Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > 2026 : crise des données liées à l’IA – Protégez vos informations sensibles dès maintenant

2026 : crise des données liées à l’IA – Protégez vos informations sensibles dès maintenant

par Patrick Spencer updated janvier 9, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 11 minutes

Les chiffres donnent le vertige. En un an, le nombre de collaborateurs utilisant des applications d’IA générative a triplé. Le volume de données qu’ils transmettent à ces outils a été multiplié par six. Et le taux de violations des règles sur les données sensibles ? Il a doublé.

Bienvenue en 2026, où l’adoption rapide, souvent non maîtrisée, de l’IA fait émerger un risque que la plupart des organisations commencent à peine à cerner.

Résumé des points clés

  1. L’adoption de l’IA générative a dépassé les contrôles de sécurité. Le nombre de collaborateurs utilisant des applications d’IA générative a triplé, tandis que les violations des règles sur les données ont doublé, avec en moyenne 223 incidents de sécurité liés à l’IA chaque mois par organisation. La moitié des organisations ne disposent toujours pas de politiques de protection des données applicables à l’IA, exposant ainsi des données sensibles sans détection.
  2. Le Shadow AI reste un risque majeur d’exposition des données. Près de la moitié des utilisateurs d’IA générative s’appuient encore sur des applications personnelles d’IA, totalement hors du champ de vision et de contrôle de l’organisation. Du code source, des données réglementées et de la propriété intellectuelle circulent régulièrement vers ces services non maîtrisés, générant des violations de conformité et des risques concurrentiels impossibles à surveiller pour les équipes de sécurité.
  3. L’IA agentique amplifie les menaces internes à la vitesse de la machine. Les systèmes d’IA autonomes capables d’exécuter des actions complexes sur les ressources de l’entreprise peuvent provoquer des fuites de données bien plus rapidement qu’un collaborateur. Un agent d’IA mal configuré ou victime d’hallucinations peut divulguer des milliers d’enregistrements sensibles en quelques minutes, ce qui impose de nouveaux cadres de sécurité adaptés à la vitesse des machines.
  4. Les applications cloud personnelles restent la principale source d’incidents internes. 60 % des incidents de menaces internes impliquent des applications cloud personnelles, avec 31 % des utilisateurs qui téléchargent chaque mois des données de l’entreprise sur des applications personnelles. Les données réglementées représentent plus de la moitié de ces violations, rendant la gouvernance des applications personnelles aussi cruciale que les initiatives de sécurité autour de l’IA.
  5. Une stratégie IA axée sur la gouvernance permet d’innover sans compromis. Les organisations performantes proposent des outils d’IA approuvés répondant aux besoins des collaborateurs, tout en appliquant le zéro trust pour l’accès aux données et un audit logging exhaustif. Bloquer totalement l’IA s’avère vain : la sécurité durable passe par l’innovation encadrée, la visibilité, le contrôle et l’application des règles, et non par l’interdiction.

Le Cloud and Threat Report 2026 de Netskope dresse un constat alarmant de la situation. L’IA générative n’a pas remplacé les défis de sécurité existants : elle a ajouté de nouveaux risques par-dessus. Les équipes de sécurité font désormais face à un modèle de menaces cumulatives où shadow AI, applications cloud personnelles, campagnes de phishing persistantes et diffusion de malwares via des canaux de confiance convergent pour créer une exposition inédite.

Pour les organisations qui manipulent des données réglementées, de la propriété intellectuelle ou toute information susceptible d’intéresser concurrents ou acteurs malveillants, ce rapport doit servir à la fois de signal d’alarme et de feuille de route pour engager le changement.

Shadow AI : le risque de sécurité à ciel ouvert

Souvenez-vous lorsque les collaborateurs ont commencé à utiliser Dropbox et Google Drive avant que la DSI ne les valide ? Le shadow AI suit la même logique, mais avec des conséquences bien plus lourdes pour la confidentialité et la conformité des données.

Près de la moitié des utilisateurs d’IA générative — 47 % — utilisent encore des applications personnelles d’IA plutôt que des outils gérés par l’organisation. Même si cela marque un progrès par rapport aux 78 % de l’année précédente, cela signifie qu’une part significative de vos équipes envoie des données de l’entreprise vers des services totalement hors de portée de votre équipe sécurité.

La bonne nouvelle, c’est que les organisations progressent. La part des collaborateurs utilisant des comptes d’IA gérés par l’organisation est passée de 25 % à 62 %. Mais voici le revers de la médaille : de plus en plus d’utilisateurs — désormais 9 %, contre 4 % auparavant — jonglent entre comptes personnels et comptes d’entreprise. Ce comportement montre que les outils validés par l’entreprise ne répondent pas toujours aux attentes en matière de praticité ou de fonctionnalités, poussant les collaborateurs à chercher des alternatives.

Ce fossé entre les attentes des utilisateurs et les solutions proposées par l’IT favorise la fuite de données. Quand un développeur colle du code source dans ChatGPT avec son compte personnel pour obtenir une suggestion de débogage, ce code échappe au contrôle de l’organisation. Quand un commercial téléverse un contrat dans un outil d’IA pour en obtenir un résumé, la propriété intellectuelle quitte l’entreprise.

Violations : l’ampleur du problème

En moyenne, une organisation subit désormais 223 violations de politiques de données impliquant des applications d’IA générative chaque mois. Pour les organisations du premier quartile, ce chiffre grimpe à 2 100 incidents mensuels.

Quels types de données sont exposés ? Le détail révèle ce qui empêche les RSSI de dormir :

Le code source représente 42 % des violations de politiques de données liées à l’IA. Les développeurs sont les plus gros utilisateurs d’IA dans la plupart des organisations, et ils téléversent du code propriétaire pour obtenir de l’aide au débogage, des suggestions de refactoring ou de la génération automatisée. À chaque utilisation d’un outil non maîtrisé, ils risquent de divulguer des secrets industriels.

Les données réglementées constituent 32 % des violations. Il s’agit d’informations personnelles, de données financières et de données de santé — exactement les catégories qui déclenchent des sanctions au titre du RGPD, de l’HIPAA et d’autres réglementations similaires.

La propriété intellectuelle représente 16 % des violations. Contrats, stratégies internes, résultats de recherche et autres documents propriétaires sont téléversés pour analyse ou synthèse.

Les mots de passe et clés API complètent le tableau. Ils se glissent souvent dans des extraits de code ou des fichiers de configuration, ouvrant des accès directs aux attaquants.

Le plus préoccupant : la moitié des organisations n’ont toujours pas de politiques de gouvernance applicables à l’IA générative. Dans ces environnements, les collaborateurs envoient des données sensibles à des modèles d’IA sans aucune détection. Les 223 incidents mensuels ne reflètent donc que les cas détectés — l’exposition réelle est probablement bien supérieure.

Tableau 1 : Violations de politiques de données IA par type de données

Type de données Pourcentage de violations
Code source 42%
Données réglementées (informations personnelles identifiables, financières, santé) 32%
Propriété intellectuelle 16%
Mots de passe et clés API 10%

Effet d’amplification de l’IA agentique

Alors que les organisations commencent à structurer la gouvernance de l’IA générative, une nouvelle catégorie de risques émerge : les systèmes d’IA agentique.

Contrairement aux outils d’IA classiques qui répondent à des requêtes ponctuelles, les systèmes d’IA agentique exécutent des actions complexes et autonomes sur des ressources internes et externes. Ils peuvent accéder à des bases de données de contrôles, appeler des API, interagir avec d’autres logiciels et prendre des décisions avec une supervision humaine minimale.

La courbe d’adoption est abrupte. Actuellement, 33 % des organisations utilisent les services OpenAI via Azure, 27 % exploitent Amazon Bedrock et 10 % Google Vertex AI. Le trafic vers ces plateformes a été multiplié par trois à dix en un an.

Les implications en matière de sécurité sont majeures. Un système agentique ayant accès à des données sensibles peut causer des dégâts à une vitesse inégalée. Un agent mal configuré peut exposer des milliers d’enregistrements en quelques minutes. Une IA victime d’hallucinations — phénomène inhérent aux grands modèles de langage — peut transformer des erreurs en fuites catastrophiques.

Des technologies comme le Model Context Protocol (MCP), qui permet aux agents d’IA de se connecter directement aux ressources de l’entreprise, élargissent encore la surface d’attaque. Ces connexions peuvent, par inadvertance, exposer des informations sensibles ou ouvrir la porte à des acteurs malveillants capables de compromettre systèmes et workflows.

Le défi fondamental est le suivant : les systèmes d’IA agentique héritent de tous les droits d’accès de leurs opérateurs humains, mais agissent à la vitesse de la machine, sans le discernement qui pousserait un humain à réfléchir avant de prendre un risque.

Applications cloud personnelles : la menace interne sous-estimée

Si l’IA occupe le devant de la scène, les applications cloud personnelles restent l’une des principales sources d’exposition interne des données. 60 % des incidents de menaces internes impliquent des applications cloud personnelles — et la tendance s’accentue.

En un an, la part des utilisateurs téléchargeant des données sur des applications cloud personnelles a augmenté de 21 %. Aujourd’hui, 31 % des utilisateurs d’une organisation type transfèrent chaque mois des données vers des applications personnelles — soit plus du double de ceux qui interagissent avec des applications d’IA.

Les types de données concernés reflètent les violations liées à l’IA, avec des nuances. Les données réglementées représentent 54 % des violations de politiques sur les applications personnelles, illustrant le risque persistant de voir des informations personnelles quitter les environnements approuvés. La propriété intellectuelle pèse 22 %, le code source 15 %, et les mots de passe et clés 8 %.

Google Drive arrive en tête des applications personnelles les plus contrôlées (43 %), suivi de Gmail (31 %) et OneDrive (28 %). Fait marquant, ChatGPT personnel occupe la quatrième place à 28 % — preuve que de nombreuses organisations sont encore en retard sur la gouvernance de l’IA par rapport aux plateformes cloud classiques.

77 % des organisations appliquent désormais des contrôles en temps réel sur les données envoyées vers des applications personnelles, contre 70 % l’an dernier. Mais près d’un quart des organisations restent sans protection, s’exposant à des fuites accidentelles ou malveillantes.

Tableau 2 : Violations de politiques sur les applications cloud personnelles par type de données

Type de données Pourcentage de violations
Données réglementées (informations personnelles identifiables, financières, santé) 54%
Propriété intellectuelle 22%
Code source 15%
Mots de passe et clés API 8%

Phishing et malwares : les menaces traditionnelles persistent

Les nouveaux risques n’effacent pas les anciens. Le phishing reste un défi majeur, avec 87 utilisateurs sur 10 000 qui cliquent chaque mois sur des liens de phishing. Même si cela représente une baisse de 27 % par rapport à l’année précédente, l’exposition reste significative pour toute grande organisation.

La nature du phishing a évolué. Les attaquants recourent de plus en plus au phishing par consentement OAuth, incitant les utilisateurs à accorder des autorisations à des applications malveillantes qui accèdent à leurs comptes cloud — contournant totalement mots de passe et authentification multifactorielle. Associé à des kits de phishing reverse-proxy qui volent les cookies de session en temps réel, le phishing est passé de l’e-mail trompeur à des attaques sophistiquées sur l’identité.

Microsoft est désormais la marque la plus usurpée (52 % des clics de phishing cloud), devant Hotmail et DocuSign. Mais les cibles évoluent : les portails bancaires représentent 23 % des appâts, et les services gouvernementaux grimpent à 21 %, illustrant la focalisation des attaquants sur la fraude financière et le vol d’identité.

La diffusion de malwares via des canaux de confiance ajoute un niveau de risque supplémentaire. GitHub reste la plateforme la plus détournée, avec 12 % des organisations détectant chaque mois une exposition de collaborateurs à des malwares via ce service. OneDrive et Google Drive suivent de près. Les attaquants savent que les utilisateurs font confiance à ces plateformes, ce qui en fait des vecteurs idéaux pour propager des fichiers infectés.

Les attaques sur la supply chain, qui exploitent la confiance entre plateformes SaaS et écosystèmes de packages, se sont également intensifiées. Le registre npm, les intégrations API entre applications cloud et les services SaaS connectés sont autant de points d’entrée potentiels que les contrôles de sécurité traditionnels peuvent négliger.

Construire une stratégie IA axée sur la gouvernance

La nature cumulative de ces menaces exige une réponse globale. Les organisations ne peuvent plus traiter la gouvernance des données IA, la sécurité cloud et la protection contre les menaces traditionnelles comme des initiatives séparées. Elles doivent fonctionner comme une stratégie intégrée.

Une gouvernance efficace commence par la visibilité. Impossible de protéger des données invisibles. Les organisations doivent savoir quelles applications d’IA sont utilisées par les collaborateurs, quelles données y transitent et si ces usages respectent les politiques de sécurité et les exigences de conformité.

Vient ensuite le contrôle. Bloquer les applications sans utilité métier ou présentant un risque disproportionné est une mesure simple mais efficace. Actuellement, 90 % des organisations bloquent activement au moins certaines applications d’IA générative, avec en moyenne 10 applications sur liste noire. ZeroGPT et DeepSeek arrivent en tête (45 % et 43 %), en raison des inquiétudes sur la gestion des données et le manque de transparence.

Pour les applications approuvées, la prévention des pertes de données (DLP) devient essentielle. Ces règles doivent détecter les informations sensibles — code source, données réglementées, identifiants, propriété intellectuelle — avant qu’elles ne quittent le périmètre de l’organisation. Pourtant, seules 50 % des organisations utilisent actuellement la DLP pour l’IA générative, contre 63 % pour les applications cloud personnelles.

Enfin, les organisations doivent anticiper l’avenir agentique. À mesure que les systèmes d’IA gagnent en autonomie, les cadres de sécurité doivent évoluer vers une surveillance continue, un accès au moindre privilège et des contrôles robustes conçus pour la vitesse des machines.

Comment Kiteworks permet une intégration sécurisée de l’IA

C’est là tout l’enjeu d’une plateforme comme Kiteworks. Plutôt que de considérer l’IA comme un risque incontrôlable à bannir, Kiteworks permet aux organisations d’adopter l’innovation IA tout en préservant le niveau de sécurité et de conformité exigé par leur activité.

La base, c’est la protection des données IA selon le principe du zéro trust. Les systèmes d’IA accèdent aux données de l’entreprise via une passerelle sécurisée qui applique les principes de l’architecture zéro trust à chaque interaction. Les contrôles d’accès basés sur les rôles et les attributs garantissent que les opérations IA héritent des autorisations utilisateur — ni plus, ni moins. Point crucial, les données ne quittent jamais votre réseau de données privé. L’IA interagit avec les informations dans un environnement contrôlé et gouverné, où chaque demande d’accès est authentifiée, autorisée et tracée.

La gouvernance des données s’applique automatiquement à chaque interaction IA. L’application dynamique des règles, en fonction de la classification, de la sensibilité et du contexte des données, garantit que des contrôles granulaires déterminent quels systèmes d’IA peuvent accéder à quels jeux de données. La résidence des données reste assurée — les informations sensibles demeurent dans votre environnement de confiance, sans transiter vers des services IA tiers.

Des fonctions d’audit et de conformité complètent le dispositif. Les journaux d’audit immuables consignent chaque opération IA : accès à des fichiers, requêtes, extractions de données. Le suivi en temps réel et le reporting montrent quels systèmes IA ont accédé à quelles données et quand. L’intégration SIEM permet une surveillance continue et la détection des menaces. Ces fonctions contribuent directement à la conformité avec le RGPD, l’HIPAA, FedRAMP et d’autres réglementations exigeant une traçabilité des traitements de données.

Des protections de niveau entreprise sous-tendent toute l’architecture. Le chiffrement TLS 1.3 protège les données en transit vers les systèmes IA. Le double chiffrement au niveau fichier et disque protège les données au repos. Le rate limiting prévient les abus et l’épuisement des ressources par les systèmes IA. Une appliance virtuelle durcie, dotée de multiples couches de défense, constitue la fondation.

Cette approche permet une génération augmentée par la recherche (RAG) sans exposition des données. Les organisations peuvent enrichir les modèles IA avec leurs propres données tout en maintenant la protection. L’innovation s’accélère sans compromettre la sécurité ni la conformité.

Perspectives

Le paysage de la cybersécurité en 2026 impose aux organisations de gérer un modèle de menaces cumulatives. L’IA générative n’a pas remplacé les risques existants — elle les a amplifiés tout en introduisant de nouvelles formes d’exposition.

Pour réussir, il faut considérer ces défis comme interconnectés. Shadow AI, applications cloud personnelles, campagnes de phishing et attaques sur la supply chain partagent un point commun : ils exploitent l’écart entre la façon dont les collaborateurs veulent travailler et la capacité des équipes sécurité à garder visibilité et contrôle.

Les organisations qui tireront leur épingle du jeu seront celles qui favorisent l’innovation tout en imposant la gouvernance. Elles fourniront aux collaborateurs des outils IA adaptés à leurs besoins, tout en veillant à ce que les données sensibles ne quittent jamais les environnements protégés. Elles conserveront une visibilité totale sur les flux de données — vers les applications IA, les services cloud personnels, les partenaires externes.

L’alternative — tenter de bloquer totalement l’IA — a déjà montré ses limites. Les collaborateurs trouveront toujours un moyen d’utiliser ces outils, quelle que soit la politique. La seule voie durable, c’est une gouvernance qui permet, plutôt qu’elle n’interdit, et qui protège sans freiner.

C’est la vision portée par Kiteworks : une approche axée sur la gouvernance, où l’IA accélère la productivité sans compromettre la protection des données ni la conformité réglementaire. Dans un monde où les menaces se multiplient plus vite que les défenses ne s’adaptent, cet équilibre n’est pas seulement souhaitable — il est essentiel.

Foire aux questions

Le shadow AI désigne l’utilisation par les collaborateurs d’applications d’intelligence artificielle opérant hors du contrôle, des règles et de la visibilité de l’organisation — généralement via des comptes personnels plutôt que des outils validés par l’entreprise. Actuellement, 47 % des utilisateurs d’IA générative s’appuient encore sur des applications personnelles, envoyant des données sensibles de l’entreprise vers des services que les équipes de sécurité ne peuvent ni surveiller ni gouverner. Cette utilisation non encadrée crée des risques majeurs d’exposition de données, car le code source, les données réglementées, la propriété intellectuelle et les identifiants circulent fréquemment vers des services IA tiers sans détection. Les organisations peuvent réduire ces risques en proposant des outils d’IA approuvés répondant aux besoins des collaborateurs, tout en mettant en place des politiques de prévention des pertes de données pour détecter les transferts non autorisés.

Les applications d’IA générative provoquent des violations des politiques de données lorsque des collaborateurs téléversent des informations sensibles — telles que du code source, des données réglementées ou de la propriété intellectuelle — dans des outils d’IA pour des tâches de synthèse, de débogage ou de génération de contenu. En moyenne, une organisation enregistre désormais 223 violations mensuelles impliquant des applications d’IA, le code source représentant 42 % des incidents et les données réglementées 32 %. Ces violations surviennent parce que les workflows IA impliquent généralement le transfert de données internes vers des services externes, créant des risques d’exposition intrinsèques que beaucoup d’organisations ne savent pas détecter. La moitié des organisations n’ont toujours pas de politiques applicables à la protection des données IA générative, ce qui signifie que l’exposition réelle des données sensibles est probablement bien supérieure aux incidents remontés.

Les systèmes d’IA agentique sont des applications d’intelligence artificielle capables d’exécuter des actions complexes et autonomes sur des ressources internes et externes, avec une supervision humaine minimale — accès à des bases de données, appels d’API, interactions avec d’autres logiciels. Ces systèmes amplifient le risque interne, car ils peuvent provoquer des fuites de données à la vitesse de la machine : un agent mal configuré peut divulguer des milliers d’enregistrements en quelques minutes, là où un collaborateur mettrait des heures ou des jours. La nature non déterministe des grands modèles de langage fait que les hallucinations dans un workflow agentique peuvent entraîner des dégâts majeurs ou des fuites de données involontaires. Les organisations qui adoptent l’IA agentique doivent mettre en place une surveillance continue, des contrôles d’accès au moindre privilège et des cadres de gouvernance robustes, spécifiquement conçus pour les opérations autonomes de l’IA.

Les applications cloud personnelles contribuent aux risques de menaces internes en offrant des canaux non surveillés permettant aux collaborateurs de transférer des données sensibles de l’entreprise hors du contrôle organisationnel. 60 % des incidents de menaces internes impliquent des applications cloud personnelles, avec 31 % des utilisateurs qui téléchargent chaque mois des données sur des applications personnelles — soit plus du double de ceux qui utilisent des applications d’IA. Les données réglementées représentent 54 % des violations de politiques sur ces applications, suivies par la propriété intellectuelle (22 %) et le code source (15 %). Les organisations peuvent limiter ces risques en mettant en place des contrôles de prévention des pertes de données en temps réel, en bloquant le transfert de données sensibles vers les applications personnelles et en sensibilisant les utilisateurs aux bonnes pratiques de gestion des données.

Les stratégies efficaces de gouvernance des données IA combinent visibilité, contrôle et application proactive des règles pour permettre l’innovation tout en protégeant les données sensibles. Les organisations doivent commencer par obtenir une visibilité complète sur les applications d’IA utilisées par les collaborateurs et sur les flux de données associés, puis bloquer les outils sans utilité métier ou présentant un risque disproportionné. Les politiques de prévention des pertes de données doivent détecter les informations sensibles — code source, données réglementées, identifiants, propriété intellectuelle — avant qu’elles ne quittent l’environnement contrôlé de l’organisation. Une approche zéro trust, qui authentifie chaque demande d’accès IA, conserve des journaux d’audit exhaustifs et applique le principe du moindre privilège, constitue la base d’une gouvernance IA durable, au service de l’innovation et de la conformité.

Les organisations peuvent empêcher les fuites de données sensibles vers les applications d’IA en adoptant une approche axée sur la gouvernance, associant contrôles techniques, règles claires et sensibilisation des collaborateurs. Les solutions de prévention des pertes de données doivent inspecter tous les contenus transmis aux applications d’IA et bloquer le transfert de code source, de données réglementées, de propriété intellectuelle et d’identifiants vers des services non autorisés. Proposer aux collaborateurs des outils d’IA validés et adaptés à leurs besoins de productivité réduit la tentation d’utiliser des applications shadow AI via des comptes personnels. Une architecture zéro trust garantit que les systèmes IA n’accèdent aux données qu’à travers des passerelles sécurisées appliquant les autorisations par rôle, préservant la souveraineté des données dans des environnements de confiance et générant des journaux d’audit immuables pour le reporting de conformité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks