Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le paradoxe de la sécurité de l’IA : même technologie, verdicts opposés

Le paradoxe de la sécurité de l’IA : même technologie, verdicts opposés

par Patrick Spencer updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Dans une enquête menée auprès de 16 029 professionnels de la cybersécurité par ISC2, l’IA a été désignée comme la technologie émergente ayant l’impact le plus positif sur la sécurité — et, en même temps, celle qui présente de loin l’impact négatif le plus important. Ce constat semble contradictoire. Il ne l’est pas. C’est la remarque la plus pertinente que la profession ait formulée à propos de l’IA cette année.

Les avantages défensifs sont réels et mesurés. Le rapport du WEF Empowering Defenders: AI for Cybersecurity révèle que 94 % des responsables cybersécurité considèrent l’IA comme la force déterminante du secteur, et que les organisations qui l’utilisent massivement réduisent le coût moyen d’une violation de données jusqu’à 1,9 million de dollars, tout en raccourcissant le cycle de vie des incidents d’environ 80 jours.

Le revers offensif est tout aussi mesuré. Le rapport CrowdStrike 2026 Global Threat Report fait état d’une hausse de 89 % des attaques menées par des adversaires exploitant l’IA, d’une année sur l’autre, avec 82 % des détections désormais sans malware — les attaquants abusant de l’identité et d’outils légitimes plutôt que de charges détectables. Le professionnel qui qualifie l’IA de meilleure et de pire évolution en sécurité ne se contredit pas. Il analyse le même instrument sous deux angles opposés.

5 points clés à retenir

1. Les professionnels de la sécurité ne s’accordent pas sur l’IA — car les deux avis sont justes.

Dans une enquête menée auprès de 16 029 professionnels de la cybersécurité, l’IA s’est hissée au rang de technologie émergente ayant l’impact le plus positif sur la sécurité, et en même temps, l’impact négatif le plus marqué. Cette contradiction n’est pas une confusion — elle décrit honnêtement un outil à double usage qui accélère autant les défenseurs que les attaquants. Se voiler la face conduit les organisations à de graves erreurs.

2. La variable, ce n’est pas la technologie. C’est la gouvernance.

L’IA agit comme un multiplicateur d’efficacité, dans un sens comme dans l’autre. Son effet sur votre posture de sécurité dépend entièrement de la gouvernance de son accès aux données. Un assistant IA limité par des règles strictes est un outil. Le même assistant, doté d’un accès permanent et non audité à toutes les données, devient un risque. Même modèle, verdict opposé — la seule différence, c’est la couche de gouvernance de l’IA.

3. L’IA agentique concentre toutes les inquiétudes.

34 % des professionnels de la sécurité citent l’IA agentique comme principal facteur négatif. La raison est structurelle : un agent agit, il ne se contente pas de répondre. 63 % des organisations ne peuvent pas imposer de limites d’usage à leurs agents IA, 60 % ne peuvent pas mettre fin à un agent défaillant, et 55 % ne peuvent pas isoler les systèmes IA du reste du réseau, selon les Prévisions 2026 de Kiteworks. Cette crainte n’est pas spéculative — il existe un écart de 15 à 20 points entre les contrôles de gouvernance et les mesures de confinement.

4. Le constat négatif reflète un vrai déficit de contrôle.

100 % des organisations interrogées prévoient de déployer de l’IA agentique d’ici 2026, alors que la limitation des usages, les dispositifs d’arrêt d’urgence et l’isolation réseau figurent parmi les plus grands manques de contrôle dans toute l’enquête Kiteworks 2026 Forecast. L’étude Agents of Chaos — menée par 38 auteurs issus du MIT, de Harvard, de Stanford, de CMU et d’autres institutions — a documenté des agents compromis par simple conversation dans des environnements réels. L’écart est réel, pas imaginaire.

5. La gouvernance est un accélérateur pour l’IA, pas un frein.

Le rapport WEF Empowering Defenders montre que les organisations qui utilisent massivement l’IA en cybersécurité réduisent le coût moyen d’une violation de données jusqu’à 1,9 million de dollars et raccourcissent le cycle de vie des incidents d’environ 80 jours. Ces avantages ne sont accessibles qu’aux organisations qui gouvernent d’abord l’accès aux données, puis accélèrent. Bloquer l’IA supprime ces bénéfices défensifs et pousse les usages vers des canaux non maîtrisés. Gouverner l’IA permet de concilier rapidité et sécurité.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

La variable qui détermine quel verdict s’applique à votre organisation

L’orientation de l’IA dans votre organisation dépend d’un seul facteur : la gouvernance de son accès aux données. Un assistant IA qui n’accède qu’aux données autorisées pour l’utilisateur — selon des règles appliquées à chaque requête — est un outil. Le même assistant, doté d’un accès permanent et non audité à toutes les données, devient un risque. Même modèle, verdict opposé, et la seule différence, c’est la couche de gouvernance.

Voyons ce qu’un système IA fait dans une entreprise. Il lit des données. Il récupère des données. Il déplace des données. Sa valeur vient de l’accès — aux documents, aux dossiers, aux informations, au contenu réglementé qui rend les résultats pertinents. Mais un accès incontrôlé à ce même contenu représente précisément l’exposition que les programmes de protection des données cherchent à éviter. Les organisations qui présentent l’adoption de l’IA comme un compromis entre rapidité et sécurité se trompent de problème. Ce compromis n’existe que si l’accès n’est pas gouverné. Gouvernez-le, et rapidité et sécurité cessent d’être en opposition.

IA agentique : là où se concentrent les inquiétudes

L’inquiétude des membres de l’ISC2 n’est pas répartie uniformément. L’IA agentique obtient une note négative de la part de 34 % des répondants — loin devant l’informatique quantique. La raison est structurelle : un agent ne se contente pas d’analyser. Il agit. Et un acteur dont vous ne pouvez pas limiter l’accès représente un risque fondamentalement différent d’un outil qui ne fait que répondre à des questions.

Le déficit de contrôle à l’origine de cette crainte est documenté. 63 % des organisations ne peuvent pas imposer de limites d’usage à leurs agents IA. 60 % ne peuvent pas mettre fin rapidement à un agent défaillant. 55 % ne peuvent pas isoler les systèmes IA du reste du réseau. 100 % prévoient de déployer de l’IA agentique d’ici 2026 — alors que la limitation des usages, les dispositifs d’arrêt d’urgence et l’isolation réseau figurent parmi les plus grands manques de contrôle, avec un retard de 15 à 20 points sur les contrôles de gouvernance.

L’étude Agents of Chaos confirme cette inquiétude. Réalisée début 2026 par des chercheurs du MIT, de Harvard, de Stanford et de CMU, elle a documenté des agents compromis dans des environnements réels par simple conversation — sans exploitation sophistiquée. Prompt injection, ingénierie sociale, usurpation d’identité. Les agents n’ont pas été piratés. On les a poussés à mal se comporter. Les garde-fous au niveau du modèle ne suffisent pas ; il faut des contrôles au niveau des données.

Pourquoi « bloquer l’IA » ou « adopter l’IA » sont deux mauvaises réponses

Bloquer l’IA revient à renoncer aux bénéfices défensifs prouvés par les données du WEF et à pousser les usages vers des canaux non maîtrisés, sans traçabilité ni contrôle d’accès. L’IA fantôme est systématiquement identifiée comme la principale cause d’incidents liés à des collaborateurs négligents — l’interdiction ne supprime pas le risque IA, elle le rend invisible.

Adopter l’IA sans gouvernance, c’est s’exposer exactement aux risques décrits par CrowdStrike et Kiteworks. Un système IA doté d’un large accès aux données devient un point unique d’exposition catastrophique — une seule injection de prompt, un agent sur-autorisés, un workflow compromis suffisent à exfiltrer des données qui n’auraient jamais dû être accessibles.

La solution, c’est l’activation gouvernée. Authentifiez chaque requête IA. Autorisez-la selon la politique. Limitez-la à un usage précis. Journalisez tout. Une fois ces contrôles en place, la tension entre rapidité et sécurité disparaît, et l’IA devient la force positive que les professionnels attendent.

L’approche Kiteworks : la gouvernance comme catalyseur de l’IA

Pour résoudre le paradoxe de la sécurité de l’IA, il faut gouverner l’accès aux données là où l’IA les consulte — la couche de contenu — afin que la technologie qui inquiète le RSSI devienne celle qui l’aide.

Kiteworks Secure MCP Server permet aux assistants IA d’exploiter les données d’entreprise en langage naturel, mais chaque requête est authentifiée, autorisée via des contrôles d’accès basés sur les attributs, et journalisée — selon les mêmes règles que pour les utilisateurs humains. L’AI Data Gateway étend ce principe aux pipelines RAG, pour que l’IA accède aux données nécessaires sans hériter d’autorisations excessives. Les identifiants ne sont jamais exposés au modèle. Le chiffrement validé FIPS 140-3 protège chaque flux de données.

L’architecture part du principe qu’une compromission est possible. Si un agent IA est compromis par injection de prompt, l’application des règles limite l’impact — l’agent ne peut pas exfiltrer des données auxquelles il n’était pas autorisé. Le rate limiting empêche l’extraction massive. Les journaux d’audit infalsifiables garantissent la traçabilité de chaque interaction IA avec des données réglementées, transformant l’adoption de l’IA d’un risque de conformité en preuve de conformité.

Le Réseau de données privé Kiteworks étend cette architecture à la messagerie électronique, au partage sécurisé de fichiers, au MFT, au SFTP, aux formulaires web et aux API, sous un moteur de règles unique et un journal d’audit consolidé. Ce n’est pas un frein à l’IA — c’est un plan de contrôle qui rend la rapidité viable.

Ce que les organisations doivent faire face au paradoxe de la sécurité de l’IA

Premièrement, cessez de débattre du bien ou du mal et commencez à auditer les accès. 63 % des organisations ne peuvent pas imposer de limites d’usage à leurs agents IA selon les Prévisions 2026 de Kiteworks. Recentrez les efforts sur l’audit des accès — c’est là que se trouve la réponse.

Deuxièmement, comblez le déficit de confinement avant de déployer les agents à grande échelle. Avec 100 % des organisations prévoyant de l’IA agentique alors que les mesures de confinement accusent un retard de 15 à 20 points sur la gouvernance, la priorité va à la limitation des usages, aux dispositifs d’arrêt d’urgence et à l’isolation réseau — à mettre en place avant le déploiement, pas après un incident.

Troisièmement, faites sortir l’IA fantôme de l’ombre au lieu de l’interdire. L’interdiction détruit la visibilité. Proposez des parcours IA gouvernés pour éviter que les collaborateurs ne fassent transiter des données sensibles via des outils grand public non maîtrisés, et équipez ces parcours de journalisation et de contrôle d’accès.

Quatrièmement, exploitez délibérément les avantages défensifs. Les données du WEF montrent que l’IA en cybersécurité réduit le coût des violations jusqu’à 1,9 million de dollars et raccourcit le cycle de vie des incidents d’environ 80 jours. Ce verdict positif est accessible — mais uniquement aux organisations qui déploient l’IA de façon défensive et gouvernée, pas à celles paralysées par la peur.

Cinquièmement, rendez l’accès IA prêt pour l’audit. Les régulateurs exigent que l’accès aux données par l’IA soit gouverné comme pour les humains. Journalisez chaque interaction IA avec des données réglementées dans une piste infalsifiable, pour que l’application des règles devienne la documentation de conformité attendue par les auditeurs.

Pour en savoir plus sur la protection de vos données sensibles dans une organisation de plus en plus optimisée par l’IA, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Changez de perspective : l’IA est les deux à la fois, et c’est la gouvernance qui détermine le verdict pour votre organisation. 63 % des organisations ne peuvent pas imposer de limites d’usage à leurs agents IA selon les Prévisions 2026 de Kiteworks. La question n’est pas d’adopter ou non l’IA — mais de gouverner son accès aux données avant de le faire. La gouvernance de l’IA est la vraie question ; l’adoption n’est que la conséquence.

Parce que les agents agissent sur les données, ils ne se contentent pas de les analyser, et la plupart des organisations ne peuvent pas les contraindre. 60 % ne peuvent pas mettre fin à un agent défaillant et 100 % prévoient de déployer de l’IA agentique — alors que les mesures de confinement accusent un retard de 15 à 20 points sur la gouvernance selon les Prévisions 2026 de Kiteworks. L’étude Agents of Chaos a montré que des agents peuvent être compromis par simple conversation, sans exploitation sophistiquée.

Oui — si l’accès IA est gouverné à la couche contenu. Le risque se concentre sur l’accès non gouverné des agents. Authentifiez, autorisez selon la politique, limitez l’usage et journalisez chaque requête IA via une passerelle gouvernée comme l’AI Data Gateway, et le compromis rapidité/sécurité disparaît. Le rapport WEF Empowering Defenders documente les bénéfices : jusqu’à 1,9 million de dollars d’économies sur les violations pour les organisations qui utilisent l’IA massivement et sous gouvernance.

Non — bloquer l’IA détruit la visibilité et fait perdre la valeur défensive. Les collaborateurs utiliseront quand même l’IA via des outils non maîtrisés, supprimant votre traçabilité et votre contrôle d’accès. L’IA fantôme est la principale cause d’incidents liés à des collaborateurs négligents selon le rapport DTEX 2026 Insider Threat Report. Il faut des parcours IA gouvernés avec journalisation et application des règles — pas l’interdiction pure et simple.

L’accès gouverné produit des preuves de conformité en continu. 33 % des organisations n’ont pas de pistes d’audit de qualité suffisante selon les Prévisions 2026 de Kiteworks. Journaliser chaque interaction IA avec des données réglementées dans une piste infalsifiable — livrée en temps réel au SIEM — transforme l’application des règles en documentation prête pour l’audit, comme l’exigent de plus en plus les régulateurs pour l’accès IA aux PHI, CUI et données personnelles.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour la protection de la vie privée à l’ère de l’IA à moindre coût
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données face à l’IA
  • eBook
    Le fossé de la gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent la preuve qu’elle fonctionne.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks