Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les services financiers sont désormais le terrain d’essai pour prouver la réalité de la gouvernance de l’IA

Les services financiers sont désormais le terrain d’essai pour prouver la réalité de la gouvernance de l’IA

par Patrick Spencer updated mai 20, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Résumé des points clés

  1. Coûts élevés des violations dans la finance. Le coût moyen d’une violation de données dans le secteur financier a atteint 5,56 millions de dollars par incident en 2025, soit le deuxième plus élevé parmi tous les secteurs.
  2. Les motivations financières dominent les incidents. Environ 90 % des violations visant les banques et les assureurs avaient un objectif financier, réparties entre le vol de données et les ransomwares.
  3. Le Shadow AI accélère la perte de données. Les outils d’IA non autorisés ont représenté 20 % des violations liées à l’IA, alimentés par un écart important entre l’adoption par les employés et les contrôles de gouvernance.
  4. Augmentation des deepfakes et des risques liés aux tiers. 59 % des organisations ont subi des attaques par deepfake, tandis que les compromissions de la supply chain allongent les délais de divulgation et ouvrent de nouvelles voies d’attaque.

Tous les secteurs devront tôt ou tard répondre de leur gouvernance de l’IA. Les services financiers y font face dès aujourd’hui. Ce secteur gère les données les plus convoitées par les attaquants, opère sous l’empilement réglementaire le plus strict et a été le plus rapide à déployer l’IA dans ses opérations front et back office.

Le secteur financier : premier terrain d’expérimentation de la gouvernance de l’IA

Un nouveau rapport sur les menaces dans le secteur financier chiffre l’impact de cette combinaison. En 2025, les attaques à motivation financière ont continué de représenter la majorité des cyberincidents visant les banques, assureurs et prestataires de paiement. Environ 90 % des violations avaient une motivation financière — 64 % étaient des violations de données et 36 % des ransomwares. Le coût moyen d’une violation de données dans la finance a atteint 5,56 millions de dollars par incident, ce qui place le secteur au deuxième rang des plus touchés.

Des données personnelles figuraient dans 54 % des dossiers compromis. Les données internes de l’organisation représentaient 35 %. Les identifiants comptaient pour 22 %. Rien de nouveau ici. Ce qui change, c’est le rôle que joue désormais l’IA dans la manière dont les attaques atteignent les données réglementées — et comment ces données s’échappent lorsque les défenses échouent.

5 points clés

1. La finance est désormais le deuxième secteur le plus coûteux en cas de violation.

Le coût moyen d’une violation de données dans la finance a atteint 5,56 millions de dollars par incident en 2025. Les données personnelles figuraient dans 54 % des dossiers compromis, les identifiants dans 22 % et les données internes dans 35 %. Ce secteur gère les données les plus recherchées par les attaquants, opère sous l’empilement réglementaire le plus strict et a été le plus rapide à déployer l’IA — faisant de lui le terrain d’essai où la gouvernance de l’IA réussit ou échoue en premier.

2. Les motivations financières expliquent 90 % des incidents.

Environ 90 % des violations touchant les banques, assureurs et prestataires de paiement avaient une motivation financière — 64 % étaient des violations de données et 36 % des ransomwares. La concentration de dossiers financiers (90 % des organisations), de données de cartes de paiement (83 %) et d’identifiants (79 %) rend ce secteur structurellement surreprésenté dans les cibles des attaquants. Le rapport IBM Cost of a Data Breach 2025 évalue le coût par incident à 5,56 millions de dollars — le deuxième plus élevé tous secteurs confondus.

3. Le Shadow AI est désormais le principal moteur de risque.

Environ 20 % des violations liées à l’IA en 2025 étaient dues au Shadow AI — des outils d’IA non autorisés utilisés hors des programmes de gouvernance. 92 % des organisations affirment que la GenAI a modifié la façon dont les employés partagent l’information, mais seulement 13 % ont intégré l’IA à leur stratégie de sécurité. Ce ratio de 92 contre 13 illustre l’écart de perte de données créé par le Shadow AI : les comportements ont changé au niveau des employés, mais la gouvernance n’a pas évolué au niveau institutionnel.

4. La fraude par deepfake est le nouveau scam de virement bancaire.

59 % des organisations ont subi des attaques par deepfake et 97 % déclarent avoir subi un préjudice lié à de fausses informations générées par l’IA. Le rapport Thales Data Threat 2026 indique que 77 % des répondants constatent une augmentation des fraudes facilitées par le numérique. L’authentification vocale, la vérification vidéo KYC et l’authentification documentaire reposaient sur des hypothèses que les deepfakes ont invalidées — et la finance est le secteur où la fraude par deepfake rapporte le plus par attaque.

5. Le risque lié aux tiers est la facture impayée.

Les compromissions de la supply chain via des prestataires manipulant des données transactionnelles progressent en parallèle du Shadow AI et de la fraude par deepfake. Le Black Kite Third-Party Breach Report 2026 a recensé un délai médian de divulgation de 73 jours et 26 000 entreprises affectées non nommées en 2025. Chaque intégration tierce — SaaS analytique, partenaire de détection de fraude, sous-traitant — doit désormais faire l’objet d’une revue de gouvernance fournisseur, et non plus d’un simple contrat.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Le Shadow AI : l’angle mort qui progresse le plus vite dans la finance

Le Shadow AI se comporte dans la finance exactement comme le Shadow IT il y a dix ans. Il commence par des expérimentations de productivité, se diffuse par adoption entre pairs, puis devient un canal d’exfiltration de données avant même que les équipes de sécurité n’en aient conscience.

L’exposition du secteur est structurelle. Les équipes de détection de fraude utilisent l’IA pour corréler les transactions. Les équipes de service client s’appuient sur l’IA pour rédiger des réponses. Les équipes analytiques génèrent des synthèses grâce à l’IA. Chaque cas d’usage est défendable isolément. Mais, agrégés à l’échelle de milliers d’employés et de dizaines de workflows, ils créent un flux non surveillé de données financières sensibles vers des services d’IA tiers.

Selon le DTEX Insider Threat Report 2026, le Shadow AI est désormais le principal moteur des incidents internes par négligence — devant le partage de fichiers non surveillé et la messagerie web personnelle. 92 % des organisations déclarent que la GenAI a fondamentalement changé la façon dont les employés accèdent à l’information et la partagent, mais seulement 13 % ont intégré l’IA dans leur stratégie d’entreprise. Cet écart — 92 % contre 13 % — résume le problème du Shadow AI. Les comportements ont changé côté utilisateurs. La gouvernance n’a pas suivi côté organisation.

L’impact financier est mesurable. Le rapport IBM Cost of a Data Breach 2025 estime que le Shadow AI ajoute environ 670 000 dollars au coût moyen d’une violation, et 97 % des organisations ayant signalé une violation liée à l’IA n’avaient pas de contrôles d’accès adaptés. Le rapport sectoriel chiffre le Shadow AI à environ 20 % de l’ensemble des violations liées à l’IA — et la finance reste au-dessus de la moyenne en matière d’adoption de l’IA.

Les deepfakes font tomber les contrôles bancaires mis en place depuis des décennies

Le clonage vocal, la vidéo synthétique et les documents falsifiés par l’IA sont désormais des outils opérationnels pour les attaquants — plus de simples démonstrations de recherche.

Le rapport Thales Data Threat 2026 indique que 59 % des organisations ont subi des attaques par deepfake, et 97 % ont subi un préjudice organisationnel lié à de fausses informations générées par l’IA, dont la compromission de messageries professionnelles et l’usurpation de marque. Le WEF Global Cybersecurity Outlook 2026 rapporte que 77 % des répondants constatent une augmentation des fraudes facilitées par le numérique, avec le phishing, la fraude aux paiements et le vol d’identité en tête.

Les contrôles sur les transactions à forte valeur ajoutée — vérification vocale, KYC vidéo, authentification documentaire — reposaient sur des hypothèses que les deepfakes ont rendues obsolètes. L’authentification vocale partait du principe que l’attaquant ne pouvait pas reproduire la voix du client à la demande. La vérification vidéo d’identité supposait que l’inspection visuelle permettait de détecter les faux. L’authentification documentaire partait du principe que les documents synthétiques présentaient des artefacts détectables. L’IA fait disparaître ces artefacts — et la finance est le secteur où la fraude par deepfake rapporte le plus à chaque attaque.

La compromission de la supply chain : le troisième vecteur discret

Le Black Kite Third-Party Breach Report 2026 a recensé 136 incidents de violation vérifiés par des tiers, 719 victimes nommées et environ 26 000 entreprises affectées non identifiées en 2025. Le délai médian de divulgation était de 73 jours — ce qui signifie que lorsque l’organisation principale découvre qu’un fournisseur a été compromis, les attaquants ont déjà eu plus de deux mois d’accès à la chaîne de données.

L’incident Vercel, révélé le 21 avril 2026, illustre parfaitement ce schéma. Un collaborateur a utilisé un outil d’IA tiers de productivité compromis. L’attaquant a ensuite pivoté de cet outil vers les systèmes internes de Vercel grâce aux accès accordés par l’employé. Le secteur financier regorge de ces chemins d’intégration — chaque SaaS analytique, chaque partenaire de détection de fraude, chaque prestataire externe représente un point d’entrée potentiel pour une attaque dans l’environnement bancaire.

Le CrowdStrike Global Threat Report 2026 montre que les adversaires compromettent systématiquement les éditeurs de logiciels, les chaînes de mise à jour et les intégrations SaaS pour accéder aux données clients via des canaux de confiance. Pour la finance, cela signifie que la gestion du risque tiers devient une discipline de gouvernance des données — et non plus un simple exercice contractuel.

Pourquoi l’empilement réglementaire de la finance est à la fois un fardeau et un atout

Le rapport Kiteworks Data Forms 2025 révèle que les organisations financières évoluent sous l’un des cadres de conformité les plus stricts : 98 % doivent être conformes au RGPD, 90 % au PCI DSS, 62 % au CCPA/CPRA, 52 % à la SOX et 41 % à des lois étatiques sur la vie privée.

Cette densité réglementaire est un fardeau — elle augmente les coûts de conformité et la charge d’audit. Mais c’est aussi un atout dans la gouvernance de l’IA, car chaque réglementation financière existante impose déjà des exigences sur les contrôles d’accès aux données, la traçabilité, le chiffrement et l’accès minimal nécessaire. Aucune n’exempte les agents IA, le Shadow AI ou la fraude par deepfake.

Le cadre de conformité existe déjà. Ce qui manque, c’est l’architecture de contrôle qui l’opérationnalise pour les échanges de données à l’ère de l’IA. Selon le Kiteworks Forecast Report 2026, 63 % des organisations ne peuvent pas imposer de limites d’usage aux agents IA et 60 % ne peuvent pas désactiver un agent défaillant. Dans la finance, cet écart se traduit directement par une exposition réglementaire au titre de l’article 32 du RGPD, de l’exigence 7 du PCI DSS et des contrôles internes SOX.

L’approche Kiteworks : échanges de données gouvernés pour la finance

Le Réseau de données privé Kiteworks répond aux trois vecteurs qui redéfinissent le risque cyber dans la finance grâce à une architecture de gouvernance au niveau des données, alignée sur les obligations réglementaires du secteur.

Confinement du Shadow AI via des accès gouvernés. Les interactions de l’IA avec les données financières réglementées passent par la passerelle de données IA Kiteworks, qui applique une politique d’accès basée sur les attributs au moment de la récupération des données. Les employés utilisant des outils d’IA non autorisés doivent choisir : travailler avec des données que l’organisation a classées comme utilisables par l’IA, ou s’en passer. L’exfiltration de données vers des services IA arbitraires est empêchée par l’architecture, et non simplement interdite par la politique.

Échanges de données avec les tiers sous une politique unique. Chaque communication avec un fournisseur, un partenaire ou un client — partage de fichiers, SFTP, MFT, e-mail, formulaires web ou API — est gouvernée par un moteur de politique unifié avec des journaux d’audit infalsifiables. Lors du prochain incident supply chain, les institutions financières peuvent déterminer l’ampleur de l’incident en quelques minutes. Cela réduit le délai médian de divulgation de 73 jours identifié par le rapport Black Kite.

Journaux d’audit probants pour la défense réglementaire. Chaque échange de données génère des logs immuables adaptés aux contrôles internes SOX Section 404, à l’exigence 10 du PCI DSS et à l’article 30 du RGPD. Les tableaux de bord de conformité préconfigurés pour le RGPD, l’HIPAA et le PCI DSS transforment la préparation des audits de plusieurs semaines à quelques heures.

Workflows de transactions à forte valeur résistants aux deepfakes. Les échanges de données sécurisés pour les transactions à forte valeur — signatures de contrats, autorisations de virements, remise de documents clients — passent par des canaux authentifiés, chiffrés et gouvernés. Le deepfake qui contourne la vérification vocale doit encore franchir l’authentification du canal, ce qui est bien plus difficile.

Ce que doivent faire les organisations financières dès maintenant

Première étape : lancer un programme de détection du Shadow AI. Analyse réseau, revue des dépenses SaaS, contrôle des notes de frais et analyse des métadonnées e-mail permettront d’identifier les outils d’IA non autorisés. Le rapport DTEX 2026 montre que bloquer les outils IA populaires ne suffit pas — les utilisateurs se tournent vers d’autres alternatives. L’inventaire est la première étape ; le remplacement gouverné est la seconde.

Deuxième étape : intégrer l’accès à l’IA dans les cadres existants de gestion du risque tiers et du risque modèle. Chaque outil d’IA utilisé ou autorisé par l’organisation est désormais un tiers au sens des standards de gestion du risque fournisseur. Les cadres existent — appliquez-les à l’IA.

Troisième étape : moderniser l’authentification des transactions à forte valeur face aux menaces deepfake. Vérification vocale, KYC vidéo et authentification documentaire nécessitent toutes une révision des hypothèses. Le rapport Thales 2026 documente la généralisation des attaques deepfake — l’authentification résistante aux deepfakes est un impératif immédiat.

Quatrième étape : regrouper les échanges de données avec les tiers sur une plateforme de gouvernance unique avec des journaux d’audit unifiés. Chaque intégration fournisseur est un chemin potentiel d’attaque supply chain. Les journaux d’audit unifiés accélèrent la détection et facilitent le reporting réglementaire.

Cinquième étape : cartographier les écarts de gouvernance IA par rapport aux obligations réglementaires pour créer un sentiment d’urgence au niveau direction. Chaque écart correspond à un risque de constat réglementaire sous le RGPD, PCI DSS, SOX ou une loi étatique. L’attention des dirigeants suit l’exposition réglementaire plus vite que les alertes sur les menaces.

Sixième étape : considérer le programme de gouvernance IA comme un avantage concurrentiel, et non une simple obligation de conformité. Les institutions financières capables de démontrer une IA gouvernée à leurs clients, contreparties et régulateurs gagneront des parts de marché face à celles qui ne le peuvent pas. Selon une étude McKinsey citée dans l’analyse sectorielle, les entreprises dotées d’une gouvernance IA mature subissent 45 % d’incidents de sécurité en moins — un vrai levier de performance, pas seulement de conformité.

Le secteur financier n’a pas choisi d’être le terrain d’essai de la gouvernance de l’IA. Il l’est devenu parce qu’il gère les données, applique les réglementations et adopte l’innovation plus vite que les autres. Le secteur qui relèvera le défi définira ce que sera l’IA gouvernée pour toute l’économie.

Foire aux questions

Les 5,56 millions de dollars de coût moyen par violation reflètent la concentration de cibles à forte valeur dans ce secteur : 90 % des organisations financières collectent des dossiers financiers, 83 % gèrent des données de cartes de paiement et 79 % stockent des identifiants — autant de données qui se vendent cher et entraînent de lourdes sanctions réglementaires. Le rapport IBM Cost of a Data Breach 2025 confirme que la finance est le deuxième secteur le plus touché, avec des amendes réglementaires au titre du RGPD, du PCI DSS et des lois étatiques qui s’ajoutent aux pertes directes.

Le Shadow AI englobe tout outil d’IA utilisé sans validation formelle de la gouvernance : chatbots LLM publics pour résumer des documents, extensions IA de navigateur conservant le contexte, outils de productivité IA tiers ayant accès au SI de l’entreprise, ou fonctions IA intégrées à des applications SaaS non évaluées lors de l’achat. Le rapport DTEX Insider Threat 2026 identifie le Shadow AI comme la première cause d’incidents internes par négligence — en faisant un vecteur majeur de perte de données dans les environnements réglementés.

Les attaquants utilisent le clonage vocal généré par IA pour contourner la vérification vocale lors de transactions à forte valeur, la vidéo synthétique pour tromper les processus KYC vidéo, et des documents falsifiés par IA pour appuyer des virements frauduleux. Le rapport Thales 2026 indique que 59 % des organisations ont subi des attaques par deepfake. La finance est particulièrement ciblée car le gain par attaque — virements frauduleux, décaissements non autorisés — y est le plus élevé.

Toutes les réglementations financières existantes s’appliquent aux systèmes d’IA accédant à des données réglementées. 98 % des organisations financières sont soumises au RGPD, 90 % au PCI DSS et 52 % à la SOX selon le rapport Kiteworks Data Forms 2025. Aucune n’exempte l’IA. Les écarts de gouvernance — 63 % ne peuvent pas limiter l’usage des agents IA — se traduisent directement par des constats sur l’article 32, l’exigence 7 et les contrôles internes SOX.

La première phase — détection, inventaire et classification des outils IA comme « non-humains internes » — s’achève généralement en quatre à huit semaines. La seconde phase — mise en place d’un accès gouverné aux données via une plateforme de gouvernance comme la passerelle IA de Kiteworks — prend en général trois à six mois. Les organisations dotées d’une gouvernance IA mature résolvent les violations environ 70 jours plus vite selon le Forecast Report 2026, ce qui en fait un investissement à la fois pour réduire le risque et le coût des incidents.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Pourquoi 77 % des organisations échouent à sécuriser les données IA
  • eBook
    AI Governance Gap : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Foire aux questions

Ce secteur gère les données les plus recherchées par les attaquants, opère sous l’empilement réglementaire le plus strict et a été le plus rapide à déployer l’IA dans ses opérations front et back office, en faisant le terrain d’essai où la gouvernance de l’IA réussit ou échoue en premier.

Le Shadow AI désigne les outils d’IA non autorisés utilisés hors des programmes de gouvernance. Il représente environ 20 % des violations liées à l’IA et ajoute près de 670 000 dollars au coût moyen d’une violation, 97 % des organisations ayant signalé une violation liée à l’IA n’ayant pas de contrôles d’accès adaptés.

Le clonage vocal contourne la vérification vocale, la vidéo synthétique trompe la vérification vidéo KYC et les documents falsifiés par IA compromettent l’authentification documentaire. 59 % des organisations ont subi des attaques par deepfake et la finance subit le plus fort impact financier par attaque.

Lancez un programme de détection du Shadow AI, intégrez l’accès à l’IA dans les cadres de gestion du risque tiers et du risque modèle, modernisez l’authentification des transactions à forte valeur, regroupez les échanges de données tiers sous une gouvernance unifiée et cartographiez les écarts de gouvernance IA face aux obligations réglementaires telles que le RGPD, le PCI DSS et la SOX.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks