Comment l’IA fantôme coûte 670 000 $ de plus aux entreprises : le rapport IBM 2025 sur les violations de données

Comment l’IA fantôme coûte 670 000 $ de plus aux entreprises : le rapport IBM 2025 sur les violations de données

Les chiffres sont sans appel. Le dernier rapport IBM sur le coût des violations de données indique que le coût moyen mondial d’une violation a baissé à 4,44 millions de dollars—une première en cinq ans—mais les organisations américaines font face à un record de 10,22 millions de dollars en moyenne. Derrière ces gros titres se cache une réalité plus inquiétante : selon une étude Kiteworks, 83 % des organisations n’ont même pas mis en place les contrôles de base pour empêcher l’exposition de données aux outils d’IA.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Ce paradoxe illustre parfaitement l’état actuel de la sécurité en entreprise. Si l’IA permet de réduire le temps de détection d’une violation de 80 jours, elle crée en parallèle de nouvelles failles massives que la plupart des organisations ne voient pas, et encore moins ne maîtrisent. Les incidents liés à la shadow IA représentent désormais 20 % de toutes les violations, tandis que 27 % des organisations déclarent que plus de 30 % des données traitées par l’IA contiennent des informations privées, allant des données clients aux secrets commerciaux.

Le plus alarmant : seulement 17 % des entreprises disposent de contrôles techniques capables d’empêcher les collaborateurs de télécharger des données confidentielles sur des outils d’IA publics. Les 83 % restants se contentent de sessions de formation, d’e-mails d’avertissement ou de rien du tout. Les organisations se retrouvent ainsi piégées entre une adoption rapide de l’IA et la mise en œuvre de la sécurité, générant des risques inédits en matière de conformité et de sécurité des données que les cadres actuels ne peuvent pas gérer.

État des menaces liées à la sécurité des données pilotée par l’IA

Épidémie de shadow IA

La différence entre IA autorisée et non autorisée est devenue l’un des critères de sécurité les plus critiques. Selon IBM, une violation impliquant la shadow IA coûte en moyenne 670 000 dollars de plus—4,63 millions contre 3,96 millions pour les incidents standards. Plus inquiétant encore, ces incidents représentent 20 % de toutes les violations, contre seulement 13 % pour les systèmes d’IA autorisés.

Les schémas d’exposition des données sont particulièrement préoccupants. Lorsqu’un incident de shadow IA survient, 65 % impliquent la compromission d’informations personnelles identifiables (PII) de clients, soit bien plus que la moyenne mondiale de 53 %. Ces violations touchent principalement des données stockées sur plusieurs environnements (62 %), soulignant comment la shadow IA crée des failles qui s’étendent à toute l’infrastructure de l’organisation.

L’étude Kiteworks apporte un éclairage essentiel. Avec 86 % des organisations aveugles aux flux de données IA, une entreprise héberge en moyenne 1 200 applications non officielles qui constituent autant de surfaces d’attaque potentielles. Plus grave encore, 52 % des employés utilisent activement des applications OAuth à haut risque capables d’accéder aux données de l’entreprise et de les exfiltrer. Cette prolifération du shadow IT signifie que même les organisations qui pensent maîtriser la gouvernance IA ont probablement plus d’un millier de portes dérobées dont elles ignorent l’existence.

L’illusion de la gouvernance

La déconnexion entre perception et réalité n’est nulle part aussi flagrante que dans la gouvernance de l’IA. Si 33 % des dirigeants affirment suivre l’utilisation de l’IA, une étude indépendante de Deloitte montre que seuls 9 % disposent de systèmes de gouvernance opérationnels. Gartner est encore plus alarmant : à peine 12 % des organisations ont mis en place des structures dédiées à la gouvernance de l’IA.

Ce fossé de surconfiance—les entreprises surestiment leurs capacités par un facteur de trois—se traduit par des échecs de sécurité réels. IBM a constaté que 63 % des organisations victimes de violations n’avaient aucune politique de gouvernance IA. Parmi celles ayant subi une violation liée à l’IA, 97 % n’avaient pas de contrôles d’accès appropriés. Même l’hygiène de sécurité de base fait défaut : seules 32 % des organisations procèdent à des audits réguliers de leurs modèles IA.

Les conséquences se répercutent sur tout l’écosystème de la sécurité. Sans gouvernance, impossible de savoir quels systèmes IA traitent des données sensibles, d’appliquer des règles de sécurité cohérentes ou de prouver la conformité lors d’un audit. Les organisations avancent à l’aveugle tout en croyant avoir une visibilité totale.

À retenir

  1. Les violations liées à la shadow IA coûtent 670 000 $ de plus que les incidents classiques

    Les incidents de shadow IA représentent désormais 20 % de toutes les violations et coûtent en moyenne 4,63 millions de dollars contre 3,96 millions pour les violations standards. Avec en moyenne 1 200 applications non autorisées par entreprise et 86 % des organisations aveugles aux flux de données IA, ces incidents coûteux surviennent probablement déjà sans être détectés.

  2. Seules 17 % des entreprises peuvent réellement bloquer les téléchargements de données vers l’IA

    Alors que 83 % des organisations se reposent sur des formations, des e-mails d’avertissement ou de l’espoir, seules 17 % ont mis en place des contrôles techniques capables de bloquer automatiquement les téléchargements non autorisés vers les plateformes IA. Ce théâtre de la sécurité expose les entreprises à des fuites quotidiennes, 27 % déclarant que plus de 30 % de leurs données traitées par l’IA sont privées.

  3. Tous les secteurs échouent de la même manière sur la sécurité IA

    Le secteur de la santé viole l’HIPAA avec seulement 35 % de visibilité sur l’IA, la finance affiche une forte sensibilisation mais le taux le plus bas de mise en œuvre de contrôles (16 %), et même les entreprises technologiques qui vendent des solutions de sécurité IA ne protègent pas leurs propres données. Aucun secteur n’a trouvé de refuge, environ 17 % des organisations de chaque industrie admettant ignorer totalement les données partagées avec l’IA par leurs employés.

  4. L’exposition des identifiants crée une bombe à retardement de 94 jours

    Les employés partagent régulièrement identifiants, mots de passe et tokens d’accès avec les assistants IA, ouvrant des portes dérobées qui mettent en moyenne 94 jours à être corrigées. Ajoutez à cela 15 000 « comptes fantômes » par organisation et des failles comme les 25 000+ dossiers sensibles exposés via Microsoft 365 Copilot, et les organisations font face à des risques d’accès persistants impossibles à mesurer.

  5. La sécurité IA permet d’économiser 1,9 million $ par violation—à condition de l’utiliser

    Les organisations qui exploitent largement l’IA et l’automatisation réduisent le coût moyen d’une violation à 3,62 millions de dollars contre 5,52 millions pour les non-utilisateurs, tout en diminuant le temps de détection de 80 jours. L’ironie est frappante : l’IA qui crée de nouvelles failles offre aussi la meilleure défense, mais il faut mettre en place de vrais contrôles techniques plutôt que de compter sur des mesures humaines inefficaces.

Évolution des vecteurs d’attaque

Les vecteurs d’attaque traditionnels n’ont pas disparu—ils ont évolué. Le phishing reste le principal vecteur initial avec 16 % des violations, pour un coût moyen de 4,8 millions de dollars. Mais la donne a changé. L’IA générative a réduit le temps nécessaire pour créer un e-mail de phishing convaincant de 16 heures à seulement 5 minutes, permettant aux attaquants d’opérer à une échelle et un niveau de sophistication inédits.

Selon IBM, 16 % des violations impliquent désormais des attaques pilotées par l’IA, dont 37 % sont des campagnes de phishing générées par IA. Les compromissions de supply chain, impliquant souvent des systèmes de transfert de fichiers et des intégrations tierces, représentent 15 % des violations pour un coût moyen de 4,91 millions de dollars. Ces attaques supply chain sont les plus longues à détecter et à contenir—267 jours en moyenne—car elles exploitent la confiance entre organisations et fournisseurs.

La convergence des fonctions IA et des méthodes d’attaque classiques crée un effet multiplicateur. Les attaquants utilisent l’IA pour améliorer la reconnaissance, concevoir des campagnes d’ingénierie sociale plus crédibles et repérer les failles plus vite que les défenseurs ne peuvent les corriger. Parallèlement, les mêmes outils IA adoptés pour gagner en efficacité deviennent eux-mêmes de nouveaux vecteurs d’attaque.

Exposition des données : la nouvelle norme

Crise de la classification

Les types de données à risque dressent un tableau inquiétant des pertes potentielles. L’analyse IBM montre que les PII clients dominent les incidents (53 %), pour un coût de 160 $ par enregistrement compromis. Les PII employés suivent (37 %, 168 $ par enregistrement), tandis que la propriété intellectuelle—compromise dans 33 % des incidents seulement—coûte le plus cher (178 $ par enregistrement).

L’analyse sectorielle de Kiteworks montre l’ampleur du phénomène. Le secteur technologique arrive en tête : 27 % des entreprises déclarent que plus de 30 % de leurs données traitées par l’IA sont privées ou sensibles. Santé, finance et industrie suivent de près (26 % chacune). Même le secteur juridique, dont l’existence repose sur la confidentialité, affiche 23 % de cabinets traitant des volumes extrêmes de données sensibles via des outils IA.

Le plus préoccupant reste l’universalité du problème. Environ 17 % des organisations, tous secteurs confondus, admettent ignorer totalement la quantité de données sensibles partagées par leurs employés avec des plateformes IA. Ce n’est pas un problème réservé à des entreprises mal préparées ou à certains secteurs—c’est une épidémie qui touche aussi bien les agences gouvernementales que les entreprises des sciences de la vie.

Vulnérabilités liées à l’emplacement de stockage

L’emplacement des données a un impact direct sur le coût et le temps de détection d’une violation. Selon IBM, les violations impliquant des données stockées sur plusieurs environnements coûtent en moyenne 5,05 millions de dollars—le niveau le plus élevé. Les violations sur cloud privé coûtent 4,68 millions, celles sur cloud public 4,18 millions, tandis que les incidents sur site sont plus bas à 4,01 millions.

Ces écarts de coût sont directement liés à la complexité de détection. Les violations multi-environnements prennent 276 jours à être identifiées et contenues—59 jours de plus que sur site. Les violations sur cloud privé nécessitent 247 jours, celles sur cloud public 251 jours. Le constat est clair : plus les données sont dispersées, plus les équipes de sécurité perdent en visibilité et en contrôle, ce qui allonge la période d’exposition et augmente les coûts.

La difficulté s’accentue avec l’IA. Les incidents de shadow IA touchent principalement des données stockées sur plusieurs environnements et clouds publics (62 % selon Kiteworks). C’est la configuration la plus difficile à sécuriser qui est la plus exposée aux risques liés à l’IA non maîtrisée.

Bombe à retardement des identifiants

L’exposition des identifiants constitue un risque particulièrement dangereux lié à l’IA. Kiteworks a constaté que les employés partagent régulièrement identifiants, mots de passe et tokens d’accès avec les assistants IA pour « fluidifier les workflows ». Chaque identifiant exposé devient une porte d’entrée potentielle, avec un délai médian de correction de 94 jours—soit plus de trois mois d’accès ouvert pour d’éventuels attaquants.

L’ampleur de cette exposition est vertigineuse. Les organisations comptent en moyenne 15 000 « comptes fantômes »—des comptes inactifs mais toujours actifs avec accès complet. Ajoutez 176 000 identités externes inactives dans une entreprise type, et la surface d’attaque devient immense. Ces identifiants dormants, partagés avec des systèmes IA, créent des vulnérabilités persistantes exploitables longtemps après le départ d’un collaborateur ou la fin d’une mission externe.

Les risques spécifiques à chaque plateforme aggravent la situation. Selon Varonis, 90 % des organisations ont des fichiers sensibles exposés via Microsoft 365 Copilot, avec en moyenne plus de 25 000 dossiers sensibles accessibles à quiconque formule la bonne requête. Dans les environnements Salesforce, 100 % des déploiements ont au moins un compte capable d’exporter toutes les données. Il ne s’agit pas de failles théoriques—ce sont des points d’exposition actifs où une simple requête mal orientée peut révéler des années d’informations confidentielles.

Conformité : la vague réglementaire

Accélération de l’application des règles

Le paysage réglementaire a radicalement changé. Les agences américaines ont publié 59 réglementations IA en 2024—plus du double de l’année précédente. À l’échelle mondiale, 75 pays ont augmenté la législation IA de 21 %. Pourtant, malgré cette accélération, seules 12 % des entreprises placent les violations de conformité parmi leurs principales préoccupations IA, selon Kiteworks. Ce décalage entre la montée en puissance réglementaire et la prise de conscience crée une véritable bombe à retardement en matière de conformité.

Les chiffres d’IBM sur les amendes illustrent la réalité financière. Parmi les organisations victimes de violations, 32 % ont payé des amendes réglementaires, dont 48 % dépassant 100 000 dollars. Un quart a payé plus de 250 000 dollars, les entreprises américaines subissant les pénalités les plus élevées—ce qui explique le record de coûts aux États-Unis.

Le défi de la conformité va bien au-delà des amendes. Les organisations risquent une atteinte à la réputation, des restrictions opérationnelles, voire des poursuites pénales pour les dirigeants. Chaque jour de non-conformité accroît le risque, d’autant plus que les régulateurs développent des méthodes de détection et des accords de partage d’informations toujours plus sophistiqués.

Violations réglementaires spécifiques

Les pratiques actuelles en matière d’IA enfreignent quotidiennement des dispositions réglementaires précises. L’article 30 du RGPD impose de tenir un registre de toutes les activités de traitement—impossible si l’on ne peut pas tracer les téléchargements IA. La section 1798.130 du CCPA exige de pouvoir supprimer les données personnelles sur demande, mais les entreprises ignorent sur quels systèmes IA se trouvent leurs données.

L’HIPAA impose, via le § 164.312, des journaux d’audit pour chaque accès aux informations médicales protégées électroniques. C’est irréalisable avec la shadow IA, quand le personnel de santé partage des données patients via des appareils personnels ou des applications non autorisées. De même, la conformité SOX impose des contrôles sur les données financières que l’IA contourne totalement lorsque des employés collent des résultats trimestriels dans ChatGPT pour analyse.

Le fossé en matière d’audit devient critique avec les défaillances de gestion des identités. Avec 60 % des entreprises aveugles à l’usage de l’IA, impossible de répondre aux demandes clients, de prouver la conformité lors d’un audit ou d’enquêter sur une violation. Seules 10 % des entreprises ont correctement étiqueté leurs fichiers—une exigence fondamentale du RGPD article 5 et de la HIPAA Privacy Rule. Sans classification des données adéquate, impossible de démontrer la légalité du traitement, de répondre aux demandes de suppression ou de prouver la protection des données sensibles selon leur niveau de risque.

Paradoxes sectoriels : aucun refuge

Le dangereux déni du secteur santé

Les organisations de santé font face à la contradiction la plus flagrante entre exigences et réalité. L’HIPAA impose de tracer 100 % des accès aux données patients, mais seules 35 % des structures de santé voient leur usage de l’IA. Chaque requête ChatGPT non tracée contenant des informations patients viole la loi fédérale, créant une exposition juridique massive.

Les données Varonis aggravent le constat : 90 % des organisations de santé ont des informations médicales protégées exposées via des copilotes IA, avec en moyenne plus de 25 000 dossiers patients sensibles non protégés. Malgré ces failles, seuls 39 % des dirigeants santé considèrent l’IA comme une menace pour la sécurité—le taux de sensibilisation le plus bas de tous les secteurs.

Cette complaisance coûte cher. Une violation dans la santé coûte en moyenne 7,42 millions de dollars et prend 279 jours à être résolue—soit plus de cinq semaines de plus que la moyenne mondiale. Les organisations qui gèrent des données vitales opèrent avec moins de sécurité que des magasins de détail, créant un paradoxe où les données les plus sensibles sont les moins protégées.

Le fossé entre connaissance et action des services financiers

Banques et sociétés d’investissement affichent le plus grand écart entre sensibilisation et action. Elles sont les plus préoccupées par les fuites de données (29 %), mais n’implémentent des contrôles techniques qu’à hauteur de 16 %. Malgré la gestion de numéros de comptes, transactions et dossiers financiers, 39 % admettent envoyer des données privées substantielles vers des outils IA.

Ce décalage se traduit par un coût moyen de violation de 5,56 millions de dollars pour la finance—bien au-dessus de la moyenne mondiale. Les institutions financières connaissent les risques : elles maîtrisent les exigences réglementaires, sont soumises à des obligations strictes et évoluent sous surveillance. Pourtant, elles privilégient systématiquement la rapidité et la commodité à la sécurité, pensant gérer le risque par des règles et procédures plutôt que par des contrôles techniques.

Crise de crédibilité du secteur technologique

La situation du secteur technologique révèle la plus grande ironie. Alors que 100 % des entreprises tech développent des produits et services IA, seules 17 % protègent contre les risques IA de leurs propres employés—soit un écart d’hypocrisie de 83 %. Ces mêmes entreprises qui enseignent la sécurité IA opèrent sans contrôles de base, sapant leur crédibilité lorsque surviennent inévitablement des violations.

Les entreprises technologiques affichent le taux d’exposition extrême le plus élevé, 27 % admettant que plus de 30 % de leurs données traitées par l’IA sont privées ou sensibles. Avec un coût moyen de violation de 4,79 millions de dollars, ces incidents nuisent non seulement aux finances mais aussi à la position sur le marché et à la confiance des clients. Le secteur qui vend des solutions de sécurité IA n’arrive pas à sécuriser ses propres usages IA—une crise de crédibilité qui menace la réputation de toute l’industrie.

Supply chain et transfert de fichiers : la connexion

Effet multiplicateur des tiers

Les failles de la supply chain sont devenues un point faible majeur de la sécurité IA. IBM indique que les compromissions supply chain représentent 15 % des violations pour un coût moyen de 4,91 millions de dollars. Ces incidents sont les plus longs à détecter et contenir—267 jours—car ils exploitent des relations de confiance difficiles à surveiller par les outils de sécurité.

Le risque tiers a explosé : leur implication dans les violations a doublé, passant de 15 % à 30 % en un an. Plus inquiétant encore, 44 % des attaques zero-day ciblent désormais les systèmes de transfert sécurisé de fichiers—les mêmes plateformes utilisées pour l’échange de données IA. Chaque outil IA tiers multiplie l’exposition, créant des vulnérabilités en cascade dans tout l’écosystème de partenaires.

Problème API/Plugin

La supply chain de la shadow IA se manifeste principalement via des applications, API et plugins compromis. Kiteworks a constaté que 30 % des incidents de sécurité IA proviennent de ces intégrations tierces, avec des effets de ricochet dans toute l’organisation. Ces incidents entraînent un taux de compromission des données de 60 % et 31 % de perturbation opérationnelle—bien au-delà de l’impact des attaques directes.

L’IA en mode SaaS représente la source de risque la plus élevée, avec 29 % des incidents de sécurité IA. Les organisations ne peuvent pas tracer les données qui transitent par des services IA tiers, ni contrôler leur traitement ou stockage, ni les récupérer une fois partagées. La facilité des solutions IA plug-and-play cache des risques invisibles—chaque intégration expose potentiellement des années de données accumulées à des menaces inconnues.

Solutions et perspectives

Priorité à la technologie

Les chiffres IBM donnent une direction claire : les contrôles techniques apportent des gains mesurables en sécurité. Les organisations qui utilisent massivement l’IA et l’automatisation économisent 1,9 million de dollars par violation (3,62 millions contre 5,52 millions pour les non-utilisateurs). L’approche DevSecOps réduit les coûts de 227 000 dollars, tandis que la mise en place d’un SIEM permet d’économiser 212 000 dollars.

Mais le constat Kiteworks est sans appel : seules 17 % des organisations disposent de fonctions automatisées de blocage et de scan. Les 83 % restantes se reposent sur des contrôles humains qui échouent systématiquement, tous secteurs confondus. La formation ne bloque pas les téléchargements. Les règles n’empêchent pas le partage. Les avertissements n’arrêtent pas l’exposition des données. Seuls les contrôles techniques offrent une protection réelle.

Quatre actions prioritaires

Les organisations doivent agir immédiatement sur quatre axes pour répondre à la crise de sécurité IA :

1. Affronter la réalité : Combler le fossé de surconfiance de 300 % entre perception et réalité. Auditer les usages réels de l’IA, pas les cadres théoriques. Suivre et contrôler les entrées aussi rigoureusement que les sorties. Partir du principe que les employés partagent déjà des données sensibles et raisonner à rebours à partir de ce constat.

2. Déployer des contrôles techniques : Les mesures humaines ont échoué dans tous les secteurs. Le blocage et le scan automatisés représentent le minimum vital face aux menaces IA. Les organisations doivent mettre en place des contrôles à la vitesse des machines, bloquant les téléchargements non autorisés avant toute exposition. Si vous ne pouvez pas bloquer le téléchargement, la bataille est déjà perdue.

3. Instaurer des centres de commandement pour la gouvernance des données : Une sécurité fragmentée engendre des défaillances en cascade. Les organisations ont besoin de plateformes de gouvernance unifiées qui tracent chaque mouvement de données, appliquent les règles de classification et maintiennent des journaux d’audit sur tous les points de contact IA. Il ne s’agit pas d’ajouter un tableau de bord, mais de créer des traces à valeur légale qui répondent aux exigences réglementaires tout en permettant une adoption sécurisée de l’IA.

4. Obtenir une visibilité totale : Sans savoir où circulent les données, la conformité devient impossible et la gestion des risques une illusion. La surveillance IA en temps réel doit couvrir cloud, sur site et shadow IT. La traçabilité des données doit aller de la création initiale au traitement IA jusqu’aux résultats finaux. Les contrôles spécifiques aux plateformes comme Microsoft 365, Salesforce et autres ne sont plus optionnels—c’est une question de survie.

Conclusion : l’urgence d’agir

Les données dressent un constat sans équivoque : les organisations évoluent dans un état de déni dangereux concernant la sécurité IA. L’explosion de l’adoption de l’IA, la hausse des incidents de sécurité et l’accélération de la réglementation créent un environnement de risque inédit que les approches traditionnelles ne peuvent pas gérer.

La contamination des modèles est irréversible—chaque donnée sensible partagée avec un système IA aujourd’hui s’y retrouve intégrée de façon permanente. Les 49 % d’organisations prévoyant d’investir dans la sécurité après une violation (contre 63 % l’an dernier) témoignent d’une inquiétante complaisance. Seules 45 % prévoient d’investir dans des solutions de sécurité pilotées par IA, alors même que les attaques IA se multiplient.

Aucun secteur n’a trouvé de refuge. Les exigences de conformité du secteur santé n’ont pas empêché l’exposition massive des PHI. La sensibilisation du secteur financier n’a pas mené à de meilleurs contrôles. L’expertise technologique n’a pas protégé les propres données des entreprises du secteur. Les agences gouvernementales n’ont pas assuré la protection des données citoyennes. L’échec généralisé prouve que la pression externe ne suffira pas à provoquer les changements nécessaires.

Les conclusions révèlent non pas une crise à venir, mais une réalité actuelle. Avec 83 % des organisations dépourvues de contrôles techniques de base, 27 % qui laissent fuiter des données sensibles vers les systèmes IA et 97 % des organisations victimes de violations IA sans contrôles d’accès adaptés, la question n’est pas de savoir si des incidents surviendront, mais à quel point ils seront graves. Les organisations doivent admettre que leur approche actuelle—fondée sur la confiance, la formation et l’espoir—a déjà échoué. Seule la mise en œuvre immédiate de contrôles techniques, d’une gouvernance adaptée et d’une visibilité totale permettra de répondre à la crise de sécurité IA révélée par ces rapports.

Foire aux questions

La shadow IA désigne les outils et applications IA utilisés par les employés sans l’approbation ou la supervision de l’IT. Selon le rapport IBM 2025 sur le coût des violations de données, les violations impliquant la shadow IA coûtent en moyenne 4,63 millions de dollars—soit 670 000 dollars de plus que les incidents standards. Ce surcoût s’explique par des délais de détection plus longs (247 jours contre 241), une exposition accrue des données sur plusieurs environnements (62 % des incidents shadow IA) et l’impossibilité de tracer ou contrôler les données sensibles partagées. L’étude Kiteworks révèle qu’une entreprise héberge en moyenne 1 200 applications non officielles générant des vulnérabilités, 86 % des organisations étant totalement aveugles aux flux de données IA.

La réalité est inquiétante : 83 % des organisations n’ont pas de contrôles techniques pour détecter ou empêcher les téléchargements de données confidentielles vers les plateformes IA. Les signaux d’alerte incluent : des discussions sur les outils IA lors de réunions, des demandes d’abonnement à des outils IA et l’apparition inexpliquée de données dans des résultats générés par IA. Kiteworks a constaté que 27 % des organisations déclarent que plus de 30 % de leurs données traitées par l’IA sont privées, incluant dossiers clients, données financières et secrets commerciaux. Sans outils de blocage et de surveillance automatisés, vous êtes probablement déjà exposé—la question est de savoir dans quelle mesure.

L’utilisation de l’IA entraîne des violations immédiates de plusieurs réglementations. L’article 30 du RGPD impose de tenir un registre de toutes les activités de traitement—impossible si vous ne pouvez pas tracer les téléchargements IA. La section 1798.130 du CCPA exige de pouvoir supprimer les données personnelles sur demande, mais les entreprises ignorent quels systèmes IA détiennent leurs données. Le § 164.312 de l’HIPAA impose des journaux d’audit que la shadow IA rend inaccessibles. IBM a constaté que 32 % des organisations victimes de violations ont payé des amendes réglementaires, dont 48 % dépassant 100 000 dollars. Avec 59 nouvelles réglementations IA émises rien qu’en 2024, la non-conformité n’est pas seulement risquée—elle coûte cher.

Le secteur santé arrive en tête avec un coût moyen de 7,42 millions de dollars par incident, nécessitant 279 jours pour être résolu—alors que seules 35 % des organisations santé peuvent tracer leur usage IA. Le secteur technologique affiche le taux d’exposition le plus élevé, 27 % déclarant que plus de 30 % de leurs données traitées par l’IA sont privées ou sensibles. Les services financiers atteignent 5,56 millions de dollars par violation malgré la meilleure sensibilisation aux risques. Fait surprenant, les taux d’exposition sont remarquablement constants tous secteurs confondus—environ 17 % des organisations de chaque secteur admettent ignorer la quantité de données sensibles partagées par leurs employés avec des plateformes IA.

Les données IBM sont claires : seuls les contrôles techniques offrent une protection réelle. Les organisations qui exploitent massivement l’IA et l’automatisation économisent 1,9 million de dollars par violation (3,62 millions contre 5,52 millions). Les contrôles efficaces incluent le blocage automatisé des accès IA non autorisés, la classification et le scan des données en temps réel, des plateformes de gouvernance unifiées pour tracer toutes les interactions IA et des journaux d’audit à valeur légale. Les mesures dépendant de l’humain échouent systématiquement—formations (40 % des entreprises), e-mails d’avertissement (20 %) et politiques écrites (10 %) n’apportent aucune protection réelle. L’essentiel : si vous ne pouvez pas bloquer automatiquement le téléchargement avant qu’il n’ait lieu, la bataille est déjà perdue.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks