Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le fossé des règles en matière d’IA : 90 % l’utilisent, 25 % n’ont aucune règle

Le fossé des règles en matière d’IA : 90 % l’utilisent, 25 % n’ont aucune règle

par Patrick Spencer updated mai 28, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le sondage AI Pulse 2026 d’ISACA a interrogé 3 400 professionnels de la confiance numérique, couvrant l’audit IT, la gouvernance, la cybersécurité, la protection des données et les technologies émergentes. Trois chiffres résument une réalité que la plupart des responsables sécurité connaissent déjà, mais n’ont pas quantifiée pour leur conseil d’administration : 90 % affirment que les employés utilisent des outils d’IA. Pourtant, seuls 38 % disposent d’une politique formelle d’IA, et 25 % n’en ont aucune.

Comme l’a rapporté Infosecurity Magazine, ce décalage produit un résultat prévisible : l’essor de l’IA fantôme, où les employés utilisent des outils comme les LLM pour faciliter leur travail quotidien et font transiter, à leur insu, des informations sensibles de l’entreprise via des systèmes non approuvés ni audités par la sécurité. Le sondage révèle un point encore plus préoccupant : seuls 38 % des praticiens estiment que leur conseil d’administration comprend les risques liés à l’IA. Ceux qui devraient faire remonter le problème ne sont pas certains que leurs interlocuteurs sachent l’interpréter.

5 enseignements clés

1. L’écart de politique IA devient concret.

Le sondage AI Pulse 2026 d’ISACA mené auprès de 3 400 professionnels de la confiance numérique indique que 90 % déclarent que les employés utilisent des outils d’IA, mais seuls 38 % disposent d’une politique formelle et 25 % n’en ont aucune. Ce bond de dix points par rapport à 28 % en 2025 semble être un progrès, jusqu’à ce qu’on le compare à la courbe d’adoption : l’usage de l’IA a progressé plus vite que la politique, creusant l’écart. Les organisations sans politique ne sont pas des exceptions. Elles représentent une sur quatre.

2. Une politique écrite ne garantit pas l’application au niveau des données.

Un document d’usage acceptable ne peut pas empêcher un employé de copier-coller des données clients dans un LLM public à 23h. Les contrôles doivent s’appliquer là où résident les données. Les Prévisions 2026 de Kiteworks révèlent que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à un but précis et 60 % ne peuvent pas désactiver rapidement un agent malveillant. Il s’agit de failles au niveau du plan de contrôle, non de simples lacunes de politique. Une gouvernance IA sans application en temps réel reste de l’ordre du vœu pieux, pas de la conformité.

3. L’IA fantôme est désormais le principal facteur de coût interne.

Le rapport mondial 2026 sur le coût des risques internes désigne l’IA fantôme comme principal moteur des incidents dus à la négligence — une catégorie qui coûte déjà 10,3 millions de dollars par an et représente 53 % du coût total des risques internes. 92 % des organisations affirment que l’IA générative a modifié la façon dont les employés partagent l’information ; seuls 13 % l’ont intégrée formellement à leur stratégie. Cet écart de 79 points entre l’évolution des comportements et la réponse stratégique constitue la surface d’exposition exploitée par l’IA fantôme.

4. Le conseil d’administration ignore ce qu’il ne voit pas.

Seuls 38 % des praticiens estiment que leur conseil d’administration comprend les risques liés à l’IA. Les Prévisions 2026 de Kiteworks montrent que 54 % des conseils ne s’impliquent pas dans la gouvernance IA, et ces organisations accusent un retard de 26 à 28 points sur chaque indicateur de maturité IA — la corrélation la plus forte du sondage. Le problème de l’IA fantôme est un symptôme. Le véritable enjeu, c’est la déconnexion de gouvernance au sommet, et aucune politique au niveau utilisateur ne comblera ce fossé.

5. La solution est architecturale, pas théorique.

Une gouvernance au niveau des données, avec des contrôles d’accès basés sur les attributs, une application au niveau du contenu et des journaux d’audit infalsifiables, régit l’accès IA sans dépendre du comportement utilisateur. Si l’outil IA ne peut pas lire le contenu réglementé, le copier-coller n’a plus d’importance. Si l’agent IA ne peut pas dépasser son périmètre autorisé, la requête malveillante n’a plus d’impact. Une politique appliquée au niveau des données est la seule qui comble l’écart 90/38/25.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

L’IA fantôme est déjà la catégorie interne la plus coûteuse

Le rapport mondial 2026 sur le coût des risques internes de DTEX et Ponemon désigne l’IA fantôme comme principal facteur des incidents internes dus à la négligence — une catégorie qui coûte en moyenne 10,3 millions de dollars par an et représente 53 % du coût total des risques internes. Le coût annuel moyen du risque interne atteint 19,5 millions de dollars, contre 17,4 millions en 2024. Selon le rapport Kiteworks 2025 sur le MFT, 26 % des opérateurs MFT ont déjà connu des incidents d’exposition de données liés à des outils d’IA.

Les données DTEX/Ponemon sont claires sur la cause : le principal moteur est constitué d’employés bien intentionnés qui optimisent la rapidité dans des processus complexes. Une stratégie de gouvernance axée uniquement sur la détection des menaces malveillantes passe complètement à côté de la véritable surface de brèche. L’écart 92-13 entre l’évolution des comportements et la réponse stratégique est précisément là où se situe le triptyque 90/38/25.

Une politique écrite ne bloque pas un copier-coller à 23h

Imaginez la politique d’usage acceptable la plus stricte que votre service juridique puisse rédiger. Imaginez maintenant un commercial, en fin de trimestre, qui doit résumer un contrat client de 30 pages avant une réunion du conseil à 8h. La politique interdit de copier des informations clients dans des outils IA publics. Le commercial a neuf heures, un brouillon à rédiger et ChatGPT ouvert dans un autre onglet. La politique ne bloque pas le copier-coller. La politique est un document. Le copier-coller est un événement en temps réel.

Sans contrôle au niveau des données — là où se trouve réellement la fiche client — rien ne sépare l’intention de l’exfiltration. C’est ce que Kiteworks appelle le « containment gap » dans ses Prévisions 2026. 63 % des organisations ne peuvent pas limiter l’usage des agents IA à un but précis. 60 % ne peuvent pas désactiver rapidement un agent malveillant. 55 % ne peuvent pas isoler les systèmes IA du reste du réseau. Ce sont des failles du plan de contrôle, pas de simples lacunes de politique. Politique écrite et application en temps réel sont deux choses différentes, et les régulateurs auditent de plus en plus cette distinction.

L’angle mort du conseil d’administration aggrave tous les autres écarts

Le constat d’ISACA selon lequel seuls 38 % des praticiens estiment que leur conseil d’administration comprend les risques IA n’est pas une statistique anodine — c’est le meilleur indicateur du retard réel d’une organisation. Les Prévisions 2026 de Kiteworks montrent que 54 % des conseils ne s’impliquent pas dans la gouvernance IA, et ces organisations accusent un retard de 26 à 28 points sur chaque indicateur de maturité IA. C’est la corrélation la plus forte du sondage.

Cela a une importance majeure car la gouvernance IA est un enjeu fiduciaire, pas seulement technologique. La date d’entrée en vigueur principale de l’AI Act européen est le 2 août 2026. Le cadre de gestion des risques IA du NIST évolue constamment. Les lois IA au niveau des États s’accumulent. Chaque cadre exige non seulement une politique, mais aussi des preuves — datées, exportables, et défendables — du comportement réel des systèmes IA. Un conseil d’administration non informé ne peut pas endosser le risque. Un comité d’audit incapable de lire une cartographie des contrôles IA ne peut pas signer la déclaration 10-K. Combler l’écart de politique au niveau utilisateur ne sert à rien si le conseil n’est pas impliqué dans la définition, la preuve et les investissements nécessaires à l’application de ces politiques.

La réponse architecturale : gouvernance au niveau des données, pas espoir dans le comportement

La solution ne réside pas dans la formation. Former est nécessaire, mais ce n’est que la troisième ligne de défense, pas la première. La première ligne, c’est l’architecture. Trois propriétés définissent une gouvernance efficace.

Contrôles d’accès basés sur les attributs, évalués à chaque requête IA. La décision politique prend en compte l’identité de l’utilisateur, celle de l’agent, la classification des données, le but et le contexte — à chaque opération, pas seulement au début de la session. Si l’outil IA ne peut pas lire le contenu réglementé, le copier-coller n’a plus d’importance.

Chiffrement au niveau du contenu qui accompagne les données. Les copies dérivées restent gouvernées même hors du système d’origine. Le scénario du copier-coller à 23h est éliminé au niveau de l’architecture, pas par l’espoir que les employés lisent la politique.

Journaux d’audit immuables pour chaque interaction IA avec du contenu réglementé. D’une qualité probante, infalsifiables, et intégrés à l’infrastructure SIEM et conformité existante. Une politique appliquée au niveau des données est une politique appliquée — et elle produit les preuves que les régulateurs exigent de plus en plus.

Comment Kiteworks comble l’écart entre politique et application

Le serveur MCP sécurisé de Kiteworks et la passerelle de données IA appliquent la gouvernance sur l’accès des agents IA au niveau des données, et non au niveau du modèle ou de la requête. Les applications de grands modèles de langage interagissent avec Kiteworks via des contrôles d’accès basés sur les attributs et les rôles, chaque opération étant évaluée par le moteur de politique de données et chaque interaction consignée dans un journal d’audit complet. Les agents IA héritent du périmètre d’autorisation de l’utilisateur authentifié — ils ne peuvent pas le dépasser. Qu’il s’agisse d’une requête malveillante, d’un agent mal configuré ou d’un copier-coller bien intentionné, tous rencontrent la même application de contrôle.

Kiteworks SafeEDIT traite le scénario du copier-coller à 23h de façon architecturale : les utilisateurs — y compris les tiers externes — modifient un document dans l’environnement sécurisé Kiteworks sans jamais posséder le fichier. Le contenu ne peut pas être téléchargé dans un outil IA local, copié dans un prompt LLM public ou sortir du périmètre gouverné. Le Réseau de données privé Kiteworks étend cette gouvernance à la messagerie électronique, au partage de fichiers, au MFT, au SFTP, aux formulaires web et aux API sous un seul moteur de politique et un journal d’audit consolidé — produisant les preuves exigées par l’AI Act européen et le NIST AI RMF. Selon les Prévisions 2026 de Kiteworks, 33 % des organisations ne peuvent pas fournir ces preuves aujourd’hui.

Que faire avant le prochain audit

Première étape : évaluez la réalité de votre politique IA par rapport au référentiel 90/38/25 d’ISACA. Documentez la situation réelle de votre organisation — absence de politique, politique limitée ou politique complète — de façon transparente, par écrit, avant la prochaine réunion du comité d’audit. Ce document servira de point de départ à la discussion avec le conseil.

Deuxième étape : recensez les outils IA réellement utilisés, pas seulement ceux que vous avez validés. Les Prévisions 2026 de Kiteworks montrent que 100 % des organisations ont l’IA dans leur feuille de route 2026, mais la gouvernance accuse un retard de 15 à 20 points sur chaque indicateur de maîtrise. La télémétrie navigateur, l’EDR et la DLP permettent d’obtenir un inventaire réel en une semaine.

Troisième étape : distinguez les preuves de politique des preuves d’application. Un document de politique n’est pas un contrôle — un contrôle est ce qu’un régulateur peut auditer. Faites correspondre chaque clause de politique IA à un mécanisme d’application en temps réel et à une source de preuve spécifique. 33 % des organisations n’ont pas de traces d’audit de qualité pour l’activité IA, ce qui signifie que deux tiers ne peuvent pas démontrer l’application lors d’un contrôle.

Quatrième étape : informez le conseil d’administration avec la statistique 90/38/25 et la position de votre organisation par rapport à ce référentiel. Présentez la gouvernance IA comme une responsabilité fiduciaire liée à l’application de l’AI Act européen, aux attentes du NIST AI RMF et aux lois IA au niveau des États. Les conseils réagissent à l’exposition concrète, pas aux risques abstraits.

Cinquième étape : déplacez la gouvernance du niveau de la requête vers celui des données. Les filtres de prompt et garde-fous du modèle sont contournables — le livre blanc d’ISACA explique que ces garde-fous ne sont ni universels ni infaillibles. Une gouvernance appliquée au niveau des données, avec des contrôles d’accès basés sur les attributs et un chiffrement au niveau du contenu, ne dépend pas du bon comportement du modèle.

Pour en savoir plus sur la gouvernance des données sensibles dans une organisation pilotée par l’IA, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Une politique écrite est une documentation, pas une application. Les régulateurs qui auditent les contrôles IA exigent de plus en plus des preuves d’application en temps réel — des éléments concrets sur ce que le système a réellement fait. Les Prévisions 2026 de Kiteworks montrent que 33 % des organisations n’ont pas de traces d’audit de qualité. Sans ces preuves, une politique d’usage acceptable ne peut pas être prouvée lors d’un contrôle, quelle que soit sa qualité rédactionnelle. Les sociétés de services financiers font l’objet d’une vigilance similaire de la part de la SEC, de la FINRA et du FFIEC — tous exigent des preuves, pas seulement de la documentation.

L’IA fantôme crée un risque HIPAA car chaque interaction IA avec des informations médicales protégées (PHI) peut constituer une divulgation à un tiers non autorisé. La norme d’application HIPAA ne s’intéresse pas à l’intention, mais à la présence de mesures de protection raisonnables. Une politique sans application au niveau des données ne répond pas à cette exigence. Le rapport mondial 2026 sur le coût des risques internes désigne l’IA fantôme comme principal facteur des incidents dus à la négligence — la catégorie la plus ciblée par les sanctions HIPAA.

Commencez par la statistique du sondage AI Pulse 2026 d’ISACA : 90 % des employés utilisent l’IA, 38 % disposent d’une politique, et seuls 38 % des praticiens estiment que leur conseil d’administration comprend les risques IA. Mettez ces chiffres en perspective avec la situation de votre organisation. Présentez la gouvernance IA comme une responsabilité fiduciaire liée à l’échéance d’août 2026 de l’AI Act européen et à l’émergence de lois IA au niveau des États. Les conseils réagissent à l’exposition concrète et aux échéances de conformité, pas aux exposés sur les risques abstraits.

Les familles AC, AU et IA du CMMC Niveau 2 exigent une autorisation appliquée pour tout accès aux CUI — y compris l’accès des agents IA. Les Prévisions 2026 de Kiteworks montrent que 63 % des organisations ne peuvent pas limiter l’usage des agents IA à un but précis. Les contrôles d’accès basés sur les attributs au niveau des données répondent simultanément aux exigences AC, AU et IA et fournissent les preuves d’audit requises par les évaluateurs.

Commencez par l’architecture, pas par l’interdiction. Déployez une gouvernance au niveau des données qui autorise l’usage de l’IA sur des données autorisées tout en bloquant les combinaisons non autorisées. 100 % des organisations ont l’IA dans leur feuille de route 2026 — l’objectif est de permettre un usage gouverné, pas une restriction totale. Les contrôles d’accès basés sur les attributs, la GDN au niveau du contenu via la passerelle de données IA et des journaux d’audit immuables permettent à la gouvernance de suivre l’adoption, au lieu de la freiner.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    Écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent la preuve de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks