Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les entreprises avancent à l’aveugle dans la crise de la sécurité liée à l’IA (et les chiffres le prouvent)

Les entreprises avancent à l’aveugle dans la crise de la sécurité liée à l’IA (et les chiffres le prouvent)

par Tim Freestone updated février 24, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Une analyse portant sur près d’un trillion de transactions révèle une réalité inquiétante : les organisations adoptent l’IA plus vite qu’elles ne parviennent à la sécuriser, et les attaquants exploitent déjà cet écart.

La grande fracture de la sécurité de l’IA

Un phénomène étrange touche la technologie d’entreprise. Les sociétés se précipitent pour déployer des outils d’IA, intégrer le machine learning à leurs processus et automatiser tout, du service client au développement de code. Pourtant, lorsque des chercheurs en sécurité ont décidé de tester la résistance de ces systèmes face à de véritables attaques, ils ont découvert un constat alarmant : chaque système d’IA d’entreprise examiné présentait des vulnérabilités critiques.

Ce n’est pas une erreur. Taux d’échec de 100 %.

Le rapport 2026 sur la sécurité de l’IA de Zscaler ThreatLabz a analysé près d’un trillion de transactions d’IA et de machine learning dans environ 9 000 organisations tout au long de l’année 2025. Ce qu’ils ont découvert brosse le portrait d’un secteur fonçant droit dans le mur tout en appuyant sur l’accélérateur.

Le délai médian avant la première faille critique lors des tests de red team n’était que de 16 minutes, et 90 % des systèmes étaient compromis en moins de 90 minutes. Dans le cas le plus extrême documenté, les défenses se sont effondrées en une seconde.

Regardez cette chronologie. Les équipes de sécurité mesurent généralement leur temps de réponse en heures ou en jours. Les attaquants, eux, mesurent désormais la compromission en minutes.

Cinq points clés à retenir

1. Toutes les IA d’entreprise testées présentaient des vulnérabilités critiques

Les tests de red team de Zscaler ont révélé des failles critiques dans 100 % des systèmes d’IA d’entreprise analysés, avec un délai médian avant la première faille critique de seulement 16 minutes. Dans le cas le plus extrême, les défenses ont été contournées en une seconde, prouvant que les systèmes d’IA s’effondrent presque instantanément face à des conditions adverses réelles.

2. 18 000 téraoctets de données d’entreprise transférés vers des plateformes d’IA

Les transferts de données d’entreprise vers les applications d’IA et de ML ont bondi de 93 % sur un an pour atteindre 18 033 téraoctets, transformant des outils comme Grammarly et ChatGPT en immenses réservoirs d’informations stratégiques. Cette exposition a généré 410 millions de violations de politiques de prévention des pertes de données rien que pour ChatGPT, incluant des tentatives de partage de numéros de sécurité sociale, de code source et de dossiers médicaux.

3. L’IA fantôme contourne les contrôles de sécurité d’entreprise

Environ 77 % des employés collent des données dans des outils d’IA générative, et 82 % de cette activité s’effectue via des comptes personnels totalement hors du contrôle de l’entreprise. Les systèmes traditionnels de prévention des pertes de données n’ont pas été conçus pour les usages de copier-coller, laissant les équipes de sécurité aveugles à la majorité des transferts de données sensibles.

4. Les applications d’IA ont quadruplé, la visibilité s’est effondrée

Le nombre d’applications générant des transactions d’IA/ML a explosé pour dépasser 3 400, soit une multiplication par quatre en un an, laissant de nombreuses organisations sans inventaire de leurs modèles d’IA actifs ou des fonctionnalités embarquées. La finance et l’assurance sont en tête de l’adoption de l’IA avec 23 % du trafic total, tandis que la technologie et l’éducation ont vu leur volume de transactions croître de plus de 200 %.

5. L’IA agentique permet des cyberattaques à la vitesse de la machine

Les agents autonomes d’IA émergent à la fois comme nouvelle menace interne et comme multiplicateur de puissance pour les attaquants, capables de mener reconnaissance, exploitation et déplacement latéral à une vitesse que les outils de sécurité classiques ne peuvent égaler. Les défenseurs doivent désormais partir du principe que les attaques peuvent évoluer et s’adapter à la vitesse de la machine, alors que les équipes de sécurité mesurent encore leur réponse en heures face à des menaces qui compromettent les systèmes en quelques minutes.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

18 000 téraoctets d’intelligence d’entreprise qui s’échappent

Le volume de données transférées vers les systèmes d’IA atteint des proportions vertigineuses. Les transferts de données d’entreprise vers les applications d’IA et de machine learning ont bondi à 18 033 téraoctets en 2025, soit une hausse de 93 % sur un an. Pour donner un ordre de grandeur, cela équivaut à environ 3,6 milliards de photos numériques d’informations d’entreprise injectées dans des plateformes d’IA externes.

Où vont toutes ces données ? Des outils comme Grammarly ont absorbé 3 615 téraoctets de contenu d’entreprise, tandis que ChatGPT en a reçu 2 021. Ces plateformes sont devenues de véritables réservoirs d’intelligence d’entreprise, stockant tout, des documents stratégiques au code source en passant par les données clients.

Le problème ne réside pas dans l’utilisation des outils d’IA par les employés. Le problème, c’est la manière dont ils les utilisent—et ce qu’ils partagent sans en mesurer les conséquences.

L’ampleur de ce risque se mesure à travers 410 millions de violations de politiques de prévention des pertes de données rien que pour ChatGPT, incluant des tentatives de partage de numéros de sécurité sociale, de code source et de dossiers médicaux.

Quatre cent dix millions de violations. Pour une seule application.

Le problème de l’IA fantôme dont personne ne veut parler

Environ 77 % des employés collent des données dans des outils d’IA générative, et 82 % de cette activité se fait via des comptes personnels échappant totalement à la supervision de l’entreprise. Cela signifie que la majorité des transferts de données sensibles se produisent complètement hors des contrôles de sécurité de l’entreprise.

Les conclusions du rapport rejoignent celles d’autres études du secteur, qui montrent que 68 % des employés utilisent des outils d’IA gratuits comme ChatGPT via des comptes personnels, et que 57 % y saisissent des données sensibles.

Les systèmes traditionnels de prévention des pertes de données ont été conçus pour détecter les fichiers envoyés ou téléchargés. Ils n’ont pas été pensés pour l’ère du copier-coller, où un employé sélectionne un texte confidentiel et le colle dans un chatbot accessible depuis son compte Gmail personnel.

Le risque le plus immédiat lié à l’IA générative est la forte augmentation de l’exposition des données, le taux de violations de politiques de données ayant doublé l’an dernier avec l’usage des applications de genAI.

Ce n’est pas une crainte théorique. C’est mesurable, en pleine accélération, et cela touche tous les secteurs.

IA embarquée : la menace invisible

Au-delà des applications d’IA évidentes comme ChatGPT et les assistants de code, un problème plus insidieux se profile. Les fonctions d’IA sont désormais intégrées directement dans les logiciels d’entreprise du quotidien—souvent activées par défaut et opérant sans que l’utilisateur en soit conscient.

Ces fonctions d’IA embarquées créent ce que les chercheurs appellent un « multiplicateur de risques silencieux ». Elles héritent des autorisations surdimensionnées de leur application hôte, peuvent ingérer du contenu métier depuis des systèmes connectés et instaurent de nouvelles frontières de confiance difficiles à auditer, voire à détecter.

Parmi toutes les plateformes analysées, Atlassian est l’une des principales sources d’activité d’IA embarquée, ce qui reflète l’usage généralisé de fonctions dopées à l’IA dans ses outils phares, comme Jira et Confluence.

Quand votre outil de gestion de projet résume discrètement les tickets grâce à l’IA, ou que votre plateforme documentaire génère automatiquement des suggestions de contenu, des informations sensibles peuvent être transférées vers des systèmes d’IA par des canaux que votre équipe sécurité n’a même pas envisagés.

Résultat ? Beaucoup d’organisations n’ont toujours pas d’inventaire des modèles d’IA actifs et des fonctions embarquées, et ignorent donc où leurs données sensibles sont exposées.

L’explosion des 3 400 applications

Le nombre d’applications générant des transactions d’IA et de ML a quadruplé en un an pour dépasser 3 400, augmentant la complexité et réduisant la visibilité centralisée.

Cette prolifération rapide laisse de nombreuses organisations sans cartographie claire des modèles d’IA qui interagissent avec leurs données, ni des chaînes d’approvisionnement qui les sous-tendent. Les équipes de sécurité jouent littéralement à la taupe face à un problème exponentiel.

L’activité d’IA en entreprise a augmenté de 91 % sur un an à travers plus de 3 400 applications. La finance et l’assurance restent les secteurs les plus utilisateurs d’IA en volume (23 % du trafic IA/ML), tandis que la technologie et l’éducation enregistrent des croissances explosives de 202 % et 184 % respectivement.

Les départements d’ingénierie représentent 48,9 % de l’usage total de l’IA en entreprise, suivis par l’IT (31,8 %) et le marketing (6,9 %). Les plus gros utilisateurs sont donc précisément ceux qui ont accès aux données clients et à la propriété intellectuelle les plus sensibles.

Quand les machines attaquent à la vitesse de la machine

C’est ici que la situation passe de préoccupante à véritablement alarmante.

Le rapport Moody’s 2026 sur les perspectives cyber signale une intensification des cyberattaques pilotées par l’IA, y compris des malwares adaptatifs et des menaces autonomes, à mesure que les entreprises adoptent l’IA sans garde-fous suffisants.

L’émergence de l’« IA agentique »—des systèmes autonomes capables d’exécuter des tâches complexes sans supervision humaine—change fondamentalement le paysage des menaces. Selon Palo Alto Networks, les agents d’IA représentent la nouvelle menace interne pour les entreprises en 2026, car l’IA agentique devient une cible de choix pour les attaquants et se révèle vulnérable à l’exploitation.

Nous avons dépassé l’ère des chatbots passifs pour entrer dans celle des agents autonomes. Ce changement bouleverse la donne pour les organisations, transformant l’IA d’un simple générateur de contenu en un acteur actif de l’infrastructure capable d’exécuter du code et de modifier des données.

Les outils de sécurité traditionnels ont été conçus pour détecter les anomalies dans les comportements humains. Un agent d’IA qui exécute parfaitement du code 10 000 fois de suite paraît normal pour ces systèmes. Pourtant, cet agent peut très bien exécuter les commandes d’un attaquant.

Au plus fort d’une attaque orchestrée par l’IA, l’agent a généré des milliers de requêtes, souvent plusieurs par seconde—une cadence impossible à égaler pour un pirate humain.

Les acteurs malveillants utilisent les modèles pour générer des leurres crédibles dans toutes les langues, modifier chaque charge utile pour chaque cible et exploiter des bases de données volées à une échelle inégalable manuellement.

Les conséquences pour les défenseurs sont claires : il n’est plus possible de supposer que les attaques se dérouleront à vitesse humaine. Les équipes de sécurité qui mesurent leur temps de réponse en heures font face à des menaces capables de compromettre un système en quelques minutes.

La solution à 39 % (qui n’en est pas une)

Les organisations savent qu’il faut agir. L’étude Zscaler révèle que les entreprises ont bloqué environ 39 % des transactions IA/ML pour des raisons d’exposition de données, de confidentialité et de conformité.

D’un côté, cela montre que les équipes sécurité agissent. De l’autre, cela révèle l’ampleur du problème : si quatre transactions IA sur dix sont considérées comme à risque, c’est qu’il y a un problème de fond dans la façon dont les entreprises abordent l’adoption de l’IA.

Les outils les plus utilisés par les employés—Grammarly, ChatGPT, Copilot, assistants de code—sont aussi ceux qui sont le plus bloqués et qui manipulent le plus de données sensibles. Ces applications sont au cœur des processus quotidiens, ce qui les rend à la fois essentielles et dangereuses.

Le réveil réglementaire

OpenAI a écopé d’une amende de 15 millions d’euros infligée par l’autorité italienne de protection des données pour avoir entraîné ses modèles sur des données personnelles sans base légale claire et sans vérification d’âge adéquate. La première vague d’application du règlement européen sur l’IA s’intensifie en 2026, alors que le cadre de conformité pour les systèmes à haut risque devient pleinement applicable.

Ce n’est plus seulement un problème technique. C’est un problème réglementaire. Les organisations qui déploient des systèmes d’IA sans cadre de gouvernance adéquat risquent jusqu’à 35 millions d’euros d’amende ou 7 % du chiffre d’affaires mondial au titre du règlement européen sur l’IA, en plus des sanctions RGPD existantes.

Les violations DLP documentées dans le rapport Zscaler—tentatives de partage de données de santé réglementées, de dossiers financiers ou d’informations personnelles identifiables via des plateformes d’IA—correspondent exactement au type d’activité qui déclenche des enquêtes de conformité.

Ce qui fonctionne vraiment

Le secteur de la sécurité converge autour de plusieurs principes clés pour relever ce défi.

Premièrement, la visibilité. Impossible de sécuriser ce que l’on ne voit pas. Les organisations doivent disposer d’un inventaire précis de chaque application d’IA, fonctionnalité embarquée et modèle interagissant avec leurs données. Cela inclut les outils d’IA fantôme utilisés par les employés via des comptes personnels.

Deuxièmement, considérer le trafic IA comme un domaine de sécurité critique. La plupart des entreprises n’ont pas de vision globale des applications et services IA utilisés, y compris les outils de genAI, les environnements de développement IA, les IA embarquées dans les SaaS, les modèles, agents et l’infrastructure sous-jacente. La sécurité périmétrique traditionnelle ne suffit pas lorsque la menace réside dans la fuite de données par des canaux légitimes.

Troisièmement, les tests continus. Les 16 minutes de compromission relevées lors des exercices de red team prouvent que les systèmes d’IA échouent très vite dans des conditions adverses. Ce n’est pas un problème de test ponctuel, mais un besoin de validation permanente.

Quatrièmement, l’hygiène des autorisations. Les outils et agents d’IA doivent fonctionner selon le principe du moindre privilège, comme les utilisateurs humains. Un assistant IA chargé de la planification n’a pas besoin d’accéder à la base clients.

Cinquièmement, des points de contrôle humains pour les décisions à fort enjeu. Un agent ne devrait jamais pouvoir transférer des fonds, supprimer des données ou modifier des règles d’accès sans validation humaine explicite.

La vérité qui dérange

L’IA est passée d’un outil de productivité à un vecteur principal de conflits autonomes à la vitesse de la machine.

Ce n’est pas un slogan marketing. C’est ce que révèlent près d’un trillion de transactions sur la sécurité de l’IA aujourd’hui.

Les organisations qui relèguent la sécurité de l’IA au second plan—à traiter une fois les gains de productivité acquis—s’exposent à des incidents qui se déroulent plus vite que la capacité de réaction de leurs équipes.

Les entreprises qui sauront gouverner l’IA à grande échelle sans la bloquer auront un avantage concurrentiel. Les autres devront expliquer aux régulateurs, clients et actionnaires comment 18 000 téraoctets de données d’entreprise ont pu se retrouver là où elles n’auraient jamais dû aller.

Comme le souligne Jay Chaudhry, CEO et fondateur de Zscaler : « L’IA change la façon dont les entreprises fonctionnent, mais les approches de sécurité traditionnelles n’ont pas été conçues pour sécuriser l’IA. Les dirigeants recherchent une solution globale—pas une accumulation d’outils ponctuels. »

Le temps presse pour prendre de l’avance sur ce problème. Les attaquants peuvent désormais automatiser la majorité d’une intrusion sans expertise humaine. Les entreprises qui n’adoptent pas des défenses automatisées dopées à l’IA seront dépassées par des menaces qui évoluent plus vite que tout modèle de sécurité traditionnel.

Le choix n’est pas entre adopter l’IA et rester sécurisé. Il s’agit d’adopter l’IA avec une gouvernance adaptée, ou d’avancer à l’aveugle vers une crise déjà en cours.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo sans attendre !

Foire aux questions

Le rapport ThreatLabz 2026 sur la sécurité de l’IA est une analyse annuelle publiée par Zscaler le 27 janvier 2026, qui examine les usages de l’IA en entreprise et les vulnérabilités de sécurité. Le rapport analyse 989,3 milliards de transactions d’IA et de machine learning dans environ 9 000 organisations utilisant la plateforme Zscaler Zero Trust Exchange entre janvier et décembre 2025.

Selon les tests de red team de Zscaler, le délai médian avant la première faille critique dans les systèmes d’IA d’entreprise était de seulement 16 minutes, et 90 % des systèmes étaient compromis en moins de 90 minutes. Dans le cas le plus extrême documenté, les défenses ont été contournées en une seconde, prouvant que les systèmes d’IA échouent très vite en conditions adverses.

Les transferts de données d’entreprise vers les applications d’IA et de ML ont atteint 18 033 téraoctets en 2025, soit une hausse de 93 % sur un an. Grammarly a reçu 3 615 téraoctets de contenu d’entreprise, tandis que ChatGPT en a absorbé 2 021, faisant de ces plateformes parmi les plus grands réservoirs d’intelligence d’entreprise.

L’IA fantôme désigne l’utilisation non autorisée d’outils d’IA générative via des comptes personnels qui échappent aux contrôles de sécurité de l’entreprise. Les études montrent que 77 % des employés collent des données dans des outils d’IA générative, dont 82 % via des comptes personnels non gérés, créant un angle mort majeur pour les systèmes de prévention des pertes de données et exposant des informations sensibles sans supervision.

La finance et l’assurance sont les secteurs les plus utilisateurs d’IA en volume, représentant 23 % de tout le trafic IA/ML observé dans le rapport. La technologie et l’éducation enregistrent les croissances les plus rapides, avec respectivement 202 % et 184 % d’augmentation sur un an. Les départements d’ingénierie représentent près de la moitié de l’usage de l’IA en entreprise (48,9 %), suivis par l’IT (31,8 %).

L’IA agentique désigne des systèmes autonomes capables d’exécuter des tâches complexes sans supervision humaine, notamment la reconnaissance, l’exploitation et les déplacements latéraux sur les réseaux. Les experts en sécurité alertent sur le fait que l’IA agentique devient un vecteur d’attaque majeur, car elle permet aux cyberattaques de s’adapter et de s’étendre à la vitesse de la machine, dépassant les outils de sécurité classiques conçus pour détecter les anomalies dans les comportements humains.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser des données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide de référence pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks