Un brin de confusion a plané suite à la décision d’OpenAI de livrer aujourd’hui à tous ses modèles GPT-5.6 Sol, Terra, Luna. On se souvient qu’initialement le gouvernement américain avait demandé à OpenAI de limiter l'accès à ses meilleurs modèles à une liste restreinte d'entreprises. Après le message du fournisseur, la Maison Blanche a publié un communiqué indiquant qu’il n’avait pas donnée « ni feu vert, ni approbation, ni autorisation pour la diffusion de ces modèles ». Elle ajoute qu’ « aucune autorisation de ce type n’est requise, ni accordée » en précisant que « les décisions relatives au calendrier et à la portée des diffusions relèvent entièrement de la responsabilité des entreprises ». Une posture qui tranche avec l’affaire Anthropic et lancement de Fable 5 et Mythos 5 où l’administration Trump était intervenue dans les modalités de diffusion des LLM.
Un cadre réglementaire illisible
Lewis Carhart, CEO de la société de développement de logiciels Comp AI, a déclaré que ce communiqué était source de frustration pour les responsables informatiques à plusieurs égards. « Réfléchissez à ce que signifie cette déclaration de la Maison Blanche. OpenAI a dépêché des ingénieurs à Washington pendant des semaines, s'est soumise aux tests du gouvernement et a échelonné son lancement à la demande de ce dernier. Et la position officielle est que rien de tout cela n'était requis », a déclaré Lewis Carhart. « Nous avons désormais un régime de licences de facto qui n'a aucune existence légale. Il n'y a ni loi, ni procédure d'appel, ni critères publiés. Le département du Commerce américain décide, modèle par modèle, de ce qui est livré et quand. » C'est le pire des deux mondes, a-t-il souligné : « Toutes les contraintes de la réglementation sans aucune prévisibilité. Les responsables de la conformité ont un nom pour cela : c'est un audit sans cadre. Et le précédent est désormais acquis pour les deux laboratoires de pointe : si vous développez à la pointe de la technologie, votre calendrier de lancement passe par Washington, que la loi le prévoie ou non. »
Lewis Carhart a fait valoir que cette réalité réglementaire devrait être extrêmement préoccupante pour les responsables informatiques des entreprises, car elle indique que la disponibilité des modèles est désormais « une variable réglementaire » et non plus déterminée par la feuille de route du fournisseur. « Les modèles les plus avancés d'Anthropic ont disparu du marché pendant trois semaines en juin. Ce n'était pas dû à une panne, ni à une modification des prix, mais à une directive sur le contrôle des exportations », a-t-il souligné. « Si votre architecture IA part du principe que le modèle déployé aujourd'hui sera disponible demain, cette hypothèse est désormais manifestement fausse. La résilience multi-modèles, autrefois un atout, est devenue un enjeu majeur pour la direction. » Cela représente également une opportunité, car un modèle ayant passé avec succès les tests de sécurité gouvernementaux est un modèle que les auditeurs et les conseils d'administration approuvent plus rapidement. « L'examen gouvernemental devient discrètement un atout pour les achats », a-t-il observé. Jason Andersen, analyste principal chez Moor Insights & Strategy, partage l'avis de Lewis Carhart et qualifie ces échanges de « simple mise en scène ». OpenAI a besoin que son modèle paraisse aussi puissant, voire dangereux, que celui d'Anthropic pour pouvoir prétendre à l'avant-garde absolue. Cela contribue également à redorer son image et à paraître plus responsable qu'auparavant. De plus, ajoute-t-il, « les PDG du secteur technologique sont parfaitement conscients que flatter l'administration actuelle pourrait dissuader les régulateurs ou d'éviter une réglementation ».
Des critères flous
Brian Jackson, directeur de recherche principal chez Info-Tech Research Group, fait écho aux préoccupations politiques. « Ce qui reste flou, ce sont les critères précis utilisés pour juger les modèles aptes à être diffusés. Le gouvernement a déclaré être préoccupé par les risques de cybersécurité ainsi que par le risque que l'IA soit utilisée pour développer des armes biologiques », explique-t-il. « Mais tant que les critères de diffusion manqueront de transparence, on aura l'impression que l'évaluation pourrait être motivée par des considérations politiques. »
Le dirigeant a déclaré que l'un des résultats, vraisemblablement involontaire, des efforts du gouvernement américain pour encadrer le déploiement de l’IA va inciter les entreprises à à envisager bien plus sérieusement le recours à des fournisseurs non américains. « Les organisations recherchent des alternatives aux modèles de pointe propriétaires fournis via le cloud par des entreprises américaines. L'objectif est de conserver la maîtrise de leur chaîne d'approvisionnement en IA », a-t-il expliqué. « Les modèles open source chinois constituent une option, mais il en existe d'autres, provenant du Canada ou d'Europe.
Impact sur la stratégie IA en entreprise
Rock Lambros, directeur des normes et de la gouvernance de l'IA chez Zenity (fournisseur d'agents d'IA), a fait part de sa frustration face à l'absence quasi totale de données de conformité exploitables rendues publiques. « Personne, en dehors du cercle restreint des décideurs, ne peut dire quelle norme [le modèle] a respectée, car cela n'a jamais été consigné par écrit. Pendant deux semaines, [les responsables gouvernementaux américains] ont tenu à l'écart des défenseurs de la cybersécurité un modèle pourtant plus efficace pour protéger votre réseau que pour s'introduire dans celui d'autrui », a déclaré M. Lambros. « Appelez cela un examen de sécurité si cela vous rassure. Pour moi, cela ressemble plutôt à un videur gardant un accès dont personne ne lui a confié la gestion : il laisse passer les gens aujourd'hui simplement parce qu'il est de meilleure humeur qu'il y a quinze jours. » Cette imprévisibilité risque d'avoir des répercussions sur la stratégie d'IA bien au-delà des préoccupations habituelles en matière de conformité, a ajouté M. Lambros. « Nous avons développé une dépendance opérationnelle excessive à l'égard de ces modèles pour tout faire reposer sur un processus d'examen dépourvu de règles claires », a-t-il affirmé, soulignant que les hôpitaux, les réseaux de pipelines, les banques et les services de distribution d'eau dépendent d'IA de pointe dont la disponibilité « peut basculer d'un état actif à inactif, puis de nouveau actif, sans préavis, sans recours possible et sans qu'aucune norme publiée ne justifie ces décisions. »
« On ne peut pas gérer des infrastructures critiques avec un outil qui fonctionne parfaitement le vendredi mais qui est hors service le lundi, simplement parce qu'un processus d'approbation opaque a abouti à un verdict imprévisible », a conclu M. Lambros. « Il s’agit d’un risque lié à la chaîne d’approvisionnement dont le gouvernement contrôle l’interrupteur, et presque personne ne l’a intégré dans son plan de continuité d’activité. » Pour se protéger, les entreprises doivent revoir leurs attentes. « Gérez la disponibilité des modèles comme n’importe quel point de défaillance unique dont vous n’avez pas la maîtrise : mettez en place une solution de repli éprouvée, incluez une clause de continuité dans votre contrat et organisez des exercices de simulation en cas d’interruption, car se dire que "le gouvernement a fait marche arrière cette fois-ci" ne constitue pas un plan », a-t-il conseillé.