1. Les limites du chiffrement classique

Le modèle de sécurité traditionnel protège les données à deux moments :

  • Au repos : les fichiers stockés sont chiffrés (AES-256, etc.). Si quelqu'un vole le disque, il ne peut pas lire les données sans la clé.
  • En transit : les données transmises sur le réseau sont chiffrées via TLS. Un attaquant qui intercepte le trafic ne voit que du texte chiffré.

Mais il existe un troisième état souvent ignoré : les données en cours de traitement. Quand un processeur exécute un calcul — qu'il s'agisse d'un modèle IA, d'une analyse de données ou d'un traitement de document — les données sont déchiffrées en mémoire RAM. À ce moment, elles sont théoriquement accessibles à :

  • L'administrateur système du serveur cloud
  • Un hyperviseur compromis
  • Un autre tenant sur le même serveur physique (attaque side-channel)
  • Un malware avec privilèges élevés

Pour des données médicales, financières, juridiques ou de défense, ce risque n'est pas théorique. C'est une surface d'attaque réelle qui limite l'adoption de l'IA pour les cas d'usage les plus sensibles.

2. Qu'est-ce que le confidential computing

Le confidential computing est un ensemble de technologies qui protègent les données pendant leur traitement, en utilisant des mécanismes matériels pour isoler le code et les données des autres parties du système — y compris l'opérateur cloud.

L'idée clé est que la confiance ne repose plus sur la bonne volonté de l'opérateur, mais sur une garantie cryptographique vérifiable (attestation). Même si l'opérateur cloud voulait accéder aux données en traitement, l'architecture l'en empêcherait physiquement.

Définition du Confidential Computing Consortium "Protéger les données en cours d'utilisation en effectuant les calculs dans un environnement d'exécution de confiance basé sur le matériel."

3. TEE et enclaves sécurisées

La brique de base du confidential computing est le TEE (Trusted Execution Environment) — un environnement d'exécution isolé, protégé matériellement, qui s'exécute en parallèle du système d'exploitation principal.

Les données et le code qui entrent dans un TEE sont chiffrés à l'entrée, déchiffrés uniquement dans l'enclave. L'OS principal, l'hyperviseur et même les administrateurs système ne peuvent pas lire ce qui s'y passe.

Un TEE offre deux garanties :

  • Isolation : le code dans l'enclave est protégé contre les accès non autorisés de l'extérieur.
  • Attestation : l'enclave peut prouver cryptographiquement à une partie distante qu'elle exécute bien le code attendu, non modifié.

4. Technologies principales en 2026

Intel TDX (Trust Domain Extensions)

Intel TDX est disponible sur les processeurs Xeon de 4e et 5e génération. Il protège des machines virtuelles entières (Trust Domains) au niveau matériel. Google Cloud et Azure proposent des instances basées sur TDX. Adapté aux workloads IA volumineuses.

AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging)

Disponible sur les processeurs EPYC. SEV-SNP chiffre la mémoire RAM de chaque VM et protège contre les attaques de l'hyperviseur. AWS propose des instances Nitro avec des capacités similaires. Azure propose également des VMs confidentielles AMD.

ARM TrustZone / CCA

Présent dans les chips ARM (Apple Silicon, Qualcomm, etc.). Largement utilisé dans les appareils mobiles. La Confidential Compute Architecture (CCA) d'ARM étend ces protections aux serveurs cloud.

5. Cas d'usage pour les workloads IA

Analyse de documents médicaux

Un hôpital veut utiliser un LLM pour analyser des comptes-rendus médicaux et suggérer des diagnostics différentiels. Avec le confidential computing, les données des patients restent chiffrées pendant l'inférence — l'opérateur cloud n'y a jamais accès en clair.

Collaboration inter-entreprises sur données sensibles

Deux banques concurrentes veulent entraîner un modèle de détection de fraude commun sans partager leurs données brutes. Des techniques de federated learning dans des TEE permettent cette collaboration sans exposition réciproque des données.

Inférence IA dans des secteurs réglementés

Juridique, défense, assurance, énergie : des secteurs où les exigences de confidentialité rendent difficile l'usage du cloud public. Le confidential computing permet d'utiliser l'IA cloud tout en répondant aux audits de conformité.

Protection du modèle IA lui-même

Un créateur de modèle propriétaire veut l'exposer via une API sans risquer que le client puisse extraire les poids du modèle. Le modèle s'exécute dans une enclave — le client reçoit les sorties, pas le modèle.

6. Quand y recourir — et quand ne pas

Recourir au confidential computing si : vous traitez des données soumises à des réglementations strictes (santé, finance, défense), vous collaborez avec des partenaires sur des données mutuellement sensibles, vos clients exigent des garanties contractuelles sur l'isolation des données en traitement.
Ce n'est pas la bonne solution si : vous cherchez à sécuriser des mots de passe ou des accès utilisateurs (c'est le rôle de la gestion des identités), vous voulez protéger contre des bugs applicatifs dans votre propre code (l'enclave exécute votre code tel quel), vous n'avez pas les ressources pour gérer la complexité opérationnelle (déploiement, attestation, monitoring).

Le confidential computing est une brique de sécurité avancée, pas une solution magique. Elle s'intègre dans une stratégie de sécurité globale qui inclut aussi la politique d'usage des outils IA, la protection contre les injections de prompts et la bonne gestion des permissions des agents.