Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les données internes sont l’actif le plus volé. Vos collaborateurs les exportent volontairement.

Les données internes sont l’actif le plus volé. Vos collaborateurs les exportent volontairement.

par Patrick Spencer updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Le DBIR 2026 contient une phrase à citer dans chaque briefing sur les risques au niveau du conseil d’administration : « Interne signifie principalement e-mails, plans et rapports — le type de documents que l’on retrouve généralement en libre accès lorsqu’un attaquant pénètre via des identifiants volés ou une vulnérabilité non corrigée. » Les données internes sont apparues dans 67 % des violations. Les identifiants dans 28 %. Les données personnelles dans 23 %.

La plupart des programmes de sécurité des données en entreprise s’articulent autour de catégories réglementées — les informations personnelles identifiables (PII) pour la confidentialité, les informations médicales protégées (PHI) pour HIPAA, les données de carte de paiement pour PCI DSS, les informations contrôlées non classifiées (CUI) pour CMMC. Ces catégories méritent la protection qui leur est accordée. Mais la pression réglementaire ne reflète pas les préférences réelles des attaquants. Les données internes à 67 % représentent environ trois fois le volume des données personnelles — pourtant, la majorité des programmes d’entreprise concentrent leurs efforts de classification, de chiffrement, de surveillance et d’investissement DLP sur les données personnelles. Les plans stratégiques, la documentation M&A, les modèles de tarification, les spécifications techniques, la correspondance des dirigeants, les documents du conseil, les prévisions financières — sont généralement gérés par des autorisations de dossiers et des partages ad hoc, et non par des politiques de sécurité adaptées au contenu.

5 points clés à retenir

1. Les données internes sont, de loin, l’actif le plus volé.

Le DBIR Verizon 2026 a révélé que les données internes — e-mails, plans et rapports — ont été compromises dans 67 % des violations. Les identifiants apparaissent dans 28 %, les données personnelles dans 23 %. L’actif le plus volé n’est pas le fichier client ou les données de carte bancaire. Il s’agit du contenu opérationnel de l’organisation : documents stratégiques, contrats en négociation, veille concurrentielle, spécifications techniques, documents du conseil. La catégorie la moins bien classifiée par la plupart des entreprises est celle qui est la plus fréquemment dérobée.

2. Les mêmes contenus alimentent les outils d’IA avant la violation.

Sur 858 440 événements DLP visant des services d’IA, le code source est le type de données le plus téléchargé, suivi des données structurées et de la documentation technique ou de recherche. Les données recherchées par les attaquants après une violation sont celles que les employés exportent volontairement avant la violation vers des services d’IA non contrôlés. Les deux flux illustrent le même manque de gouvernance, vu sous deux angles différents.

3. La commodité est désormais le principal moteur des comportements internes.

60 % des violations internes malveillantes du schéma « Privilege Misuse » du DBIR 2026 étaient motivées par la commodité — des employés qui cherchent à contourner les règles pour travailler plus efficacement. Il ne s’agit pas de malveillance, mais de friction. Le Shadow AI correspond exactement à ce profil. Les politiques fondées sur l’interdiction continueront d’échouer. Celles qui proposent des alternatives encadrées et adaptées aux usages réels des employés réussiront là où l’interdiction a échoué.

4. Les deux flux révèlent la même faille de gouvernance.

Les données extraites par les attaquants après une violation sont celles que les employés envoient volontairement aux services d’IA avant la violation. Les deux échappent à la même couche de gouvernance IA qui devrait les encadrer. Selon le Thales Data Threat Report 2026, seuls 33 % des organisations savent précisément où résident leurs données sensibles — impossible de gouverner ce que l’on ne localise pas.

5. L’architecture qui ferme les deux flux est identique.

L’application de politiques sensibles au contenu au niveau des données, l’accès IA encadré via des canaux d’entreprise, et des journaux d’audit infalsifiables pour chaque interaction. Lorsque le même moteur de politique régit chaque demande d’accès — qu’elle provienne d’un humain, d’un attaquant via des identifiants volés ou d’un agent IA — une seule architecture traite les deux vecteurs.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Les 858 440 événements DLP : le panorama avant la violation

Les mêmes catégories de contenu dominent l’exfiltration après violation et les transferts volontaires des employés vers des services d’IA non maîtrisés par l’entreprise. Le DBIR 2026 a analysé 858 440 événements DLP liés à des téléchargements vers des outils d’IA générative. Le code source arrive largement en tête. Les données structurées suivent. Dans 3,2 % des violations de politique, de la documentation technique ou de recherche a été envoyée à des systèmes d’IA non autorisés. Commentaire de Verizon : « Comme si le code source ne suffisait pas, vous voyez maintenant de la propriété intellectuelle sortir par la porte. »

L’usage régulier de l’IA sur les appareils professionnels concerne 45 % des employés, contre 15 % l’année précédente. 67 % des utilisateurs accèdent à l’IA depuis des comptes non professionnels sur leur appareil professionnel. Le Shadow AI est désormais la troisième action interne non malveillante la plus fréquente dans les données DLP — une multiplication par quatre en un an. Le DTEX Insider Threat Report 2026 confirme l’écart : 92 % des organisations estiment que l’IA générative a changé la façon dont les employés partagent l’information, mais seulement 13 % l’ont intégrée à leur stratégie formelle de gestion des menaces internes. Les usages ont changé à grande échelle. La gouvernance, non.

La commodité, moteur sous-estimé des comportements internes

Parmi les violations internes malveillantes du schéma « Privilege Misuse » du DBIR 2026, 60 % étaient motivées par la commodité. Exemple de Verizon : « un employé souhaite travailler à domicile et s’envoie des données de l’entreprise sur sa boîte personnelle. » Les motivations financières représentent 33 %. L’espionnage et autres motifs se partagent les 7 % restants.

Le schéma Shadow AI correspond exactement à ce profil. Un employé face à une échéance colle un contrat dans un LLM public pour en obtenir un résumé avant une réunion — non pour le vendre à un concurrent, mais pour avancer dans son travail. L’interdiction qui échoue dans le cas de l’e-mail personnel échoue pour la même raison structurelle dans le cas de l’IA. Les responsables sécurité doivent en tirer la conséquence constructive : les politiques qui supposent que les employés respecteront des contrôles restrictifs ralentissant leur travail continueront d’échouer. Celles qui proposent des alternatives encadrées et adaptées réussissent là où l’interdiction a échoué.

L’asymétrie entre défense contre les menaces et défense contre l’IA

La plupart des organisations investissent massivement dans la défense contre les attaquants — le rapport CrowdStrike Global Threat 2026 fait état d’une hausse de 89 % de l’activité des adversaires dopée à l’IA, de l’exploitation de failles zero-day, des attaques sur la supply chain. Ces investissements sont indispensables. Mais ils ne couvrent qu’une partie du problème.

Le flux sortant volontaire de données internes vers des services d’IA sur des comptes personnels reste largement sans défense. Les événements DLP n’en montrent qu’une partie visible. L’invisible, ce sont les données qui partent via des extensions de navigateur, des plugins SaaS dopés à l’IA, et des workflows automatisés qui échappent totalement au DLP. Le Thales Data Threat Report 2026 indique que seuls 33 % des organisations savent précisément où résident leurs données sensibles : aucune des deux faces de l’asymétrie ne peut donc être traitée complètement. Le même problème de fond — un manque de classification et d’inventaire des données sensibles au contenu — limite les deux défenses.

La réponse architecturale : une couche de gouvernance, deux flux protégés

La réponse architecturale au problème côté menace et côté IA est la même. Les deux flux visent les mêmes données via les mêmes canaux. La défense qui ferme l’un ferme l’autre si elle est placée au bon niveau — l’application de politiques sensibles au contenu au niveau des données, plutôt qu’au niveau réseau ou applicatif.

Lorsqu’une demande cible un contenu sensible — qu’elle provienne d’un utilisateur légitime, d’un attaquant avec des identifiants volés, d’un agent IA ou d’un service IA auquel un employé a donné accès — le même moteur de politique évalue la demande. L’authentification est requise. L’autorisation est vérifiée selon des contrôles ABAC et RBAC. L’action est journalisée. Le contenu est livré, caviardé ou refusé selon la politique, et non selon le canal utilisé.

Le serveur Kiteworks Secure MCP propose un pont gouverné pour que des assistants IA comme Claude ou Microsoft Copilot interagissent avec les données d’entreprise via le Model Context Protocol — authentification OAuth 2.0, évaluation de la politique à chaque opération, journal d’audit infalsifiable pour chaque interaction. L’AI Data Gateway Kiteworks étend l’accès gouverné aux pipelines RAG et au traitement automatisé de documents. La classification et la censure sensibles au contenu au niveau des données permettent à l’IA de générer un résumé de contrat sans que l’intégralité du contrat ne sorte du périmètre de gouvernance.

Le Réseau de données privé Kiteworks étend cette architecture à la messagerie électronique, au partage et au transfert de fichiers, MFT, SFTP, formulaires web, API et intégrations IA, sous un même moteur de politique et un journal d’audit consolidé. L’historique couvre chaque accès aux données, quel que soit le canal — humain, IA, interne ou tiers — et fournit la réponse lors d’une enquête sur incident.

Que doivent faire les responsables sécurité et risques dès maintenant ?

Premièrement, élargir la classification des données au-delà des catégories réglementées. La plupart des programmes de classification se concentrent sur les PII, PHI, données de carte de paiement et CUI. Le DBIR recommande d’ajouter les catégories internes — plans stratégiques, documentation M&A, spécifications techniques, correspondance des dirigeants, documents du conseil, prévisions financières — au dispositif de classification. La catégorie priorisée par les attaquants est celle que la plupart des programmes sous-classifient.

Deuxièmement, traiter le Shadow AI comme un problème de contrôle du contenu, et non de comportement utilisateur. Les politiques qui demandent aux employés de ne pas utiliser d’IA non autorisée échoueront. Les contrôles sensibles au contenu au niveau des données réussissent là où l’interdiction échoue — en gouvernant la donnée quel que soit le canal d’accès.

Troisièmement, proposer des accès IA encadrés. 45 % des employés utilisent régulièrement l’IA sur leur appareil professionnel — la tendance ne s’inversera pas. Les entreprises qui offrent un accès IA gouverné via des plateformes validées, avec application de la politique et traçabilité au niveau des données, canalisent le Shadow AI vers des canaux maîtrisés.

Quatrièmement, consolider l’historique d’audit sur tous les canaux d’accès aux données. L’exfiltration par un attaquant et l’export IA par un employé nécessitent la même réponse forensique : quelles données ont circulé, par qui, quand, via quel canal. Cette réponse doit exister à un seul endroit, ou être reconstituée à partir de plusieurs sources.

Cinquièmement, considérer l’application de politiques sensibles au contenu comme fondamentale, et non comme une option DLP avancée. Les deux flux — exfiltration après violation et export Shadow AI — relèvent du même schéma architectural. Les investissements réalisés maintenant protègeront contre les deux vecteurs à mesure qu’ils évolueront.

Pour en savoir plus sur la protection de la propriété intellectuelle et des autres données sensibles contre l’ingestion par l’IA, réservez votre démo sans attendre !

Foire aux questions

Les données internes — e-mails, plans, rapports — sont le type le plus volé dans 67 % des violations, soit trois fois plus souvent que les données personnelles (23 %). La plupart des programmes de sécurité concentrent la protection sur les catégories réglementées, car la conformité l’exige. Les données du DBIR montrent que les attaquants ont d’autres priorités, et que la catégorie la moins bien classifiée par la plupart des entreprises est celle qui est la plus fréquemment volée.

858 440 événements DLP impliquant des téléchargements vers l’IA, avec en tête le code source, les données structurées et la documentation de recherche. 45 % des employés utilisent régulièrement l’IA sur leur appareil professionnel (contre 15 % l’année précédente) ; 67 % utilisent des comptes non professionnels. Le Shadow AI est désormais la troisième action interne non malveillante la plus fréquente dans les données DLP — les données internes sortent massivement par ces canaux, souvent sans événement DLP détecté.

En partie, mais de moins en moins adaptée. 60 % des violations internes malveillantes du schéma « Privilege Misuse » 2026 étaient motivées par la commodité, pas par la malveillance. Le schéma Shadow AI correspond au même profil. Les programmes centrés sur les profils d’acteurs malveillants passent à côté du risque interne dominant — et les politiques d’interdiction conçues pour ces profils échouent face à la pression de la commodité.

Le ratio 67 % données internes contre 23 % données personnelles du DBIR plaide pour. Les attaquants volent les données internes trois fois plus souvent. Élargir la classification aux plans stratégiques, à la documentation M&A, aux spécifications techniques et à la correspondance des dirigeants — avec la même gouvernance que pour les PII et PHI — aligne la protection sur les priorités réelles des attaquants, et pas seulement sur les exigences réglementaires.

La réponse architecturale est la même pour les deux flux : application de politiques sensibles au contenu au niveau des données, ABAC/RBAC appliqués à chaque demande d’accès quel que soit le canal, authentification OAuth 2.0 pour les intégrations IA, et journaux d’audit infalsifiables transmis au SIEM. Le serveur Kiteworks Secure MCP et l’AI Data Gateway encadrent l’accès IA aux données via une couche unique qui traite à la fois l’exfiltration par un attaquant et l’export Shadow AI.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Protection Zero Trust des données : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer les contrôles RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks