Réunion CDC — Deloitte · 18 mai 2026
Pour Mme Virginie Chapron-du Jeu, M. Jean-Baptiste Olivier, M. Frédéric Lézy
Révision des orientations technologiques à 3 et 5 ans. Neuf thématiques mises mutuellement en cohérence, du Go to Cloud à l'environnement de travail.
Co-construction d'une feuille de route Cloud & IA pour sécuriser le passage à l'échelle. Cinq groupes de travail. 94% des participants en confiance à la sortie.
CDC, La Poste, La Banque Postale et Numspot. Production comptable, Pilotage financier, Achats. Une exploration à plusieurs voix.
Premiers leviers de simplification et de réduction des coûts engagés. À sécuriser à 4 ans, par un modèle évolutif intégrant non-cloud, cloud privé, cloud de confiance et cloud public — conforme SecNumCloud / EUCS.
Plateforme modulaire alignée marché. MDM Informatica en hybride SaaS/OnPrem. IA Factory opérationnelle. Assistant Archi+ pour les besoins internes. Les fondations sont posées pour l'agentique.
Revue d'avant-projet, encadrement du cycle de vie, plateforme développeur globale, outillage CI/CD. Freins identifiés : environnements de test, qualité des spécifications, coordination métier.
Gestion outillée, centralisée, unifiée. Catalogue et qualité de service à un bon niveau. Pistes d'optimisation du coût total identifiées, à approfondir.
Issues du séminaire CODIR du 25 septembre 2025, ces fondations sont la condition opérationnelle de la stratégie multicloud — et non un préalable abstrait.
Le potentiel est réel sur le Pilotage financier et les Achats. La Production comptable et La Banque Postale resteront, à court terme, plus complexes à adresser pour des raisons techniques. L'adoption se construira progressivement, au rythme de l'écosystème.
Plateforme de data science choisie, modèle opérationnel posé, capacité dédiée installée. La machinerie est prête à industrialiser les usages métier.
Première brique d'IA générative pour les besoins internes. Cas réel pour éprouver la doctrine d'usage avant la montée en charge.
40 000 licences au lancement, jusqu'à 100 000. Sopra Steria + Computacenter intégrateurs. 19 filiales du Groupe couvertes.
→ Mistral hébergé chez Numspot à compter de juin 2026 : la CDC se positionne en pionnier d'un déploiement Mistral sur cloud souverain SecNumCloud.
Quand la cible technique n'est pas encore stabilisée, chaque métier cherche une réponse locale. C'est naturel. Mais, sans doctrine commune, ces réponses finissent par créer des angles morts.
L'enjeu est donc de poser très vite une règle simple : toutes les décisions cloud, data et IA doivent être reliées à une même lecture du risque.
La même plateforme peut être pertinente pour un usage et inadaptée pour un autre. Numspot, S3NS, cloud public hyperscaler : chaque réponse trouve sa place — à condition d'avoir d'abord posé la question.
Usage possible sous conditions strictes : cloisonnement, chiffrement, contrôle des accès, suivi renforcé.
Socle de confiance, contrôles élevés, dépendances maîtrisées, scénario de repli documenté.
Accélérer les tests, à condition que les données soient maîtrisées et que la sortie soit simple.
Industrialiser les usages répétables avec des règles communes et peu d'exceptions.
| Entreprise | Architecture | Cas d'usage majeur | Volume | Maturité |
|---|---|---|---|---|
| BNP Paribas | On-prem & LLM-as-a-service interne multi-modèles | ~100 cas en production · assistant client 24/7 · copilote dev. | 7 500 dev. équipés · objectif 750 M€ de valeur 2026 | Production |
| SNCF | Groupe SNCF GPT multi-LLM + Fab IA on-prem | 50+ cas industrialisés · Codestral pour les développeurs | 150 000 collaborateurs · +20 à 40 % productivité dev. | Production |
| Veolia | VeoliaSecureGPT multicloud · SLMs Mistral on-prem en usine | 214 agents no-code créés par les métiers · « Talk to my Plant » | 213 000 collab. · 30 % techniciens maintenance ciblés | Production |
| AXA | Secure GPT multi-LLM sur Microsoft Azure | Plateforme GenAI groupe · personnalisation offres | ~150 000 utilisateurs | Pilote étendu |
| Stellantis | Innovation Lab · modèles industriels custom | Assistant véhicule · BOM Data · détection d'anomalies usine | Passage à l'échelle annoncé oct. 2025 | Pilote étendu |
| CMA CGM | Mistral AI Factory à Marseille · équipes en résidence | Traitement réclamations · gestion documentaire shipping | 100 M€ sur 5 ans · 3 000 collab. ciblés | Industrialisation |
| Orange | Codestral sur infrastructures Orange Business | Offre commerciale IA souveraine clés-en-main pour clients | Cible : entreprises clientes Orange Business | Industrialisation |
| TotalEnergies | Labo conjoint · Mistral applied engineers en résidence | Assistant 1 000 chercheurs · décision actifs · RAG géosciences | ~100 solutions IA déjà déployées tous fournisseurs | Industrialisation |
Usage courant. Mistral consommé via Azure AI Foundry, AWS Bedrock, Vertex AI. Pratique mais non souverain au sens SecNumCloud (Cloud Act).
AXA · Veolia (partiel) · BNP Paribas (partiel)
Usage sensible. Plateforme Mistral en région Europe, ou cloud qualifié SecNumCloud (Outscale, S3NS, Numspot à venir).
CDC dès juin 2026 (Numspot) · DINUM (Outscale)
Usage critique. Mistral Small, Codestral 25.01, Devstral, Mixtral déployés en propre. Aucune dépendance éditeur après installation.
BNP Paribas · Veolia (usines sensibles) · SNCF
Pattern transverse universel : plateforme interne multi-LLM où Mistral est l'une des briques aux côtés d'OpenAI, Anthropic, Llama, Gemini. Aucun leader ne s'est mis en dépendance d'un seul modèle.
Mistral n'est plus 100% français depuis ASML (sept. 2025). Chez AXA, la plateforme Mistral tourne sur Azure. La souveraineté tient à l'architecture choisie — pas au logo du modèle.
Mistral elle-même estime à ~90 % les projets GenAI bloqués au prototype (justification du lancement d'AI Studio en oct. 2025). Le passage à l'échelle prend 18 à 24 mois, pas 6.
Échéance AI Act pour les acteurs régulés : août 2026. Étude AMF (févr. 2026) : 90 % des acteurs financiers utilisent l'IA, 28 % n'ont aucune politique de gouvernance écrite.
Cycle modèles : Large 1→2→3 en 24 mois, Codestral 25.01→25.08. Un fine-tuning sur version N devient obsolète sur N+1. Les leaders privilégient RAG + prompt engineering.
Les leaders mesurent en €€€ de création de valeur (BNP : 750 M€ d'ici fin 2026 · SocGen : 500 M€). Pas en nombre de licences distribuées.
L'IA appliquée à un processus inchangé produit le même travail, un peu plus vite, et facture des licences. Le bilan économique tend vers zéro.
Chez les pairs qui ont distribué des dizaines de milliers de licences sans repenser les workflows, le constat est identique : une satisfaction utilisateur élevée — et un ROI macro indétectable. La couche IA s'additionne ; elle ne soustrait rien.
À l'inverse, là où le ROI apparaît — copilote développeur SNCF à +20-40 %, agents métiers no-code Veolia, scoring ESG automatisé BNP Paribas — le travail a été redécoupé, pas seulement assisté.
Cesser d'optimiser des tâches isolées. Repenser le processus métier entier autour de la donnée et de la décision finale.
Ne pas équiper chaque poste. Faire faire à 1 agent IA le travail collectif que 10 personnes répétaient en parallèle.
Embarquer la conformité, le risque et la traçabilité dans le processus, plutôt que les ajouter après coup.
Accepter que certains postes se vident, que d'autres se créent, que les périmètres bougent. Sans cela, pas de ROI net.
Test simple : si un cas d'usage IA peut être déployé sans que personne ne change sa façon de travailler — il ne créera pas de valeur. Il faut le retoucher, ou l'abandonner.
Le rôle ne change pas : protéger le Groupe. Mais les manières, le rythme, les outils et les compétences, eux, doivent bouger autant que ceux des métiers.
Une Direction des risques qui demande aux autres de réinventer leurs processus sans réinventer les siens perdra rapidement sa légitimité d'arbitre. Elle deviendra le point de friction au lieu d'être le point d'équilibre.
La bonne nouvelle : la transformation des risques mobilise les mêmes leviers que les métiers — données, IA, redécoupage des processus, automatisation des contrôles. C'est un avantage à exploiter.
Trois questions (usage, données, preuve), quatre placements (encadrer, sanctuariser, expérimenter, standardiser). Rédigée pour être utilisable par les métiers, pas seulement par les risques.
Automatiser ce qui peut l'être : journalisation, traçabilité d'usage IA, classification des données, suivi des exceptions. La direction des risques devient consommatrice d'IA, pas seulement régulatrice.
Comité IA générative inter-filiales (cf. SNCF, AXA). Rythme bi-mensuel. Décisions à 90 jours, pas à 18 mois. Suppression des arbitrages implicites par défaut.
Recruter et former 5 à 10 profils data/IA/architecture intégrés à la fonction risques. Sans cela, la fonction restera dépendante des métiers pour challenger les métiers.
L'objectif n'est pas d'ajouter une couche de gouvernance, ni de distribuer des licences IA. C'est d'aider le Groupe — et la Direction des risques avec lui — à décider vite, prouver bien, et créer de la valeur réelle.
Trois questions, quatre placements. Opposable aux métiers, à la DSI, aux risques.
Un cas Pilotage sur Numspot. Un agent IA bout-en-bout. Un dispositif de contrôle automatisé pour les risques.
Comité IA inter-filiales, métrologie de valeur, transformation des risques engagée en parallèle.