Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le problème des 31 % : Les lacunes de formation liées à l’IA fantôme deviennent un risque interne

Le problème des 31 % : Les lacunes de formation liées à l’IA fantôme deviennent un risque interne

par Patrick Spencer updated mai 27, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le Rapport mondial DTEX/Ponemon 2026 sur le coût des risques internes classe le shadow AI comme principal facteur d’incidents internes par négligence — devant le partage de fichiers non surveillé, la messagerie web personnelle et toutes les autres catégories. Ce changement bouleverse les priorités héritées par chaque RSSI il y a un an. Le coût annuel moyen des incidents internes s’élève à 19,5 millions de dollars. 92 % des organisations affirment que l’IA générative a modifié la façon dont les employés partagent l’information, mais seules 13 % ont intégré l’IA à leur stratégie d’entreprise. L’écart entre comportement et politique résume tout le problème.

Le rapport prévisionnel Kiteworks 2026 place le shadow AI dans son top 5 des risques liés à la sécurité de l’IA et évalue la maturité des contrôles comme « très faible », précisant que « peu disposent d’outils de découverte ». La plupart des équipes de sécurité sont incapables de dresser la liste, par écrit, des services d’IA utilisés par leurs collaborateurs cette semaine.

5 points clés à retenir

1. Le shadow AI devient le principal facteur de négligence interne.

Les données DTEX/Ponemon 2026 le désignent comme principal contributeur aux incidents par négligence — devant le partage de fichiers non surveillé et la messagerie web personnelle. Cela requalifie un problème que la plupart des programmes de sécurité considèrent encore comme secondaire. Avec 19,5 millions de dollars par an et par organisation, il s’agit du poste de coût non maîtrisé le plus important dans le portefeuille des risques internes, et les voies de fuite de données qu’il crée échappent structurellement à la plupart des dispositifs de sécurité.

2. Le manque de formation est le vrai problème.

La série d’études Work Reborn de Lenovo 2026, fondée sur une enquête auprès de 6 000 salariés d’entreprise dans le monde, révèle que 31 % des utilisateurs d’IA ne reçoivent aucune formation officielle de leur employeur — alors qu’un tiers utilise déjà l’IA hors gouvernance IT. Les utilisateurs non formés ne prennent pas spontanément de meilleures décisions. Sans savoir ce qu’est une donnée réglementée ou quels outils sont autorisés, l’écart de gouvernance ne se referme que lorsque la donnée a déjà disparu.

3. La fracture du personnel est réelle.

Lenovo met en lumière une scission du personnel : d’un côté, des employés dotés d’outils gérés et supervisés par l’IT ; de l’autre, des utilisateurs indépendants sur des services d’IA grand public. C’est dans cette seconde catégorie que les données réglementées s’échappent. Seules 13 % des organisations ont intégré formellement l’IA à leur stratégie, alors que 92 % reconnaissent que l’IA a changé les pratiques de partage d’informations — la deuxième voie s’élargit donc plus vite que la première ne peut l’absorber.

4. La visibilité fait défaut là où elle est cruciale.

Seules 36 % des organisations disposent d’une visibilité sur la manière dont les tiers traitent les données dans les systèmes d’IA. Les outils de découverte spécifiques au shadow AI sont encore plus rares. Le rapport prévisionnel Kiteworks 2026 juge la maturité des contrôles du shadow AI « très faible » car la plupart des organisations fonctionnent sur la base de l’auto-déclaration — elles demandent aux employés quels outils d’IA ils utilisent et se fient à leurs réponses. Or, des employés non formés qui s’auto-déclarent sur des outils pour lesquels ils n’ont aucune culture de gouvernance IA, ce n’est pas un contrôle.

5. La solution passe par une productivité encadrée, pas par l’interdiction.

Les interdictions d’IA déplacent l’usage vers la seconde voie et accélèrent les fuites. La gouvernance au niveau des données — accès Zero trust, application de l’ABAC, privilèges minimaux au niveau du contenu — préserve la productivité tout en réduisant l’exposition. L’objectif est de rendre la voie autorisée plus fluide que le contournement. C’est la seule intervention validée par les données.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Pourquoi le chiffre de 31 % d’absence de formation chez Lenovo compte plus que les taux d’adoption

La statistique sur la formation est la plus significative, car les taux d’adoption décrivent ce que font les employés, tandis que la formation détermine s’ils ont une chance de le faire en toute sécurité. Lenovo met en évidence le schéma structurel derrière ce chiffre : une main-d’œuvre scindée entre des salariés équipés d’outils gérés par l’IT, formés et supervisés — et des employés agissant de façon autonome avec des services d’IA grand public. Le premier groupe est encadré. Le second est à l’origine des fuites.

À cela s’ajoute une autre donnée issue de l’étude Cisco 2024 Data Privacy Benchmark menée auprès de 2 600 professionnels : 48 % ont reconnu avoir saisi des informations confidentielles de leur entreprise dans des outils GenAI. Les utilisateurs non formés ne savent pas non plus ce qui relève du confidentiel. Ils ne prennent pas de mauvaises décisions volontairement. Ils prennent simplement les seules décisions qu’ils connaissent.

C’est la définition même du risque interne par négligence. Il ne s’agit pas de malveillance — mais d’une main-d’œuvre à qui l’on demande d’atteindre des objectifs de productivité grâce à l’IA sans lui donner de garde-fous. Les 31 % sont le symptôme ; l’absence d’architecture de garde-fous, la maladie.

En quoi le shadow AI diffère du shadow IT — et pourquoi c’est pire

Le shadow IT était un problème d’inventaire logiciel. Le shadow AI est un problème de fuite de données. Lorsqu’un analyste financier installait un SaaS non autorisé en 2018, les données restaient généralement dans la base de l’outil. Avec le shadow AI, les données quittent l’entreprise dès que la requête est soumise. Un LLM grand public reçoit la requête, la traite, et peut l’utiliser pour l’entraînement ou la journalisation selon des conditions que la plupart des employés n’ont jamais lues.

Le rapport CrowdStrike 2026 Global Threat a enregistré une hausse de 89 % des attaques menées par des adversaires exploitant l’IA d’une année sur l’autre. Les défenseurs tentent déjà de suivre le rythme. Le shadow AI ajoute un second canal d’exfiltration — alimenté entièrement par les propres employés de l’organisation, agissant de bonne foi, envoyant des données réglementées vers des points de terminaison non maîtrisés, faute d’avoir été informés. La recherche DTEX identifie trois principaux facteurs de risque par négligence : partage de fichiers non surveillé, messagerie web personnelle et shadow AI. Les deux premiers sont connus depuis des décennies et bien encadrés. Le shadow AI est la nouveauté, et la plupart des organisations n’ont pas encore mis en place de contrôles adaptés.

Ce qui manque vraiment aux RSSI dans la couche de visibilité

Les chiffres de visibilité autour de l’IA sont pires que ne le laissent penser les graphiques de synthèse. Le rapport prévisionnel Kiteworks 2026 révèle que seules 36 % des organisations disposent d’une visibilité sur la façon dont leurs partenaires gèrent les données dans les systèmes d’IA. Les 64 % restantes se fient à des contrats et des questionnaires. Ce n’est pas de la visibilité — c’est de la paperasse. Le même rapport place la gestion des fournisseurs d’IA tiers en tête des préoccupations de sécurité IA, citée par 30 % des organisations comme enjeu n°1. Le risque est nommé. La visibilité fait défaut.

Pour le shadow AI en particulier, les outils de découverte sont encore plus rares. La maturité des contrôles est jugée « très faible » avec la mention explicite que « peu disposent d’outils de découverte ». Le rapport WEF « AI and Cyber: Empowering Defenders », élaboré avec KPMG auprès de 84 organisations dans 15 secteurs, indique que 94 % des responsables cybersécurité considèrent l’IA comme le principal facteur d’évolution de la cybersécurité. Cette conviction ne s’est pas encore traduite par une visibilité déployée sur les flux sortants de données. Les RSSI voient l’IA comme un levier pour la défense ; ils n’ont pas encore construit la défense autour des flux de données IA.

Pourquoi interdire l’IA déplace le risque vers la mauvaise voie

Une interdiction a deux effets. Elle pousse la moitié des salariés soucieux de leur productivité à contourner les règles — appareils personnels, réseaux mobiles, captures d’écran copiées-collées, comptes gratuits sur des plateformes inconnues de l’IT. Et elle crée un déficit de crédibilité auprès de ceux qui utilisent l’IA pour travailler réellement. Les deux groupes se retrouvent dans la « seconde voie » de Lenovo. L’interdiction accélère exactement le schéma qu’elle était censée empêcher.

Le rapport Thales 2026 Bad Bot révèle que le trafic automatisé représentait 53 % de tout le trafic Internet observé en 2025. Les agents IA constituent désormais une troisième catégorie, déplaçant des données pour le compte d’identités humaines à la vitesse des machines. Les interdictions ne touchent pas ce niveau. La réponse architecturale consiste à rendre la voie encadrée plus simple d’utilisation que la seconde : outils d’IA d’entreprise avec contrôles d’accès au niveau du contenu, personnel formé et interactions tracées à valeur de preuve.

L’architecture qui comble l’écart : accès gouverné aux données IA

La solution n’est pas une note de service — c’est un plan de contrôle. La gouvernance au niveau des données est le schéma architectural qui comble le fossé du shadow AI sans nuire à la productivité. Trois propriétés rendent un plan de contrôle adapté à l’IA :

Privilèges minimaux au niveau du contenu. L’autorisation suit la donnée, pas l’identité de l’utilisateur. Un employé autorisé à accéder à un dossier RH n’a pas accès à l’ensemble du référentiel RH, et un assistant IA agissant pour son compte hérite des mêmes limites par dossier. La plupart des dispositifs d’accès existants reposent sur des rôles au niveau des dossiers, inadaptés à la génération augmentée par récupération, où un agent IA peut lire l’ensemble d’un corpus en quelques millisecondes.

Découverte et classification sur le chemin de sortie. Le shadow AI reste invisible tant qu’une requête n’a pas franchi la frontière de l’entreprise. Le plan de contrôle doit inspecter le trafic sortant vers les points d’accès IA, classifier le contenu envoyé et appliquer la politique en temps réel. Le constat du rapport prévisionnel Kiteworks 2026 — « peu disposent d’outils de découverte » — illustre précisément le manque comblé par un vrai plan de contrôle.

Traçabilité à valeur de preuve. Le rapport prévisionnel Kiteworks 2026 indique que 33 % des organisations n’ont pas de journaux d’audit adaptés et que 61 % disposent de logs fragmentés, inexploités. Lorsqu’un régulateur ou un plaignant demande qui a accédé à quoi, via quel agent IA, il faut pouvoir répondre par un enregistrement interrogeable unique — et non par une reconstitution sur neuf systèmes différents. La passerelle de données IA Kiteworks offre un accès gouverné, une application des règles au niveau du contenu et des logs à valeur de preuve sur la messagerie électronique, le partage de fichiers, le MFT, le SFTP, les formulaires web et le trafic IA, le tout dans un plan de contrôle unique.

Ce que les RSSI doivent faire ce trimestre

Première étape : lancez un sprint de découverte du shadow AI. Recensez les services d’IA réellement utilisés par vos collaborateurs — pas ceux autorisés, mais ceux révélés par les logs de sortie, la télémétrie des navigateurs, les notes de frais et les enquêtes anonymes. Le constat du rapport prévisionnel Kiteworks 2026 — « peu disposent d’outils de découverte » — signifie que la plupart des RSSI doivent s’appuyer sur la télémétrie existante. Faites-le malgré tout : impossible de gouverner un inventaire inexistant.

Deuxième étape : comblez le manque de formation. 31 % des utilisateurs d’IA n’ont reçu aucune formation officielle. Mettez en place une formation obligatoire et concise sur ce qu’est une donnée réglementée, ce qu’est un outil d’IA autorisé et les risques de les mélanger. Complétez par une liste officielle des services approuvés pour permettre aux employés de s’auto-corriger sans escalade.

Troisième étape : faites transiter le trafic IA par un plan de contrôle. Le trafic vers l’IA d’entreprise passe par une infrastructure gouvernée avec contrôles d’accès au niveau du contenu, classification à la sortie et journalisation complète. Le trafic vers une IA non autorisée est bloqué ou mis en quarantaine avec un message clair renvoyant vers l’alternative autorisée. 61 % des organisations disposent d’une infrastructure d’échange de données fragmentée, incapable de fournir des logs à valeur de preuve — c’est le principal écart à combler.

Quatrième étape : résolvez le problème de visibilité sur les IA tierces. Seules 36 % ont une visibilité sur la gestion des données par les partenaires IA. Ajoutez des clauses spécifiques à l’IA dans les contrats avec les fournisseurs stratégiques : utilisation des données d’entraînement, rétention, sous-traitants, notification d’incident. Puis vérifiez les réponses — les questionnaires seuls ne suffisent pas.

Cinquième étape : intégrez les événements IA à votre programme de gestion des risques internes. La requalification du shadow AI par DTEX en tant que principal facteur de négligence doit modifier la façon dont votre équipe traite les alertes. Les anomalies liées à l’IA — volume de requêtes inhabituel, contenu sensible dans les prompts sortants, usage répété de services non autorisés — doivent être intégrées au même workflow que le partage de fichiers suspect et la messagerie web personnelle.

Pour en savoir plus sur la protection de vos données sensibles contre l’ingestion par l’IA, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Les interdictions déplacent l’usage de l’IA vers des appareils personnels, des réseaux mobiles et des comptes gratuits invisibles pour l’équipe sécurité. DTEX/Ponemon 2026 classe le shadow AI comme principal facteur de négligence interne précisément parce que les collaborateurs contournent les interdictions au lieu d’abandonner l’IA. Seules 36 % des organisations disposent d’une visibilité sur la gestion des données par les partenaires dans les systèmes d’IA. Remplacez l’interdiction par une alternative encadrée via une passerelle de données IA — rendez la voie autorisée fluide et la voie non autorisée bloquée.

Associez le chiffre de 31 % d’absence de formation de Lenovo au coût moyen DTEX/Ponemon 2026 de 19,5 millions de dollars par organisation et par an. Ajoutez vos propres chiffres de découverte — le pourcentage d’usage de l’IA passant par une infrastructure gouvernée versus la seconde voie. Le rapport prévisionnel Kiteworks 2026 juge la maturité des contrôles shadow AI « très faible » et note le manque d’outils de découverte. Ce n’est pas l’adoption de l’IA qui compte pour le conseil, mais le pourcentage d’interactions IA générant une traçabilité défendable.

Oui. Les familles de contrôle d’accès du CMMC Niveau 2 imposent une autorisation sur chaque système traitant des CUI, et les services d’IA grand public ne sont pas des systèmes autorisés. 61 % des organisations disposent d’une infrastructure d’échange de données fragmentée, incapable de fournir des logs à valeur de preuve — c’est précisément ce que les auditeurs CMMC examinent. Faites transiter le trafic IA par un plan de contrôle gouverné avec contrôles d’accès ABAC et journalisation inviolable avant l’audit, pas pendant.

Le shadow AI engendre des transferts de données à l’international non contrôlés et des traitements non documentés — déclenchant les obligations de tenue de registre de l’article 30 du RGPD et les exigences de divulgation des lois américaines sur la confidentialité. Le rapport prévisionnel Kiteworks 2026 indique que 29 % des organisations citent les transferts IA transfrontaliers comme exposition majeure. Sans logs à valeur de preuve, impossible de démontrer la base légale, la limitation de finalité ou le mécanisme de transfert exigés par les régulateurs.

Visibilité sur les flux sortants avec application de la politique sur le chemin vers les points d’accès IA. Recensez les services d’IA utilisés par vos collaborateurs, classez le contenu envoyé et bloquez ou mettez en quarantaine les destinations non autorisées avec une redirection vers l’alternative approuvée. Le Réseau de données privé Kiteworks applique ce schéma — découverte d’abord, puis application gouvernée sur la messagerie électronique, le partage de fichiers, le MFT, le SFTP et le trafic IA dans un plan de contrôle unique.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour une protection abordable de la vie privée face à l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    AI Governance Gap : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks