Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Combler le fossé entre accès et confiance dans la sécurité moderne

Combler le fossé entre accès et confiance dans la sécurité moderne

par Tim Freestone updated novembre 5, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

L’environnement de travail moderne évolue à une vitesse que les infrastructures de sécurité traditionnelles n’ont jamais été conçues pour gérer. Les collaborateurs jonglent entre des dizaines d’applications cloud, alimentent des outils d’IA avec des données d’entreprise et accèdent aux systèmes depuis leurs appareils personnels—souvent avant même que les équipes de sécurité n’aient connaissance de ces outils. Ce décalage a donné naissance à ce que les chercheurs appellent désormais le « gap accès-confiance » : l’écart croissant entre ce que les organisations pensent contrôler et la réalité du travail quotidien.

Deux études récentes dressent un constat préoccupant de ce défi. Une recherche menée par 1Password révèle que les outils de sécurité traditionnels comme le single sign-on, la gestion des appareils mobiles et la gestion des identités ne sont plus adaptés à la façon dont les collaborateurs et les agents IA accèdent aux données. Parallèlement, une enquête Anaconda auprès de plus de 300 professionnels de l’IA montre que même les organisations dotées de cadres formels de gouvernance des données IA rencontrent des problèmes de sécurité, un suivi incohérent et des chaînes d’outils fragmentées. Ensemble, ces résultats révèlent une double crise : les entreprises font face à une adoption rapide de l’IA qui dépasse la capacité de supervision, ainsi qu’à des problèmes fondamentaux de contrôle des accès qui transforment chaque nouvel outil en vulnérabilité potentielle.

Résumé des points clés

  1. L’IA fantôme est omniprésente et largement non surveillée. 73 % des collaborateurs utilisent désormais des outils d’IA au travail, mais 27 % ont eu recours à des applications non approuvées, inconnues de leur entreprise. Ces outils gratuits, accessibles via navigateur, créent des angles morts lorsque des données sensibles sont transmises à des systèmes non validés.
  2. Les contrôles d’accès traditionnels ne suivent pas l’adoption du SaaS. Seuls deux tiers des applications d’entreprise sont protégés par le single sign-on, laissant une grande partie du paysage logiciel sans gestion. Plus de la moitié des employés admettent avoir téléchargé des outils professionnels sans validation IT, car les options officielles sont trop lentes ou ne répondent pas à leurs besoins.
  3. Le vol d’identifiants reste une cause majeure de compromission. Deux tiers des collaborateurs adoptent des pratiques à risque comme la réutilisation ou le partage de mots de passe par e-mail, et les identifiants volés sont la deuxième cause la plus fréquente de violations majeures. 89 % des responsables sécurité encouragent désormais l’adoption des passkeys pour limiter la dépendance aux mots de passe traditionnels.
  4. La gouvernance des modèles IA souffre de chaînes d’outils fragmentées. Seules 26 % des organisations disposent d’environnements de développement IA très unifiés, tandis que 30 % n’ont pas de suivi formel pour détecter la dérive des modèles en production. Les préoccupations de sécurité retardent les déploiements IA dans près de deux tiers des entreprises, les équipes passant beaucoup de temps à résoudre des problèmes de dépendances et de vulnérabilités.
  5. Les anciens collaborateurs accèdent encore aux systèmes de l’entreprise. 38 % des employés déclarent avoir accédé à des comptes ou données d’un ancien employeur après leur départ, révélant de graves lacunes dans les processus de départ. Des procédures de révocation d’accès incohérentes et des systèmes de gestion des identités fragmentés laissent perdurer ces failles de sécurité sur des centaines d’applications cloud.

Comprendre le gap accès-confiance

Le gap accès-confiance traduit un désalignement fondamental dans la sécurité des entreprises actuelles. Les organisations ont bâti leur défense autour d’outils conçus pour une autre époque—celle où les collaborateurs travaillaient sur des appareils détenus par l’entreprise, accédaient à un nombre limité d’applications approuvées et se connectaient via des réseaux maîtrisés. Ce monde n’existe plus.

L’environnement de travail actuel est fluide et distribué. Les collaborateurs alternent entre ordinateurs portables professionnels et téléphones personnels. Ils adoptent des services cloud qui échappent totalement à l’infrastructure IT. Ils collaborent via des plateformes souvent inconnues des équipes de sécurité. Les contrôles traditionnels comme le SSO partent du principe que toutes les applications importantes seront recensées et intégrées, mais cette hypothèse s’effondre dès lors que chacun peut activer un nouvel outil avec une simple carte bancaire et une adresse e-mail.

L’étude 1Password identifie quatre domaines critiques où ce gap se creuse : la gouvernance IA, le SaaS et l’IT fantôme, les identifiants et la sécurité des terminaux. Dans chaque cas, on observe le même schéma—adoption rapide de nouveaux outils et pratiques, puis supervision limitée ou en retard. Les conséquences vont de simples inefficacités à des failles de sécurité majeures, et la situation s’aggrave à mesure que l’IA ajoute une couche de complexité à un modèle de sécurité déjà sous tension.

Défi de la gouvernance IA : deux faces d’une même pièce

L’IA s’est imposée dans les routines de travail plus vite que presque toute autre technologie récente. Selon l’étude 1Password, 73 % des collaborateurs utilisent aujourd’hui l’IA pour au moins une partie de leur mission. Pourtant, plus d’un tiers reconnaissent ne pas toujours respecter les règles internes sur l’usage de l’IA—et certains ignorent même leur existence. Ce décalage entre adoption et gouvernance crée un risque immédiat.

Le problème va au-delà du simple non-respect des règles. Environ 27 % des employés ont utilisé des outils IA jamais validés par leur entreprise. Ces IA fantômes, gratuites et accessibles via navigateur, sont faciles à adopter mais quasi indétectables pour l’IT. Lorsque des collaborateurs transmettent des données sensibles à des systèmes non validés—pour générer du contenu, analyser des informations ou automatiser des tâches—ils créent des points d’exposition qui échappent à tous les contrôles de sécurité mis en place par l’organisation.

La question est aggravée par un défaut de communication. Peu d’équipes sécurité pensent que leur entreprise n’a pas de politique IA, mais beaucoup plus d’employés affirment n’en avoir jamais vu. Cela suggère que les règles existent sur le papier mais n’atteignent pas ceux qui doivent les appliquer, créant un dangereux écart entre l’intention et la pratique.

Le volet technique de la gouvernance IA rencontre des difficultés tout aussi sérieuses. L’enquête Anaconda révèle que la sécurité reste le principal risque du développement IA, citée par 39 % des sondés. Près de deux tiers des organisations ont déjà retardé des déploiements IA pour des raisons de sécurité. De nombreuses équipes signalent que le temps passé à résoudre des problèmes de dépendances—notamment dans les packages Python open source—impacte directement la productivité.

Malgré des processus de validation des packages pour la sécurité et la conformité, les méthodes actuelles peinent à suivre l’ampleur et la complexité des projets IA. Les organisations combinent analyses automatisées de vulnérabilités, registres internes de packages et revues manuelles, mais la fréquence des incidents de sécurité montre que ces approches restent insuffisantes. Le problème ne vient pas d’un manque de vigilance ou d’efforts ; la surface d’attaque s’est simplement développée plus vite que les outils censés la protéger.

Le suivi présente les mêmes lacunes. 83 % des organisations documentent l’origine des modèles de base et 81 % tiennent un registre des dépendances, mais la documentation n’est pas toujours exhaustive. Près d’un répondant sur cinq n’a aucune documentation formelle. Le suivi des performances est tout aussi inégal—70 % disposent de mécanismes pour détecter la dérive ou des comportements inattendus, mais 30 % n’ont aucun suivi formel en production.

Ces angles morts sont critiques. Sans suivi régulier, impossible de détecter la dégradation des modèles, des comportements inattendus ou des fuites de données sensibles. À mesure que l’IA s’intègre dans les systèmes de production—pour gérer la relation client, les transactions financières ou les processus opérationnels—l’incapacité à tracer le comportement des modèles devient un échec majeur de gouvernance.

La fragmentation touche aussi les chaînes d’outils. Seules 26 % des organisations disposent d’une chaîne de développement IA très unifiée. La majorité travaille avec des environnements partiellement unifiés ou très fragmentés. Cette fragmentation crée des angles morts, du travail en double et des contrôles de sécurité incohérents d’une équipe ou d’un projet à l’autre.

Les facteurs culturels compliquent encore la donne. Un quart des sondés pointent la résistance des équipes data science aux mesures de sécurité comme un défi clé. Lorsque la gouvernance s’ajoute à des systèmes disparates, elle devient lente et contraignante, poussant les équipes à la contourner. Résultat : plus d’IT fantôme, plus d’outils non validés et un écart grandissant entre les règles et la réalité.

SaaS en expansion et réalité de l’IT fantôme

L’explosion des applications cloud a radicalement transformé le fonctionnement des entreprises. Les organisations s’appuient désormais sur des centaines d’applications cloud, mais la plupart échappent à la visibilité et au contrôle de l’IT. L’étude 1Password révèle que plus de la moitié des employés admettent avoir téléchargé des outils professionnels sans autorisation, généralement parce que les solutions officielles sont trop lentes ou inadaptées.

Ce comportement alimente ce que les experts appellent le « SaaS sprawl »—la prolifération incontrôlée d’applications SaaS dans l’entreprise. Les chiffres sont parlants. 70 % des professionnels de la sécurité estiment que le SSO n’est pas une solution suffisante pour sécuriser les identités. En moyenne, seuls deux tiers des applications d’entreprise sont protégés par le SSO, laissant une part importante du parc applicatif sans gestion ni visibilité.

Les raisons de ce contournement sont simples. Les collaborateurs font face à de vrais problèmes de workflow et ont besoin d’outils pour les résoudre. Quand la procédure officielle d’achat prend des semaines et qu’une alternative non validée s’installe en quelques minutes, beaucoup privilégient la facilité à la conformité. Si l’outil validé est lent, peu intuitif ou incomplet, ils cherchent ailleurs. Il ne s’agit pas d’un comportement malveillant—juste de personnes qui veulent travailler efficacement.

Le problème de l’offboarding révèle l’ampleur du phénomène. 38 % des employés déclarent avoir accédé à un compte ou à des données d’un ancien employeur après leur départ. Ce chiffre doit alerter tout responsable sécurité. Il montre que les processus de révocation d’accès sont incohérents, que de nombreux comptes et outils échappent à la procédure de départ, et que l’organisation ne sait pas toujours où d’anciens collaborateurs peuvent encore accéder.

Des systèmes d’accès fragmentés rendent ces failles courantes. Lorsqu’une entreprise utilise des dizaines ou des centaines de services cloud, chacun avec sa propre gestion des accès, garantir un offboarding complet devient extrêmement complexe. Un seul oubli peut laisser une porte ouverte pendant des mois, voire des années, après le départ d’un collaborateur.

Identifiants : le maillon faible persistant

Malgré des années de sensibilisation à la sécurité et des technologies d’authentification de plus en plus avancées, la sécurité des mots de passe reste un problème fondamental. L’étude 1Password montre que deux tiers des collaborateurs reconnaissent des pratiques à risque comme la réutilisation de mots de passe, le partage d’identifiants avec des collègues, l’usage de mots de passe par défaut ou l’envoi d’identifiants par e-mail ou messagerie.

Ces comportements ne concernent pas que les profils non techniques. Les professionnels de la sécurité eux-mêmes adoptent ces mêmes pratiques à risque, ce qui suggère que le problème tient moins à la sensibilisation qu’à la complexité de la gestion sécurisée des identifiants. Face à des dizaines, voire des centaines de comptes nécessitant chacun un mot de passe unique et complexe, beaucoup optent pour des raccourcis qui fragilisent la sécurité.

Les conséquences sont tangibles et graves. Près de la moitié des sondés citent l’utilisation de mots de passe faibles ou compromis comme principal défi de sécurité. Parmi les organisations ayant subi une violation majeure ces trois dernières années, le vol d’identifiants arrive en deuxième position, juste après les vulnérabilités logicielles.

Le constat est clair : les identifiants restent une cible de choix car ils sont précieux et relativement faciles à compromettre. Les attaques par phishing, credential stuffing et ingénierie sociale ciblent tous le maillon le plus faible de la chaîne—le couple identifiant/mot de passe.

Les organisations réagissent en adoptant les passkeys et d’autres méthodes d’authentification sans mot de passe. 89 % des responsables sécurité déclarent encourager ou prévoir d’encourager l’usage des passkeys. Ces dernières remplacent les mots de passe traditionnels par une authentification biométrique ou basée sur l’appareil, résistante au phishing, qui réduit la friction utilisateur et répond aux exigences de conformité réglementaire.

« Je ne suis pas surpris par l’engouement pour les passkeys, car les entreprises qui les promeuvent rendent leur adoption très simple—un clic suffit », explique Brian Morris, CISO chez Gray Media, soulignant l’aspect pratique de ces nouvelles approches.

Cependant, la transition ne se fera pas du jour au lendemain. Les mots de passe coexisteront avec les nouveaux systèmes d’authentification pendant des années, le temps de gérer les systèmes existants, les intégrations tierces et la migration progressive des utilisateurs. L’objectif réaliste n’est pas d’éliminer totalement les mots de passe à court terme, mais de réduire la fréquence à laquelle les utilisateurs manipulent des identifiants bruts et de renforcer la protection de ceux qui subsistent.

Gestion des appareils à l’ère du travail hybride

Le passage au travail hybride et à distance a rendu la gestion des appareils bien plus complexe. Près de trois quarts des collaborateurs utilisent occasionnellement leur appareil personnel pour le travail, et plus de la moitié le font chaque semaine. Cela représente un changement profond dans la façon dont les personnes accèdent aux ressources de l’entreprise, mais les outils de sécurité conçus pour gérer ces accès n’ont pas suivi le rythme.

La gestion des appareils mobiles reste le mécanisme de contrôle par défaut pour le matériel de l’entreprise, mais les responsables sécurité en perçoivent de plus en plus les limites. Les outils MDM ont été conçus pour un environnement où l’entreprise possède les appareils, maîtrise le système d’exploitation et peut appliquer des règles globales. Ils ne sont pas adaptés à des situations où les collaborateurs naviguent entre appareils personnels et professionnels, accédant à des services cloud hors du périmètre réseau traditionnel.

Les limites sont évidentes sur le terrain. Les responsables sécurité constatent que le MDM ne protège pas suffisamment les appareils gérés ni n’assure la conformité, surtout en mode hybride. Les appareils personnels n’offrent pas les protections des machines professionnelles—pas de protection endpoint d’entreprise, pas de chiffrement centralisé, pas de gestion des correctifs garantie. Pourtant, les collaborateurs les utilisent pour accéder aux e-mails, modifier des documents, participer à des visioconférences et utiliser des applications métier.

Même lorsque les entreprises interdisent le BYOD, l’application reste très inégale. Les collaborateurs continuent d’accéder aux données de l’entreprise depuis leur téléphone lors des trajets ou depuis leur ordinateur personnel en télétravail. Le choix se résume souvent à bloquer totalement l’accès—au risque de nuire à la productivité et de frustrer les équipes—ou à l’autoriser en acceptant le risque.

Solutions pratiques et recommandations

Le gap accès-confiance et les défis de la gouvernance IA imposent aux organisations de repenser leur approche de la sécurité. Les interdictions générales et les contrôles rigides ne fonctionnent plus quand les collaborateurs peuvent adopter instantanément de nouveaux outils et travailler depuis n’importe quel appareil ou lieu. La solution passe par la visibilité, l’accompagnement et des contrôles intégrés, plutôt que par des barrières et des restrictions.

  • Gouvernance IA

    • Passer du blocage de l’IA à la surveillance et à l’accompagnement de son usage.
    • Mettre en place des mécanismes de découverte continue pour identifier les outils utilisés, qu’ils soient validés ou non.
    • Communiquer clairement les politiques IA à tous les collaborateurs.
    • Intégrer la gouvernance directement dans les workflows de développement pour limiter la résistance et aligner innovation et supervision.
    • Investir dans une meilleure visibilité sur les composants des modèles, la formation, et la surveillance automatisée des dérives et anomalies.

  • SaaS en expansion et IT fantôme

    • Automatiser la gouvernance pour suivre les accès dans le temps sur tous les outils, pas seulement ceux connectés au SSO.
    • Utiliser la segmentation réseau, des outils de visibilité endpoint et des processus de découverte réguliers pour détecter l’IT fantôme.
    • Se concentrer sur l’offboarding : créer des checklists, automatiser la révocation des accès et réaliser des audits périodiques.

  • Sécurité des identifiants

    • Déployer les passkeys et l’authentification sans mot de passe sur les applications à risque, puis élargir progressivement.
    • Rendre les gestionnaires de mots de passe obligatoires et étendre la couverture SSO.
    • Réduire la fréquence à laquelle les utilisateurs manipulent des identifiants bruts.

  • Sécurité des appareils et des endpoints

    • Accepter la réalité hybride et adapter les contrôles en conséquence.
    • Mettre en œuvre une architecture zero trust qui vérifie chaque demande d’accès.
    • Fournir des appareils professionnels aux collaborateurs accédant à des données sensibles, ou appliquer des politiques d’accès conditionnel selon l’état de l’appareil et le comportement utilisateur.

Dans toutes ces démarches, l’équilibre est essentiel. Des contrôles de sécurité qui compliquent trop le travail des collaborateurs seront contournés. Les mesures les plus efficaces sont celles qui s’alignent avec les usages, protégeant sans générer de friction excessive.

La sécurité doit suivre le rythme du travail

Le gap accès-confiance et les défis de la gouvernance IA ne sont pas des problèmes temporaires qui disparaîtront avec la maturité des technologies. Ils traduisent un changement profond dans la façon de travailler—vers des workflows distribués, flexibles et augmentés par l’IA, que les outils de sécurité traditionnels n’ont jamais été conçus pour gérer.

Les organisations qui comblent ces écarts gagneront en sécurité et en capacité d’innovation. Celles qui les ignorent verront les risques s’accroître à mesure que l’écart entre la politique et la pratique se creuse. La solution repose sur des approches adaptatives, centrées sur la visibilité, qui offrent supervision sans freiner les avancées.

Les équipes de sécurité doivent évoluer : passer de gardiens à facilitateurs, de la logique du contrôle à celle de la visibilité, du réactif au proactif. Le monde du travail a changé pour de bon, et les pratiques de sécurité doivent s’y adapter.

Foire aux questions

Le gap accès-confiance désigne l’écart croissant entre ce que les organisations pensent contrôler et la façon dont les collaborateurs accèdent aux données de l’entreprise. Les outils de sécurité traditionnels comme le SSO, le MDM et la gestion des identités ont été conçus pour des environnements où les collaborateurs utilisaient des appareils et applications approuvés par l’entreprise, alors qu’aujourd’hui, les employés adoptent des services cloud, des outils IA et des appareils personnels plus vite que les équipes de sécurité ne peuvent les suivre ou les gérer.

27 % des collaborateurs ont utilisé des outils IA non validés par leur entreprise, selon une étude récente de 1Password. Si 73 % utilisent l’IA pour au moins une partie de leur mission, plus d’un tiers reconnaissent ne pas toujours suivre les règles internes, et beaucoup ignorent même leur existence. Ces outils non validés, gratuits et accessibles via navigateur, sont faciles à adopter mais quasiment invisibles pour les équipes IT.

Plus de la moitié des employés téléchargent des outils professionnels sans validation IT, car les solutions officielles sont trop lentes, prennent des semaines à être déployées ou n’offrent pas les fonctionnalités nécessaires à leur efficacité. Ce comportement alimente le SaaS sprawl, les organisations gérant désormais des centaines d’applications cloud—la plupart échappant à la visibilité IT. En moyenne, seuls deux tiers des applications d’entreprise sont protégés par le SSO, laissant une part importante du parc applicatif sans gestion.

La sécurité arrive en tête, 39 % des professionnels de l’IA la citant comme principal risque et près de deux tiers des organisations rencontrant des retards de déploiement pour des raisons de sécurité. Parmi les autres défis : des chaînes d’outils fragmentées (seules 26 % disposent d’environnements très unifiés), un suivi des modèles incohérent (30 % n’ont pas de suivi formel en production) et une résistance culturelle des équipes data science qui voient les mesures de sécurité comme des freins plutôt que des leviers.

Les outils MDM montrent de fortes limites dans les environnements hybrides, selon les responsables sécurité interrogés. Près de 75 % des collaborateurs utilisent au moins occasionnellement leur appareil personnel pour le travail, mais le MDM a été conçu pour du matériel détenu par l’entreprise, pas pour des environnements où l’on passe d’un appareil personnel à un appareil professionnel. Les appareils personnels n’offrent pas la protection endpoint d’entreprise, pas de chiffrement centralisé ni de gestion des correctifs garantie, alors que les collaborateurs les utilisent pour accéder aux e-mails, documents et applications métier.

38 % des employés déclarent avoir accédé à des comptes ou données d’un ancien employeur après leur départ, révélant des lacunes majeures dans l’offboarding. Cela s’explique par des processus de révocation d’accès incohérents, de nombreuses applications cloud échappant aux workflows standards de départ, et l’absence d’inventaire complet des accès potentiels pour les anciens collaborateurs. Lorsqu’une entreprise utilise des centaines de services cloud avec des systèmes de gestion des accès distincts, garantir un offboarding complet devient extrêmement complexe.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks