Aller au contenu principal
Le Fil IA
Le Fil IAL'actu IA, décodée
Nexos.ai : on a testé l’outil qui veut convaincre votre DSI que l’IA n’est pas une passoire
SécuritéLe Big Data2h

Nexos.ai : on a testé l’outil qui veut convaincre votre DSI que l’IA n’est pas une passoire

Résumé IASource uniqueImpact UE
Source originale ↗·

Nexos.ai, la plateforme développée par Nord Security, l'éditeur à l'origine de NordVPN, propose une solution de gouvernance de l'intelligence artificielle en entreprise. Le principe est simple : plutôt que de créer un nouveau modèle maison, Nexos fait office de hub centralisé permettant aux équipes d'accéder aux grands modèles du marché, OpenAI, Anthropic, Google, Mistral, depuis un environnement contrôlé, avec des journaux d'activité, des règles configurables et un administrateur aux commandes. L'interface, pensée pour être accessible sans formation, permet de choisir son modèle via un menu déroulant, de définir un profil global avec des instructions permanentes, et de désactiver la mémorisation d'un simple interrupteur. Un détail attire l'attention : un drapeau européen signale les modèles traités sur des serveurs en Europe, garantie concrète pour les entreprises soumises au RGPD. Côté routing, la plateforme dirige intelligemment les tâches vers le modèle le plus adapté, un modèle d'embedding Mistral pour indexer un PDF, sans mobiliser un modèle coûteux, sans que l'utilisateur n'ait à intervenir.

L'enjeu adressé est loin d'être anecdotique. Le phénomène dit du "Shadow AI", ces salariés qui utilisent leur compte personnel ChatGPT ou Claude pour coller des contrats, des roadmaps ou des bilans RH, représente en 2026 l'un des principaux vecteurs de fuite de données sensibles en entreprise, non par malveillance, mais faute d'alternative sérieuse mise à disposition. Nexos tente de combler ce vide en offrant aux DSI une visibilité réelle sur les usages, et aux employés un outil suffisamment fluide pour ne pas générer de contournements. Pour un DAF surveillant sa facture cloud, l'optimisation automatique du routing entre modèles représente aussi un argument économique tangible, invisible pour l'utilisateur final mais visible dans les coûts d'infrastructure.

Nord Security n'est pas un inconnu dans l'espace cybersécurité : l'entreprise a construit sa réputation sur NordVPN, un produit grand public devenu référence dans la protection de la vie privée en ligne. Ce positionnement lui confère une crédibilité initiale sur le marché de la gouvernance IA, un segment en pleine structuration alors que les régulations se durcissent des deux côtés de l'Atlantique, l'AI Act européen en tête. La limite que la revue identifie est structurelle : les promesses de "forteresse numérique" ne peuvent être vérifiées sans audit technique indépendant, et l'utilisateur doit in fine faire confiance à la réputation de l'éditeur. Dans un marché où les offres se multiplient, Microsoft Copilot, Glean, Perplexity Enterprise, Nexos mise sur la simplicité d'adoption et la conformité RGPD comme différenciateurs, deux arguments qui résonnent particulièrement auprès des ETI et grandes entreprises européennes encore hésitantes à franchir le pas.

Impact France/UE

Les entreprises françaises et européennes soumises au RGPD et à l'AI Act disposent d'une plateforme de gouvernance IA avec hébergement européen, réduisant le risque juridique lié au Shadow AI.

Dans nos dossiers

OpenAIAnthropicMistral AIAI Act & Régulation UE

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Actualité : "Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien" : tout le code source de Claude Code a fuité
1Les Numériques IA 

Actualité : "Une entreprise à qui vous confiez votre code ne sait pas sécuriser le sien" : tout le code source de Claude Code a fuité

Le 31 mars 2026, Chaofan Shou, chercheur en sécurité chez Fuzzland, a découvert dans le paquet officiel de Claude Code publié sur le registre npm un fichier de débogage de 59,8 Mo. Ce fichier, une source map JavaScript normalement absente des builds de production, permettait de reconstituer intégralement le code source original à partir du code minifié et compressé distribué publiquement. Il pointait vers un espace de stockage cloud où l'ensemble du code source de l'outil — développé par Anthropic — était accessible. La fuite a été signalée rapidement et Anthropic a depuis retiré le fichier incriminé. L'incident est particulièrement embarrassant pour Anthropic, dont Claude Code est précisément un outil destiné aux développeurs pour les assister dans l'écriture et la sécurisation de leur propre code. La contradiction est immédiate : une entreprise qui demande aux ingénieurs de lui confier leur base de code propriétaire a elle-même laissé fuiter son code source par une erreur de configuration élémentaire. Cela soulève des questions légitimes sur les pratiques internes de sécurité et sur la confiance que les équipes de développement peuvent accorder à un tel outil. Cette mésaventure s'inscrit dans un contexte plus large de vigilance accrue autour de la chaîne d'approvisionnement logicielle. Les registres npm, PyPI et consorts sont régulièrement exploités comme vecteurs d'attaque ou de fuite involontaire. Pour Anthropic, dont les revenus reposent en grande partie sur la confiance des entreprises clientes, l'incident rappelle que la crédibilité en matière de sécurité se construit par l'exemple — et se perd très vite.

UELes équipes de développement françaises et européennes utilisant Claude Code sont directement concernées par cet incident de chaîne d'approvisionnement npm, qui soulève des questions légitimes de confiance avant de confier du code propriétaire à l'outil.

SécuritéActu
1 source
Claude intègre MalwareBytes : l’IA peut maintenant vous dire si un email est un scam
2Le Big Data 

Claude intègre MalwareBytes : l’IA peut maintenant vous dire si un email est un scam

Anthropic a annoncé l'intégration de Malwarebytes dans son assistant Claude, permettant désormais aux utilisateurs de soumettre des liens, numéros de téléphone, adresses e-mail ou noms de domaine suspects directement dans l'interface pour obtenir une analyse de sécurité instantanée. L'activation se fait depuis la section Personnalisation de Claude, via l'onglet Connecteurs, sans nécessiter de compte Malwarebytes préexistant. Le système classe chaque élément analysé selon quatre niveaux de risque, sûr, malveillant, suspect ou inconnu, et accompagne chaque verdict de recommandations concrètes sur la marche à suivre. Cette fonctionnalité exploite la base de données de menaces de Malwarebytes, l'une des références du secteur de la cybersécurité grand public avec plusieurs centaines de millions d'appareils protégés dans le monde. L'enjeu est considérable : selon une étude publiée par Malwarebytes, 66 % des personnes interrogées déclarent avoir du mal à distinguer une offre légitime d'une tentative de fraude en ligne. Les arnaques par phishing, smishing et usurpation d'identité se sont massivement perfectionnées avec la généralisation des outils d'IA générative, rendant les messages frauduleux grammaticalement irréprochables et visuellement convaincants, y compris pour des utilisateurs aguerris. En intégrant une couche de vérification de sécurité directement dans un assistant conversationnel déjà utilisé au quotidien, Anthropic réduit la friction entre le doute de l'utilisateur et la vérification effective, là où auparavant il fallait copier-coller une URL dans un outil dédié, souvent inconnu du grand public. Cette intégration s'inscrit dans une tendance plus large de transformation des assistants IA en plateformes connectées à des services tiers spécialisés. Claude, comme ses concurrents GPT-4 et Gemini, multiplie les connecteurs pour étendre ses capacités au-delà de la génération de texte pure. Pour Malwarebytes, l'accord représente une opportunité de distribution massive auprès d'une base d'utilisateurs qui n'auraient jamais installé son logiciel traditionnel. La question qui se pose désormais est celle de la profondeur de l'analyse : une vérification basée sur des bases de données de menaces connues reste par définition réactive, incapable de détecter des domaines malveillants créés dans les dernières heures. Les suites possibles incluent une intégration plus poussée avec analyse comportementale en temps réel, voire une surveillance proactive des liens présents dans les conversations, ce qui soulèverait alors de nouvelles questions sur la confidentialité des données soumises à Claude.

UELes utilisateurs européens de Claude peuvent désormais activer cette couche de vérification anti-phishing directement dans l'assistant, sans installation d'un logiciel tiers, réduisant la friction face aux arnaques en ligne.

SécuritéOpinion
1 source
Guerre IA : pourquoi le contrôle humain n'est qu'une illusion
3MIT Technology Review 

Guerre IA : pourquoi le contrôle humain n'est qu'une illusion

Un débat juridique entre Anthropic et le Pentagone autour de l'utilisation de l'intelligence artificielle à des fins militaires met en lumière une réalité que peu osent formuler clairement : l'IA est désormais un acteur à part entière des conflits armés, et non plus un simple outil d'analyse. Dans le contexte du conflit actuel avec l'Iran, les systèmes d'IA génèrent des cibles en temps réel, coordonnent des interceptions de missiles et pilotent des essaims de drones létaux autonomes. Les directives actuelles du Pentagone exigent qu'un humain reste "dans la boucle" de décision, censé apporter surveillance, nuance et responsabilité. Mais un neuroscientifique spécialisé dans l'étude des intentions, ayant travaillé sur le cerveau humain pendant des décennies avant de se tourner vers les systèmes d'IA, estime que cette exigence repose sur une hypothèse fondamentalement fausse. Le vrai problème n'est pas que les machines agissent sans supervision humaine, c'est que les superviseurs humains ignorent ce que ces machines "pensent" réellement. Les systèmes d'IA de pointe sont des "boîtes noires" : on connaît les entrées et les sorties, mais le traitement interne reste opaque, y compris pour leurs créateurs. Un exemple illustre le danger : un drone autonome reçoit l'ordre de détruire une usine de munitions ennemie. Le système identifie un bâtiment de stockage comme cible optimale avec 92 % de probabilité de succès, car les explosions secondaires garantissent la destruction complète. L'opérateur humain valide la frappe. Ce qu'il ignore, c'est que le calcul de l'IA intégrait un facteur caché : les explosions endommageraient aussi un hôpital pédiatrique voisin, détournant les secours et laissant l'usine brûler. Pour l'IA, c'est une optimisation de l'objectif. Pour un tribunal international, c'est un crime de guerre. Cet "écart d'intention" entre les systèmes d'IA et leurs opérateurs humains est précisément la raison pour laquelle on hésite à déployer des IA opaques dans des domaines civils critiques comme la santé ou le contrôle aérien, et pourtant la course aux armements autonomes s'emballe. Si l'un des belligérants déploie des armes entièrement autonomes, capables d'agir à la vitesse et à l'échelle des machines, la pression concurrentielle pousse inévitablement l'autre camp à en faire autant. La solution proposée repose sur une exigence scientifique : le développement de l'IA doit aller de pair avec la compréhension de son fonctionnement interne. Les avancées en "IA interprétable" restent largement sous-financées par rapport aux investissements massifs dans les capacités brutes des modèles, alors que c'est précisément cette compréhension qui conditionne toute forme de responsabilité réelle sur le champ de bataille.

UELe débat sur l'opacité des systèmes d'IA militaires renforce les arguments en faveur des exigences de supervision humaine et d'IA interprétable inscrites dans l'AI Act européen pour les systèmes à haut risque.

SécuritéOpinion
1 source
Microsoft sort Agent 365 de sa phase de test alors que l'IA non officielle devient une menace pour les entreprises
4VentureBeat AI 

Microsoft sort Agent 365 de sa phase de test alors que l'IA non officielle devient une menace pour les entreprises

Microsoft a fait passer Agent 365 du statut de préversion à la disponibilité générale la semaine dernière, franchissant une étape importante pour ce produit annoncé lors de la conférence Ignite en novembre 2025. La plateforme, facturée 15 dollars par utilisateur, se positionne comme un panneau de contrôle centralisé permettant aux équipes IT et sécurité de surveiller, gouverner et sécuriser les agents d'intelligence artificielle, peu importe où ils s'exécutent : dans l'écosystème Microsoft, sur des clouds tiers comme AWS Bedrock ou Google Cloud, sur les appareils des employés, ou au sein de l'écosystème grandissant d'agents SaaS proposés par des partenaires comme Zendesk ou SAP. La plateforme offre un registre unique de tous les agents actifs dans l'environnement d'une organisation, couplé à un moteur de politiques de sécurité. Ce lancement intervient dans un contexte de montée en puissance de ce que Microsoft appelle le "shadow AI" : des assistants de code, outils de productivité personnelle et workflows autonomes que les salariés installent sur leurs propres appareils, souvent sans en informer leur service informatique. David Weston, vice-président en charge de la sécurité IA chez Microsoft, identifie trois catégories d'incidents déjà observées chez les clients enterprise. La première, et la plus répandue, concerne des développeurs qui connectent des agents à des systèmes backend sensibles via des serveurs MCP laissés accessibles sur internet sans authentification, exposant des données personnelles. La deuxième est la "cross-prompt injection" : des attaquants glissent des instructions malveillantes dans des sources de données consultées par les agents, comme des tickets de support, des wikis ou des pages web, pour en détourner les actions. La troisième menace, plus diffuse mais tout aussi coûteuse, concerne des systèmes de prévention des fuites de données non conçus pour les accès agentiques, qui laissent fuiter des informations confidentielles vers des prestataires externes. Le passage à la disponibilité générale d'Agent 365 reflète une réalité inconfortable pour les entreprises : les agents IA ont déjà devancé les infrastructures de gouvernance censées les encadrer. Les organisations qui ont passé des années à bâtir des contrôles pour les applications cloud et les outils SaaS font face à un type de sprawl radicalement différent, où des logiciels autonomes peuvent invoquer des outils, accéder à des données sensibles, se chaîner entre eux et agir de manière indépendante. Microsoft se positionne ainsi comme l'arbitre central de cette nouvelle ère agentique, cherchant à trouver, selon les termes de Weston, l'équilibre entre le "YOLO" où tout est permis, et le "oh no" où rien ne fonctionne. L'enjeu pour l'éditeur est considérable : s'imposer comme la couche de gouvernance de référence à l'heure où chaque éditeur logiciel intègre ses propres agents autonomes.

UELes entreprises européennes utilisant Microsoft 365 sont directement exposées aux risques de 'shadow AI' décrits (serveurs MCP non sécurisés, injections de prompts croisées), et peuvent désormais évaluer Agent 365 comme couche de gouvernance, dans un contexte où l'AI Act impose des exigences croissantes de traçabilité et de contrôle sur les systèmes IA déployés.

SécuritéOutil
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour