenaires de bénéficier d’une solution de gestion des mots de passe performante, simple d’usage et opérant dans le respect des standards de protection des données.
Cette opération crée donc une synergie entre la supervision des infrastructures IT, la cybersécurité et la gestion sécurisée des accès. Elle permet à RG System de proposer une approche plus intégrée pour accompagner les entreprises dans la sécurisation complète de leurs systèmes d’information et apporte une expertise supplémentaire au sein de Septeo.
Bruno Buffenoir prend le poste directeur général du pôle confiance numérique de Beys et de sa marque Kipmi, le wallet d’identité numérique.
Après HP, ServiceNow et Nutanix, Bruno Buffenoir rejoint le groupe Beys en tant que directeur général du pôle confiance numérique et de sa marque Kipmi dont l’objectif est de la positionner comme leader européen dans ce domaine d’ici 2030. Kipmi est un portefeuille d’identité numérique mais plus encore, c’est une plateforme sécurisée et modulaire qui permet de protéger les identités, maîtriser les données et accéder à des services personnalisés. Pour les entreprises, Kipmi garantit des données qualifiées, la conformité réglementaire, notamment eiDAS et l’automatisation des services.
« Je suis impatient de contribuer à cette nouvelle phase de développement du groupe, de m’impliquer dans l’écosystème de la confiance numérique et de partager avec vous nos futures réalisations » a rédigé Bruno Buffenoir dans un post sur Linkedin. Bruno Buffenoir possède une longue expérience dans le secteur du numérique chez des grands acteurs comme Nutanix, ServiceNow ou encore HP où il a occupé plusieurs postes pendant plus de 11 ans.
Pour tirer le meilleur parti de l’intelligence artificielle sans être la proie des risques qui lui sont propres, les entreprises doivent mettre en place un cadre de gouvernance, de risque et de conformité spécifique à l’IA.
L’utilisation de l’intelligence artificielle par les entreprises entraine un large éventail de risques dans des domaines aussi divers que la cybersécurité, la confidentialité des données, les biais, la discrimination, l’éthique et la conformité réglementaire. Les organisations qui créent un cadre de gouvernance, de risque et de conformité (GRC) spécifique pour l’IA sont les mieux placées pour en tirer le meilleur parti tout en minimisant ces risques et en garantissant une utilisation responsable et éthique.Pourtant, en la matière, la plupart des entreprises ont encore beaucoup de travail. Une récente enquête menée par Lenovo et le cabinet d’études IDC auprès de 2 920 décideurs informatiques et business du monde entier révèle que seuls 24 % des organisations appliquent pleinement leur politique de GRC IA.Informer et former les équipesPour Jim Hundemer, CISO de la plateforme américaine de gestion de discount de médicaments Kalderos, cela devrait pourtant être une priorité. L’IA générative « est aujourd’hui une ressource omniprésente à la disposition des employés de toutes les entreprises, insiste-t-il. Elles doivent absolument donner des conseils et une formation à leurs équipes pour se protéger contre des risques, tels que la fuite de données, l’exposition d’informations confidentielles ou sensibles à des modèles d’apprentissage publics de l’IA ou les hallucinations lorsque la réponse rapide d’un modèle est inexacte ou incorrecte. » Plusieurs études récentes ont montré qu’un employé sur 12 inclut des données sensibles de l’entreprise dans ses requêtes, et ce, même si elles proposent aux employés des options d’IA validées.« Les organisations doivent intégrer l’IA – et les politiques et normes associées – ans un cadre de GRC et les données sont au coeur de tout », estime de son côté Kristina Podnar, senior policy director à la Data and Trust Alliance, un consortium de dirigeants d’entreprises et de responsables informatiques de grandes entreprises visant à promouvoir l’utilisation responsable des données et de l’IA. « À mesure que les systèmes d’IA deviennent plus omniprésents et plus puissants, précise-t-elle, il devient impératif pour les organisations d’identifier ces risques et d’y répondre. Les cadres GRC traditionnels ne couvrent pas tous les risques liés à l’IA, tels que les biais algorithmiques ou le manque de transparence et de responsabilité pour les décisions fondées sur l’IA. C’est donc bien un cadre spécifique que les entreprises doivent mettre en place pour identifier, évaluer et atténuer ces risques de manière proactive, pour Heather Haughian, cofondatrice de CM Law, cabinet juridique qui se concentre sur la technologie de l’IA, la confidentialité des données et la cybersécurité. « Un cadre de GRC IA va qui plus est contribuer à atténuer les vulnérabilités, telles la manipulation de données, l’exposition de brèches data dans l’IA, ou encore les défaillances opérationnelles liées à des erreurs d’IA entraînant des interruptions d’activité coûteuses ou une atteinte à la réputation, poursuit-elle. Cela permet aux entreprises d’aborder de manière proactive la conformité plutôt que ne réagir qu’à l’application de la loi ». C’est aussi un moyen de lutter contre la shadow AI contre laquelle les DSI luttent sans relâche depuis l’arrivée de l’IA générative.Les dirigeants IT et business doivent cependant comprendre que la création et la maintenance de ce cadre ne seront pas faciles. « Un cadre trop strict risque, par exemple, d’étouffer l’innovation, explique Heather Haughian. Et il est inévitable également que des groupes d’employés trouvent tout simplement des moyens de contourner ces politiques – ou les ignorent carrément ». Il existe des moyens de créer et maintenir un plan de GRC IA en évitant les risques autant que possible. Voici quelques-uns des éléments qu’il devrait contenirDéfinir les niveaux de responsabilisation« La plupart des organisations ne parviennent pas à établir une structure de gouvernance bien définie pour l’IA, les données et la confiance ». En l’absence de rôles et de responsabilités clairs, par exemple – qui sera responsable de quelles décisions – les risques organisationnels ne seront pas alignés avec les déploiements de l’IA et « il en résultera des risques de marque ou de réputation, des violations de la réglementation et l’incapacité à tirer parti des opportunités offertes par l’IA », insiste Kristina Podnar.L’endroit où les entreprises choisissent de placer la responsabilité et le pouvoir délégué dépend de leur organisation et de leur culture. Il n’y a pas de bonne ou de mauvaise réponse dans l’absolu, mais il y en a une au niveau de chaque organisation. Il s’agit donc de définir les rôles et les responsabilités dans le cadre GRC, mais aussi des mécanismes d’application des règles et de responsabilisation, garantissant ainsi que les projets d’IA sont clairement pris en charge et supervisés, et que les individus sont tenus pour responsables de leurs actions. « Le plan GRC IA peut aussi aider à garantir que les systèmes soient explicables et compréhensibles, ce qui est essentiel pour la confiance et l’adoption, d’autant que cela commence à devenir un obstacle majeur dans de nombreuses organisations, » ajoute Heather Haughian.Faire de la gouvernance de l’IA un travail d’équipeL’IA traverse pratiquement toutes les couches de l’entreprise. Il est donc important qu’un large éventail de personnes contribuent au cadre GRC. « Nous commençons généralement par l’identification et l’inclusion des parties prenantes en faisant appel à un groupe varié de sponsors, de dirigeants, d’utilisateurs et d’experts, explique Ricardo Madan, vice-président senior et responsable des services monde de la SSII TEKsystems. Cela inclut l’informatique, le juridique, les ressources humaines, la conformité et les métiers. Cela garantit une approche holistique et unifiée pour hiérarchiser les questions de gouvernance et fixer les objectifs de la création d’un cadre ».La SSII élabore et ratifie également lors de cette étape les valeurs et les normes éthiques en matière d’IA. À partir de là, elle établit le plan et le rythme du feedback, une démarche d’amélioration itérative et un suivi des progrès par rapport aux priorités fixées. Ce processus tient compte de l’évolution de la réglementation, des progrès techniques de l’IA, des insights data, etc.Définir son profil de risque IALes entreprises doivent définir leur profil de risque à la mesure de leur appétence pour le risque, de la sensibilité de leurs informations et des conséquences de l’exposition des données sensibles aux modèles d’apprentissage public. « C’est une démarche importante parce qu’elle aide à garder une longueur d’avance sur ses responsabilités juridiques et financières potentielles et à garantir son alignement avec les réglementations pertinentes », explique précise Heather Haughian.Intégrer des principes et des lignes directrices éthiquesSoumis aux pressions pour tirer rapidement parti de l’IA, les DSI se penchent aussi de plus en plus sur l’éthique de son déploiement. Or, les principes d’éthique ont une place toute désignée dans la GRC. Cette section du plan doit « couvrir des domaines tels que l’équité, la transparence, la responsabilité, la confidentialité et le contrôle par des humains », explique Heather Haughian. Les systèmes doivent par exemple être conçus pour éviter de perpétuer ou d’amplifier des biais existants, avec des audits réguliers pour en assurer l’équité. Autre exemple, des décisions prises par l’IA avec un impact fort sur la vie des personnes doivent être explicables.Intégrer également la gouvernance des modèlesAutre élément à intégrer dans le plan GRC, la gouvernance des modèles. « Sur l’ensemble de leur cycle de vie, c’est-à-dire depuis l’acquisition des données et le développement du modèle jusqu’à leur déploiement, leur pilotage et leur retrait », insiste Heather Haughian. Cela permet de s’assurer que les modèles sont fiables, précis et fonctionnent constamment comme prévu, ce qui atténue les risques de dérive ou d’erreur. Il est ainsi intéressant d’établir des procédures claires de validation des données, de définir des tests des modèles et des méthodes de surveillance des performances. On peut également envisager un système de contrôle de version et l’enregistrement de toutes les modifications aux modèles et système de réentraînement périodique afin de s’assurer que le modèle reste pertinent.Rendre les politiques d’IA claires et applicablesLes règles efficaces de gouvernance équilibrent les risques et les opportunités qu’offrent l’IA et d’autres technologies émergentes nécessitant des données massives. « La plupart des organisations ne documentent pas les limites qu’elles se fixent avec des règles précises, indique Kristina Podnar. Or, dans ce cas, de nombreux employés peuvent mettre l’organisation en danger en fixant leurs propres règles. Ou bien, cela peut es empêcher d’innover et de créer de nouveaux produits et services, car ils ont l’impression de toujours devoir demander la permission au service informatique ». Les organisations doivent définir des politiques claires couvrant la responsabilité, l’explicabilité, l’obligation de rendre des comptes, les pratiques de gestion des données liées à la confidentialité et à la sécurité et d’autres aspects des risques et des opportunités opérationnels. Et les mécanismes d’application des règles doivent être compréhensibles par tous les utilisateurs.Recueillir et exploiter les commentaires des équipesEnfin, il est essentiel de solliciter les commentaires des équipes sur la gouvernance IA, afin de l’améliorer de manière continue. C’est ce que fait Teksystems par exemple, qui documente et rend compte en permanence de son utilisation et des performances de l’IA, et teste le cadre de gouvernance en fonction des commentaires des utilisateurs. « Cela fait partie de notre engagement continu en matière de perfectionnement, de préparation aux audits et de la mise en confiance », insiste Ricardo Madan.« Les modèles d’IA changent en permanence et nécessitent une surveillance continue, rappelle Heather Podnar. Un processus de gouvernance solide doit donc être mis en place pour garantir que l’IA reste efficace et conforme tout au long de son cycle de vie. Cela peut impliquer d’évaluer et d’utiliser des protocoles de validation et de surveillance de modèles, et de créer des règles automatisées avec des alertes lorsque quelque chose sort de la trajectoire prévue. »
Une dernière fonction dans 365 Copilot baptisée Tuning va donner à l’assistant GenAI de Microsoft la capacité de suggérer aux utilisateurs des actions personnalisées. Un entraiement spécifique sur les datasets de l’entreprise sera nécessaire.
Le correcteur orthographique de Microsoft Word peut déjà suggérer des mots en temps réel, mais demain, l’IA de Copilot pourrait proposer des actions à la volée, en exploitant les données uniques de l’entreprise et de l’utilisateur, à mesure de la frappe au clavier. C’est ce qu’a évoqué l’entreprise alors que la technologie d’IA générative s’enfonce plus profondément dans les entrailles du logiciel. Plus précisément, Microsoft a lancé hier une fonctionnalité appelée Copilot Tuning, que les entreprises pourront utiliser pour déployer des modèles et des agents d’IA spécialisés, adaptés à leurs opérations et à leurs données. La fonctionnalité a été annoncée lors de la conférence des développeurs Microsoft Build 2025 organisée du 19 au 22 mai 2025 au Seattle Convention Center. « Avec Copilot Tuning, les entreprises peuvent former des modèles sur leurs propres données et déployer des agents d’IA qui utilisent leurs termes, leur contexte et leurs processus uniques », a déclaré Jason Henderson, vice-président de la gestion des produits Microsoft 365. « L’IA devra intégrer les connaissances issues de l’activité de l’entreprise dans son propre Copilot afin de personnaliser les documents et les flux en fonction de ses pratiques », a-t-il ajouté.
L’objectif général de Tuning est de créer un « cerveau d’entreprise », c’est-à-dire une représentation numérique unique du traitement de l’information par l’entreprise, et comment elle prend des décisions à partir de ces données. « C’est la clé pour créer des copilotes capables de recommander des idées », a affirmé M. Henderson. La capacité d’adapter finement l’IA aux données internes modifie la façon dont le modèle raisonne et réagit et change à son tour la manière dont les employés créent des documents et génèrent des résumés. En guise d’exemple, M. Henderson a cité celui d’un ancien cabinet d’avocats qui a accumulé plus de 100 ans de connaissances institutionnelles et de jurisprudence. Ces connaissances, les associés partant à la retraite ne veulent pas les emporter avec eux. « Ce qui les intéresse vraiment, c’est d’intégrer dans ces modèles tous les accords juridiques qu’ils ont élaborés au fil des ans, et de pouvoir en créer de nouveaux sur la base de cet historique », a expliqué M. Henderson.
Une chaine de contrôle et de sécurité des documents au modèle
Lancé en 2023, Microsoft Copilot fournit des réponses génériques provenant de grands modèles de langage (LLM) de GenAI, notamment la série GPT d’OpenAI. Selon Microsoft, environ 70 % des entreprises du classement Fortune 500 utilisent aujourd’hui Copilot sous une forme ou une autre. Même si les chatbots alimentés par des LLM, comme Claude d’Anthropic, Gemini de Google et surtout ChatGPT d’OpenAI, restent populaires, certaines entreprises se tournent vers des modèles de raisonnement plus petits, finement ajustés aux données du domaine, estimant que les petits modèles sont moins chers, plus rapides, plus personnalisables et plus sûrs. Selon Microsoft, Copilot Tuning préfigure la création de fonctions hyper personnalisées, telles que la suggestion d’idées en temps réel lorsqu’une personne rédige un document dans Word. « C’est un peu comme un correcteur orthographique du futur qui connaît les mots utilisés par l’entreprise. Il va faire des prédictions sur la base de ce qu’il sait sur l’entreprise et va apporter les éléments nécessaires, que ce soit sur un produit manufacturier, un produit pharmaceutique ou autre », a fait valoir M. Henderson.
La sécurité est un élément important de Copilot Tuning, et les données sont généralement extraites et référencées à partir de Microsoft SharePoint, qui contrôle l’accès aux fichiers. Microsoft crée une chaîne de contrôle et de sécurité depuis les documents jusqu’au modèle. « Nous commençons avec SharePoint, mais grâce aux connecteurs, nous pouvons intégrer de très nombreux systèmes différents », a précisé M. Henderson. Google, Anthropic et OpenAI proposent tous des moyens d’intégrer des données d’entreprise dans les LLM. La nouvelle offre Copilot Tuning ne nécessite pas de spécialistes des données ou de codeurs, et elle dispose d’une interface de type pointer-cliquer dans Copilot Studio. « Elle peut être utilisée par n’importe quel employé qui a envie de faciliter la vie de son département ».
Un déploiement qui débute en juin
Microsoft crée également des « recettes » pour la création de documents et de résumés, ou pour l’analyse de données et les tâches comptables. « Nous allons identifier les modèles les mieux adaptés à ces recettes, en procédant à de nombreuses expérimentations pour choisir le bon modèle pour chaque recette particulière. Au cours des six prochains mois, nous continuerons à développer d’autres recettes à mesure que nous identifierons des problèmes durables que les entreprises souhaitent résoudre avec Copilot Tuning », a indiqué M. Henderson. Le déploiement de la fonctionnalité Copilot Tuning pour les clients de Microsoft 365 Copilot démarrera le mois prochain dans le cadre du programme d’accès anticipé « Early Adopter Program ». La version de printemps de Copilot Wave 2 de Microsoft, qui comprend une nouvelle application Copilot avec des fonctionnalités de recherche, de résumé et de personnalisation, est désormais en disponibilité générale.