Les discours d'accueil des trois co- organisateurs ont ouvert le bal en soulignant les nouveautés de l'édition 2024 du DevOxx France, dont l'ajout d'un deuxième niveau et des ajustements dans l'organisation. Cette édition promet d'explorer en profondeur les avancées et les défis de l'intégration de l'intelligence artificielle (IA) dans divers domaines, notamment la médecine.
Jean-Emmanuel, cancérologue et chercheur en IA médicale, a captivé l'audience avec une présentation sur l'âge d'or de l'IA appliquée à la médecine. Il a exposé comment les techniques de machine learning entraînent une multitude de modèles pour améliorer le diagnostic, la prédiction et même la chirurgie robotisée. Des exemples concrets incluaient la prédiction de risques de maladies plusieurs années à l'avance, l'interprétation automatisée d'images médicales, et l'utilisation de l'IA pour le dépistage de la dépression via des plateformes comme Instagram.
Malgré ces avancées, Jean-Emmanuel a souligné des défis significatifs, notamment la gestion des données d'entraînement, les biais inhérents aux modèles, et les risques d'attaques adversariales. Ces éléments pourraient compromettre la fiabilité des diagnostics AI et l'intégrité des traitements proposés. De plus, la présentation a exploré les perspectives de développement sur 10 à 15 ans, questionnant comment l'IA pourrait révolutionner la santé de manière inclusive et sécurisée.
Une introduction sur la distinction entre l'IA symbolique et statistique a été faite, spécialement dans le contexte médical. L'IA symbolique, axée sur la logique et les règles, contraste avec l'IA statistique, qui apprend des modèles à partir de grandes quantités de données. Cette dualité est essentielle pour comprendre les approches différentes en matière de diagnostic et de prédiction médicale.
Deep learning et LLM en diagnostic
Les applications du deep learning en imagerie médicale comme CHEXnet pour la radiographie du thorax ou les initiatives de Google pour l'analyse des fonds d'œil démontrent la capacité de l'IA à effectuer des diagnostics complexes. Cependant, la détection de la dépression à partir de photos Instagram et la prédiction du cancer à partir d'images satellitaires soulèvent des questions éthiques sur la surveillance et la vie privée.
Les Large Language Models (LLMs) tels que GPT-4 et Med-PaLM 2 montrent une efficacité impressionnante, dépassant parfois celle des médecins dans des tâches diagnostiques. Néanmoins, leur capacité à faire preuve d'empathie et à engager des interactions significatives avec les patients mérite une analyse plus approfondie, tout comme leur utilisation dans le dépistage des maladies rares.
L'intégration de l'IA en médecine offre des possibilités inédites mais vient avec des défis considérables. Le potentiel de l'IA pour transformer la médecine est indéniable, mais sa mise en œuvre doit être soigneusement gérée pour éviter de compromettre l'éthique médicale, la confidentialité des patients, et la précision des traitements.
Human in the loop : un concept en danger ?
Le recul de la compétence critique parmi les nouveaux internes, comme illustré par l'exemple du détourage des tumeurs, révèle un risque de dépendance excessive à l'IA. Cela souligne l'importance de maintenir une composante humaine forte dans l'utilisation de l'IA en médecine, pour garantir que la technologie assiste les praticiens sans les remplacer.
Cette conférence a soulevé des questions cruciales sur l'avenir de l'IA en médecine, mettant en lumière le besoin de naviguer entre innovation et éthique, avancement technologique et sensibilité humaine. La communauté tech est appelée à développer des solutions qui non seulement résolvent des problèmes techniques mais aussi respectent et enrichissent la relation médecin-patient.
Abdellfetah Sghiouar, évangéliste cloud chez Google Cloud, a présenté les défis de sécurité associés à notre dépendance croissante aux logiciels open source. Sa discussion a mis en lumière la nécessité d'adopter des cadres et des outils plus robustes pour sécuriser les chaînes d'approvisionnement logicielles.
L'ubiquité et les risques des logiciels open source
Abdellfetah a commencé par souligner combien les développeurs s'appuient aujourd'hui sur des bibliothèques open source pour presque tous les aspects du développement logiciel. Cette dépendance généralisée augmente le risque d'exposition à des vulnérabilités non détectées et des portes dérobées insérées malicieusement. Il a cité des statistiques alarmantes du SSCC de Sonatype, notant que 96% du code contient des vulnérabilités connues et patchables, et que les attaques sur la chaîne d'approvisionnement logiciel ont augmenté de 500 % chaque année.
SLSA (Supply chain levels for software artifacts)
SLSA est un cadre de sécurité conçu pour standardiser et améliorer la sécurité à travers la chaîne d'approvisionnement logicielle. Il propose quatre niveaux de sécurité, chacun augmentant la garantie et la résilience contre les modifications malveillantes :
Niveau 0
Aucune garantie. SLSA 0 représente l'absence de tout niveau SLSA
Niveau 1
Le processus de construction doit être entièrement scripté/automatisé et générer une provenance. La provenance est une métadonnée décrivant comment un artefact a été construit, incluant le processus de construction, la source de niveau supérieur et les dépendances. Connaître la provenance permet aux consommateurs de logiciels de prendre des décisions de sécurité basées sur le risque. La provenance à SLSA 1 ne protège pas contre la falsification, mais elle offre un niveau de base d'identification du code source et peut aider dans la gestion des vulnérabilités
Niveau 2
Nécessite l'utilisation d'un contrôle de version et d'un service de construction hébergé qui génère une provenance authentifiée. Ces exigences supplémentaires donnent au consommateur de logiciels une plus grande confiance dans l'origine du logiciel. À ce niveau, la provenance empêche la falsification dans la mesure où le service de construction est fiable. SLSA 2 offre également un chemin d'amélioration facile vers SLSA 3
Niveau 3
Les plateformes de source et de construction répondent à des normes spécifiques pour garantir l'auditabilité de la source et l'intégrité de la provenance respectivement. Nous envisageons un processus d'accréditation par lequel des auditeurs certifient que les plateformes répondent aux exigences, sur lesquelles les consommateurs peuvent alors se fier. SLSA 3 offre des protections beaucoup plus fortes contre la falsification que les niveaux antérieurs en prévenant certaines classes de menaces, telles que la contamination entre les constructions.
Niveau 4
Nécessite une revue par deux personnes de toutes les modifications et un processus de construction hermétique et reproductible. La revue par deux personnes est une meilleure pratique industrielle pour détecter les erreurs et dissuader les mauvais comportements. Les constructions hermétiques garantissent que la liste des dépendances dans la provenance est complète. Les constructions reproductibles, bien que non strictement requises, offrent de nombreux avantages en termes d'auditabilité et de fiabilité. Dans l'ensemble, SLSA 4 donne au consommateur un haut degré de confiance que le logiciel n'a pas été falsifié.
SBOM (Software bill of materials)
Le SBOM est un document crucial qui liste de manière exhaustive tous les composants d'un logiciel. Abdellfetah a expliqué comment un SBOM bien documenté peut aider à tracer et à auditer chaque élément utilisé dans le développement logiciel, augmentant ainsi la transparence et la sécurité.
Un inventaire complet et précis de tous les composants internes et tiers est essentiel pour l'identification des risques. Les BOM devraient idéalement contenir tous les composants directs et transitifs ainsi que les relations de dépendance entre eux.
CycloneDX dépasse largement les éléments minimaux pour une bill of materials logicielle tels que définis par la National Telecommunications and Information Administration (NTIA) en réponse à l'Ordre Exécutif américain 14028.
L'adoption de CycloneDX permet aux organisations de répondre rapidement à ces exigences minimales et de mûrir vers l'utilisation de cas d'usage plus sophistiqués avec le temps. Les exigences SBOM définies dans la norme de vérification des composants logiciels de l'OWASP (SCVS) sont également couverts.
Sigstore
Sigstore est un projet conçu pour faciliter la signature, la vérification et la surveillance des logiciels. En utilisant Sigstore, les développeurs peuvent assurer l'intégrité et la provenance des codes sources et des artefacts logiciels, contribuant ainsi à sécuriser les dépôts de logiciels contre des modifications non autorisées.
Abdellfetah a illustré l'impact potentiel des vulnérabilités dans les logiciels open source avec des exemples réels. Il a discuté d'un cas où une vulnérabilité dans Node.js a permis l'installation d'une backdoor dans le système d'un grand supermarché, conduisant à l'exfiltration de données sensibles de clients.
Pour montrer l'efficacité des outils mentionnés, une démonstration en direct de la signature d'artefacts avec cosign a été réalisée, mettant en valeur comment les contributions peuvent être vérifiées de manière fiable à travers la chaîne d'approvisionnement logicielle.
Conclusion : Un appel à l'action !
Abdellfetah a conclu en soulignant l'importance d'adopter une approche de sécurité "Zero Trust" et de "Shift-Left", intégrant la sécurité dès les premières étapes du développement logiciel pour mieux contrer les menaces. Il a encouragé les développeurs et les organisations à adopter SLSA, SBOM, et Sigstore pour renforcer la sécurité de leurs projets logiciels.
Cette session de DEVOXX France 2024 nous a non seulement sensibilisés sur l'importance de la sécurité dans l'utilisation des logiciels open source mais a également fourni des outils concrets pour améliorer cette sécurité, encourageant ainsi une adoption plus sûre et plus responsable des technologies open source.
Lors de la DEVOXX France 2024, une session dédiée à la sécurité de l'IA générative et des modèles de langage à grande échelle (LLM) a été animée par des experts de Thales. Voici les points saillants de ma prise de note :
Stratégies et défis de déploiement de l'IA générative chez Thales
La session a exploré les complexités du déploiement de l'intelligence artificielle générative, en particulier les défis d'intégration et de sécurité dans des secteurs critiques tels que la défense et l'aéronautique. Katarzyna Kapusta a introduit l'initiative des "AI Friendly Hackers" de Thales, qui vise à tester la robustesse des systèmes IA contre les vulnérabilités grâce au hacking éthique. Nicolas Bouillet a discuté de l'importance des normes de sécurité pour les outils d'IA générative, tandis que Romain Ferrari a évoqué le rôle vital des modèles de langage de grande échelle (LLM) dans l'amélioration de la cybersécurité chez Thales.
Renan Berthier, en tant que Product Owner en IA Générative, a souligné l'importance de maximiser la valeur des produits tout en enrichissant l'expérience utilisateur. Les types d'attaques abordés incluaient :
- l'empoisonnement des données
- l'insertion de backdoors
- l'exfiltration de données
- l'injection de malwares
- le vol de modèles et de données
Les mesures défensives discutées comprenaient :
- la sanitation des données
- la détection de backdoors
- l'entraînement adversarial
- les audits de code
- la transformation des entrées
- le watermarking de modèles et de données
- la cryptographie
- l'apprentissage fédéré
Boîte à outils "Friendly Hackers Battle Box"
Durant cette session, une boîte à outils spécifique a été présentée, la "Friendly Hackers Battle Box", conçue pour simuler et contrer les attaques sur des modèles tels que GPT-4. Cette boîte à outils démontre des techniques d'injection de prompts, permettant aux participants de se familiariser avec des stratégies pratiques de défense contre les cyberattaques ciblant l'IA générative.
Approche pour améliorer les règles de détection
L'intégration des connaissances métiers spécifiques à Thales enrichit les LLMs, permettant d'améliorer l'analyse des règles de détection et de réduire les faux positifs. Cela montre comment l'engineering des prompts peut être stratégiquement utilisé pour personnaliser les modèles IA.
La session a conclu que l'IA ne doit pas être vue uniquement comme une menace potentielle, mais plutôt comme un partenaire dans le domaine de la sécurité informatique. Avec les outils et stratégies appropriés, il est possible de tirer parti des avantages offerts par l'IA générative tout en atténuant les risques associés. Les intervenants ont souligné l'importance de l'innovation responsable, de la mise en œuvre de bonnes pratiques et du développement d'outils de cybersécurité avancés pour rester à la pointe de la technologie tout en protégeant les systèmes contre des menaces de plus en plus sophistiquées.
La collaboration entre les experts en IA et les spécialistes en cybersécurité chez Thales illustre une approche proactive et multidisciplinaire essentielle pour sécuriser les technologies d'IA générative. L'utilisation de pratiques telles que le "hacking éthique" pour tester et améliorer les systèmes d'IA montre un engagement à construire des systèmes à la fois robustes et fiables.
Marine Sobas, Tech Lead Engineering chez Dataiku, a pris la parole pour une présentation fascinante reliant le monde apparemment lointain des champignons à l'intelligence artificielle.
Marine a commencé par explorer l'utilisation des champignons dans notre vie quotidienne, des antibiotiques aux levures, tout en pointant du doigt leurs capacités moins connues en résolution de problèmes complexes. Elle a évoqué la manière dont les champignons se développent en réseaux optimaux et comment ils peuvent résoudre des problèmes tels que la recherche du chemin le plus court, des tâches que l'on retrouve souvent dans les algorithmes informatiques.
Champignons et IA : une analogie révélatrice
L'analogie entre les réseaux mycéliens des champignons et les réseaux de neurones en IA a ouvert de nouvelles pistes de réflexion. Marine a expliqué comment les mécanismes de propagation des champignons ressemblent à ceux des réseaux neuronaux, suggérant que nous pourrions tirer des leçons importantes pour le développement de l'IA.
Marine a partagé la mission de Dataiku : rendre l'IA plus accessible dans le monde professionnel. Elle a mis en évidence la nécessité d'une compréhension plus profonde des principes sous-jacents de l'IA pour son intégration réussie dans les processus d'entreprise.
L'exploration des réseaux mycéliens a révélé que ceux-ci fonctionnent de manière similaire à un réseau de neurones IA, posant la question fascinante de savoir si les champignons pourraient inspirer une nouvelle forme "hardware" d'IA basée sur le mycélium, quoique moins rapide que le silicium.
Interactions homme-IA : une dynamique à redéfinir
Pour conclure, Marine a proposé une réflexion sur la manière dont nous pourrions interagir avec l'IA à l'avenir. Elle a posé la question de savoir si nos interactions avec l'IA seront symbiotiques ou parasitaires, invitant à une réflexion sur la nature même de l'intelligence et sur notre avenir commun avec les machines.
Cette présentation n'a pas seulement servi de plaidoyer pour une collaboration étroite entre les disciplines mais a également encouragé les participants à envisager l'IA non pas seulement comme un outil ou une menace, mais comme un partenaire potentiel dans la recherche de solutions aux défis complexes.
Cette session instructive par Steve Rigano et son équipe de Crédit Agricole Technologies & Services porte sur l'intégration d'une "Quality & Security Gate" bloquante dans les chaînes CI/CD.
Contexte et défis chez Crédit Agricole TS
L'équipe a discuté de la stratégie de mise en œuvre du "shift-left" dans les cycles de développement pour répondre aux enjeux de sécurité sans compromettre l'expérience des développeurs ou le time- to-market.
Ils ont partagé leur expérience de la mise en place d'une "Quality & Security Gate" dans les chaînes CI/CD de leur filière cloud natif et ont abordé les sujets suivants :
Choix, approche de sécurité et projections
Le choix a été porté sur la mise en place d'une seule "Quality & Security Gate" bloquante au niveau de la CD (Continuous Deployment) plutôt que de multiples gates ou en CI (Continuous Integration).
Ils ont également abordé l'importance de la communication, de la formation, de l'accompagnement et du support pour les équipes de développement.
Pour l'avenir, ils envisagent de renforcer les niveaux de sécurité dans SonarQube et d'adopter une approche "Shift-left", en intégrant la sécurité directement dans les IDE. Ils envisagent également d'adresser la phase de RUN via l'utilisation de Renovate Bot pour les mises à jour automatisées des dépendances.
Cette session a mis en évidence l'importance de la qualité et de la sécurité dans le processus de développement logiciel et la manière dont les entreprises peuvent responsabiliser leurs équipes tout en améliorant la sécurité et la qualité de leur produit. L'approche du Crédit Agricole TS sert d'exemple pour d'autres entreprises cherchant à implémenter des mesures similaires.
Woody Zuill, guide en développement de logiciels Agile et Lean avec plus de 40 ans d'expérience, a présenté une conférence sur l'approche de la "Programmation Mob" (Software Teaming) en tant que méthode de travail d'équipe dans le développement logiciel. Voici une synthèse de son intervention traduite en français.
L'approche "programmation mob"
La "Programmation Mob" est une méthode collaborative, économique et ludique pour accomplir le travail en groupe. C'est une approche de développement qui engage toute l'équipe dans la programmation, la conception, les tests et le travail avec le "client" (partenaire, Product Owner, Utilisateur, etc.) de manière collective.
Les points clés de la session
- Faciliter l'xxcellence pour tous : Créer un environnement où chacun peut exceller est crucial.
- Amplifier ce qui fonctionne : Il est important de renforcer les aspects positifs qui se démarquent dans l'équipe.
- L'échec de la communication : Woody a abordé les défis de la communication au sein des équipes et a proposé des pistes pour améliorer cet aspect.
- Diriger de l'intérieur et de l'extérieur : L'importance pour chaque membre de l'équipe d'être capable de diriger et de suivre de manière dynamique a été soulignée.
Rétrospective et observations personnelles
Woody a partagé ses expériences et observations personnelles, mettant l'accent sur la nécessité d'apporter des améliorations constantes, même mineures, car celles-ci peuvent avoir des résultats importants à long terme. Il a souligné la difficulté d'atteindre ces améliorations mineures et a questionné les obstacles communs comme la fatigue, l'interruption de contexte et la dépendance aux tâches.
Un point critique abordé était la tendance à traiter les symptômes plutôt que de s'attaquer aux causes profondes des problèmes. La gestion et les biais dans les croyances affectent souvent notre capacité à résoudre efficacement les problèmes.
La chance ou le talent ?
Woody a présenté une perspective sur le succès et l'échec, en suggérant que le succès est un mélange de talent et de chance, et que les grands succès impliquent souvent un peu plus de talent et beaucoup plus de chance.
Il a introduit la loi de Wiio qui stipule que la communication échoue sauf par accident et a expliqué que l'attention est souvent basée sur une expérience limitée. Il a également évoqué les systèmes dans les systèmes et les niveaux de systèmes complexes.
Appels à l'action
Woody a conclu en encourageant l'adoption d'une habitude d'améliorations mineures et a souligné l'importance de différencier les problèmes des symptômes. Il a appelé à une réflexion sur le rôle de la gestion, les croyances, les biais et la communication dans la résolution de problèmes.
Enfin, il a encouragé à expérimenter comme meilleur moyen de réussir en travaillant en tant qu'équipe unie et en amplifiant la bonne collaboration. Il a suggéré d'éviter une culture en silo pour éviter l'isolement des systèmes et des domaines, et a promu l'idée qu'ensemble, nous pouvons mieux porter notre attention, recevoir des retours et expérimenter pour améliorer les choses.
La DEVOXX France 2024 s'est clôturée par un événement rassemblant des figures éminentes de la scène DevOps, intitulé "Toutes et tous mercenaires de DevOps". Ce groupe d'experts a partagé leurs réflexions et expériences sur l'évolution du DevOps, ses pratiques actuelles, et les implications futures.
Workshop participatif et rétrospective
L'événement a inclus un workshop participatif sur l'implémentation de DevOps, animé par des figures emblématiques telles qu'Arnaud Héritier de Doctolib, qui a partagé son expertise en optimisation des méthodes et outils de développement. Henri Gomez a enrichi le débat avec son expérience prolongée dans l'Open Source et son approche unique de l'ingénierie logicielle, tandis que Pierre-Antoine
Grégoire a apporté sa perspective élargie sur l'architecture logicielle et son leadership au sein de la communauté tech luxembourgeoise.
Dimitri BAELI et Gildas Cuisinier ont complété le panel en témoignant de leur passion pour l'organisation des équipes tech et l'importance cruciale de l'automatisation dans la culture DevOps. Gildas, en particulier, a illustré comment des déploiements sans stress peuvent devenir une réalité grâce à des pratiques DevOps bien rodées.
Les participants ont pu partager leurs expériences et prendre part à une rétrospective des 10 dernières années de DevOps. Katia de cockpit.io a introduit le terme DevOps sous un nouvel angle, invitant l'audience à réfléchir sur l'intégration effective du DevOps au sein de leurs organisations.
Le groupe des Mercenaires de DevOps a animé un débat riche sur des sujets tels que l'ingénierie de plateforme, le Site Reliability Engineering (SRE), l'observabilité, et les infrastructures modernes. Cette session de clôture a permis aux participants de contempler non seulement les succès et les défis rencontrés au cours de la dernière décennie mais aussi de regarder vers l'avenir et d'imaginer ensemble comment la collaboration entre le business, le développement, et les opérations pourrait continuer à évoluer.
Ce dialogue constructif a réaffirmé l'importance du DevOps en tant que mouvement collaboratif et a souligné le besoin d'adopter une approche intégrée et holistique pour rester agile dans un monde technologique en constante évolution.
Cette douzième édition du DEVOXX France 2024 a offert une plongée fascinante dans l'évolution des technologies DevOps et de l'intelligence artificielle, démontrant leur rôle central dans la transformation numérique des entreprises. À travers diverses sessions, des experts comme Woody Zuill avec la "Programmation Mob" et les équipes de Crédit Agricole discutant des "Quality & Security Gates" dans les chaînes CI/CD, l'événement a souligné une approche de collaboration et d'innovation continue.
De la mise en parallèle des processus mycéliens des champignons avec les réseaux de neurones en IA à la réflexion sur les pratiques de sécurité et de qualité en DevOps, les liens profonds entre développement agile, sécurité proactive et utilisation éthique de l'IA ont été mis en lumière.
Cette convergence de thèmes a non seulement réaffirmé l'importance d'une intégration complète des technologies mais a également préparé le terrain pour une future collaboration où technologie, processus et perspective humaine se rencontrent pour repousser les frontières de l'innovation technique et organisationnelle.
Lionel GAIROARD
Practice Leader DevSecOps
