Pour une ETI, l’IA generative n’est plus seulement un sujet d’innovation. Elle touche les droits d’acces, la qualite documentaire, le support aux metiers, la securite, le budget logiciel et la capacite de la DSI a tenir un Run fiable. Le mot-cle azure openai service ETI cache donc une question tres concrete : faut-il commencer par Microsoft 365 Copilot, construire des applications IA avec Azure OpenAI Service, ou garder une option open-source de type Mistral sur AKS ?
La bonne reponse depend rarement du modele seul. Elle depend de vos donnees, de vos usages cibles, de votre maturite Microsoft 365, de votre exposition RGPD et de votre capacite a operer la solution. Dans les missions de cadrage que nous menons, le point dur n’est pas de produire une demonstration convaincante en deux jours. Le point dur est de transformer cette demonstration en service interne mesurable, auditable et maintenable.
La question DSI : Copilot, Azure OpenAI Service ou modele open-source ?
Les trois options ne couvrent pas le meme besoin.
| Option | Meilleur usage | Ce que vous maitrisez | Vigilance DSI |
|---|---|---|---|
| Microsoft 365 Copilot | Productivite individuelle et collective dans Teams, Outlook, Word, Excel, PowerPoint, SharePoint | Licences, perimetres pilotes, gouvernance Microsoft 365, DLP et adoption | Hygiene des droits, partage excessif, conduite du changement, cout par utilisateur |
| Azure OpenAI Service | Applications metier, assistants internes, RAG, automatisation de processus, agents controles | Architecture applicative, reseau, logs, modele de donnees, orchestration, FinOps IA | Donnees sensibles, prompt injection, tests de qualite, supervision, couts de consommation |
| Mistral sur AKS | Besoin d’autonomie, contraintes de souverainete, experimentation controlee, workloads specifiques | Cluster Kubernetes, modele, runtime, GPU, CI/CD, observabilite, MLOps | Charge d’exploitation, performance, securisation, cycle de mise a jour modele |
Microsoft 365 Copilot accelere si vos usages vivent deja dans Microsoft 365. Azure OpenAI Service devient pertinent quand la DSI doit construire une capacite IA integree au SI : portail support, recherche documentaire RAG, assistant commercial connecte au CRM, analyse de tickets, extraction depuis des documents ou copilote pour operations metier. L’approche open-source sur AKS devient credible si votre organisation accepte d’operer un socle IA plus technique, avec une responsabilite accrue sur la securite, la performance et les mises a jour.
Ou M365 Copilot cree de la valeur
M365 Copilot est souvent la porte d’entree la plus lisible pour un comite de direction. Les cas d’usage sont proches du quotidien : preparer une reunion, synthetiser un fil Teams, retrouver des informations dans SharePoint, produire une premiere version de document, aider a traiter des emails ou analyser un classeur.
Mais un pilote Copilot ne doit pas etre lance comme une simple distribution de licences. Il faut d’abord verifier la qualite de la fondation Microsoft 365 : groupes, droits SharePoint, liens anonymes, donnees obsoletes, etiquettes de sensibilite, politiques de retention, DLP, eDiscovery et usage de Microsoft Purview. Copilot respecte les droits de l’utilisateur, ce qui signifie aussi qu’il peut rendre visible un probleme de gouvernance documentaire deja existant.
Pour une ETI, nous recommandons un pilote limite, par exemple 120 a 250 utilisateurs, avec trois familles d’indicateurs : adoption reelle, gains metiers observes et incidents de gouvernance. Les indicateurs utiles sont simples : taux d’activation hebdomadaire, usages par population, exemples de livrables ameliores, temps gagne declare, demandes support, anomalies de permission detectees et corrections realisees.
Quand Azure OpenAI Service devient le bon choix
Azure OpenAI Service est plus adapte lorsque vous voulez industrialiser une application IA. Le sujet n’est plus seulement de discuter avec un assistant, mais de controler une chaine complete : authentification, autorisations, recherche documentaire, appels aux modeles, filtrage de contenu, journalisation, evaluation de la qualite, supervision et cout par usage.
Un cas d’usage typique est l’assistant documentaire interne. L’utilisateur pose une question. L’application verifie son identite, interroge les sources auxquelles il a droit, recupere les passages pertinents, transmet le contexte au modele, applique des controles de securite et renvoie une reponse citee. Cette approche RAG evite de “mettre toutes les donnees dans le modele”. Elle permet de garder une logique d’acces, de tracer les appels et de mesurer la qualite des reponses.
La DSI doit aussi traiter le risque de prompt injection. Une piece jointe, une page web interne ou un document malveillant peut contenir des instructions destinees a contourner les regles de l’assistant. La reponse n’est pas magique : elle combine isolation des outils, filtrage des entrees, separation claire entre instructions systeme et contenu utilisateur, validation des actions, tests adversariaux et revue des logs.
Architecture de reference pour une ETI
Une architecture Azure OpenAI Service pour ETI doit rester lisible. Elle peut etre decoupee en sept blocs.
- Application metier ou portail interne : interface web, Teams app, API interne ou integration dans un outil existant.
- Identite et RBAC : Microsoft Entra ID, groupes, roles applicatifs et controle fin des sources accessibles.
- Reseau prive : Private Endpoint quand le contexte de securite le justifie, segmentation reseau, journalisation et filtrage des sorties.
- Couche RAG : index documentaire, moteur de recherche, embeddings, stockage des metadonnees et citations.
- Azure AI Foundry et Azure OpenAI Service : deploiement des modeles, evaluation, experimentation, controle des versions et passage en production.
- Garde-fous IA : Azure AI Content Safety, filtrage applicatif, moderation des entrees et sorties, detection d’abus.
- Run et FinOps IA : traces, cout par cas d’usage, seuils, alertes, tests de non-regression, tableau de bord qualite.
Ce schema doit etre rapproche de votre trajectoire cloud. Si votre socle Azure est encore en construction, l’article sur la migration cloud Azure donne les points de controle utiles. Si vous exploitez deja des workloads conteneurises, le guide Kubernetes pour l’entreprise aide a evaluer ce qui peut relever d’AKS et ce qui doit rester dans des services manages.
Gouvernance RGPD et securite
Le RGPD ne bloque pas l’IA generative. Il impose de cadrer les finalites, les categories de donnees, les droits d’acces, les durees de conservation, les sous-traitants, les transferts eventuels et la preuve de controle. Pour les usages sensibles, une analyse d’impact peut etre necessaire.
La grille minimale de cadrage tient en six questions :
- Quelles donnees sont autorisees dans les prompts, les pieces jointes et le contexte RAG ?
- Quelles donnees sont exclues par principe : sante, donnees RH sensibles, secrets industriels, informations financieres non publiees ?
- Ou sont stockes les prompts, les reponses, les logs et les evaluations ?
- Qui peut consulter les traces et dans quel objectif ?
- Comment un utilisateur peut-il signaler une reponse erronee, dangereuse ou non conforme ?
- Quel processus retire rapidement une source documentaire obsolete ou trop largement partagee ?
Il faut aussi decider ce qui est journalise. Trop peu de logs rend le Run aveugle. Trop de logs peut creer un nouveau risque de donnees personnelles. La bonne pratique consiste a separer les traces techniques, les metriques de cout, les evaluations de qualite et les contenus utilisateur, avec des durees de conservation explicites.
Alternative open-source : Mistral sur AKS
Une alternative Mistral sur AKS peut avoir du sens si votre ETI a deja une plateforme Kubernetes solide, des competences MLOps et une exigence forte de controle. Elle permet de tester des modeles open-source, d’adapter le runtime, de maitriser plus directement les dependances et de rapprocher certaines charges de donnees internes.
Elle n’est pas automatiquement moins chere. Il faut compter les GPU, le dimensionnement, l’optimisation inference, la securisation du cluster, le monitoring, les mises a jour de modeles, les tests de performance, la haute disponibilite et l’astreinte. En pratique, cette option se justifie si elle repond a une contrainte d’architecture, de souverainete, de confidentialite ou de differenciation produit. Pour un simple assistant bureautique, elle ajoute souvent trop de complexite.
Budget de cadrage sur 12 mois
Les chiffres ci-dessous donnent un ordre de grandeur pour arbitrer, pas un devis. Les prix Microsoft doivent etre confirmes avec votre contrat, votre devise, vos remises et vos plans eligibles.
| Perimetre | Hypothese 12 mois | Ordre de grandeur |
|---|---|---|
| Pilote Microsoft 365 Copilot | 120 a 250 utilisateurs. La page publique Microsoft consultee le 19 mai 2026 affiche une offre Microsoft 365 Copilot Business a partir de 18 USD par utilisateur et par mois en paiement annuel. | 25 920 a 54 000 USD avant taxes, remises et eventuels prerequis de plan |
| Azure OpenAI Service | Cadrage, prototype, industrialisation, securite, observabilite, formation Run | 90 000 a 220 000 EUR la premiere annee |
| Consommation Azure OpenAI et observabilite | Tokens, recherche, stockage, supervision, environnements de test | 10 000 a 60 000 EUR selon volumes |
| Mistral sur AKS | GPU, plateforme Kubernetes, MLOps, securite, optimisation inference, Run | 120 000 a 260 000 EUR la premiere annee |
Le bon arbitrage est rarement “le moins cher a l’achat”. Il faut comparer le cout total de possession et le risque operationnel. M365 Copilot a un cout licence visible. Azure OpenAI Service a un cout projet et consommation. Mistral sur AKS a un cout d’ingenierie et d’exploitation plus marque.
Plan d’action sur 30 jours
Un cadrage efficace peut tenir en 30 jours si le perimetre est ferme.
Semaine 1 - Cadrage. Selectionnez trois cas d’usage maximum. Classez les donnees, identifiez les utilisateurs pilotes, fixez les criteres de succes et validez les contraintes RGPD. C’est le bon moment pour mobiliser DSI, RSSI, juridique, DPO et metiers.
Semaine 2 - Architecture. Choisissez la trajectoire : M365 Copilot, Azure OpenAI Service ou option AKS. Dessinez le flux de donnees, les controles d’acces, les logs, les garde-fous et le modele FinOps. Verifiez les prerequis Microsoft 365 si Copilot est dans le perimetre.
Semaine 3 - Build. Construisez un prototype limite mais realiste. Integrez les sources documentaires, les droits, les tests de reponse, le filtrage de contenu et les metriques de cout. Refusez les demonstrations qui contournent la securite pour aller plus vite.
Semaine 4 - Run. Organisez la revue de securite, les tests utilisateurs, la documentation d’exploitation, le tableau de bord et les decisions de passage a l’echelle. Le livrable attendu n’est pas seulement une application : c’est une capacite IA exploitable.
Ce que Doveaia installe dans le Run
Notre approche Cadrage -> Build -> Run vise a eviter deux ecueils : un pilote IA spectaculaire mais non exploitable, ou une gouvernance si lourde qu’aucun usage ne sort. Nous travaillons avec la DSI et les metiers pour transformer les cas d’usage en architecture, puis en service opere.
Dans un projet Azure OpenAI Service ETI, le Run doit contenir au minimum :
- un registre des cas d’usage IA et de leurs proprietaires ;
- une matrice donnees / risques / controles ;
- des tests de qualite et de securite rejouables ;
- une politique de logs et de retention ;
- un tableau de bord FinOps IA ;
- un processus de revue des prompts, sources et modeles ;
- un mode de traitement des incidents et retours utilisateurs.
Cette discipline permet de repondre a la question du comite de direction : “peut-on deployer l’IA sans perdre le controle ?” La reponse est oui, si l’architecture et l’exploitation sont pensees des le cadrage.
Sources Microsoft consultees
- Azure OpenAI Service et Microsoft Foundry Models : https://learn.microsoft.com/en-us/azure/foundry-classic/openai/faq
- Reseau prive et Private Endpoint pour Azure OpenAI : https://learn.microsoft.com/en-us/azure/foundry-classic/openai/how-to/network
- Azure Private Link : https://learn.microsoft.com/en-us/azure/private-link/
- Azure AI Content Safety : https://learn.microsoft.com/en-us/azure/ai-services/content-safety/overview
- Donnees, confidentialite et securite Microsoft 365 Copilot : https://learn.microsoft.com/en-us/microsoft-365/copilot/microsoft-365-copilot-privacy
- Licences Microsoft 365 Copilot : https://learn.microsoft.com/en-us/microsoft-365/copilot/microsoft-365-copilot-licensing
- Plans et prix Microsoft 365 Copilot : https://www.microsoft.com/en-us/microsoft-365-copilot/pricing
Nous ne retenons donc pas comme fait publie l’affirmation “Azure AI Foundry GA Q1 2026” sans source Microsoft officielle verifiee.
Conclusion
Pour une ETI, le bon demarrage IA generative n’est pas un choix binaire entre Copilot et API. M365 Copilot peut accelerer les usages collaboratifs si la gouvernance Microsoft 365 est propre. Azure OpenAI Service permet de construire des applications metier securisees si l’architecture est cadree. Mistral sur AKS apporte plus de controle, mais aussi plus de responsabilite operationnelle.
La decision doit etre prise par cas d’usage, avec une lecture DSI : donnees, securite, cout, Run, adoption et valeur metier. C’est cette trajectoire qui transforme l’IA generative en capacite durable, pas seulement en experimentation.