top of page

G7 d'Évian : l'IA, nouvelle faille dans la chaîne d'approvisionnement numérique

  • Luca Jouglet
  • 22 juin
  • 3 min de lecture

Le 12 mai 2026, trois semaines avant le sommet d'Évian, le groupe de travail cybersécurité du G7 publiait un document discret mais révélateur. Intitulé Software Bill of Materials for AI, Minimum Elements, il demande aux entreprises de documenter précisément les composants de leur système d’intelligence artificielle. Ce n'est pas contraignant. Mais c'est la première fois que les sept grandes puissances économiques s'accordent sur ce sujet et ce que ce document révèle sur l'état réel de la sécurité de l'IA est plus inquiétant que rassurant.


Le groupe de travail cybersécurité du G7, créé en 2024 sous présidence italienne, réunit les agences nationales de cybersécurité des sept pays, l'ANSSI pour la France, le BSI pour l'Allemagne, la CISA pour les États-Unis. Depuis le 1er janvier 2026, la France en assure la présidence. Le 8 juin, à trois jours du sommet d'Évian, le groupe adoptait sa déclaration officielle avec quatre priorités actées : cryptographie post-quantique, risques cyber liés à l'IA, sécurité des télécoms, protection des PME. La Commission européenne l'a immédiatement saluée. Mais derrière les formules consensuelles, le document sur le SBOM dit quelque chose que la déclaration officielle n'ose pas formuler aussi crûment.


Le Software Bill Of Materials (SBOM) pour l'IA a été co-piloté par l'ACN italienne et le BSI allemand, mais c'est un livrable collectif : CISA américaine, ANSSI, NCSC britannique, Commission européenne ont tous participé. Le document a été soutenu bien au-delà du G7, l’Australie, la Corée du Sud, l’Inde, la Nouvelle-Zélande, le Singapour, entre autres. C'est précisément cette liste d’acteurs qui est intéressante : l'Inde, invitée à Évian, signe un standard cyber produit par le G7 sans en être membre. Macron l'utilise comme vitrine d'une gouvernance numérique élargie, entre G7 et Global South. La Commission européenne, pour sa part, joue un rôle particulier : elle est la seule à avoir déjà rendu le SBOM obligatoire, via l'article 13 du règlement sur la cyber-résilience. En d’autres termes, ce que le G7 recommande, l'UE l'impose déjà.



Un SBOM, c'est une "liste d'ingrédients" d'un logiciel. L'idée existe depuis longtemps en cybersécurité classique. La nouveauté, c'est son application à l'IA et c'est là que le problème devient visible. Un système d'IA n'est pas un logiciel ordinaire : il embarque des modèles pré-entraînés dont la provenance peut être opaque, des données d'entraînement issues de sources tierces, des dépendances à des infrastructures que l'utilisateur final ne contrôle pas. Une startup peut construire un produit sur un modèle français, entraîné sur des données allemandes, déployé sur des serveurs irlandais, consommé au Japon sans que personne dans cette chaîne n'ait une vision complète des risques agrégés. Le G7 le reconnaît explicitement : les modèles pré-entraînés et les données tierces peuvent introduire des vulnérabilités spécifiques si elles ne sont pas gérées de façon sécurisée. Ce que le SBOM demande, c'est de rendre cette opacité visible. Ce n'est pas une solution mais un diagnostic.


La déclaration du 8 juin est inhabituellement directe sur la bi-menace que représente l’IA. Elle reconnaît la "nature à double tranchant" de l'IA générative et des grands modèles de langage : outil des cybercriminels d'un côté, cible de l'autre. L'empoisonnement de modèles, qui revient à injecter des données corrompues en amont pour manipuler le comportement d'un système en aval, est identifié comme une menace réelle. C'est l'angle mort que les entreprises et les gouvernements ont mis du temps à prendre au sérieux : on sécurise les systèmes contre des intrusions externes, mais on ne vérifie pas ce qu'on a mis dedans pour les construire. Le SBOM pour l'IA est une réponse à cet angle mort. Mais tant qu'il reste volontaire, il ne changera rien pour les organisations qui n'ont pas d'incitation à s'y conformer.



Une réunion d'automne est prévue pour finaliser les travaux avant que les États-Unis prennent la présidence en 2027. C'est là que se joue l'avenir réel de ces standards. Washington pousse historiquement pour l'autorégulation et la flexibilité des entreprises, une approche incompatible avec des obligations contraignantes. L'Union européenne joue sa carte différemment : en ayant déjà rendu le SBOM obligatoire dans son règlement cyber-résilience, elle crée un précédent qui s'applique à toute entreprise vendant sur le marché européen, quelle que soit sa nationalité. Microsoft, Google, les grands acteurs américains de l'IA devront s'y conformer, indépendamment de ce que Washington décidera au G7 en 2027. C'est la vraie ligne de fracture : non pas entre pays, mais entre deux visions de la gouvernance technologique. L'une qui régule, l'autre qui laisse faire. Et pour l'instant, c'est Bruxelles qui impose le rythme.

Commentaires


CIRMA Logo

Le Collectif Interdisciplinaire pour la Recherche sur le Monde et l'Action Internationale est une fédération qui rassemble des chercheurs en relations internationales. Comprendre et analyser l'action internationale pour mieux informer le public est notre priorité. 

bottom of page