Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Quand l’IA penche en faveur des défenseurs : pourquoi la plupart des organisations ne gagneront toujours pas

Quand l’IA penche en faveur des défenseurs : pourquoi la plupart des organisations ne gagneront toujours pas

par Patrick Spencer updated mai 28, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

La publication du 4 mai 2026 d’Empowering Defenders: AI for Cybersecurity marque la première tentative transsectorielle majeure de quantifier les bénéfices réels pour les défenseurs. Ce rapport s’appuie sur 20 études de cas concrètes et des entretiens avec 105 représentants issus de 84 organisations et 15 secteurs d’activité — il ne s’agit pas d’un simple panel d’enquête, mais d’une méthodologie qui met en lumière ce qui fonctionne réellement en production.

Les études de cas sont précises. KPMG a constaté une augmentation de 25 % de l’efficacité opérationnelle en matière de threat intelligence. Accenture a réduit le temps d’analyse de la sécurité sur plus de 100 000 sites exposés à Internet, passant de 15 minutes à moins d’une minute. La plateforme ATOM d’IBM a automatisé plus de 850 heures d’analystes par mois, réduisant de 37 % le temps total d’investigation.

Passer de 15 minutes à moins d’une minute pour la revue d’un analyste représente un changement radical dans l’économie du monitoring de la surface d’attaque — et cela permet d’atteindre des volumes inaccessibles aux équipes humaines. Les 850 heures d’analystes par mois équivalent à environ cinq analystes à temps plein par déploiement, libérant des talents rares pour des tâches nécessitant plus de discernement. Bien utilisée, l’IA offre un véritable levier aux défenseurs. La vraie question est de savoir si la majorité des organisations sont prêtes à rejoindre le groupe des « bons utilisateurs ».

5 enseignements clés

1. L’avantage pour les défenseurs est désormais mesurable.

Le rapport WEF Empowering Defenders, élaboré avec KPMG auprès de 84 organisations dans 15 secteurs, fait état d’une réduction moyenne du coût des violations pouvant atteindre 1,9 million de dollars et d’environ 80 jours de moins dans le cycle de vie d’une violation pour les organisations qui utilisent massivement l’IA. Le débat sur l’utilité de l’IA pour les défenseurs est clos. La question est de savoir si votre organisation fait partie de celles qui en tirent profit — ou du groupe plus large dont les déploiements n’atteignent pas ces résultats.

2. L’adoption n’est plus un frein.

94 % des responsables cyber considèrent l’IA comme la force déterminante en cybersécurité, et 77 % des organisations l’utilisent déjà dans leurs opérations. Le défi n’est plus de savoir s’il faut déployer l’IA, mais si la gouvernance permet d’en récolter les bénéfices. La même enquête qui indique 77 % d’adoption montre que les données sur les violations continuent de progresser dans la mauvaise direction pour la plupart des entreprises — cet écart résume à lui seul la problématique de la conformité cyber en 2026.

3. La stratégie et la gouvernance font la différence entre gagnants et perdants.

Le rapport WEF est clair : la valeur de l’IA dépend d’une stratégie de déploiement claire, de cas d’usage rigoureusement testés avant le passage à l’échelle, et d’une gouvernance solide avec supervision humaine dès le départ. Les pilotes qui n’intègrent pas ces trois éléments n’atteignent pas les niveaux de productivité documentés. L’étude Agents of Chaos confirme ce mode d’échec — des agents qui semblent contrôlés dans des conditions restreintes s’effondrent structurellement en production sans une gouvernance au niveau de la donnée.

4. Tout se joue au niveau de la donnée pour l’IA défensive.

La détection alimentée par l’IA ne fonctionne que si les données qui l’alimentent sont gouvernées. Le rapport prévisionnel 2026 de Kiteworks révèle que 33 % des organisations n’ont pas de traçabilité d’audit suffisante et que 61 % disposent de journaux fragmentés, inutilisables — exactement les entrées dont l’IA a besoin pour produire les gains attendus. Les organisations qui déploient l’IA sur une infrastructure de données défaillante ne font qu’amplifier le bruit, pas le signal.

5. La phase agentique est déjà là.

GTG-1002, en novembre 2025, a confirmé que l’IA agentique constitue déjà un vecteur d’attaque opérationnel. La même infrastructure de gouvernance de l’IA qui permet de contenir un agent défenseur défaillant le rend également fiable. Les organisations qui mettent en place une infrastructure d’agents gouvernés aujourd’hui disposeront du socle nécessaire pour faire tourner des agents défenseurs côté données en 2027. Les autres devront se défendre à la vitesse humaine face à des agents automatisés.

Pourquoi ce constat ne s’applique pas partout de la même façon

Akshay Joshi, responsable du Centre pour la cybersécurité du WEF, résume la condition centrale du rapport : « Les organisations qui considèrent l’IA comme une capacité stratégique, et non comme un simple outil, seront mieux placées pour transformer le risque cyber croissant en résilience et en avantage concurrentiel. » Laurent Gobbi de KPMG va plus loin : « Les attaquants vont plus vite et à plus grande échelle que jamais. Ce rapport est un appel à l’action pour que les organisations suivent le rythme, l’IA étant un multiplicateur de force pour la cyberdéfense. »

Les deux citations expriment la même condition. L’avantage dépend de la stratégie et de la gouvernance — pas de l’achat de solutions. Le rapport identifie trois exigences pour que l’IA ait un impact côté défense : une stratégie de déploiement claire, des cas d’usage testés rigoureusement avant le passage à l’échelle, et une gouvernance solide avec supervision humaine dès le départ. Si l’un de ces éléments manque, la courbe de productivité s’effondre. C’est pourquoi 77 % d’adoption coexistent avec des données de violation toujours préoccupantes pour la majorité des entreprises.

Le déficit de gouvernance touche aussi la défense par l’IA

Le même écart qui fragilise la détection des bots et la gouvernance des agents affecte l’IA défensive de la même manière. Le rapport prévisionnel 2026 de Kiteworks montre que 100 % des organisations ont l’IA agentique dans leur feuille de route — l’adoption n’est pas le problème. Mais 63 % ne peuvent pas imposer de restrictions d’usage aux agents déployés, 60 % ne peuvent pas désactiver un agent défaillant, et 55 % ne peuvent pas isoler l’IA de l’accès au réseau global. C’est l’écart entre gouvernance et capacité de confinement : 15 à 20 points d’écart dans chaque catégorie entre observer et stopper.

Ce déficit pose un problème spécifique pour l’IA défensive. Un SOC qui fait tourner un agent IA pour trier les tickets, interroger les logs et lancer des actions correctives doit pouvoir limiter précisément ce que l’agent peut toucher, disposer d’un bouton d’arrêt en cas de dérive, et isoler le réseau entre l’espace de travail de l’agent et les systèmes de production. Les gains du rapport Empowering Defenders reposent sur la mise en place de ces contrôles. Le rapport prévisionnel 2026 de Kiteworks montre que la plupart des organisations n’en disposent pas.

Lorsque GTG-1002 a mené des opérations de reconnaissance, d’exploitation et de déplacement latéral à des milliers de requêtes par seconde sur 30 entités — avec l’IA exécutant 80 à 90 % des actions tactiques — il n’y avait aucune gouvernance pour ralentir l’attaquant. Les organisations victimes devaient se défendre à la vitesse permise par leurs propres contrôles. C’est cette asymétrie qu’il faut corriger.

À quoi ressemble un « déploiement stratégique » en pratique ?

Les études de cas qui constituent la base du rapport partagent quatre caractéristiques :

Les données sont déjà gouvernées. Le rapport prévisionnel 2026 de Kiteworks identifie la traçabilité d’audit de qualité probante comme le meilleur indicateur de maturité IA — les organisations qui en disposent affichent un avantage de 20 à 32 points sur tous les indicateurs IA. Mais 33 % n’ont aucune traçabilité d’audit suffisante et 61 % opèrent sur une infrastructure d’échange de données fragmentée, incapable de supporter une journalisation probante. Les 850 heures économisées chaque mois par la plateforme ATOM d’IBM reposent sur des données propres ; sans cela, l’IA ne fait que résumer du bruit.

Les cas d’usage ont été testés avant le passage à l’échelle. L’étude Agents of Chaos a documenté 10 violations de sécurité majeures sur 11 cas d’usage, uniquement via la conversation, sans exploitation technique. Le constat est structurel : les agents agissent de façon autonome sur des sous-tâches mais n’ont pas la capacité de reconnaître quand une tâche dépasse leurs compétences et de passer la main à un humain. Les organisations qui négligent ces tests rigoureux propagent ce défaut en production.

La gouvernance et la supervision humaine sont en place dès le premier jour. Le CrowdStrike 2026 Global Threat Report fait état d’une augmentation de 89 % en un an des attaques menées par des adversaires utilisant l’IA, avec un temps moyen de percée eCrime de 29 minutes. Ce délai ne laisse aucune marge pour intégrer la gouvernance après le déploiement.

L’autorisation s’effectue au niveau de la donnée, pas du modèle. L’application des règles se fait avant que le modèle n’accède aux données, et non à l’intérieur du modèle où une simple invite peut contourner la sécurité. Les contrôles d’accès basés sur les attributs évaluent chaque demande en fonction de la sensibilité des données, du niveau d’habilitation du demandeur et de l’objectif déclaré, à la frontière des données. C’est ce qui rend le déploiement traçable et défendable juridiquement — deux enjeux désormais opérationnels.

La fenêtre d’action des défenseurs est plus étroite que celle des attaquants

Trois facteurs accélèrent la cadence. D’abord, l’IA côté attaquant est passée du stade théorique à l’opérationnel. GTG-1002 a démontré tout le cycle d’intrusion à des milliers de requêtes par seconde. Les défenseurs sans IA subissent un désavantage structurel de vitesse que leurs contrôles n’ont jamais été conçus pour absorber.

Ensuite, le cadre réglementaire se structure autour du déploiement de l’IA. Les dispositions à haut risque de l’AI Act européen seront applicables en août 2026. L’initiative NIST AI Agent Standards, annoncée le 17 février 2026, place l’identité des agents, l’autorisation et la sécurité parmi les priorités. Le House Committee on Homeland Security américain a auditionné Anthropic sur les menaces orchestrées par l’IA en novembre 2025. Les organisations qui déploient l’IA défensive sans la gouvernance nécessaire pour répondre à ces cadres devront revoir leur copie sous la pression réglementaire.

Enfin, l’écart entre les leaders et les retardataires se creuse. Le rapport prévisionnel 2026 de Kiteworks révèle que 54 % des conseils d’administration ne sont pas impliqués dans la gouvernance de l’IA — et ces organisations accusent un retard de 26 à 28 points sur tous les indicateurs de maturité IA. L’engagement du conseil d’administration est le meilleur prédicteur de la maturité de la gouvernance IA. Les organisations dont les conseils d’administration sont impliqués prennent de l’avance.

Comment Kiteworks répond aux critères de déploiement du WEF

La passerelle de données IA de Kiteworks et le serveur MCP sécurisé appliquent les politiques ABAC au niveau de la donnée, enregistrent des journaux d’audit infalsifiables sur la messagerie, le partage de fichiers, le MFT, le SFTP, les formulaires web et le trafic IA — et relient chaque action d’agent à un autorisateur humain dans un plan de contrôle unifié.

Cette architecture répond simultanément aux trois critères de déploiement du WEF. La stratégie est intégrée dans la politique — chaque déploiement IA fonctionne dans un périmètre explicitement défini. Les cas d’usage sont gouvernés avant le passage à l’échelle — la couche données journalise chaque action et signale les anomalies avant qu’elles ne se propagent. La gouvernance est structurelle dès le premier jour — les décisions d’autorisation s’effectuent à la frontière des données, et non dans un modèle susceptible d’être contourné par une invite.

Le Réseau de données privé Kiteworks étend ces garanties à tous les canaux d’échange de données — gouvernant la couche données qui rend la défense IA possible, et limitant l’impact lorsqu’un agent dépasse son périmètre. Le rapport prévisionnel 2026 de Kiteworks documente un avantage de 20 à 32 points de maturité pour les organisations disposant de journaux d’audit de qualité probante. C’est l’infrastructure que les études de cas du WEF supposent déjà en place.

Que doivent faire les RSSI ce trimestre ?

Premièrement, auditez votre stratégie de déploiement IA à l’aune des critères WEF. Existe-t-il une stratégie écrite de déploiement ? Les cas d’usage ont-ils été rigoureusement testés avant le passage à l’échelle ? La gouvernance avec supervision humaine est-elle en place dès le premier jour ? Si la réponse honnête à l’une de ces questions est « non », traitez ce point avant d’ajouter de nouveaux déploiements.

Deuxièmement, corrigez la couche données avant de passer à l’échelle côté défense IA. Les études de cas IBM ATOM, Accenture et KPMG partagent une condition préalable : des données gouvernées, interrogeables et de qualité probante. L’IA ne peut pas corriger une architecture de données défaillante.

Troisièmement, comblez le déficit de confinement avant de déployer des agents défenseurs. Si un agent côté défense doit être désactivé parce qu’il prend de mauvaises décisions, votre équipe peut-elle le faire en moins d’une heure ? 60 % ne le peuvent pas. Ce contrôle est une condition préalable à un déploiement responsable, pas un simple « plus ».

Quatrièmement, faites transiter le trafic IA par un plan de contrôle doté de journaux d’audit de qualité probante. La passerelle de données IA et le serveur MCP sécurisé appliquent l’ABAC au niveau de la donnée et enregistrent des logs infalsifiables qui répondent à la fois aux critères de déploiement WEF et aux cadres réglementaires.

Cinquièmement, impliquez le conseil d’administration avant le prochain cycle budgétaire. L’écart de maturité de 26 à 28 points entre les organisations dont le conseil d’administration est impliqué et celles qui ne le sont pas est le meilleur prédicteur du rapport prévisionnel 2026 de Kiteworks. Les organisations qui attendent un incident pour impliquer leur conseil d’administration gouvernent sous la contrainte, pas par anticipation.

Pour en savoir plus sur la gouvernance des données IA, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Le rapport WEF identifie trois prérequis : une stratégie de déploiement claire, des cas d’usage rigoureusement testés et une gouvernance avec supervision humaine dès le premier jour. Les organisations qui en manquent ne bénéficient généralement pas des gains attendus. Le rapport prévisionnel 2026 de Kiteworks révèle que 33 % des organisations n’ont pas de journaux d’audit suffisants — une donnée essentielle pour la défense IA. Auditez votre déploiement selon ces critères avant d’ajouter de nouveaux outils.

L’exigence d’accès minimum de l’HIPAA s’applique aux agents IA qui traitent des informations médicales protégées (PHI). Le rapport prévisionnel 2026 de Kiteworks montre que le secteur de la santé est en retard sur le confinement — 68 % n’ont pas de restrictions d’usage et 59 % n’ont pas de bouton d’arrêt. Liez l’autorisation à des éléments PHI spécifiques via une politique ABAC et journalisez chaque accès IA à un niveau de preuve via la passerelle de données IA pour garantir la traçabilité en cas d’audit.

Il élève le niveau d’exigence documentaire. Le CMMC impose une autorisation contrôlée sur chaque système accédant à des informations CUI, et les déploiements IA héritent de ces exigences. 61 % des organisations fonctionnent sur une infrastructure fragmentée incapable de fournir des journaux d’audit de qualité probante selon le rapport prévisionnel 2026 de Kiteworks. Faites transiter l’IA côté défense par un plan de contrôle gouverné avec des logs infalsifiables avant l’audit.

Trois éléments les distinguent : des données d’entrée gouvernées, des cas d’usage testés et une gouvernance dès le premier jour avec autorisation au niveau de la donnée. Le rapport prévisionnel 2026 de Kiteworks quantifie l’écart — les organisations disposant de journaux d’audit de qualité probante affichent un avantage de 20 à 32 points sur tous les indicateurs IA. Sans cette base de gouvernance des données, l’IA défensive amplifie le bruit, pas le signal.

Le rapport prévisionnel 2026 de Kiteworks révèle que 54 % des conseils d’administration ne sont pas impliqués dans la gouvernance IA, et ces organisations accusent un retard de 26 à 28 points sur tous les indicateurs de maturité IA — la corrélation la plus forte de l’enquête. L’engagement du conseil d’administration est le principal indicateur pour savoir si une organisation bénéficiera de la réduction du coût des violations documentée par le WEF. L’échéance d’août 2026 de l’AI Act européen et la priorité donnée par la SEC à la transparence IA en 2026 en font une obligation immédiate, pas un sujet pour l’an prochain.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection IA abordable de la vie privée
  • Article de blog
    Pourquoi 77 % des organisations échouent en sécurité des données IA
  • eBook
    Le déficit de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks