Aller au contenu principal
Le Fil IA
Le Fil IAL'actu IA, décodée
SécuritéAWS ML Blog51min

Inférence ML chiffrée de bout en bout avec Amazon SageMaker AI et le chiffrement homomorphe

Résumé IASource uniqueImpact UE
Source originale ↗·

Amazon Web Services propose une nouvelle approche pour exécuter des modèles de machine learning dans le cloud sans jamais exposer les données traitées, même au fournisseur d'infrastructure. La méthode repose sur le chiffrement homomorphe intégral (FHE, pour Fully Homomorphic Encryption), une technique cryptographique qui permet d'effectuer des calculs directement sur des données chiffrées, sans jamais les déchiffrer. Concrètement, un client envoie une requête chiffrée à un modèle hébergé sur Amazon SageMaker AI, le modèle produit une prédiction chiffrée, et seul le client peut déchiffrer le résultat final. La bibliothèque open source concrete-ml, compatible avec l'API scikit-learn, sert de couche de haut niveau pour entraîner et déployer ces modèles FHE sans avoir à coder les algorithmes cryptographiques à la main.

L'enjeu est considérable pour plusieurs secteurs régulés. Dans le domaine médical, un assureur pourrait déployer un modèle prédictif sur des données diagnostiques de patients sans que ces données quittent le contrôle du médecin, en conformité avec les réglementations sur la vie privée. Dans le secteur énergétique, une entreprise pétrolière pourrait analyser des photos satellites de sites sensibles géopolitiquement sans les confier en clair à un tiers. Un opérateur télécom pourrait filtrer des e-mails clients pour détecter du spam sans violer les obligations de protection des communications personnelles. Dans tous ces cas, le cloud fournit la puissance de calcul, mais reste cryptographiquement aveugle au contenu traité, y compris Amazon lui-même, selon AWS.

Cette publication fait suite à un premier article d'AWS qui démontrait le FHE appliqué à SageMaker en construisant manuellement un algorithme de régression linéaire via la bibliothèque bas niveau SEAL. L'approche présentée ici est plus généraliste : concrete-ml prend en charge plusieurs types de modèles standards et s'intègre directement dans les workflows SageMaker existants, via des conteneurs personnalisés. Le FHE se distingue également des environnements d'exécution confidentiels comme AWS Nitro Enclaves, où les données sont déchiffrées dans un enclave isolé avant traitement. Avec le FHE, aucun déchiffrement n'a lieu nulle part dans la chaîne. Le principal frein reste la performance, le FHE est significativement plus lent que le calcul en clair, ce qui limite pour l'instant son usage aux modèles relativement simples, mais la progression rapide des bibliothèques spécialisées laisse entrevoir des applications plus larges à moyen terme.

Impact France/UE

Cette technique répond directement aux exigences du RGPD en permettant aux entreprises européennes de sous-traiter des inférences ML à des clouds américains sans jamais exposer leurs données sensibles au fournisseur.

Dans nos dossiers

Open weight & Open source

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

1AWS ML Blog 

Traçabilité de bout en bout avec DVC et Amazon SageMaker AI MLflow

Les équipes de machine learning en production font face à un problème récurrent : retracer précisément l'origine d'un modèle déployé. Quelle version du jeu de données l'a entraîné ? Peut-on reproduire à l'identique un modèle mis en production il y a six mois ? Amazon Web Services propose une réponse concrète en combinant trois outils : DVC (Data Version Control), Amazon SageMaker AI et SageMaker AI MLflow Apps. L'architecture s'articule en quatre étapes : un job SageMaker Processing prétraite les données brutes et les versionne via DVC en les poussant vers Amazon S3 ; un job SageMaker Training clone le dépôt DVC à un tag Git précis, récupère le dataset exact via dvc pull, entraîne le modèle et enregistre tout dans MLflow. Chaque run MLflow stocke un identifiant datagitcommit_id, soit le hash DVC pointant vers le dataset exact dans S3. Le modèle entraîné est ensuite enregistré dans le MLflow Model Registry et peut être déployé sur un endpoint SageMaker. La chaîne de traçabilité complète devient alors : modèle en production → run MLflow → commit DVC → dataset dans Amazon S3. Cet enchaînement répond à un besoin critique dans les secteurs régulés : santé, services financiers, véhicules autonomes. Dans ces domaines, les exigences d'audit imposent de relier chaque modèle déployé à ses données d'entraînement précises, et de pouvoir exclure à la demande des enregistrements individuels des futurs cycles d'entraînement. Sans ce niveau de traçabilité, une question apparemment simple, "quelles données ont servi à entraîner le modèle actuellement en production ?", peut mobiliser plusieurs jours d'enquête dans des logs dispersés, des notebooks et des buckets S3. La solution proposée réduit ce risque opérationnel en rendant la traçabilité structurelle plutôt qu'optionnelle. DVC est un outil open source gratuit qui étend Git pour gérer des datasets volumineux et des artefacts ML que Git seul ne peut pas versionner. MLflow, de son côté, assure le suivi des expériences, le registre des modèles et la lignée. Les deux outils couvrent chacun la moitié du problème de traçabilité, et leur combinaison ferme la boucle. L'implémentation requiert un compte AWS avec des permissions sur SageMaker, S3, CodeCommit et IAM, Python 3.11 ou 3.12, et le SDK SageMaker v3.4.0 minimum. Les notebooks utilisent AWS CodeCommit comme backend Git pour les métadonnées DVC, mais l'architecture est compatible avec GitHub, GitLab ou Bitbucket moyennant un simple remplacement de l'URL remote. AWS publie des notebooks d'accompagnement permettant de déployer les deux patterns décrits, traçabilité au niveau du dataset et traçabilité au niveau de l'enregistrement individuel, directement dans un compte AWS existant.

UELa traçabilité structurelle décrite répond directement aux exigences de documentation et d'auditabilité imposées par l'AI Act européen pour les systèmes d'IA à haut risque dans les secteurs régulés (santé, finance, véhicules autonomes).

OutilsTuto
1 source
2VentureBeat AI 

Vos développeurs font déjà tourner l'IA en local : pourquoi l'inférence sur appareil est l'angle mort du RSSI

Depuis dix-huit mois, les responsables de la sécurité informatique (CISO) géraient l'essor de l'IA générative avec une stratégie claire : surveiller le réseau. Bloquer les accès aux API d'OpenAI, Anthropic ou Google, router les requêtes via des passerelles contrôlées, logger chaque appel sortant. Ce modèle supposait que l'IA vivait dans le cloud et que toute interaction avec des données sensibles générait forcément du trafic réseau observable. Ce postulat est désormais obsolète. Une nouvelle génération de matériel grand public a rendu l'inférence locale non seulement possible, mais banale : un MacBook Pro équipé de 64 Go de mémoire unifiée peut faire tourner des modèles quantifiés de 70 milliards de paramètres à des vitesses utilisables. Les outils de distribution open-source permettent en une seule commande de télécharger un modèle de plusieurs gigaoctets, de couper le Wi-Fi, et de traiter des données sensibles sans qu'un seul paquet ne quitte l'appareil. Aucun log proxy, aucune trace cloud, aucune alerte DLP. Le danger ne réside plus uniquement dans la fuite de données vers l'extérieur, mais dans trois angles morts que la plupart des entreprises n'ont pas encore opérationnalisés. Premier risque : l'intégrité du code. Un développeur senior peut coller du code d'authentification ou des scripts d'infrastructure dans un modèle local non validé pour le "nettoyer", obtenir une sortie qui compile et passe les tests unitaires, puis committer le résultat sans que personne ne sache qu'une IA a influencé ce chemin de code. Les vulnérabilités introduites (validation d'entrées défaillante, paramètres par défaut dangereux) seront investigées sans que l'on remonte jamais à leur vraie cause. Deuxième risque : la conformité des licences. De nombreux modèles performants interdisent l'usage commercial, exigent des attributions, ou imposent des restrictions incompatibles avec le développement de produits propriétaires. Quand les équipes les font tourner localement, ces modèles contournent entièrement le processus habituel d'achat et de validation juridique, exposant potentiellement l'entreprise à des litiges. Ce phénomène, que certains appellent déjà le "Shadow AI 2.0" ou l'ère du BYOM (Bring Your Own Model), s'est imposé grâce à la convergence de trois facteurs techniques : la montée en puissance des accélérateurs grand public, la démocratisation de la quantification qui réduit drastiquement la taille des modèles, et la simplicité extrême des outils de distribution comme Ollama ou LM Studio. Le débat en entreprise reste encore cadré autour de l'exfiltration vers le cloud, alors que le risque le plus immédiat se joue désormais à l'intérieur même de l'appareil. Pour les CISO, l'enjeu n'est plus seulement de contrôler ce qui sort du réseau, mais de repenser entièrement leur modèle de gouvernance de l'IA, en intégrant l'inventaire des modèles locaux, l'audit des usages endpoint, et des politiques claires sur les modèles autorisés avant que ces pratiques ne se normalisent sans cadre.

UELes entreprises françaises et européennes sont directement exposées aux risques de Shadow AI 2.0 : l'usage non contrôlé de modèles locaux par les développeurs fragilise la conformité RGPD et expose les organisations à des litiges sur les licences open-source de modèles non validés juridiquement.

💬 Les RSSI ont passé dix-huit mois à construire des digues autour du cloud, pendant que leurs devs téléchargeaient des 70B quantifiés en une commande sur leur MacBook. La stratégie réseau tenait la route tant que l'IA vivait chez OpenAI, mais Ollama a mis fin à ça sans que personne lève la main. Aucune boîte n'a d'inventaire de ses modèles internes, et c'est là que le feu va prendre.

SécuritéOpinion
1 source
3AI News 

Les charges de travail edge IA en hausse imposent un renforcement de la gouvernance en entreprise

Google a publié Gemma 4, une famille de modèles d'intelligence artificielle à poids ouverts conçue pour fonctionner directement sur des appareils locaux, sans passer par le cloud. Sous licence Apache 2.0, ce modèle peut être téléchargé librement et exécuté sur un simple ordinateur portable d'entreprise. Google l'a accompagné de l'AI Edge Gallery et de la bibliothèque LiteRT-LM, qui optimisent drastiquement les vitesses d'inférence locale et permettent des comportements agentiques complexes : un agent Gemma 4 peut enchaîner des milliers d'étapes logiques, exécuter du code et traiter des données sensibles entièrement hors ligne, sans déclencher la moindre alerte sur les pare-feux cloud de l'entreprise. C'est précisément là que réside le problème pour les responsables de la sécurité informatique. Les grandes organisations ont investi massivement dans des architectures de contrôle centrées sur le réseau : courtiers d'accès cloud sécurisés, passerelles d'entreprise surveillant tout le trafic sortant vers des LLM externes. Ce dispositif repose sur un postulat simple : si les données ne quittent pas le réseau, elles restent protégées. Gemma 4 anéantit cette logique. Un ingénieur peut désormais ingérer des données internes classifiées, les traiter via un agent local, et produire des résultats sans qu'un seul octet ne transite par les systèmes de supervision. Les banques, qui ont dépensé des millions pour journaliser précisément leurs usages d'IA générative afin de satisfaire les régulateurs, risquent de se retrouver en violation de plusieurs cadres de conformité simultanément si des stratégies de trading algorithmique ou des protocoles d'évaluation des risques sont traités par un agent non surveillé. Les établissements de santé font face au même enjeu : le règlement HIPAA et les lois européennes de protection des données exigent une traçabilité complète du traitement des données patients, traçabilité impossible lorsque le modèle opère entièrement hors ligne. Ce basculement s'inscrit dans une tension structurelle que les chercheurs en sécurité appellent le "piège de gouvernance". Face à la perte de visibilité, les équipes dirigeantes répondent souvent par davantage de bureaucratie : comités d'architecture, formulaires de déploiement, processus d'approbation rallongés. Ces obstacles freinent rarement un développeur sous pression de livraison ; ils poussent simplement les pratiques dans l'ombre, alimentant un écosystème d'informatique fantôme animé par des logiciels autonomes. La montée en puissance des modèles edge comme Gemma 4 marque une rupture fondamentale avec l'ère des API centralisées : gouverner l'IA locale nécessite désormais des approches radicalement différentes, ancrées dans l'appareil lui-même plutôt que dans le réseau, à un moment où peu d'organisations disposent encore des outils pour y parvenir.

UELe RGPD et les réglementations sectorielles européennes (santé, finance) sont directement menacés par l'absence de traçabilité des traitements réalisés par des agents IA locaux, exposant les entreprises européennes à des violations de conformité simultanées.

💬 Toute la sécurité réseau des grandes boîtes reposait sur un postulat simple : si ça ne sort pas du réseau, c'est protégé. Gemma 4 rend ce raisonnement caduc d'un coup, et les équipes de conformité RGPD dans les banques et les hôpitaux vont avoir du mal à expliquer ça aux régulateurs. Bon, sur le papier elles ont des politiques d'usage, mais une politique ça n'arrête pas un dev qui veut juste finir sa feature avant vendredi.

SécuritéOpinion
1 source
AWS et Cisco AI Defense sécurisent les déploiements MCP et A2A pour les agents IA
4AWS ML Blog 

AWS et Cisco AI Defense sécurisent les déploiements MCP et A2A pour les agents IA

Cisco et AWS ont annoncé un partenariat pour sécuriser les déploiements d'agents IA en entreprise, ciblant en particulier deux protocoles devenus centraux dans l'industrie : le Model Context Protocol (MCP), lancé en novembre 2024, et le protocole Agent-to-Agent (A2A), introduit en avril 2025. Le MCP permet aux agents IA de se connecter à des sources de données et des API externes, tandis que l'A2A autorise des agents autonomes à communiquer entre eux sans intervention humaine. Les grandes entreprises gèrent aujourd'hui des dizaines, voire des centaines de serveurs MCP simultanément, et cette prolifération rapide a ouvert trois failles de sécurité majeures : absence de visibilité sur les outils déployés, incapacité des équipes de sécurité à réviser manuellement chaque composant au rythme des déploiements, et manque de journaux d'audit exigés par les cadres réglementaires. La réponse conjointe des deux groupes repose sur l'AI Registry, un projet open source soutenu par AWS, intégré à la plateforme Cisco AI Defense, qui automatise l'analyse de sécurité de chaque serveur MCP, agent IA et Agent Skill avant toute mise en production. L'impact concret est significatif pour les équipes de sécurité et les directions conformité. Actuellement, les processus de révision manuelle allongent chaque déploiement d'application IA de plusieurs semaines, créant un arriéré qui s'accumule à mesure que l'adoption de l'IA s'accélère. Avec ce système, dès qu'un nouveau composant est enregistré dans le registre centralisé, un scanner analyse automatiquement le code, les patterns de sécurité et les éventuelles vulnérabilités, puis génère un rapport détaillé. Si des problèmes sont détectés, le composant est immédiatement désactivé et marqué "security-pending", bloquant tout accès jusqu'à validation par un administrateur. Cette automatisation concerne aussi bien les serveurs MCP donnant accès à des bases de données que les agents A2A orchestrant des workflows complexes. Sur le plan réglementaire, les organisations s'exposaient auparavant à des sanctions sous les cadres SOX et RGPD faute de traçabilité suffisante sur les agents autonomes, une exposition que les équipes de conformité peinaient à quantifier. Cette initiative s'inscrit dans un contexte de montée en puissance rapide de l'IA agentique, qui transforme profondément les infrastructures d'entreprise. La prolifération non contrôlée de serveurs MCP et d'agents tiers représente un vecteur d'attaque croissant : du code malveillant ou des patterns non sécurisés peuvent s'introduire dans la chaîne d'approvisionnement logicielle sans qu'aucune revue manuelle ne puisse suivre le rythme. Akshay Bhargava, vice-président produit IA chez Cisco, souligne que ce partenariat vise à étendre la protection de niveau entreprise aux organisations de toute taille via les registres publics. Le marché de la sécurité pour l'IA agentique est encore naissant, et cette collaboration entre un géant du cloud et un leader du réseau envoie un signal fort : la gouvernance des agents IA devient un prérequis incontournable pour tout déploiement industriel sérieux.

UELes organisations européennes déployant des agents IA s'exposaient à des sanctions RGPD faute de traçabilité sur les agents autonomes ; cette solution automatise les journaux d'audit requis par la conformité européenne.

SécuritéActu
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour