Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Coût des risques internes : révéler la menace de 19,5 millions de dollars qui pèse en interne

Coût des risques internes : révéler la menace de 19,5 millions de dollars qui pèse en interne

par Patrick Spencer updated mars 12, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Les discussions sur la cybersécurité ont souvent tendance à se concentrer sur des scénarios spectaculaires : acteurs étatiques, failles zero-day, infiltration de la supply chain. Ces menaces existent et méritent toute notre attention. Mais il existe un problème plus banal, et nettement plus coûteux, qui touche la plupart des organisations au quotidien, comme le démontre le rapport DTEX/Ponemon sur les risques internes 2026 avec des chiffres très précis.

Points clés à retenir

  1. La négligence est la catégorie de menace interne la plus coûteuse. Le rapport DTEX/Ponemon 2026 révèle que les collaborateurs négligents représentent 53 % du coût total des risques internes, soit 10,3 M$ par an, en hausse de 17 % sur un an. Le problème ne vient pas du collaborateur mécontent qui part avec des données, mais de l’employé bien intentionné qui va trop vite, utilise les mauvais outils et crée des failles qui ne sont jamais enregistrées.
  2. Les applications fantômes sont le nouveau canal de fuite de données. Les employés copient régulièrement des documents internes, du code source, des documents juridiques ou des stratégies d’entreprise dans des outils publics non approuvés. Seulement 18 % des organisations ont pleinement intégré la gouvernance de l’IA à leur programme de gestion des risques internes, ce qui signifie que la majorité n’a aucune visibilité réelle sur les données qui sortent—ni sur leur destination.
  3. Le coût moyen des risques internes atteint désormais 19,5 M$ par organisation—et continue d’augmenter. En hausse par rapport à 17,4 M$ en 2024 et 16,2 M$ en 2023, cette tendance ne montre aucun signe de ralentissement. La phase de confinement reste le principal poste de dépense, avec 247 587 $ par incident. La rapidité du confinement fait la différence entre un incident maîtrisé et une catastrophe financière.
  4. Les agents IA sont déjà dans votre périmètre—et la plupart des programmes de gestion des risques internes ne les prennent pas en compte. Seules 19 % des organisations considèrent les agents IA comme des risques internes équivalents aux employés, alors que 44 % s’attendent déjà à ce que l’utilisation malveillante de ces mêmes agents fasse exploser le vol de données. Les définitions n’ont pas encore suivi le rythme des déploiements.
  5. Les programmes investissant dans la gestion des risques internes évitent en moyenne 8,2 M$ de coûts de violation par an. Les organisations dotées de programmes formels évitent environ sept incidents par an. La gestion des accès à privilèges offre la plus forte réduction de coûts, à hauteur de 6,1 M$. Le retour sur investissement n’est pas théorique—il est documenté et reproductible.

En 2025, une organisation type a dépensé 19,5 M$ pour gérer les risques internes. Ce chiffre était de 17,4 M$ en 2024 et 16,2 M$ en 2023. Ce n’est pas une anomalie ponctuelle, mais une tendance de fond. Et ce qui l’alimente—ce que le rapport met clairement en évidence—ce n’est pas une vague d’employés malveillants. C’est un phénomène bien plus difficile à contrer : des personnes ordinaires, qui font simplement leur travail, mais prennent des décisions qui génèrent des niveaux de risque exceptionnels.

Le rapport s’appuie sur les données de 354 entreprises et 7 490 incidents internes. Il couvre tout le spectre des risques internes—du collaborateur négligent qui colle des données sensibles dans un outil public à l’employé malveillant qui exfiltre délibérément de la propriété intellectuelle. Ce qui en ressort, c’est une réalité de la sécurité des données que la plupart des organisations préfèrent éviter : le vecteur de violation le plus coûteux dans votre environnement est probablement déjà une personne de confiance, accréditée et active.

La négligence coûte plus cher que la malveillance

Lorsqu’on parle de risques internes, l’instinct pousse à se focaliser sur l’acteur malveillant—l’employé qui revend des données, le prestataire qui vole du code source, le cadre mécontent qui part avec la liste des clients. Ces cas existent, ils sont graves et représentent un risque financier réel. Mais ce n’est pas là que part la majorité des budgets.

Les collaborateurs négligents représentent 53 % du coût total des risques internes, soit 10,3 M$ par an, en hausse de 17 % sur un an. Un incident de négligence coûte en moyenne 747 107 $. On en dénombre 13,8 par organisation sur la période étudiée. La négligence—et non la malveillance—est le principal facteur de coût dans les programmes de gestion des risques internes, tous secteurs confondus. DTEX identifie trois causes majeures : le partage de fichiers non contrôlé, l’utilisation de webmails personnels et les applications fantômes—des outils adoptés par les employés sans visibilité ni contrôle de la DSI.

En 2026, un incident de négligence n’est pas forcément le fait d’une personne qui cherche à contourner la sécurité. Il s’agit souvent d’un collaborateur qui veut simplement aller plus vite. Il doit faire relire un document, résumer un rapport volumineux ou partager une information avec un client avant une échéance. La friction entre les exigences de sécurité et les impératifs opérationnels est bien réelle, et lorsque ces deux forces s’opposent, la sécurité cède souvent du terrain.

Le confinement représente le poste de coût le plus important, à 247 587 $ par incident, contre 39 728 $ pour l’escalade. Cet écart n’est pas dû au hasard. Il reflète la difficulté à localiser, évaluer et corriger des incidents qui n’ont jamais été enregistrés. Lorsque les données circulent via des canaux non approuvés, la traçabilité indispensable au confinement fait tout simplement défaut.

Les applications fantômes : votre plus grand risque de conformité

Les applications fantômes sont désormais la principale cause d’incidents internes par négligence selon le rapport DTEX. Les employés copient des documents internes, des documents juridiques, du code source, des schémas d’architecture ou des stratégies d’entreprise dans des outils publics comme ChatGPT, Gemini, Perplexity ou Grok. Ces transferts se font au niveau applicatif, en dehors du périmètre des contrôles DLP traditionnels, générant des flux de données incontrôlés qui échappent à l’entreprise, sans journalisation, sans consentement et sans les accords de traitement des données exigés par les référentiels de conformité.

L’exposition à la non-conformité est directe. Selon le RGPD, le CCPA, l’HIPAA et un nombre croissant de cadres sectoriels, les organisations ont des obligations précises sur la façon dont les données personnelles sont traitées, leur destination et les personnes qui y accèdent. Lorsqu’un collaborateur colle un contrat contenant des informations personnelles identifiables dans un outil public, ces données sont partagées avec un tiers dans des conditions que l’organisation ne pourra presque jamais documenter. Si un régulateur demande une preuve de traitement licite, il n’y en a pas. Si une demande d’accès ou de suppression est formulée, l’organisation ne saura même pas où sont parties les données.

Le rapport DTEX pointe les preneurs de notes IA comme une catégorie particulièrement à risque dans ce contexte. Ces outils enregistrent, transcrivent et stockent souvent le contenu des réunions—qui comprend fréquemment des informations personnelles identifiables, des données sensibles ou des échanges confidentiels. Sans contrôle d’accès cohérent, sans limite de conservation définie ni accord de traitement formel, ces preneurs de notes IA deviennent des silos de données non surveillés, hors de tout périmètre de conformité raisonnable.

92 % des organisations reconnaissent que les outils génératifs ont profondément modifié la façon dont les employés accèdent à l’information et la partagent, mais seules 13 % l’ont intégré formellement à leur stratégie d’entreprise. 73 % redoutent que l’utilisation non autorisée d’outils crée des canaux de fuite invisibles. Seules 18 % ont pleinement intégré la gouvernance de l’IA à leur programme de gestion des risques internes. C’est dans cet écart—entre inquiétude et action—que s’accumule silencieusement le risque de non-conformité, jusqu’à ce qu’il explose.

Le périmètre interne est devenu bien plus complexe

La définition d’un « interne » a toujours été simple : une personne disposant d’un accès autorisé aux systèmes, aux données ou aux locaux de l’organisation. Cette définition est aujourd’hui remise en cause, et la plupart des programmes de gestion des risques internes ne s’y sont pas encore adaptés.

19 % des organisations ont déployé des agents autonomes dans leurs processus quotidiens. Ces outils accèdent aux systèmes de l’entreprise, travaillent de façon autonome et, dans de nombreux cas, contournent totalement les contrôles et la journalisation traditionnels. Ils utilisent des identifiants, accèdent aux données et réalisent des actions à fort enjeu pour la sécurité et la conformité. Et tout cela, sans les signaux comportementaux que les programmes de gestion des risques internes humains sont conçus pour détecter. Le problème, c’est que la plupart des cadres de gestion des risques internes définissent encore « interne » en termes humains. Seules 19 % des organisations considèrent les agents IA comme des internes à part entière du point de vue de la gouvernance des risques, alors que 44 % anticipent déjà une hausse significative du vol de données lié à leur utilisation malveillante.

DTEX cite des navigateurs agentiques et des agents d’exécution de tâches déjà observés dans des environnements d’entreprise, réalisant des actions pour le compte d’utilisateurs et contournant l’infrastructure de journalisation sur laquelle les organisations s’appuient pour la détection et la preuve de conformité. Lorsqu’un agent autonome accède à des données sensibles, la traçabilité exigée par les référentiels de conformité peut tout simplement ne pas exister. L’accès a eu lieu. Les données ont été consultées ou transférées. Mais l’événement ne ressemble en rien à ce que les systèmes de surveillance traditionnels sont conçus pour détecter.

Ce n’est pas un problème hypothétique. Les organisations ayant déjà déployé des agents pour des raisons de productivité opèrent déjà dans cette zone grise. Les programmes de gestion des risques internes fondés sur l’analyse comportementale humaine ne couvrent pas nativement les entités non humaines, et les enjeux de conformité liés à cette lacune s’amplifient à mesure que les déploiements augmentent.

Le coût d’un confinement lent est mesurable

L’un des enseignements majeurs du rapport DTEX concerne la relation entre la rapidité du confinement et le coût total des incidents. Cette relation est directe et significative.

Les organisations qui parviennent à contenir les incidents internes en moins de 30 jours dépensent en moyenne 14,2 M$ par an pour la gestion des risques internes. Celles où le confinement dépasse 90 jours dépensent 21,9 M$. Cet écart de 7,7 M$ n’est pas dû à des incidents plus graves, mais au facteur temps. Le confinement, à 247 587 $ par incident, est le principal poste de dépense dans la gestion des risques internes. Chaque jour supplémentaire sans confinement alourdit la facture.

L’évolution des budgets dans les données DTEX le confirme sous un autre angle. La part du budget sécurité consacrée aux risques internes est passée de 8,2 % en 2023 à 19 % en 2025. Dans le même temps, la durée moyenne de confinement est passée de 86 à 67 jours, soit une réduction de 17 %. Investir davantage dans la gestion des risques internes permet d’accélérer le confinement, ce qui réduit de façon mesurable le coût total.

Parmi les outils qui offrent la meilleure réduction de coûts, les données DTEX sont instructives. La gestion des accès à privilèges arrive en tête avec 6,1 M$ d’économies annuelles, suivie par l’analyse comportementale et l’intelligence comportementale (5,1 M$), la formation et la sensibilisation des utilisateurs (4,8 M$) et les SIEM (4,6 M$). La formation et la sensibilisation sont les outils les plus déployés (83 %), mais leur impact financier reste inférieur de moitié à celui des contrôles d’accès à privilèges. Les organisations qui privilégient la couverture au détriment de l’impact financier laissent beaucoup d’argent sur la table.

Conséquences pour votre programme de conformité

Les implications du rapport DTEX en matière de conformité se concentrent sur trois axes : la visibilité sur les flux de données, la gouvernance de l’IA et la documentation des incidents.

Sur la visibilité des flux de données, le problème fondamental est que les organisations ne peuvent pas prouver la conformité du traitement des données pour des flux qu’elles ne voient pas. Les plateformes de partage de fichiers non surveillées, les webmails personnels et les outils non approuvés qui traitent des données sensibles hors des environnements maîtrisés créent tous un risque réglementaire dans les cadres exigeant un contrôle documenté sur la circulation des données et les accès. Le principe de responsabilité du RGPD, les exigences du CCPA pour les prestataires et la règle du minimum nécessaire de l’HIPAA supposent tous que les organisations sachent cartographier leurs flux de données. Les applications fantômes rendent cette cartographie au mieux incomplète.

Concernant la gouvernance de l’IA, les données DTEX chiffrent l’écart : 92 % des organisations reconnaissent que les outils génératifs ont profondément changé la façon dont les employés partagent l’information, mais seules 13 % ont intégré l’IA à leur stratégie d’entreprise et 18 % à leur gestion des risques internes. L’AI Act européen, les référentiels sectoriels financiers et l’évolution des contrôles sur la prise de décision automatisée convergent vers un renforcement de la surveillance de l’usage des outils IA par les employés—une surveillance pour laquelle les organisations sans cadre de gouvernance sont mal préparées.

Sur la documentation des incidents, l’enjeu de la conformité ne se limite pas à la prévention. Il s’agit aussi de pouvoir démontrer ce qui s’est passé, qui était impliqué et quelles mesures ont été prises. Les outils à plus fort impact financier—gestion des accès à privilèges et analyse comportementale—sont aussi ceux qui génèrent les journaux d’audit et les preuves forensiques exigés lors des enquêtes de conformité. Investir dans la gestion des risques internes, c’est aussi investir dans l’infrastructure documentaire sur laquelle repose la responsabilité réglementaire.

Ce que votre programme doit changer

Le rapport DTEX 2026 ne décrit pas un nouveau paysage de menaces. Il décrit un environnement familier, mais devenu plus complexe, où les outils à disposition des employés ont pris de vitesse les cadres de gouvernance censés les encadrer, et où les référentiels de conformité exigent désormais une traçabilité des flux de données que la plupart des programmes ne peuvent pas garantir.

Les programmes efficaces dans cet environnement ne sont pas ceux qui multiplient les contrôles, mais ceux qui offrent la meilleure visibilité—sur la circulation des données, les accès et les comportements à risque avant qu’ils ne se transforment en incidents. Cette visibilité permet d’accélérer le confinement, de documenter la conformité et de déterminer si une organisation dépense 14,2 M$ ou 21,9 M$ par an pour ses risques internes.

Trois ajustements améliorent sensiblement l’efficacité des programmes selon DTEX. Premièrement, élargissez la définition de « risque interne » aux agents autonomes disposant d’identifiants et d’accès aux données. Deuxièmement, privilégiez la visibilité au blocage—bloquer les outils populaires pousse les employés vers des alternatives encore plus difficiles à surveiller, sans éliminer le comportement sous-jacent. Troisièmement, comblez le fossé d’intégration de la gouvernance IA. Si la gouvernance de l’IA reste en dehors du programme de gestion des risques internes, l’organisation fonctionne avec un angle mort structurel qui s’agrandit à mesure que l’usage de ces outils progresse.

Les organisations qui combleront ces lacunes en 2026 ne réduiront pas seulement le coût de leurs incidents. Elles seront mieux armées pour prouver le contrôle documenté des flux de données que les référentiels réglementaires exigent de plus en plus. Les autres continueront de découvrir leur exposition de la manière la plus coûteuse qui soit—incident après incident.

Foire aux questions

Les organisations sans programme formel de gestion des risques internes supportent l’intégralité du coût de chaque incident. Le rapport DTEX/Ponemon 2026 montre que les organisations dotées de programmes formels évitent environ sept incidents et 8,2 M$ de coûts de violation par an. Le coût annuel moyen des risques internes a atteint 19,5 M$ par organisation en 2025—contre 17,4 M$ l’année précédente. Le confinement est le principal poste de dépense, à 247 587 $ par incident, et les incidents contenus en moins de 30 jours coûtent 7,7 M$ de moins par an que ceux qui dépassent 90 jours.

Les collaborateurs négligents sont le principal facteur de coût dans tous les secteurs, selon le rapport DTEX/Ponemon 2026, représentant 53 % du coût total des risques internes, soit 10,3 M$ par an. Un incident de négligence coûte en moyenne 747 107 $, avec 13,8 incidents par organisation sur la période étudiée. Les principaux facteurs de négligence sont les applications fantômes, le partage de fichiers non surveillé et les webmails personnels—il ne s’agit pas de contournement délibéré des règles, mais d’employés qui cherchent à gagner du temps dans leur quotidien.

Les applications fantômes exposent directement les organismes de santé à des risques HIPAA, car les données transférées vers des outils non gérés ne bénéficient pas des accords de traitement, des contrôles de conservation et des journaux d’audit exigés par HIPAA. Le rapport DTEX identifie les applications fantômes comme principal facteur d’incidents internes par négligence, les employés copiant régulièrement des documents internes—y compris des données patients—dans des outils publics. Seules 18 % des organisations ont pleinement intégré la gouvernance de l’IA à leur gestion des risques internes, la plupart étant incapables de documenter la conformité du traitement de ces flux.

Les agents autonomes ayant accès aux données créent des obligations de responsabilité SOX et RGPD que la plupart des cadres actuels de gestion des risques internes ne prennent pas en compte. Le rapport DTEX 2026 met en évidence un déficit structurel de gouvernance : seules 19 % des organisations considèrent les agents comme des risques internes équivalents aux employés, alors que 44 % anticipent une hausse significative du vol de données lié à leur utilisation malveillante. Les agents contournent la journalisation traditionnelle, ce qui signifie que les traces d’accès, la documentation du traitement et les preuves de contrôle exigées par les référentiels de conformité peuvent ne pas exister.

La rapidité du confinement a un impact direct et mesurable sur le coût annuel total des risques internes, selon le rapport DTEX/Ponemon. Les organisations qui contiennent les incidents en moins de 30 jours dépensent 14,2 M$ par an pour la gestion des risques internes ; celles où le confinement dépasse 90 jours dépensent 21,9 M$—soit une différence annuelle de 7,7 M$. Les organisations ayant augmenté la part du budget dédiée aux risques internes de 8,2 % à 19 % entre 2023 et 2025 ont réduit la durée moyenne de confinement de 86 à 67 jours, démontrant que l’investissement dans la maturité du programme améliore directement la rapidité du confinement.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks