Rawf8 - stock.adobe.com
Covéa et Orange montrent que des alternatives aux IA américaines peuvent réduire les risques
Le contexte géopolitique encourage des entreprises comme Orange et l’assureur Covéa à assortir la course à l’innovation en IA d’un impératif de souveraineté technologique. Les solutions ne sont pas idéologiques, mais éminemment pragmatiques. Et surtout, elles existent.
Les groupes français commenceraient-ils à considérer que l’IA « souveraine » est une option crédible ?
Certes, une étude Ipsos, parue en avril, traduisait un décalage entre leur prise de conscience sur leurs dépendances technologiques aux logiciels américains et leurs achats réels. Mais le contexte géopolitique encourage, semble-t-il, un questionnement au sein des états-majors IT.
C’est le cas au Crédit Agricole. Mais aussi d’Orange et du groupe d’assurance Covéa qui ont doublement témoigné de cette évolution lors du salon Data & IA de Nantes en septembre.
Pour eux, ce sujet de l’IA souveraine aurait trouvé sa place dans les réflexions sur les stratégies à long terme. Mais il implique aussi une nouvelle forme de la complexité et la réponse aux risques de dépendance ne serait pas unique (ni caricaturale).
Pas une IA, mais des IA, plus ou moins sensibles
Que ce soit pour Orange ou Covea, le choix initial qu’elles ont fait pour des plateformes cloud américaines a d’abord été un catalyseur pragmatique. Ces environnements offraient une rapidité et une scalabilité inégalées pour déployer des projets et acculturer les équipes, admettent Erwan Josse (manager Data Science & IA, Orange Business) et Antoine Jousse (head of AI Factory, groupe Covéa).
Chez Covéa (MAAF, MMA, GMF), l’intégration de l’IA est cartographiée selon cinq catégories : l’usage individuel (outils de productivité), l’usage en équipe (projets ponctuels), l’intégration aux processus métiers (la priorité du groupe aujourd’hui), la disruption (réinvention d’un métier) et « l’IA for Dev » (outils pour les développeurs). Avec une cinquantaine de personnes, l’AI Factory de Covéa a industrialisé quatre familles principales de cas d’usage : automatisation (RPA/RDA avec des briques d’IA), traitement documentaire (LAD/RAD, RAG), IA conversationnelle (voicebots et chatbots pour les clients) et des modèles prédictifs (analyse de données structurées et de verbatim clients).
Pour mettre en œuvre ses usages, Covéa a bâti sa stack sur Azure, en assemblant des briques comme Databricks et les Cognitive Services de Microsoft. Une telle politique d’achat IT a toutefois engendré une forte dépendance.
Aujourd’hui, le groupe ne reste pas passif face à cette situation. Une première étape de sa stratégie de « désensibilisation » à l’égard des hyperscalers, consiste à remplacer progressivement les services Azure de computer vision par ses propres modèles customisés.
La raison est double : le prix (moins cher) et la portabilité (pour être déployés sur d’autres infrastructures, si nécessaire).
Les trois risques de la dépendance technologique
Orange suit un parcours comparable pour encadrer l’explosion de l’IA générative. Dès décembre 2023, un outil conversationnel interne était déployé pour les 130 000 salariés afin d’éviter le « Shadow IT ».
La plateforme sécurisée, ou Secure GPT, centralise l’accès aux grands modèles du marché (ChatGPT, Claude, Gemini, Mistral) et inclut des modèles spécialisés comme Codestral de Mistral AI, optimisé pour les développeurs.
Si le recours initial aux hyperscalers a, là aussi, été un accélérateur, il a rapidement mis en lumière des risques, poussant le groupe à intégrer d’autres paramètres à l’équation. Car dans les deux cas, la question de la souveraineté n’est pas idéologique, mais une réponse pragmatique à des risques concrets, insistent Erwan Josse et Antoine Jousse.
Les deux experts identifient trois menaces, de nature géopolitique, réglementaire et commerciale.
Le premier risque, géopolitique, a longtemps été perçu comme une fiction. Mais le scénario d’une « coupure » des services américains est désormais une hypothèse de travail crédible, considèrent-ils. En cause, un cadre légal américain bien réel (Cloud Act et FISA 702).
Deuxième risque, la réglementation européenne, avec l’AI Act, impose de nouvelles exigences. Le texte classifie les systèmes d’IA par niveau de risque. Plus le risque est élevé, plus les exigences de transparence, de contrôle et d’explicabilité sont fortes. Or, de nombreux services des hyperscalers fonctionnent comme des « boîtes noires », rendant la justification de leurs résultats difficile, voire impossible. Une telle opacité présenterait deux travers : un manque de contrôle et une perte de confiance des utilisateurs.
Le troisième enjeu, bien connu et qui n’est pas spécifique à l’IA, est celui du client captif (« vendor lock-in »). L’analogie avec les augmentations de prix agressives constatées sur d’autres marchés (comme Broadcom) est une préoccupation majeure des DSI.
Les prix actuels des services d’IA sont probablement bas pour conquérir le marché, prévient Antoine Jousse. Chez Covéa, la consommation des modèles d’OpenAI représente 5 à 10 000 euros par mois. Un coût jugé modéré et donc maîtrisé à ce jour. Mais qu’en sera-t-il demain, quand l’usage aura explosé et que les fournisseurs décideront d’augmenter leurs tarifs ? interroge l’expert de l’assureur.
Des plans B nécessaires
Qui répond qu’il est nécessaire de disposer de « plans B » pour ne pas être pris en otage commercialement.
Orange et Covéa ont dépassé le stade de l’analyse de ces risques pour explorer des alternatives. Deux approches sont à l’essai.
Si les grandes offres de « cloud souverain » (dont celles de Bleu et S3NS) n’ont pas encore atteint la richesse des services des hyperscalers, des solutions existent déjà. La première consiste à recourir à une solution packagée française, comme celle proposée par LightOn.
Chez Covéa un PoC de trois mois a porté sur trois familles de cas d’usage : RAG (pour l’Interrogation de bases documentaires métier), utilisation de l’API de LightOn comme alternative aux services Azure OpenAI; et analyse avancée de documents (synthèse approfondie de documents longs).
Les conclusions ont révélé un potentiel réel, mais aussi un écart de maturité significatif, dont une moindre performance sur l’analyse avancée de documents en comparaison des modèles de Google. Antoine Jousse estime à « presque un an et demi » le retard de LightOn sur les leaders américains.
La seconde alternative est l’Open Source. En théorie, il répond parfaitement aux enjeux identifiés. Mais la contrepartie en est le coût. L’investissement en compétences et en temps est jugé très conséquent par Orange qui estime que plus de 250 jours-hommes ont été nécessaires pour construire une première version (V1) d’une plateforme d’IA « full open source ».
Vers une stratégie hybride et une désensibilisation progressive
Ni la solution packagée (prometteuse, mais jeune) ni l’approche open source (puissante, mais exigeante) ne sont donc des solutions parfaites. Et les expérimentations conduisent à une approche plus nuancée.
Loin d’un rejet dogmatique du cloud américain, les deux spécialistes dessinent les contours d’une doctrine fondée sur une anticipation lucide. Les hyperscalers restent des accélérateurs précieux, mais le principe directeur est désormais de « ne pas mettre tous ses œufs dans le même panier. »
La doctrine ainsi formalisée s’articule autour de deux axes complémentaires :
- Se doter d’infrastructures internes ou privées, hébergées sur des clouds souverains, afin de construire progressivement une stack technologique maîtrisée.
- Engager une « désensibilisation » progressive vis-à-vis des hyperscalers. Cela consiste à identifier les composants les plus « verrouillant » de leurs offres (comme Azure Search ou certains Cognitive Services) et à les remplacer par des alternatives open source ou plus facilement migrables.
L’objectif n’est pas de tout migrer demain, mais de construire dès aujourd’hui un « Plan B » robuste et activable en cas de choc géopolitique, réglementaire ou commercial.
La mise en œuvre d’une telle stratégie est également perçue comme de plus en plus viable grâce à la maturité et à la richesse croissantes de l’écosystème technologique français et européen. C’est en tout cas ce que considèrent les deux témoins.
CAGIP et Caisse des Dépôts : deux autres exemples d’outillage d’une indépendance IT
Et ils ne sont pas les seuls. CAGIP et la Caisse des Dépôts étayent cette hypothèse.
CAGIP, comme BNP Paribas, propose ainsi une offre « GPU as a Service » mutualisée à destination des filiales du groupe. Le GIP s’appuie pour cela sur ses datacenters en propre et ses GPU internes. L’architecture est cependant conçue pour être hybride.
La finalité n’est pas de remplacer le cloud public, mais de proposer une alternative on-premise pour les cas d’usage sensibles. En complément, CAGIP développe une offre « LLM as a Service » pour exposer des modèles, open source ou propriétaires, ainsi qu’un chat sécurisé interne, renforçant l’écosystème IA du groupe.
La Caisse des Dépôts revendique, elle, une stratégie Data & IA motivée par des impératifs de souveraineté et de conformité. Pour les LLM, la décision s’est portée exclusivement sur Mistral AI. Les modèles sont hébergés en interne et non via un service en ligne. De même, pour la puissance de calcul, la Caisse des Dépôts s’appuie sur des GPU hébergés chez un fournisseur externe certifié SecNumCloud.
Ce n’est pas une panacée. Mais ces cas montrent qu’il est possible de réduire les risques.
