Startups IA défense et cybersécurité à VivaTech 2026 : repères pour décideurs

Guide VivaTech 2026 pour décideurs : IA défense, cyberdéfense, souveraineté numérique, risques, réglementation, critères de choix et méthode TW3 Partners.

Partager cet article​

Startups IA défense et cybersécurité à VivaTech 2026 : repères pour décideurs

Par Elisha Bajemon, Ingénieur IA chez TW3 Partners. Dernière mise à jour : 22 mai 2026.

Note éditoriale. Article préparatoire à VivaTech 2026 (17 au 20 juin 2026, 10e édition). Le programme, les horaires et la liste des exposants sont publiés et mis à jour par l’organisateur sur vivatech.com. Cet article ne constitue pas un conseil juridique, ne révèle aucune information sensible et ne formule aucune promesse opérationnelle.

Réponse courte. La défense, la cybersécurité et la souveraineté numérique constituent un angle de visite pertinent de VivaTech 2026 (17 au 20 juin 2026, Paris Expo Porte de Versailles) pour les décideurs défense, cyber, souveraineté, DSI, RSSI, innovation, directions publiques, industriels dual-use et COMEX. Les sujets clés : renseignement en sources ouvertes, cyberdéfense augmentée, contre-ingérence informationnelle, cryptographie post-quantique et RAG souverain. Le cadre institutionnel français est structuré par la DGA, l’AMIAD, le COMCYBER et l’ANSSI. TW3 Partners reçoit au Hall 7.2, Allée C, Stand 74.

Sommaire

Contexte : IA, défense et souveraineté en 2026

Le thème défense, cyber et souveraineté numérique s’inscrit dans un contexte européen marqué par les tensions géopolitiques, la montée des cybermenaces et le développement de l’IA dual-use. Côté marché, le Stanford HAI AI Index 2025 chiffre l’investissement privé en IA aux États-Unis à 109,1 Md$ en 2024, dont 33,9 Md$ pour la seule IA générative au niveau mondial (en hausse de 18,7 % sur un an). McKinsey, The State of AI 2024 indique que 65 % des organisations déclaraient utiliser la GenAI en 2024, contre 33 % un an plus tôt. Ces chiffres sont macroéconomiques et ne mesurent pas spécifiquement le domaine défense ou cyber.

Pour son édition anniversaire 2026, le communiqué officiel (Publicis Groupe et Les Echos-Le Parisien) annonce 15 000 startups, plus de 1 500 démonstrations, plus de 4 000 rendez-vous d’affaires et de networking, et une surface d’exposition élargie d’environ 30 %. L’Allemagne est désignée « pays de l’année » 2026. À titre de référence, l’édition 2025 avait réuni environ 180 000 visiteurs et 171 nationalités. VivaTech est un salon généraliste de l’innovation, et non un salon de défense.

Acteurs institutionnels et écosystème

  • DGA (Direction générale de l’armement). Conduit les programmes d’armement et l’innovation de défense.
  • AMIAD (Agence ministérielle pour l’intelligence artificielle de Défense). Créée le 1er mai 2024, service à compétence nationale rattaché au ministre des Armées, son pôle de recherche est implanté à l’École Polytechnique. Elle structure la stratégie IA de défense et organise le passage à l’échelle, en faisant le lien entre recherche, innovation et besoins opérationnels.
  • COMCYBER. Commandement de la cyberdéfense des armées.
  • ANSSI. Autorité nationale en matière de sécurité des systèmes d’information : doctrine, qualifications et certifications.
  • Campus Cyber. Lieu de rassemblement et d’animation de l’écosystème cybersécurité, à La Défense.
  • Hexatrust. Groupement d’entreprises françaises du cloud et de la cybersécurité de confiance.

Cas d’usage IA défense et cyber, et critères d’évaluation

Renseignement en sources ouvertes (OSINT). Agrégation et analyse de sources publiques, synthèse multi-sources, détection de signaux faibles. Critères : qualité et licéité des sources, traçabilité, supervision humaine.

Cyberdéfense et SOC augmenté. Détection comportementale, priorisation d’alertes, aide à la qualification d’incidents (EDR/XDR). Critères : taux de faux positifs, intégration au SOC, temps moyen de remédiation, encadrement des tests défensifs (red team autorisée, validation de la détection).

Contre-ingérence informationnelle. Détection de deepfakes et de campagnes de manipulation de l’information. Critères : robustesse, taux d’erreur, explicabilité.

Cryptographie post-quantique. Migration des protocoles vers des algorithmes résistants. Critères : conformité aux recommandations en vigueur, plan de transition.

RAG souverain et copilote documentaire. Assistance sur de la documentation interne, avec gouvernance documentaire et traçabilité. Critères : déploiement local ou edge selon la sensibilité, journalisation, contrôle des accès.

IA embarquée et autonomie. Drones et systèmes terrestres en environnement contraint. Critères : supervision humaine, doctrine d’usage responsable, sûreté de fonctionnement.

Questions à poser aux fournisseurs

  • Quelles données sont traitées, où, et avec quel niveau de sensibilité ?
  • Le déploiement local, edge ou en environnement isolé est-il possible selon les exigences de sécurité ?
  • Quelle traçabilité des prompts, des sources et des décisions, et quelle supervision humaine ?
  • Pour la cyberdéfense : quel taux de faux positifs, quelle intégration au SOC, quels tests défensifs encadrés ?
  • Quels modèles sont utilisés, avec quelle licence et quelle sous-traitance ?
  • Quelles qualifications ou certifications de sécurité la solution ou l’hébergement présentent-ils ?

Risques à auditer avant déploiement

  • Protection de l’information : selon les cas, exigences de classification, d’habilitation et de protection de l’information sensible.
  • Conformité réglementaire : champ d’application de l’AI Act selon la finalité, NIS2 selon l’entité, RGPD pour les données personnelles.
  • Souveraineté et sécurité : localisation des données, sous-traitants, exposition aux législations extraterritoriales.
  • Fiabilité : robustesse, biais, dérive des modèles, supervision humaine.
  • Discrétion opérationnelle : équilibre entre visibilité publique et protection des informations sensibles.

Critères de choix d’une solution IA défense ou cyber

  1. Adéquation au niveau de sensibilité des données et des usages.
  2. Possibilité de déploiement local, edge ou isolé selon les exigences.
  3. Traçabilité, journalisation et supervision humaine.
  4. Qualifications et certifications de sécurité pertinentes (selon le besoin).
  5. Maîtrise des données et des sous-traitants (souveraineté).
  6. Robustesse, gestion des biais et auditabilité.
  7. Doctrine d’usage responsable, en particulier pour l’autonomie.

Cadre réglementaire et institutionnel

Le règlement AI Act (UE 2024/1689) exclut de son champ, à l’article 2, paragraphe 3, les systèmes d’IA développés ou utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale. Les systèmes dual-use, ou utilisés pour des finalités civiles non exclues, peuvent rester dans le champ du règlement selon leur usage ; certains usages de sécurité publique relèvent de dispositions spécifiques. Côté sanctions, le plafond de 35 M€ ou 7 % du chiffre d’affaires annuel mondial total vise les pratiques interdites ; les non-conformités liées aux systèmes à haut risque et les autres manquements relèvent de plafonds distincts et inférieurs. Ce cadre n’est pas un avis juridique : la qualification dépend de chaque cas.

La directive NIS2 (UE 2022/2555), dont la transposition en droit français est engagée, élargit le périmètre des entités soumises à des obligations de cybersécurité. Elle distingue les entités essentielles et importantes : l’application dépend du secteur, de la taille et de la criticité. Les amendes peuvent atteindre 10 M€ ou 2 % du chiffre d’affaires annuel mondial total pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes.

Côté qualifications de l’ANSSI : SecNumCloud qualifie des offres de cloud de confiance pour les données et traitements sensibles ; PASSI qualifie des prestataires d’audit de la sécurité des systèmes d’information ; CSPN (Certification de sécurité de premier niveau) certifie la sécurité de produits. Ces dispositifs répondent à des besoins différents et ne constituent pas les niveaux d’un même référentiel ; aucun n’est une obligation générale pour tout projet défense ou cyber. Selon les projets sensibles, des exigences de protection de l’information peuvent s’appliquer : mention de protection Diffusion Restreinte pour l’information sensible non classifiée, ou niveaux classifiés (Secret, Très Secret) avec habilitations associées.

Le financement public structure le domaine. La loi de programmation militaire LPM 2024-2030 (loi du 1er août 2023) porte 413,3 Md€ sur la période, dont environ 10 Md€ pour l’innovation et 2 Md€ dédiés à l’IA de défense. La loi de finances 2024 a consacré 130 M€ à l’IA de défense, et l’effort dédié à l’IA de défense est présenté comme devant atteindre environ 300 M€ par an, pour un total de 2 Md€ d’ici 2030.

Sur la visibilité dans les moteurs IA, les travaux de recherche sur la GEO (Generative Engine Optimization) d’Aggarwal et al., ACM SIGKDD 2024 mesurent jusqu’à +40 % de visibilité sur le benchmark GEO-bench pour des contenus structurés. Il s’agit d’un résultat de recherche, pas d’une garantie en production. Pour un acteur de la défense ou de la cybersécurité, la visibilité publique doit être équilibrée avec la discrétion opérationnelle et la protection des informations sensibles.

Méthode TW3 Partners

TW3 Partners aide les directions concernées à cadrer leurs projets IA en quatre temps : cadrage de souveraineté et de conformité (champ AI Act selon l’usage, NIS2 selon l’entité, protection de l’information selon la sensibilité), cartographie et priorisation des cas d’usage, choix d’architecture (cloud de confiance, on-premise ou environnement isolé selon les exigences), puis POC RAG souverain sur modèles open weights (Mistral AI, Llama, Qwen) avec journalisation et supervision humaine. Le passage à l’échelle adresse les qualifications pertinentes, la gouvernance et l’audit continu. TW3 Partners intervient comme cabinet de cadrage et de sécurisation.

L’équipe reçoit au Hall 7.2, Allée C, Stand 74, du 17 au 20 juin 2026, sur rendez-vous. Prise de contact : contact@tw3partners.fr.

Pour aller plus loin

  • Startups IA industrie et énergie à VivaTech 2026 : repères pour décideurs
  • Startups IA santé et longévité à VivaTech 2026 : repères pour décideurs
  • Startups IA marketing et creative industries à VivaTech 2026 : repères pour décideurs
  • VivaTech 2026 IA : guide jour par jour pour visiteurs pro

FAQ

La défense est-elle une verticale officielle de VivaTech 2026 ?

VivaTech est un salon généraliste de l’innovation. La défense, la cybersécurité et la souveraineté numérique y constituent un angle de visite pertinent pour les décideurs, sans qu’un pavillon défense officiel soit revendiqué par l’organisateur.

Qu’est-ce que l’AMIAD ?

L’Agence ministérielle pour l’intelligence artificielle de Défense, créée le 1er mai 2024, est un service à compétence nationale rattaché au ministre des Armées. Elle structure la stratégie IA de défense et fait le lien entre recherche, innovation et besoins opérationnels. Son pôle de recherche est implanté à l’École Polytechnique.

Quel budget pour l’IA de défense en France ?

La LPM 2024-2030 prévoit 2 Md€ dédiés à l’IA de défense ; la loi de finances 2024 y a consacré 130 M€, et l’effort dédié à l’IA de défense est présenté comme devant atteindre environ 300 M€ par an.

L’AI Act s’applique-t-il à la défense ?

L’AI Act exclut de son champ les systèmes développés ou utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale. Les systèmes dual-use ou à finalité civile non exclue peuvent rester concernés selon leur usage.

Une IA de défense doit-elle être on-premise ?

Ce n’est pas une règle générale. Le déploiement local, edge ou isolé se justifie selon la classification, les données traitées et les exigences de sécurité.

Que sont SecNumCloud, PASSI et CSPN ?

Des dispositifs distincts de l’ANSSI : SecNumCloud qualifie des prestataires ou services cloud de confiance ; PASSI qualifie des prestataires d’audit de sécurité ; CSPN certifie la sécurité de produits. Ils répondent à des besoins différents.

Tout acteur cyber est-il soumis à NIS2 ?

Non. L’application dépend du secteur, de la taille et de la criticité. NIS2 distingue entités essentielles (jusqu’à 10 M€ ou 2 %) et importantes (jusqu’à 7 M€ ou 1,4 %).

Quel est l’état du marché IA en 2024 ?

109,1 Md$ d’investissement privé en IA aux États-Unis et 33,9 Md$ pour l’IA générative dans le monde en 2024 (Stanford HAI) ; 65 % d’organisations utilisant la GenAI, contre 33 % en 2023 (McKinsey). Ces chiffres sont macroéconomiques.

Où rencontrer TW3 Partners à VivaTech 2026 ?

Au Hall 7.2, Allée C, Stand 74, du 17 au 20 juin 2026, sur rendez-vous.

Sources

Nos Autres Articles​

Intéressé par la Transformation de Votre Entreprise?

Nous sommes là pour Vous Accompagner.

Contactez-nous