Le fait : Cette semaine, OpenAI a annoncé que son nouveau modèle GPT-5.5-Cyber — une variante de son flagship dédiée aux usages cybersécurité — serait mis à disposition d'un nombre limité de partenaires européens : gouvernements, équipes de cybersécurité vérifiées, entreprises vetted, et institutions de l'UE dont l'EU AI Office. Quelques jours plus tôt, Anthropic élargissait son programme Project Glasswing, qui s'appuie sur Claude Mythos, à de nouveaux secteurs critiques : réseaux électriques, distribution d'eau, hôpitaux, opérateurs télécoms, fabricants de matériel. Deux annonces, deux laboratoires, un même mouvement : l'IA frontière s'installe désormais dans la défense numérique des infrastructures.

L'analyse Codito : Pendant deux ans, le narratif IA en entreprise s'est joué presque exclusivement sur la productivité : gagner du temps, automatiser des tâches, augmenter le rendement. Ce que ces annonces marquent, c'est un changement de registre. L'IA devient aussi — et peut-être surtout — une technologie de protection, capable de détecter une intrusion, de cartographier des vulnérabilités, d'écrire des correctifs. Et ce qui se déploie d'abord chez les opérateurs d'importance vitale finit toujours, à six ou douze mois d'écart, par redescendre dans le tissu économique. Pour les dirigeants de PME, cela veut dire deux choses très concrètes : la cybersécurité ne se pense plus indépendamment de l'IA, et les premiers fournisseurs qui proposeront des « modèles cyber-spécialisés » à des prix accessibles arrivent cette année.

L'implication pour vous : Le piège serait d'attendre, en se disant que ces annonces concernent les grands groupes. La réalité est inverse : chaque déploiement IA dans votre organisation modifie votre surface d'exposition. Et tant que vous n'avez pas posé les bonnes questions de cadrage cybersécurité — où vivent vos données, qui peut copier quoi dans un chatbot, vos solutions agentiques peuvent-elles seulement fonctionner dans votre périmètre de sécurité — vous achetez du risque sans le savoir. Bonne nouvelle : ces trois questions tiennent dans une conversation d'une demi-journée.

Le chiffre de la semaine Deux annonces cyber-IA majeures en sept jours. GPT-5.5-Cyber pour l'UE chez OpenAI, élargissement de Project Glasswing chez Anthropic à l'énergie, l'eau, la santé et les télécoms. Pour mémoire, Anthropic a déposé son S-1 le 1er juin et révélé un revenue run-rate passé de 10 à 47 milliards de dollars en douze mois : le capital qui finance cette accélération est désormais en place. Les déploiements vont se multiplier.

L'arrivée de modèles « cyber-spécialisés » rend l'évaluation de votre exposition urgente. Mais pour une PME, la question n'est pas « quel modèle de cyber-IA acheter ? » — c'est : « mon organisation peut-elle utiliser de l'IA sans devenir une passoire ? »

Trois questions structurent cette évaluation. Aucune n'est technique au sens d'exiger un RSSI — toutes peuvent être traitées en direction.

1. Où vivent vos données quand l'IA les traite ?

Si vous utilisez Claude, ChatGPT ou Gemini en version grand public, chaque prompt — donc chaque bout de contenu confidentiel collé dedans — part sur des serveurs étrangers, généralement américains. Les versions Enterprise de ces outils, à l'inverse, isolent vos données, garantissent contractuellement la non-réutilisation pour l'entraînement, et permettent l'audit. Pour les organisations particulièrement sensibles, des solutions souveraines (Mistral, OVHcloud) ou des modèles ouverts hébergés localement complètent le tableau. La question n'est pas tabou : elle est obligatoire avant le moindre POC.

2. Qui dans votre entreprise peut copier-coller du contenu sensible dans un chatbot ?

Le shadow AI est statistiquement présent dans toute organisation de plus d'une dizaine de collaborateurs. Sans cadre clair, vos commerciaux résument leurs CRM, vos RH analysent des CV, vos dirigeants relisent des contrats — le tout dans des versions personnelles, depuis leurs comptes privés, hors de toute traçabilité. La meilleure parade n'est jamais l'interdiction (qui produit du contournement) mais le triplet charte d'usage + référent identifié + outil enterprise mis à disposition. Les collaborateurs ne contournent pas un outil qu'ils ont déjà sous la main et qui marche aussi bien que la version perso.

3. Vos solutions agentiques sont-elles compatibles avec votre périmètre de sécurité ?

Pare-feu d'entreprise, VPN obligatoire, navigateur sécurisé, proxy filtrant : ces couches sont indispensables — et elles bloquent souvent les outils agentiques par défaut. Avant de signer le moindre POC, vérifiez que l'outil envisagé peut physiquement fonctionner dans votre environnement. Sans cette vérification, vous risquez d'investir dans une solution que personne en interne ne pourra effectivement utiliser. Et cette vérification, c'est aussi un excellent test de la maturité de votre fournisseur : ceux qui n'ont jamais entendu parler de votre stack de sécurité ne sont probablement pas prêts pour une PME française réelle.

« Avant de choisir un modèle, on regarde ce que l'organisation peut réellement absorber. »

La cybersécurité n'est plus un axe à part de l'IA — c'est sa condition d'existence en entreprise. Les modèles cyber-spécialisés comme GPT-5.5-Cyber ou Claude Mythos vont accélérer la prise de conscience. Mais pour une PME, l'enjeu reste pratique : poser ces trois questions avant de signer quoi que ce soit.

Réserver un échange stratégique

Découvrir l'Accompagnement Codito

Pour conclure cette édition, une coulisse fraîche — et qui boucle directement avec les deux temps précédents.

Cette semaine, j'ai démarré l'Accompagnement Codito d'un nouveau client : GAEA. Programme sur 12 mois, objectif : intégrer l'IA dans leurs processus opérationnels, à commencer par leur production de devis. Dès la première séance de diagnostic, jeudi 5 juin, la grille des cinq axes a livré ce qu'elle promet — un point de départ clair, et un terrain de jeu défini.

Quatre frictions sur quatre des cinq axes

• Processus. La production de devis repose aujourd'hui sur de la copie manuelle d'éléments standards d'un document précédent à un nouveau. Du temps de spécialiste utilisé à de la transcription, pas à de la valeur métier.
• Data. Pas de base structurée des articles, services et formulations types. Chaque devis repart d'un précédent, à la main. Conséquence directe : aucune IA n'a de matière fiable à utiliser tant que cette base n'existe pas. C'est exactement le maillon faible identifié dans l'édition précédente.
• Outils. Le logiciel de gestion en place est un outil métier dont la connectivité (API, interopérabilité) reste à valider avant tout déploiement d'agent IA. Cette vérification conditionne toute la suite.
• Gouvernance & cybersécurité. GAEA opère derrière un pare-feu, un VPN et un navigateur sécurisé. Avant la moindre intégration agentique, il a fallu prévoir une étape de vérification de compatibilité avec ce périmètre — exactement les questions soulevées dans le temps 2.

La décision stratégique

Plutôt que d'attaquer les quatre fronts en parallèle — la tentation classique, et celle qui enlise la plupart des projets — nous avons tranché ensemble : 100 % des efforts concentrés sur un seul cas d'usage, l'automatisation des devis, jusqu'à validation complète. Une fois la technologie éprouvée sur ce cas, nous étendons. Pas avant. C'est cette discipline du périmètre qui distingue les déploiements IA qui aboutissent de ceux qui s'enlisent dans la généralisation.

Le détail le plus parlant : la première action n'a pas été technique. Ce qui a déclenché la séance, ce n'a pas été le choix d'un modèle ou d'un outil. C'a été une vérification — celle de la compatibilité entre les solutions IA envisagées et le périmètre de sécurité de l'entreprise. Avant de choisir une IA, on regarde ce que l'organisation peut réellement absorber. Le reste découle de là.