Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > La confiance, nouveau périmètre de sécurité : pourquoi la sécurité des données, la conformité et la confidentialité échouent sans données fiables
Trust Is the New Perimeter: Why Data Security, Compliance, and Privacy Fail Without Reliable Security Data

La confiance, nouveau périmètre de sécurité : pourquoi la sécurité des données, la conformité et la confidentialité échouent sans données fiables

par Patrick Spencer updated août 26, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 12 minutes

Imaginez ceci : 90 % des responsables IT et sécurité affirment être prêts à gérer la prochaine faille majeure ou exposition. Pourtant, en creusant, seuls 25 % font réellement confiance aux données qui alimentent leurs décisions de sécurité. Ce fossé dangereux entre confiance affichée et réalité crée une vulnérabilité plus critique que n’importe quelle faille zero-day—et elle se cache à la vue de tous dans votre pile de sécurité.

Le dernier rapport « Trust Factor » d’Axonius révèle une vérité inquiétante qui devrait empêcher tout professionnel de la sécurité de dormir : trois quarts des organisations prennent des décisions critiques en matière de sécurité sur la base de données auxquelles elles ne font même pas confiance. Il ne s’agit pas seulement d’un problème technique—c’est une rupture fondamentale dans les fondements de la cybersécurité moderne.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous vraiment le prouver ?

Pour en savoir plus :

À l’ère où la donnée guide chaque décision de sécurité, de la priorisation des correctifs au reporting de conformité, des données non fiables provoquent des défaillances en cascade dans toute votre posture de sécurité. Lorsque la confiance est faible, le contrôle doit être fort—c’est là que des solutions comme le Réseau de données privé de Kiteworks, qui inclut la passerelle de données IA, deviennent fondamentales. Ces plateformes transforment le chaos de données fragmentées et non fiables en une source unique de vérité sur laquelle les équipes de sécurité peuvent réellement s’appuyer.

La solution ne consiste pas à ajouter plus d’outils ou à générer davantage de rapports. Il s’agit de transformer une fausse confiance en un contrôle réel en s’attaquant à la cause racine : la crise de confiance dans la donnée qui mine la cybersécurité moderne.

Déconnexion en matière de sécurité des données : confiance sans contrôle

Les chiffres dressent un constat sans appel d’une confiance excessive dans les organisations. Selon le rapport Axonius, alors que la plupart des responsables sécurité affichent leur préparation, 75 % reconnaissent ne pas faire confiance à l’ensemble des données de leur organisation. Les principales causes de ce déficit de confiance sont tristement familières : données incohérentes (36 %), données incomplètes (34 %) et données inexactes (33 %). Il ne s’agit pas de simples désagréments—ce sont des failles majeures qui rendent inefficaces même les outils de sécurité les plus sophistiqués.

La prolifération d’outils aggrave exponentiellement le problème. Avec 98 % des organisations jonglant avec plusieurs outils de sécurité, la fragmentation des données est devenue la norme, non l’exception. Chaque outil fonctionne en silo, parle son propre langage et génère sa propre version de la « vérité ». Résultat ? Les équipes sécurité passent plus de temps à réconcilier des données contradictoires qu’à sécuriser leur environnement.

L’impact concret de cette déconnexion se mesure en retards dangereux. Le rapport révèle que 81 % des organisations mettent plus de 24 heures à corriger des vulnérabilités critiques. Dans le contexte actuel, où les attaquants exploitent les failles en quelques heures, ce délai transforme des risques gérables en catastrophes potentielles.

C’est là que la promesse d’un contrôle unifié devient essentielle. Des solutions comme le Réseau de données privé de Kiteworks servent de point de contrôle unique à travers des systèmes en silo, éliminant le besoin de réconcilier plusieurs sources de données. Les fonctions de remédiation en temps réel et la visibilité offerte par les tableaux de bord RSSI transforment la réaction dans l’urgence en défense proactive.

L’écart entre la préparation perçue et la capacité réelle n’est pas qu’un problème de mesure—c’est une question structurelle qui impose de repenser la manière dont nous collectons, validons et exploitons les données de sécurité.

Résumé des points clés

  1. Le déficit de confiance est votre plus grande vulnérabilité

    75 % des équipes sécurité ne font pas confiance à leurs propres données, mais continuent à prendre des décisions critiques sur cette base. Ce décalage entre confiance affichée (90 % se disent prêts) et réalité (seuls 25 % disposent de données fiables) crée une vulnérabilité fondamentale qu’aucun outil de sécurité supplémentaire ne peut corriger.

  2. La prolifération d’outils multiplie les problèmes, pas la protection

    Avec 98 % des organisations utilisant plusieurs outils de sécurité, la fragmentation est devenue l’ennemi d’une sécurité efficace. Chaque outil supplémentaire crée un nouveau silo, une nouvelle version de la « vérité » et un défi d’intégration supplémentaire—ce qui conduit 81 % des organisations à mettre plus de 24 heures pour corriger des vulnérabilités critiques.

  3. Votre exposition des données à l’IA est permanente et irréversible

    Dès qu’une donnée sensible entre dans un système basé sur l’IA, elle y reste à jamais—intégrée dans les modèles d’entraînement, hors de votre contrôle et impossible à supprimer. Avec 52 % des employés utilisant des outils IA non autorisés et seulement 9 % des organisations « prêtes pour l’IA », la plupart créent une exposition permanente sans en avoir conscience.

  4. Le théâtre de la conformité ne résiste pas à un véritable contrôle

    Seules 29 % des organisations respectent les exigences minimales d’évaluation hebdomadaire, tandis que 60 % restent aveugles à leur usage de l’IA malgré 59 nouvelles réglementations IA en 2024. L’écart entre les exigences réglementaires et ce que les outils fragmentés peuvent réellement démontrer se creuse chaque jour.

  5. La consolidation et le contrôle priment sur la collecte

    Les organisations doivent adopter des plateformes de sécurité enrichies par l’IA capables de détecter les anomalies de comportement, de réagir à la vitesse machine et d’offrir une visibilité unifiée pour contrer les menaces IA. Des solutions comme le Réseau de données privé de Kiteworks montrent comment les caractéristiques de l’IA qui rendent les attaques dangereuses—vitesse, persistance, adaptabilité—peuvent devenir des atouts défensifs.

Des risques pour la confidentialité cachés à la vue de tous

L’explosion de l’adoption de l’IA a créé une nouvelle catégorie de risques pour la confidentialité que la plupart des organisations sont loin d’être prêtes à gérer. Les recherches de Kiteworks révèlent une réalité préoccupante : 27 % des organisations déclarent que plus de 30 % des données envoyées vers des outils IA contiennent des informations privées ou sensibles. Plus inquiétant encore, 17 % des organisations ignorent totalement quelles données leurs employés partagent avec les systèmes IA.

Ces risques ne sont pas théoriques. Une fois qu’une donnée sensible entre dans un système IA—qu’il s’agisse de PII client, d’algorithmes propriétaires ou de stratégies d’entreprise confidentielles—elle devient irrécupérable et permanente. La donnée subsiste dans les modèles d’entraînement, les réponses en cache et les systèmes tiers, bien au-delà de votre contrôle. L’usage furtif de l’IA, les extensions de navigateur et le partage occasionnel de credentials créent des points d’exposition invisibles que les outils de sécurité traditionnels ne peuvent ni détecter ni stopper.

Le rapport Axonius confirme cette inquiétude, 47 % des responsables plaçant la protection des données clients en tête de leurs priorités face aux vulnérabilités. Pourtant, la plupart des organisations manquent de la visibilité minimale pour savoir quand une donnée sensible leur échappe, et encore moins de la capacité à l’empêcher.

Pour les RSSI : « Avec 47 % des responsables qui priorisent la protection des données clients, il faut plus que des règles—il faut une technologie qui garantit que les données sensibles ne quittent jamais votre contrôle, même lorsque les employés pensent simplement être productifs. »

Les risques liés à la confidentialité à l’ère de l’IA ne sont pas à venir—ils sont déjà là, et se multiplient à chaque nouvel outil IA adopté par vos équipes.

Défaillances de conformité : des pistes d’audit inexistantes

Le déficit de conformité révélé par ces rapports devrait inquiéter tout responsable conformité ou RSSI. Seules 29 % des organisations effectuent des évaluations hebdomadaires des vulnérabilités ou expositions, laissant la grande majorité fonctionner avec des profils de risques obsolètes qui échoueraient à tout audit sérieux. Il ne s’agit pas seulement de manquer les bonnes pratiques—c’est une non-conformité fondamentale avec des réglementations exigeant un suivi et une documentation continus.

Voici les exigences spécifiques que la plupart des organisations ne respectent pas :

  • RGPD Article 30 exige des registres détaillés de traitement que la plupart des systèmes fragmentés sont incapables de fournir
  • CCPA droits de suppression impossibles à honorer si vous ignorez où résident les données
  • HIPAA pistes d’audit nécessitent une traçabilité que les outils en silo ne peuvent assurer

Les recherches de Kiteworks ajoutent un niveau d’urgence supplémentaire : 59 réglementations spécifiques à l’IA ont été émises rien qu’aux États-Unis en 2024. Pourtant, 60 % des entreprises restent aveugles à leur usage réel de l’IA. Des utilisateurs fantômes avec des accès oubliés, des autorisations obsolètes qui perdurent, et l’absence totale de classification des données créent un cauchemar de conformité prêt à exploser.

Défi de conformité État actuel Impact réglementaire
Évaluations hebdomadaires Seulement 29 % sont conformes Non-respect des exigences de surveillance continue
Visibilité sur l’usage de l’IA 60 % sont aveugles Impossible de respecter les nouvelles réglementations IA
Traçabilité de la localisation des données Fragmentée entre les outils Violations RGPD/CCPA inévitables
Complétude de la piste d’audit Lacunes entre les systèmes Risque de non-conformité HIPAA
Gouvernance des accès Utilisateurs fantômes fréquents Défaillances de contrôle SOX

La solution va bien au-delà d’améliorations incrémentales. Les organisations doivent mettre en place une surveillance continue automatisée, des pistes d’audit unifiées et une application des règles sur tous les points de contact avec la donnée—pas seulement ceux que chaque outil peut voir.

Prolifération d’outils et fragmentation des données : une menace silencieuse pour la gouvernance

Le constat d’Axonius selon lequel 98 % des organisations utilisent plusieurs outils de sécurité révèle un paradoxe : en voulant tout couvrir, les organisations ont créé une complexité ingérable. Avec 27 % citant l’intégration comme principal défi, les outils censés renforcer la sécurité deviennent des obstacles à une gouvernance efficace.

Cette fragmentation provoque trois échecs critiques. D’abord, les silos de données empêchent de corréler les menaces entre systèmes. Ensuite, les données contradictoires issues de différents outils paralysent la prise de décision. Enfin, la gestion de multiples outils retarde les correctifs et mises à jour que ces outils sont censés faciliter.

Le coût caché de la prolifération d’outils va au-delà de l’inefficacité opérationnelle. Lorsque chaque outil maintient sa propre version de l’inventaire des actifs, du statut des vulnérabilités et de l’historique de remédiation, les organisations perdent la source unique de vérité indispensable à une gouvernance efficace. Les équipes sécurité gaspillent un temps précieux à réconcilier les différences au lieu de traiter les menaces réelles.

Angles morts spécifiques à la sécurité de l’IA

La révolution IA a pris une telle avance sur les contrôles de sécurité que la plupart des organisations ignorent à quel point elles sont exposées. Les recherches de Kiteworks livrent des chiffres édifiants : seules 9 % des organisations sont réellement « prêtes pour l’IA » d’un point de vue sécurité. Parallèlement, 52 % des employés utilisent activement des applications OAuth non autorisées qui contournent totalement les contrôles de l’entreprise.

Le rythme du risque s’accélère. Les incidents de sécurité liés à l’IA ont augmenté de 56 % en un an, alors que le rapport Axonius montre que 36 % des organisations citent la protection des données et la sécurité comme principal frein à l’adoption de l’IA. Cela crée une dynamique dangereuse : les organisations, désireuses de profiter des avantages de l’IA, doivent choisir entre innovation et sécurité.

Le risque de contamination des jeux d’entraînement IA représente une nouvelle catégorie d’exposition permanente des données. Quand des données sensibles intègrent les jeux d’entraînement, elles sont intégrées dans les poids et paramètres des modèles—littéralement codées dans des systèmes que vous ne pouvez ni auditer, ni purger, ni contrôler. Les outils traditionnels de prévention des pertes de données sont impuissants face à ce nouveau vecteur de menace.

C’est précisément ce vide que doivent combler des contrôles de sécurité IA spécialisés. La passerelle de données IA de Kiteworks répond exactement aux problèmes qui empêchent une intégration sûre de l’IA : blocage des téléchargements non autorisés, analyse du contenu pour détecter les données sensibles et application des règles avant que la donnée n’atteigne les systèmes IA.

Paradoxes sectoriels : risque élevé, protection faible

Les constats sectoriels issus des deux rapports révèlent des contradictions dangereuses dans tous les secteurs. Kiteworks a constaté que chaque secteur présente des pourcentages à deux chiffres d’organisations sans aucune gouvernance IA. Gouvernement, santé, juridique, technologie—les secteurs qui traitent les données les plus sensibles—affichent des écarts alarmants entre exposition au risque et mesures de protection.

Le rapport Axonius ajoute une dimension supplémentaire : seuls 58 % des organisations ont adopté des cadres de gestion continue de l’exposition aux menaces (CTEM). Cela signifie que près de la moitié s’appuie encore sur des évaluations périodiques et des réactions a posteriori plutôt que sur une surveillance continue et une remédiation proactive.

Ces paradoxes créent des conditions idéales pour des violations majeures :

  • Les organismes de santé traitent d’importants volumes de PHI via des systèmes IA avec une gouvernance minimale
  • Les sociétés financières soumises à des exigences réglementaires strictes fonctionnent avec des données de sécurité fragmentées
  • Les agences gouvernementales chargées de protéger les données des citoyens manquent de visibilité unifiée sur leurs outils
  • Les cabinets juridiques manipulant des informations confidentielles utilisent les mêmes outils IA non sécurisés que tout le monde

Résumé du positionnement stratégique : aligner les solutions sur les points de douleur

La convergence des constats issus des deux rapports dessine une feuille de route claire pour répondre à la crise de confiance dans la donnée de sécurité. Voici comment les plateformes modernes doivent s’aligner sur ces points de douleur critiques :

Point de douleur Constat Axonius Fonctionnalité requise de la solution
Déficit de confiance dans la donnée 75 % ne font pas confiance à leurs données de sécurité Réseau de données privé unifié et gouverné avec source unique de vérité
Surcharge d’outils 98 % utilisent plusieurs outils disparates Une plateforme offrant un contrôle total sur toutes les opérations de données
Préoccupations liées à la confidentialité IA 36 % citent la confidentialité comme principal frein à l’IA Passerelle de données IA avec application proactive des règles
Remédiation lente 81 % mettent plus de 24 h à appliquer des correctifs critiques Surveillance en temps réel avec capacités de réponse automatisée
Exposition à la non-conformité Seuls 29 % respectent la fréquence d’évaluation requise Pistes d’audit continues avec reporting automatisé de conformité

Combler le fossé entre confiance et exécution : votre plan d’action en 5 étapes

Passer de la défiance au contrôle exige un changement systémique. Voici comment combler ce fossé, selon les enseignements des deux rapports :

  1. Auditez la confiance dans vos données Commencez par une honnêteté radicale sur la visibilité. Cartographiez chaque outil, chaque flux de données, chaque point d’accès. Impossible de protéger ce que vous ne voyez pas, ni de faire confiance à ce que vous ne pouvez vérifier. Prenez le chiffre de 75 % de défiance comme point de départ—considérez vos données comme non fiables jusqu’à preuve du contraire.
  2. Consolidez vos contrôles Avec 98 % des organisations victimes de la prolifération d’outils, la simplification n’est pas une option—c’est essentiel. Privilégiez les plateformes qui unifient la gouvernance plutôt que d’ajouter un silo supplémentaire. Chaque outil additionnel multiplie la complexité. Privilégiez une couverture globale via des plateformes unifiées plutôt que des solutions ponctuelles « best-of-breed ».
  3. Gouvernez les points d’entrée IA Les 52 % d’employés qui utilisent des outils IA non autorisés ne cherchent pas à créer des risques—ils veulent être productifs. Proposez-leur des alternatives sécurisées. Bloquez les outils non validés, analysez tous les téléchargements pour détecter les données sensibles et surveillez les flux de données vers les systèmes IA. Faites du chemin sécurisé le chemin le plus simple.
  4. Automatisez la conformité Les évaluations hebdomadaires ne doivent pas devenir des exercices de crise. Mettez en place des pistes d’audit continues, une classification automatisée et une application des règles 24/7. Avec 59 nouvelles réglementations IA en une seule année, la conformité manuelle mène droit à l’échec.
  5. Préparez-vous aux contrôles avant qu’ils n’arrivent Le prochain audit n’est pas dans quelques mois—dans un monde de conformité continue, il est permanent. Concevez vos systèmes pour prouver le contrôle, pas seulement l’intention. Les régulateurs veulent des preuves, pas des déclarations.

Conclusion : la confiance, fondement d’une véritable cyber-résilience

Les rapports Axonius et Kiteworks convergent vers une vérité dérangeante : les organisations ne faillissent pas par manque d’outils de sécurité, mais par manque de confiance dans les données fournies par ces outils. Quand trois quarts des équipes sécurité ne font pas confiance à leurs propres données, aucune technologie supplémentaire ne peut compenser cette faille fondamentale.

L’avenir de l’adoption sécurisée de l’IA, de la conformité réglementaire et des opérations de sécurité efficaces commence par une question essentielle : « Pouvez-vous prouver ce que font vos données—à l’instant T ? » Si vous ne pouvez pas répondre avec certitude, vous faites partie des 75 % qui fonctionnent sur la foi plutôt que sur les faits.

La solution n’est pas la complexité—c’est le contrôle unifié. Il s’agit de passer de l’espoir à la certitude, de la réaction dans l’urgence à la gouvernance proactive, de la défiance fragmentée à la confiance unifiée. La technologie existe pour relever ces défis, mais il faut reconnaître que l’ancienne approche consistant à empiler les outils a échoué.

La vraie cyber-résilience commence par des données fiables. Tout le reste—chaque contrôle, chaque règle, chaque décision de sécurité—repose sur cette base. La question n’est pas de savoir s’il faut combler le déficit de confiance dans vos données de sécurité. La question est de savoir si vous le ferez avant que les attaquants ne l’exploitent.

Foire aux questions

Les équipes sécurité manquent de confiance dans les données pour trois raisons principales : incohérences entre plusieurs outils (36 %), visibilité incomplète sur leur environnement (34 %) et informations inexactes issues de sources contradictoires (33 %). Avec 98 % des organisations utilisant plusieurs outils de sécurité mal intégrés, chaque outil maintient sa propre version de la « vérité », rendant quasi impossible l’obtention d’aperçus fiables et unifiés pour la prise de décision.

Les signes d’alerte incluent : des employés utilisant librement ChatGPT ou Claude pour des tâches professionnelles, l’absence de politique formelle sur l’usage de l’IA, aucun contrôle DLP sur les plateformes IA et aucune visibilité sur les connexions d’applications OAuth. Les études montrent que 27 % des organisations voient plus de 30 % de leurs données sensibles partir vers des outils IA, tandis que 17 % n’ont aucune visibilité. Demandez à votre équipe : « Quelles données les employés ont-ils partagées avec des outils IA aujourd’hui ? » S’ils ne peuvent pas répondre, vous êtes probablement en situation de fuite de données.

Une fois la donnée intégrée dans des systèmes IA, elle est définitivement incorporée dans les modèles d’entraînement et ne peut plus être récupérée ni supprimée. L’information existe dans les poids des modèles, les réponses en cache et les systèmes tiers, hors de votre contrôle. Cela crée une exposition irréversible—vos données confidentielles, informations clients ou codes propriétaires deviennent partie intégrante de la base de connaissances de l’IA, potentiellement accessibles par des utilisateurs malins via des requêtes astucieuses.

Les retards proviennent de la fragmentation des outils et du manque de confiance dans les données. Les équipes sécurité perdent des heures à réconcilier des rapports contradictoires issus de différents scanners de vulnérabilités, à déterminer quels actifs sont réellement concernés et à prioriser les correctifs sans données fiables. Ajoutez à cela les processus de gestion du changement, les exigences de tests et la coordination entre équipes utilisant des outils différents, et un « simple » correctif devient une opération de plusieurs jours—laissant aux attaquants tout le temps d’exploiter les failles connues.

La majorité des organisations échouent sur les exigences de surveillance continue : seules 29 % réalisent des évaluations hebdomadaires des vulnérabilités malgré les obligations réglementaires. Les échecs courants incluent : incapacité à fournir les registres de traitement de l’Article 30 du RGPD à cause de systèmes fragmentés, impossibilité d’appliquer les droits de suppression CCPA sur tous les emplacements de données, pistes d’audit HIPAA incomplètes avec des lacunes entre systèmes, et non-conformité aux 59 nouvelles réglementations IA de 2024 qui exigent une visibilité sur l’usage des outils IA—ce que 60 % des entreprises n’ont pas du tout.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks