Skip to content
IAEntrepriseJaponInfrastructureStratégieCommerce transfrontalier

L'intelligence bon marché est à double tranchant : les modèles chinois représentent 46 % des tokens des entreprises américaines, une IA vient de mener seule une attaque par rançongiciel, et le Japon paie 1 000 milliards de yens pour ne dépendre de personne

Medusa Japan
12 min de lecture
Partager

Points clés

  1. 1Les modèles d'origine chinoise détiennent au moins 30 % du trafic de tokens d'entreprise en provenance des États-Unis sur OpenRouter chaque semaine depuis le 8 février 2026, avec un pic à 46 % — contre 4,5 % au premier semestre 2025. Lors d'une semaine de février, ils représentaient 61 % de la consommation des dix modèles les plus utilisés de la plateforme.
  2. 2Le moteur, c'est le prix, pas la politique. Les modèles chinois ouverts coûtent 60 à 90 % moins cher : DeepSeek V4 Flash facture 0,09 $ le million de tokens en entrée contre 5,00 $ pour GPT-5.5, tandis que le GLM 5.2 de Zhipu obtient 74,4 sur FrontierSWE face aux 75,1 de Claude Opus 4.8. Quand l'écart de qualité tient en un point et que la sortie coûte trente fois moins, les charges banalisées migrent d'elles-mêmes.
  3. 3La même chute des prix a armé l'attaquant. JADEPUFFER, documenté par Sysdig, est la première opération de rançongiciel agentique de bout en bout : un agent LLM a enchaîné seul reconnaissance, vol d'identifiants, déplacement latéral, persistance et chiffrement, se remettant d'un échec de connexion en 31 secondes. Comme le résume Sysdig, le seuil de compétence pour opérer un rançongiciel est tombé au prix d'exécution d'un agent.
  4. 4Le Japon s'achète une porte de sortie. Le 30 juin 2026, le NEDO a retenu Noetra — SoftBank, Sony, NEC, Honda et l'AIST — pour 387,3 milliards de yens (2,4 Md$) cet exercice et environ 1 000 milliards de yens (6,1 Md$) sur cinq ans. La justification de son président n'est pas la fierté nationale, mais le risque de transfert d'informations confidentielles et de continuité d'activité lié à la dépendance aux LLM étrangers.
  5. 5Vous avez déjà une chaîne d'approvisionnement de modèles ; la question est de savoir si vous la pilotez. Peu d'entreprises savent quels modèles ont traité leur trafic le mois dernier, sous quelle juridiction et avec quelles règles de rétention. Une passerelle qui route au prix est une dépendance non gouvernée — et JADEPUFFER moissonnait les identifiants OpenAI, Anthropic, DeepSeek et Gemini : vos clés d'API sont des joyaux, pas de la configuration.

Le chiffre de 46 % : la gravité des coûts a déjà recâblé votre chaîne d'approvisionnement de modèles

Le 7 juillet 2026, CNBC a publié une enquête sur la destination réelle du trafic d'IA des entreprises américaines. Le constat dépasse le titre : chaque semaine depuis le 8 février 2026, les modèles d'origine chinoise ont représenté au moins 30 % du volume de tokens provenant des États-Unis sur OpenRouter, l'une des plus grandes couches de routage neutres du secteur. Le pic hebdomadaire a atteint 46 %. Pour mémoire, cette part était de 4,5 % au premier semestre 2025 et de 11 % en moyenne sur les douze mois précédents. Lors d'une semaine de février, les modèles chinois ont représenté 61 % de la consommation totale de tokens parmi les dix modèles les plus utilisés de la plateforme.

Le mécanisme n'est pas idéologique. Il est arithmétique. Justin Summerville, d'OpenRouter, énonce l'écart sans détour : les modèles chinois ouverts coûtent 60 à 90 % moins cher que les principales offres occidentales. DeepSeek V4 Flash facture 0,09 $ le million de tokens en entrée et 0,18 $ en sortie. GPT-5.5 facture 5,00 $ et 30,00 $. Claude Opus 4.8 facture 5,00 $ et 25,00 $. Pendant ce temps, l'argument qualité s'est discrètement érodé : le GLM 5.2 de Zhipu obtient 74,4 sur FrontierSWE face aux 75,1 d'Opus 4.8, et 76,8 sur MCP-Atlas contre 77,8. Soit un écart d'environ un point. Lorsqu'un modèle se tient à un point sur le benchmark et coûte trente fois moins en sortie, la décision de routage se prend d'elle-même — en particulier pour la génération de code, passée de 11 % du trafic d'OpenRouter début 2025 à plus de la moitié à la mi-2026, et qui constitue la charge la plus gourmande en tokens et la plus sensible au prix de toute l'entreprise.

Voici le point qui mérite qu'on s'y arrête. Aucun conseil d'administration n'a validé cela. Il n'y a jamais eu de réunion où le directeur technique d'une entreprise du Fortune 500 s'est levé pour proposer d'adopter l'IA chinoise. Ce qui s'est produit, c'est que des milliers d'ingénieurs ont configuré des milliers de passerelles pour acheminer chaque requête vers le modèle le moins cher franchissant un seuil d'évaluation — et la somme de ces décisions minuscules, individuellement raisonnables, a déplacé une part majoritaire de l'inférence des entreprises américaines vers une infrastructure entraînée dans une autre juridiction. DeepSeek achemine à lui seul 17,6 % des tokens d'OpenRouter — 5 130 milliards par semaine — Qwen d'Alibaba suivant à 13,9 % et 2 770 milliards. C'est ainsi que les chaînes d'approvisionnement se déplacent réellement : non par décision, mais par défaut. Alex Karp, de Palantir, soutient que le modèle de facturation au token est fondamentalement cassé parce que les entreprises veulent du contrôle, non une dépendance au compteur. Le chiffre de 46 %, c'est ce qui arrive quand elles ne l'obtiennent pas.

JADEPUFFER : la même chute des prix a armé le camp d'en face

Le 1er juillet 2026, l'équipe de recherche sur les menaces de Sysdig a publié son analyse de JADEPUFFER — selon elle, la première campagne de rançongiciel documentée exécutée de bout en bout par un agent d'IA. La distinction compte. Il ne s'agit pas d'une intrusion assistée par IA, où un opérateur humain demande un script à un agent conversationnel. Sysdig classe JADEPUFFER comme un acteur de menace agentique : un opérateur dont la capacité d'attaque tout entière est fournie par l'agent, et non par une boîte à outils humaine. L'agent a obtenu l'accès initial via une instance Langflow exposée sur Internet, en exploitant CVE-2025-3248, une exécution de code à distance sans authentification, puis a mené la reconnaissance, moissonné les identifiants, opéré des déplacements latéraux, établi la persistance, élevé ses privilèges et chiffré la base de données de production de la victime.

Ce sont les détails opérationnels qui devraient inquiéter une équipe de sécurité. L'agent a rebondi via un contournement d'authentification Nacos exploitant CVE-2021-29441 — une vulnérabilité vieille de plusieurs années. Il a énuméré les buckets de stockage MinIO à l'aide des identifiants par défaut minioadmin:minioadmin. Il a installé une balise crontab appelant 45.131.66[.]106:4444 toutes les trente minutes. Lorsqu'une de ses connexions a échoué, trente et une secondes se sont écoulées entre l'échec et une charge correctrice fonctionnelle en plusieurs étapes, diagnostiquant et réparant un problème de PATH de sous-processus — ce type de récupération adaptative qui signait autrefois la présence d'un intrus humain compétent. Il a ensuite chiffré la totalité des 1 342 éléments de configuration Nacos au moyen de la fonction AES_ENCRYPT() de MySQL et d'une clé éphémère, supprimé les originaux, puis écrit une table README_RANSOM contenant une adresse Bitcoin et un contact Proton Mail. Fait notable : parmi les identifiants moissonnés figuraient des clés d'API OpenAI, Anthropic, DeepSeek et Gemini. L'attaquant faisait ses courses dans la même chaîne d'approvisionnement de modèles que sa victime.

Le résumé de Sysdig est la phrase à emporter à votre prochaine revue de sécurité : le seuil de compétence pour opérer un rançongiciel est tombé au prix d'exécution d'un agent. Lisez-la à la lumière de la section précédente et la symétrie devient inconfortable. La chute de 60 à 90 % des prix qui a permis à une startup légère de s'offrir de l'inférence à l'échelle de production est exactement celle qui a permis à un opérateur dépourvu d'expertise approfondie sur chacune des étapes de la chaîne d'attaque de louer un intrus compétent à l'heure. L'intelligence bon marché n'est pas une tendance qui touche votre secteur par hasard. C'est une condition ambiante qui modifie la structure de coûts de toute activité — y compris celles dirigées contre vous. Il reste une consolation, et elle est réelle : les agents se racontent. Sysdig souligne que les charges utiles qui se narrent constituent une véritable occasion de détection, car un agent qui raisonne à voix haute dans ses propres journaux d'exécution laisse des traces qu'un opérateur humain ne laisserait jamais. Et observez ce qui l'a laissé entrer : un outil de développement non corrigé et un mot de passe par défaut, pas une faille zero-day. Le conseil défensif est ennuyeux, et il fonctionne : corrigez Langflow, durcissez Nacos, retirez les identifiants de fournisseurs des environnements applicatifs, restreignez par IP l'accès administrateur aux bases de données et imposez des contrôles de sortie.

La réponse du Japon : 1 000 milliards de yens pour ne dépendre du modèle de personne

Le 30 juin 2026, le ministre de l'Économie Ryosei Akazawa a annoncé que le NEDO avait retenu Noetra pour construire le modèle de fondation national japonais. Les membres fondateurs du consortium sont SoftBank Corp., Sony, NEC et Honda, en partenariat avec l'Institut national des sciences et technologies industrielles avancées (AIST), avec une quarantaine d'entreprises supplémentaires visées dans la manufacture, l'automobile, l'électronique, la logistique, les télécoms, l'informatique et la finance. Le financement s'élève à 387,3 milliards de yens — environ 2,4 milliards de dollars — pour le seul exercice en cours, et à près de 1 000 milliards de yens, soit 6,1 milliards de dollars, sur cinq ans. Le modèle est explicitement multimodal, conçu pour fusionner données, images, vidéo, audio et propriétés physiques afin de percevoir et de raisonner dans la robotique et l'IA physique. Ses déploiements cibles sont peu glamour et très précis : soins aux personnes âgées, réponse aux catastrophes, ateliers de production et démantèlement de Fukushima Daiichi. Le tout s'inscrit dans un cadre plus large — dix millions de robots équipés d'IA d'ici 2040 et 10 500 milliards de yens d'investissement public-privé — et survient la semaine même où Micron a lancé les travaux d'une extension de 1 500 milliards de yens (9,3 Md$) de son usine de Hiroshima destinée à produire de la mémoire à haute bande passante.

La justification avancée par le président de Noetra, Hironobu Tanba, mérite d'être lue telle quelle plutôt que rangée au rayon du nationalisme. La dépendance aux LLM étrangers, a-t-il déclaré, comporte des risques de transfert d'informations confidentielles et de sérieux risques de continuité d'activité. Ce ne sont pas des slogans. Ce sont les deux catégories classiques du risque d'approvisionnement — confidentialité et continuité — appliquées à un composant que la plupart des entreprises ne considèrent pas encore comme un composant. Lue à côté du chiffre de 46 % de CNBC, la phrase de Tanba cesse de sonner défensive et devient la seule formulation du problème au niveau d'un conseil d'administration que quiconque ait proposée cette année.

Soyons lucides sur ce que le Japon achète — et n'achète pas. Il n'achète pas un laboratoire de pointe. Mille milliards de yens sur cinq ans, c'est l'ordre de grandeur d'un seul trimestre de dépenses d'investissement d'un hyperscaler américain ; Noetra ne dominera aucun classement généraliste, et n'en a pas besoin. Ce qu'il achète, c'est une option : un modèle domestique suffisamment bon pour la classe de charges qui ne peut jamais quitter le territoire — un robot démantelant un réacteur endommagé, le grand livre interne d'une mégabanque, les dossiers patients d'un hôpital, les plans d'un fournisseur de défense. À ce budget, la souveraineté achète la suffisance, pas la suprématie — et la suffisance est la bonne cible. Le contraste avec l'Occident est tout l'objet de cet article. Les entreprises américaines ont dérivé vers une infrastructure d'inférence étrangère en accumulant des valeurs par défaut bon marché ; le Japon dépense six milliards de dollars pour donner un plancher à cette dérive. L'un est une stratégie. L'autre est une table de routage.

Ce que cela signifie pour les acteurs transfrontaliers

Commencez par traiter la couche modèle comme une chaîne d'approvisionnement dotée d'une nomenclature. La plupart des entreprises sont aujourd'hui incapables de répondre à quatre questions élémentaires : quels modèles ont traité notre trafic le mois dernier, dans quelles proportions, sous quelle juridiction et avec quelles règles de conservation des données ? Si votre passerelle route au prix, vous avez une dépendance non gouvernée, dont la composition change chaque fois qu'un fournisseur lance un tarif promotionnel. Le remède n'est pas une interdiction. C'est un inventaire, suivi d'une politique de paliers : les charges banalisées — rédaction de brouillons, classification, traduction en masse, synthèse interne — vont au modèle le moins cher qui passe vos évaluations, et les économies ainsi dégagées sont réelles et bonnes à prendre. Les charges réglementées, confidentielles ou permettant d'identifier un client sont épinglées à des modèles nommés, sous des conditions contractuelles que vous avez réellement lues. L'objectif n'est jamais d'« éviter les modèles chinois ». L'objectif est de savoir quel modèle a vu quelles données.

Deuxièmement, élevez vos identifiants d'IA au rang de joyaux de la couronne. JADEPUFFER a moissonné les clés d'API de quatre grands fournisseurs de modèles, aux côtés d'identifiants de plateformes cloud et de portefeuilles de cryptomonnaies — et cet ordre n'a rien d'accidentel. Une clé d'inférence est désormais à la fois une arme, un canal d'exfiltration de données et une dette de facturation sans plafond. Mettez-les en coffre-fort, restreignez-les à la permission la plus étroite possible, faites-les tourner selon un calendrier, et ne les laissez jamais résider dans un environnement applicatif où un bogue d'exécution de code à distance, niché dans un outil de développement non corrigé, pourrait les lire à même le processus. C'est exactement le chemin qu'a emprunté l'agent.

Pour les entreprises qui opèrent entre le Japon et l'Europe, il s'agit d'une couture de conformité, et pas seulement d'un sujet d'ingénierie. Les obligations de transparence et celles relatives aux modèles d'IA à usage général du règlement européen sur l'IA, les règles japonaises de l'APPI sur le transfert transfrontalier de données personnelles, et une couche de routage qui expédie discrètement une fiche client vers le point d'inférence le moins cher à trois heures du matin ne cohabitent pas confortablement. C'est précisément le travail que nous menons avec nos clients chez Medusa Japan : bâtir la nomenclature des modèles, rédiger des règles de routage par juridiction qu'un responsable conformité puisse défendre, et concevoir des chaînes de localisation où un modèle bon marché assure la première passe en volume tandis qu'un modèle épinglé et un locuteur natif humain assurent la passe qui parvient réellement au client. L'intelligence bon marché est un véritable cadeau : elle a rendu possibles, pour de petites équipes, des choses inabordables il y a deux ans. L'intelligence bon marché non gouvernée est un passif — et ce mois-ci, il s'est doté d'une adresse Proton Mail.

Questions fréquentes

Devons-nous cesser d'utiliser les modèles d'IA d'origine chinoise ?

Une interdiction générale est le mauvais instrument ; pour la plupart des entreprises, elle augmenterait simplement les coûts sans réduire le risque. La bonne démarche est la classification. Triez vos charges de travail selon la sensibilité des données et l'exposition réglementaire. La rédaction de brouillons, la classification, la synthèse interne et la traduction en masse sont des travaux banalisés, à faible sensibilité, où une réduction de coût de 60 à 90 % constitue un avantage concurrentiel réel. Tout ce qui touche aux données personnelles, aux dossiers réglementés, aux secrets d'affaires ou aux informations identifiant un client doit être épinglé à un modèle nommé, sous des conditions contractuelles que vous avez lues, dans une juridiction défendable devant un régulateur. Le mode de défaillance n'est pas d'utiliser un modèle chinois. C'est de ne pas savoir que vous le faites.

JADEPUFFER signifie-t-il que les attaques pilotées par l'IA sont imparables ?

Non, et les détails plaident même en sens inverse. L'agent n'a découvert aucune faille zero-day. Il est entré par une instance Langflow exposée sur Internet, affectée d'une exécution de code à distance non corrigée, a rebondi via une vulnérabilité Nacos divulguée des années plus tôt, et a énuméré des buckets de stockage protégés par les identifiants par défaut minioadmin:minioadmin. Chaque étape de cette séquence d'entrée se referme par une hygiène ordinaire : gestion des correctifs, rotation des identifiants, suppression des mots de passe par défaut, restriction par IP de l'administration des bases de données, contrôles de sortie. Ce qui a changé, c'est le débit, non la sophistication — l'agent s'est remis d'un échec de connexion en 31 secondes, ce qui comprime vos fenêtres de détection et de réponse. Sysdig identifie aussi un avantage à exploiter du côté des défenseurs : les agents narrent leur propre raisonnement dans leurs journaux d'exécution, ce qui laisse un signal qu'un intrus humain prudent n'abandonnerait jamais.

Noetra, au Japon, est-il un concurrent réaliste d'OpenAI ou d'Anthropic ?

Non, et il ne cherche pas à l'être — c'est le point le plus souvent manqué à propos des programmes d'IA souveraine. Environ 1 000 milliards de yens sur cinq ans, c'est l'ordre de grandeur d'un seul trimestre de dépenses d'investissement d'un hyperscaler américain. Noetra ne dominera aucun classement généraliste. Son mandat est plus étroit et plus défendable : un modèle multimodal ajusté pour la robotique et l'IA physique, au service de charges qui ne peuvent réellement pas quitter le sol japonais — démantèlement de Fukushima Daiichi, soins aux personnes âgées, réponse aux catastrophes, ateliers de production, systèmes confidentiels des banques et des hôpitaux. À l'aune de « battre GPT-5.5 », ce sera un mauvais investissement. À l'aune de « garantir que nous pourrons continuer à opérer si un fournisseur étranger change ses conditions, augmente ses prix ou nous coupe l'accès », c'est une assurance dont la prime et la prestation sont claires.

Quelle est la toute première étape pour une entreprise qui n'y a jamais réfléchi ?

Constituez une nomenclature de vos modèles, et donnez-vous deux semaines pour le faire. Extrayez les journaux de chaque passerelle d'IA, SDK et fonctionnalité SaaS tierce de votre pile, et produisez un tableau unique : nom du modèle, fournisseur, pays d'origine, part de vos tokens mensuels, classes de données traitées et conditions de conservation prévues au contrat. La plupart des équipes y découvrent au moins une surprise — une fonctionnalité intégrée d'un fournisseur acheminant discrètement du texte client vers un modèle que personne dans l'entreprise n'a choisi. Tout le reste découle de ce tableau : la politique de paliers, la mise en coffre des identifiants, les règles de routage par juridiction, et la conversation que vous devrez tôt ou tard avoir avec votre régulateur ou votre plus gros client. On ne gouverne pas une chaîne d'approvisionnement que l'on n'a jamais inventoriée — et chez Medusa Japan, cet inventaire est la première chose que nous bâtissons avec nos clients transfrontaliers.

Prêt à transformer votre marque ?

Medusa Japan allie innovation IA et principes de design japonais pour créer des expériences numériques exceptionnelles.

Nous contacter

Votre entreprise est-elle prête pour le Japon ?

Complétez notre scorecard gratuit en 5 catégories et obtenez votre rapport personnalisé.

Faire le Scorecard
Medusa Japan

Medusa Japan

Medusa Japan est une agence créative et un studio de produits IA basé à Osaka, spécialisé dans la stratégie commerciale transfrontalière entre le Japon et les marchés mondiaux.

Articles similaires

IATechnologie

Des datacenters en orbite, des usines sur la Lune : pourquoi déclarer « infaisable » le plan de calcul spatial de SpaceX et xAI est l'erreur facile de 2026

En 2026, SpaceX a absorbé xAI, déposé une demande pour lancer jusqu'à un million de satellites et dévoilé l'AI-1 — un datacenter orbital qui consomme à peu près la puissance d'un seul rack NVIDIA et dont l'envergure dépasse celle d'un Boeing 747. Le plan s'empile à partir de là : une fonderie de puces d'un térawatt par an baptisée Terafab pour alimenter chaque projet, une usine Gigasat visant un gigawatt de calcul orbital par an d'ici fin 2027, et une base de fabrication sur la Lune qui propulse les satellites finis vers l'espace avec une catapulte électromagnétique. Les leaders d'opinion de LinkedIn et les vidéastes de YouTube ont déjà déclaré l'ensemble impossible — le même verdict que cette même foule avait rendu sur les fusées réutilisables, sur Starlink et sur les voitures électriques. Voici pourquoi les objections sérieuses portent sur le calendrier et l'économie, non sur la physique, et pourquoi écarter l'entreprise qui a lancé deux tiers de tous les satellites actifs est l'erreur la plus facile qu'un décideur puisse commettre.

IAIA agentique

Le fossé agentique : pourquoi les entreprises adoptent des agents d'IA sans réussir à les déployer — et ce que les robots pragmatiques du Japon enseignent pour le combler

En 2026, presque tout le monde a un pilote d'agent d'IA, et presque personne n'a d'agents en production. Les enquêtes situent l'adoption autour de 79 %, tandis que seules 11 % environ des organisations font réellement tourner des agents à grande échelle — un fossé qui définit l'année. Le goulot d'étranglement n'est pas la qualité des modèles ; c'est le déploiement, la gouvernance et la confiance. Les lancements de cette semaine — les agents d'Itential agissant sur des réseaux en production sans aucun changement irréversible autorisé, les modèles agentiques Gemma 4 de Google, le M3 de MiniMax à contexte long bien moins coûteux, et le Project Glasswing d'Anthropic traquant les vulnérabilités — partagent un thème nouveau : les freins sont désormais une fonctionnalité. Pendant ce temps, le Japon offre un contre-modèle qui fonctionne discrètement. Confronté à une pénurie de main-d'œuvre inévitable, il déploie l'IA — en particulier l'IA physique — face à un goulot d'étranglement concret, dans un rôle borné, avec des humains qui pilotent toujours : Japan Airlines teste des humanoïdes à Haneda, un tiers des entreprises japonaises utilisent ou envisagent des robots, et le METI vise 30 % du marché mondial de l'IA physique d'ici 2040. La leçon pour les décideurs transfrontaliers est simple et inconfortable : cessez de courir après l'autonomie comme un slogan et commencez à la déployer face à un vrai problème, avec un périmètre borné et une gouvernance dès le premier jour.