Lors de la conférence IT Reset 2025, les décideurs IT, personnalités académiques et autres experts en sont arrivés à une conclusion claire: l’illusion d’une évolutivité infinie dans le cloud est passée, tout comme du reste l’irrésistible optimisme en matière d’IA. Place donc au réalisme et au pragmatisme!
Si vous avez assisté à une conférence IT en 2025, vous avez en général été confronté aux louanges envers l’intelligence artificielle. Mais durant IT Reset, la conférence annuelle du traitement automatique de l’information (SAI), ce fut un tout autre ton qui prédomina. Les professionnels de l’IT, chefs d’entreprise, personnalités académiques et autres spécialistes en technologie n’étaient certes pas là pour irradier le pessimisme, mais pour tenir un plaidoyer évident. Ce n’est pas la technologie qui est en échec, mais c’est le contexte dans lequel nous l’utilisons, qui a fondamentalement changé en peu de temps.
Développer les logiciels autrement
La réinitialisation que le secteur doit effectuer, semble plus fondamentale que jamais: il ne faut plus parler de ce qui est possible, mais bien de ce qui est indispensable pour rendre les organisations résilientes dans un monde hybride, hyperconnecté et hyper-réglementé. La modification la plus importante ne fait dans ce contexte plus partie de la stratégie du cloud des entreprises, pouvoirs publics et organisations, mais du noyau même de leur architecture logicielle. L’impact de l’intelligence artificielle va au-delà de l’automatisation du helpdesk: l’IA induit un changement radical dans la façon dont nous développons l es logiciels.
L’euphorie autour de l’IA fait place au réalisme lié à des scénarios moins teintés de rose.
Le professeur Tijl De Bie (UGent) a ouvert la conférence par un retour à la réalité. ‘La durée des travaux que l’IA générative peut réaliser, double tous les semestres. Cela rend l’impact de l’IA incontournable. Mais parallèlement, l’IA n’est pas uniformément intelligente. Des modèles se renforcent toujours davantage au départ de leur capacité empathique, mais les fonctions critiques telles que le raisonnement et la mémoire accusent du retard. Il en résulte que l’IA s’avère cruciale dans certains emplois, mais pas encore dans d’autres.’
Architecture agentique
Cela se traduit donc par un écart technologique, alors même que nous évoluons pleinement vers l’époque de l’IA agentique. Durant cette ère, le rôle de l’IA ne sera plus de prévoir, mais bien d’agir de manière autonome. Davide Cioccia, le fondateur de DCODX, une agence de formation en architecture de sécurité, insiste sur le fait que cette évolution aura des conséquences sur l’architecture telle que nous la connaissons. ‘La pile logicielle classique offrant des micro-services se muera en un maillage d’agents d’IA.’ Elle marquera ainsi l’évolution d’une architecture monolithique en API, puis en une architecture pilotée par les événements et désormais donc en un maillage d’agents (‘agent mesh’). Le langage naturel servira de colle entre tous ces systèmes.
Revers de l’efficience ainsi obtenue: l’augmentation des risques. Des développeurs importeront d’un coup par le biais d’outils d’IA de nombreuses fonctionnalités, en remplaçant par exemple 400 lignes de code par une importation de librairie unique d’à peine vingt lignes. Mais ce faisant, ils perdront pas mal de contrôle et accroîtront l’amplitude des menaces. Cioccia prévient que dans le nouveau top dix des principaux risques de sécurité pour applications web, établi par l’Open Worldwide Application Security Project (OWASP), des menaces telles que ‘supply chain failure’ et ‘mishandling of exceptional conditions’ s’imposeront. Selon lui, l’avenir résidera dans des architectures auto-conscientes, autonomes, auto-guérissantes et auto-protectrices. Les CIO et CISO doivent dès aujourd’hui en prévoir la base. ‘L’année dernière, les principales menaces résidaient surtout dans la gestion défaillante des accès et dans des erreurs dans la configuration de la sécurité.’
L’équilibre de la transformation numérique
A la lumière de cette nette accélération technologique, Stijn Viaene, professeur à la Vlerick Business School, ramène le focus sur l’organisation et sa direction. Selon Viaene, la transformation numérique représente un exercice d’équilibre précaire, où le management doit surveiller attentivement les extrêmes. ‘Une trop grande réflexion entraîne une paralysie, mais un traitement à l’aveugle peut avoir des conséquences fatales’, prévient-il.
Un élément crucial de cet exercice réside dans la manière dont les entreprises s’entendent avec les acteurs extérieurs. ‘Dans le monde actuel, il convient de conclure des partenariats: il n’est pas possible de faire tout soi-même. Collaborer avec des partenaires, c’est une capacité stratégique’, affirme-t-il. ‘Mais il existe une différence entre un partenaire et un fournisseur: l’essence même d’un solide partenariat porte sur le partage des risques.’
Souveraineté
En plus des risques pour l’architecture interne, le regard se tourne aussi vers les menaces extérieures. Or ces dernières sont plus que jamais de nature technique et géopolitique. L’époque où les IT-managers pouvaient se cacher derrière une stratégie cloud pure, est passée, selon Ron Tolido, qui vient de prendre sa retraite après une carrière d’Executive VP chez Capgemini. Il plaide pour un mélange intelligent de nuages, plus précisément des nuages souverains.
Chris Kubecka d’HypaSec, une firme qui organise des formations en matière de piratage éthique, l’affirme sans détour: ‘La cybersécurité est devenue le fondement même de notre stabilité nationale. Nous vivons à une époque de guerre hybride, où s’estompe la limite entre numérique et physique. Les attaques portées sur les infrastructures critiques – des ports maritimes jusqu’aux sites nucléaires, sont une réalité quotidienne.’ Kubecka fait référence entre autres à la manière dont l’externalisation irréfléchie de fonctionnalités de sécurité vitale sape directement la sécurité nationale de certains pays. Et de citer en exemple l’incertitude entournant les flux de données entre l’UE et les Etats-Unis.
Cela nous amène aussitôt au point délicat du ‘vendor lock-in’ (verrouillage fournisseur). Lors d’une table ronde, le professeur De Bie a averti que des entreprises menacent de s’enliser dans un écosystème de fournisseurs de logiciels. Le conseil donné par Kubecka est on ne peut plus clair: ‘Le département achats et le CISO ont souvent des objectifs très différents. Or il convient de les concilier.’ La seule norme pour une relation saine avec les fournisseurs porte sur deux questions: quel est le degré de contrôle que les entreprises exercent sur leurs données et quelle perte subissent-elles lorsqu’elles passent hors ligne?
‘Récoltez maintenant, décryptez plus tard’
Comme si les menaces n’étaient pas encore suffisamment grandes, une autre percée technologique se profile déjà: l’informatique quantique. En plus d’un inimaginable potentiel, l’informatique quantique représente en effet aussi une menace supplémentaire pour la cybersécurité. L’énorme puissance de calcul de la technologie quantique permettra à terme de ‘craquer’ les méthodes de cryptage largement répandues aujourd’hui. Ramsés Gallego, lié à l’ISACA, l’association professionnelle internationale pour la gouvernance IT, lance l’avertissement d’un danger imminent: ‘Des scénarios où des cybercriminels et autres acteurs géopolitiques stockent à présent déjà des données cryptées, pour les décrypter plus tard avec l’informatique quantique, ne sont plus de la science-fiction.’
Gallego explique que la migration vers une cryptographie post-quantique (PQC) nécessitera plus que quelques mois de travail. ‘A peine sept pour cent des entreprises comprennent les normes post-quantiques que le NIST (National Institute of Standards and Technology) a formulées’, prévient-il. La transition vers la cryptographie post-quantique exigera de la crypto agility: une très longue prise d’inventaire, une migration et la création d’une capacité permettant d’alterner rapidement de technologie de cryptage.
Vision et leadership
Le champ de mines est donc plus vaste que jamais et ne fera que s’étendre. La question à poser au CEO, au CIO et au CISO est claire: comment gérer dès lors une organisation? Le professeur Konstantinos Sergakis, qui enseigne le droit des marchés de capitaux et la ‘corporate governance’ à l’université d’Exeter, évoque l’ouragan juridique qui souffle sur le secteur. ‘Les deux prochaines années seront cruciales grâce au ‘Digital Omnibus’ de la Commission européenne, un pack global destiné à simplifier et à harmoniser la législation de l’UE en matière d’IA, de cybersécurité et de partage des données .’
Le CISO doit guider son organisation à travers un champ de mines toujours plus vaste.
Mais le timing et le contenu du pack sont provisoirement encore vagues. ‘Il n’y a pas de fil rouge, et sa mise en œuvre demeure un saut dans l’inconnu’, affirme Sergakis. ‘Il en résulte que la mise en conformité implique à présent surtout le décochage de mini-listes. Cela s’apparente donc principalement à de la poudre aux yeux’ Son conseil? ‘N’attendez pas le monde politique. Investissez dans la mise en conformité, non pas parce qu’il le faut, mais parce que cela se traduira en un avantage concurrentiel.’
Feuille de route personnalisée
La conférence s’est clôturée sur un appel à l’action pour les entreprises européennes. Nous sommes trop souvent des acheteurs plutôt que des producteurs d’IT. Attendre une réglementation européenne parfaite, qui inclut dans la pratique souvent un tas de lacunes, n’est pas envisageable. Les entreprises doivent prendre leur sort en main en définissant leur propre agenda et leur feuille de route. ‘Elles se soucient trop peu de pouvoir elles-mêmes contribuer au processus juridique, car après tout, la Commission se tourne vers elles’, affirme Sergakis. Cette législation, les entreprises pourront ensuite l’utiliser à leur avantage. ‘Une stratégie claire allant au-delà de la pure mise en conformité représente un atout pour les investisseurs potentiels’, conclut Gallego.