DSPM vous indique où se trouvent les données. Et ensuite ?

Le DSPM est passé du statut de catégorie émergente à celui d’investissement de sécurité incontournable en dix-huit mois. Selon des analyses récentes, environ 30 % des RSSI britanniques prévoient d’acquérir des solutions DSPM en 2026 pour réduire l’exposition des données dans les environnements cloud, SaaS et sur site. Ce chiffre est cohérent avec les prévisions des analystes et les tendances observées par les administrations locales et régionales.

Résumé des points clés

1. L’adoption du DSPM s’accélère. Près de 30 % des RSSI britanniques achèteront des solutions DSPM en 2026, et les administrations locales suivent la même trajectoire.
2. La découverte crée une obligation documentée. Dès qu’un scan DSPM signale une exposition, l’organisation en a connaissance – et un compte à rebours de remédiation démarre, surveillé par les plaignants, les régulateurs et les auditeurs.
3. Le fossé de gouvernance est plus large que celui de la découverte. 33 % des organisations n’ont pas de journaux d’audit exploitables et 61 % disposent de logs fragmentés. La plupart ne peuvent pas prouver ce qu’elles ont fait des données détectées par le DSPM.
4. La visibilité ne signifie pas le contrôle. Seules 33 % des organisations savent précisément où sont stockées leurs données. Encore moins peuvent gouverner leur circulation via la messagerie électronique, le partage et le transfert de fichiers, SFTP, MFT, formulaires web, API et IA.
5. La réponse passe par une couche de contrôle, pas un scanner supplémentaire. Le DSPM identifie le risque. Seule une couche d’échange de données gouvernée permet d’y remédier – sans cela, les rapports DSPM deviennent des preuves à charge.

StateTech Magazine expliquait en avril 2026 que le DSPM est devenu essentiel pour les agences publiques confrontées à des environnements cloud hybrides et à une pression réglementaire croissante. L’article présente le DSPM comme une « couche de contrôle centrée sur la donnée » qui découvre, classe et surveille en continu les données sensibles dans l’entreprise. Cette approche est importante car elle reflète la véritable valeur ajoutée du DSPM – tout en mettant en lumière ses limites.

Le DSPM vous indique ce que vous possédez, où cela se trouve, qui peut y accéder et où la protection fait défaut. Il ne place pas les données dans un environnement gouverné. Il n’applique pas de règles lorsque ces données sont envoyées à un partenaire, téléchargées sur une application SaaS ou consultées par un agent IA. Il ne génère pas de journaux d’audit exploitables sur la suite des événements. Le marché a compris que les organisations ont besoin de visibilité sur leurs données. La question suivante – à laquelle la plupart des programmes de sécurité n’ont pas encore répondu – est de savoir quoi faire une fois cette visibilité acquise.

C’est là que réside le problème. Le DSPM a résolu la découverte. La plupart des organisations n’ont pas résolu la gouvernance.

Le paradoxe du DSPM : la découverte crée une obligation

Un scan DSPM constitue, sur le plan juridique, un événement de création de connaissance. Avant le scan, une organisation pouvait défendre la posture « nous ignorions la présence de ces données ». Après le scan, cette défense ne tient plus. L’organisation sait précisément où se trouvent les données, qu’elles sont insuffisamment protégées et – si aucune remédiation n’est engagée – n’a pas agi malgré une connaissance documentée.

C’est le cœur de la logique juridique de plus en plus appliquée aux incidents de sécurité des données. L’argument repose sur trois piliers. Connaissance effective. Le DSPM la fournit. L’obligation de protéger s’applique immédiatement. L’aveuglement volontaire est rejeté. Les tribunaux écartent de plus en plus la défense « nous avons choisi de ne pas regarder » lorsque des outils adéquats étaient disponibles mais non utilisés. Le compte à rebours de remédiation démarre. La découverte impose d’agir dans un « délai raisonnable » – quelques jours à quelques semaines pour les données à haut risque, plusieurs mois pour les catégories moins sensibles.

La tendance des contentieux se dessine déjà. Imaginez : un scan DSPM au premier trimestre signale une base de données à haut risque, non chiffrée, contenant des informations personnelles identifiables. Aucune remédiation n’est engagée. Au quatrième trimestre, cette base est compromise. Lors de l’enquête, les plaignants exigent tous les rapports DSPM et les plans de remédiation. La question tombe d’elle-même : « Vous saviez en janvier que cette base n’était pas chiffrée. Qu’avez-vous fait ? » Le délai de neuf mois entre la connaissance documentée et la violation devient la pièce centrale du procès.

Le marquage équivaut à une reconnaissance de connaissance. Si des données marquées sont mal protégées lors d’une violation, l’organisation documente sa propre négligence.

Le fossé de gouvernance est plus large que celui de la découverte

Le problème de la découverte est en passe d’être résolu. Celui de la gouvernance ne l’est pas.

Le rapport prévisionnel 2026 de Kiteworks sur les risques liés à la confidentialité et à la conformité des données, qui a interrogé des organisations de tous secteurs sur leur maturité en gouvernance des données, révèle que 33 % n’ont pas de journaux d’audit exploitables et 61 % disposent de logs fragmentés et inexploitables. Ce même rapport indique que 78 % des organisations ne peuvent pas valider les données entrant dans les pipelines d’entraînement IA, 63 % ne peuvent pas limiter l’usage des agents IA à un objectif précis et 60 % ne peuvent pas désactiver rapidement un agent IA défaillant. Il ne s’agit pas de lacunes en matière de découverte, mais bien de problèmes de gouvernance.

Le rapport Thales Data Threat 2026 aboutit à une conclusion similaire sous un autre angle. Seules 33 % des organisations savent précisément où sont stockées leurs données. À peine 39 % peuvent classifier l’ensemble de leurs données. Parmi les données sensibles hébergées dans le cloud, seulement 47 % sont chiffrées. L’erreur humaine, et non les menaces avancées, est la première cause de violation à 28 %. Même les organisations qui savent où se trouvent leurs données ne peuvent souvent pas prouver les contrôles appliqués.

Le rapport prévisionnel 2026 souligne aussi l’impact opérationnel. Seules 28 % des organisations ont atteint une maturité « Managed » en gouvernance des données – avec des indicateurs définis, une exécution cohérente et une certaine automatisation. Vingt-cinq pour cent s’appuient encore principalement sur des processus manuels ou périodiques de conformité. Dans un contexte réglementaire où l’on attend des preuves en continu, la conformité périodique devient un risque latent.

Ce schéma se répète dans tous les secteurs et toutes les régions. Les organisations savent identifier les risques liés à leurs données. Elles n’ont pas mis en place les contrôles pour les gérer.

Pourquoi les programmes axés uniquement sur la découverte créent des risques sans les réduire

Un programme de sécurité des données basé uniquement sur le DSPM engendre un risque précis : la connaissance documentée d’une exposition sans remédiation prouvée. C’est la pire posture possible pour une organisation. Avant le DSPM, elle pouvait invoquer l’ignorance. Avec le DSPM seul, elle remplace l’ignorance par la preuve d’un risque non traité.

Ce schéma dépasse le cadre des contentieux pour toucher l’environnement réglementaire. Le rapport Thales Data Threat 2026 montre que les écosystèmes SaaS interconnectés et les outils IA autonomes opérant sur les dépôts de code et les données d’entreprise brouillent les frontières juridiques et exigent une application dynamique et continue de la souveraineté des données, et non plus des évaluations ponctuelles par application. Les régulateurs n’acceptent plus une documentation à un instant donné. Ils attendent des organisations qu’elles prouvent un contrôle continu sur la circulation des données – pas seulement sur leur stockage.

La dimension tierce aggrave encore le problème. Le rapport prévisionnel 2026 révèle que 89 % des organisations n’ont jamais testé leur réponse aux incidents avec leurs fournisseurs tiers et 87 % n’ont pas de procédures conjointes. Lorsqu’un partenaire est compromis – et cela arrive –, près de neuf organisations sur dix improviseront leur réponse. Le DSPM peut leur indiquer quelles données sensibles ont été exposées via ce partenaire. Il ne leur dira pas quels contrôles étaient appliqués lors de l’échange, quels journaux d’audit existent ou quelles preuves fournir à un régulateur.

C’est la réalité opérationnelle que le DSPM ne peut résoudre seul. Découvrir sans gouverner n’est qu’une demi-solution. L’autre moitié – celle qui réduit le risque – concerne le traitement des données après le scan.

À quoi ressemble une posture défendable : de la découverte à la gouvernance, jusqu’à la preuve

Un programme de sécurité des données défendable considère le DSPM comme la première étape d’une architecture en quatre phases. Découvrir : identifier où résident les données sensibles, comment elles sont classifiées et où se situent les expositions. Gouverner : placer les données dans un environnement contrôlé où la politique est appliquée de façon cohérente, quel que soit le canal – messagerie électronique, partage et transfert de fichiers, SFTP, MFT, formulaires web, API, intégrations IA. Tracer : générer des journaux d’audit infalsifiables et exploitables pour chaque accès, chaque transfert et chaque décision de politique. Prouver : produire des preuves prêtes à être présentées aux régulateurs et auditeurs, démontrant que l’organisation a agi sur la base de la découverte.

Ces quatre étapes doivent fonctionner dans une seule et même architecture, et non comme une pile d’outils déconnectés. Le rapport prévisionnel 2026 montre que 61 % des organisations disposent d’une infrastructure d’échange de données fragmentée, ce qui explique la fragmentation de leurs journaux d’audit. Impossible de générer une preuve unifiée à partir de cinq systèmes distincts, avec cinq moteurs de politiques et cinq formats de logs différents.

La couche de gouvernance doit aussi s’étendre à la gouvernance des données IA, pas seulement à l’accès humain. Le rapport prévisionnel 2026 indique que seulement 36 % des organisations ont une visibilité sur la gestion des données par leurs partenaires dans les systèmes IA, et 29 % citent la gestion des fournisseurs IA à l’international comme un risque majeur de confidentialité. Les agents IA consomment désormais les mêmes données sensibles identifiées par le DSPM – souvent via des intégrations non gouvernées – et les contrôles qui régissent l’accès humain aux fichiers ne s’appliquent pas toujours à la couche IA.

La tendance est confirmée par les recherches les plus citées. Le rapport mondial CrowdStrike 2026 sur les menaces fait état d’une augmentation de 89 % des attaques menées par des adversaires dopés à l’IA et de 82 % de détections sans malware, les attaquants exploitant le cloud, les SaaS et les systèmes d’identité plutôt que d’injecter du code malveillant. Les attaquants ciblent les données, en passant précisément par les canaux – messagerie électronique, SaaS, plateformes collaboratives, intégrations IA – que les outils DSPM observent sans les gouverner.

L’approche Kiteworks : la couche opérationnelle en aval du DSPM

Kiteworks n’est pas un outil DSPM. Kiteworks intervient après le DSPM : c’est la couche d’échange de données gouvernée qui transforme la découverte en action défendable. Le DSPM indique à l’organisation où se trouvent les données sensibles et où se situent les expositions. Kiteworks fournit l’environnement contrôlé pour y migrer ces données, appliquer une politique cohérente et générer la preuve que l’organisation a agi.

L’architecture est essentielle pour transformer les constats DSPM en actions. Lorsqu’une plateforme DSPM classe un jeu de données comme contenant des informations médicales protégées, des données financières réglementées ou des CUI, ces classifications alimentent Kiteworks en tant qu’entrées de politique. Le moteur de politique de données Kiteworks applique alors les contrôles correspondants à chaque interaction avec ces données – chiffrement au repos et en transit, contrôle d’accès basé sur les rôles et les attributs, politique de rétention, restrictions géographiques de traitement – sur la messagerie électronique, le partage et le transfert de fichiers, SFTP, MFT, formulaires web, API et intégrations IA via le serveur MCP sécurisé Kiteworks et la passerelle de données IA Kiteworks.

Trois propriétés architecturales sont essentielles pour combler le fossé DSPM-gouvernance. Application unifiée des politiques : un moteur unique gouverne tous les canaux d’échange de données, éliminant la fragmentation qui rend les journaux d’audit incohérents. Journaux d’audit infalsifiables et exploitables : chaque opération est consignée dans un journal consolidé qui alimente le SIEM en temps réel, comblant le déficit de 33 % de journaux d’audit et la fragmentation de 61 % relevés dans le rapport prévisionnel 2026. Tableaux de bord de conformité : des reportings préconfigurés font le lien entre les contrôles et les cadres réglementaires (HIPAA, RGPD, CMMC, FedRAMP, SOX, PCI DSS, FISMA, ITAR, etc.), générant à la demande des preuves prêtes pour les auditeurs.

Résultat : le paradoxe du DSPM est résolu. Le rapport DSPM qui signalait des données sensibles non protégées est associé à un dossier de remédiation indiquant quand ces données ont été migrées vers un stockage gouverné, quel chiffrement a été appliqué, qui y a accès et quelle politique de rétention s’applique. Le rapport de scan DSPM cesse d’être le document le plus accablant lors d’un litige et devient la première moitié d’une réponse défendable – complétée par le journal d’audit qui prouve que l’organisation a agi sur la base de la découverte.

Ce que les organisations doivent faire maintenant – sans tout verrouiller

Les organisations qui adoptent le DSPM – ou évaluent leur prochaine étape – doivent considérer ce qui suit comme un programme séquencé, et non une simple liste de contrôle.

Premièrement, considérez le rapport de scan DSPM comme un document juridique dès sa finalisation. Toute donnée signalée par le DSPM devient une connaissance effective. Élaborez un calendrier de remédiation lié à la classification des risques – quelques jours pour les données à haut risque, quelques semaines pour les risques moyens, quelques mois pour les catégories moins sensibles – et documentez chaque action de remédiation selon ce calendrier. La logique juridique est simple : connaissance du risque sans remédiation = négligence caractérisée.

Deuxièmement, auditez l’écart entre découverte et gouvernance. Identifiez quelles conclusions du DSPM alimentent une application automatisée des politiques et lesquelles sont traitées via des processus manuels ou des tickets. Le rapport prévisionnel 2026 indique que 25 % des organisations s’appuient encore sur des processus manuels ou périodiques de conformité – dans un environnement de preuve continue, c’est un point critique.

Troisièmement, consolidez la surface d’échange de données. 61 % des organisations disposent d’une infrastructure d’échange de données fragmentée entre messagerie électronique, partage et transfert de fichiers, SFTP, MFT, formulaires web et API. Chaque fragment correspond à un domaine de politique et à un format de log distinct. Regrouper cette surface dans une seule couche de gouvernance est indispensable pour générer des journaux d’audit exploitables.

Quatrièmement, étendez la gouvernance à l’accès aux données IA. Les agents IA sont aujourd’hui les plus gros consommateurs de données sensibles en entreprise. Selon le rapport prévisionnel 2026, 78 % des organisations ne peuvent pas valider les données entrant dans les pipelines d’entraînement IA et 60 % ne peuvent pas désactiver rapidement un agent IA défaillant. Découvrir sans gouverner l’IA laisse le principal consommateur de données hors du périmètre de contrôle.

Cinquièmement, intégrez les journaux d’audit au SIEM et au reporting de conformité en temps réel. Le rapport Thales Data Threat 2026 montre que seules 33 % des organisations savent précisément où sont stockées leurs données. Des journaux d’audit infalsifiables et en temps réel, alimentant directement le SIEM, permettent de passer d’une preuve périodique à une preuve continue.

Sixièmement, considérez l’échange de données avec les tiers comme une surface de gouvernance à part entière. Le rapport prévisionnel Kiteworks 2026 révèle que 89 % des organisations n’ont jamais testé leur réponse aux incidents avec leurs fournisseurs tiers. Le DSPM peut identifier quels partenaires détiennent quelles données sensibles ; seuls des canaux d’échange gouvernés et des procédures conjointes garantissent la défense de ces échanges en cas de compromission chez un partenaire.

La fenêtre d’action se réduit. Régulateurs, avocats des plaignants et auditeurs convergent vers la même exigence : un contrôle continu et prouvable sur les données sensibles, et non des instantanés périodiques. Les organisations qui considéraient le DSPM comme une finalité découvriront que la finalité a changé.