Pourquoi 46 % des entreprises ne détectent pas leurs propres violations de données (Rapport d’enquête Kiteworks 2025)

Pourquoi 46 % des entreprises ne détectent pas leurs propres violations de données (Rapport d’enquête Kiteworks 2025)

De nouvelles recherches révèlent que des défaillances en cascade de la visibilité créent une vulnérabilité majeure dans les entreprises du monde entier

Lorsque nous avons lancé cette série d’études il y a quatre ans, nous pensions constater des progrès constants en matière de sécurité des entreprises. Au lieu de cela, nous avons mis au jour une réalité préoccupante qui ne cesse de s’aggraver : 42 % des entreprises opèrent toujours sans aucune visibilité sur leur exposition réelle aux risques. Il ne s’agit pas seulement d’un problème technologique, mais d’une véritable crise de visibilité qui engendre des vulnérabilités en cascade, coûtant des millions aux organisations en violations non détectées et en litiges.

Depuis le début de cette étude en 2022, nous avons vu l’évolution passer du suivi de simples indicateurs de sécurité à la découverte de schémas de risques complexes et interconnectés. Chaque année, nous interrogeons des responsables sécurité et conformité dans tous les secteurs et zones géographiques, puis nous validons leurs réponses avec des données réelles de violations. Les résultats de cette année, issus de 461 organisations, sont les plus alarmants à ce jour : lorsque les entreprises ne peuvent pas répondre à des questions de sécurité élémentaires, qu’il s’agisse du nombre de tiers ou de l’utilisation des données par l’IA, elles ne font pas face à des lacunes isolées. Elles fonctionnent sans la visibilité essentielle sur l’ensemble de leur périmètre de sécurité.

Le rapport 2025 sur les risques liés à la sécurité des données et à la conformité révèle enfin ce que nous soupçonnions depuis des années : l’aveuglement en matière de sécurité est contagieux. Une réponse « je ne sais pas » en prédit d’autres avec une précision inquiétante, créant une cascade de vulnérabilités qui transforment des risques maîtrisables en menaces existentielles.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Évolution du risque lié aux données en entreprise : des indicateurs simples à des schémas complexes

Lorsque nous avons commencé à suivre les indicateurs de sécurité en 2022, le paysage était fondamentalement différent. Nous mesurions les taux d’adoption du chiffrement, calculions les coûts de conformité et comptions les relations fournisseurs. Ces données étaient importantes, mais elles racontaient des histoires distinctes — des instantanés isolés de la posture de sécurité, sans saisir l’interconnexion des risques actuels.

Quatre ans et des milliers de réponses validées plus tard, nous voyons ce qui nous échappait : les défis de sécurité ne sont pas isolés — ils se propagent et se cumulent selon des schémas prévisibles et mesurables. Ce qui n’était qu’une étude sur la protection du contenu sensible est devenu une compréhension fine des liens entre les défaillances de sécurité, chaque faiblesse individuelle amplifiant les risques dans tout l’écosystème.

Les données de cette année, validées par des incidents réels dans les organisations participantes, permettent enfin de quantifier ces effets de cascade. Nous pouvons désormais mesurer comment l’incapacité à compter les relations avec les tiers prédit la fréquence des violations, les délais de détection et les coûts de litige avec une précision étonnante. Plus important encore, nous avons identifié les facteurs qui distinguent les organisations à la pointe de la sécurité de celles piégées dans une gestion de crise permanente.

Résumé de l’étude

  1. L’aveuglement en matière de sécurité crée des défaillances en cascade

    Les organisations incapables de répondre à des questions de sécurité basiques cumulent les vulnérabilités — 42,3 % de celles qui ignorent leur nombre de tiers ne savent pas non plus suivre la fréquence des violations. Cet effet de cascade transforme des lacunes isolées en défaillances systémiques qui coûtent des millions.

  2. La zone critique des 1 001 à 5 000 fournisseurs

    Les entreprises gérant entre 1 001 et 5 000 relations avec des tiers connaissent les pires résultats en matière de sécurité, avec 41,9 % subissant 7 à 9 violations par an. Elles font face à une complexité de grande entreprise sans disposer des contrôles adaptés, créant une vulnérabilité maximale.

  3. La gouvernance de l’IA reste dangereusement rare

    Seules 17 % des organisations ont mis en place un cadre technique de gouvernance de l’IA, tandis que 35,8 % des entreprises ignorant leur usage de l’IA n’ont aucune protection de la vie privée. Ce manque de gouvernance expose la majorité à des expérimentations incontrôlées sur leurs données les plus sensibles.

  4. L’utilisation de plusieurs technologies de protection de la vie privée démultiplie les bénéfices

    Les organisations qui déploient trois technologies ou plus pour renforcer la confidentialité constatent des améliorations majeures — 81 % maintiennent leurs coûts de litige sous le million de dollars, contre des coûts bien plus élevés pour celles qui n’utilisent aucune PET. Commencer par la minimisation des données et ajouter d’autres technologies multiplie les bénéfices en matière de sécurité.

  5. La rapidité de détection détermine directement l’impact financier

    Les entreprises qui détectent une violation en moins de 7 jours ont bien plus de chances de limiter les coûts à moins d’un million de dollars, tandis que celles qui mettent 31 à 90 jours font face à des pertes de 3 à 5 millions. Chaque jour de retard multiplie les dégâts financiers et la complexité de la remédiation.

La découverte qui change tout : la visibilité détermine l’avenir

L’enseignement le plus marquant des données 2025 concerne la visibilité — ou son absence — au sein des organisations. Quand une entreprise répond « je ne sais pas » à des questions de sécurité fondamentales, cela révèle une cécité systémique, et non des lacunes isolées. Ce schéma se retrouve dans tous les secteurs, toutes les zones géographiques et toutes les tailles d’organisation étudiées.

Considérez cette question en apparence simple : « Combien de relations avec des tiers votre organisation entretient-elle ? »

L’incapacité à répondre à cette question basique est corrélée à des défaillances catastrophiques de sécurité :

Tableau 1 : L’effet de cascade des défaillances de visibilité

Angle mort principal Défaillance secondaire Impact tertiaire Coût final
Impossible de compter les tiers (42 %) Fréquence des violations inconnue (42 %) Coûts de litige non quantifiés (48 %) Coût moyen d’une violation : 3 à 5 M$
Ignorance de l’utilisation des données IA (36 %) Aucun contrôle de confidentialité (36 %) Délais de détection de 31 à 90 jours (42 %) 73 % craignent une fuite de modèles
Heures de conformité inconnues (20-26 %) Processus manuels dominants (70 %+) Échéances réglementaires manquées 2,33 $ de coûts cachés pour 1 $ dépensé
Délais de détection incertains (42 %) Mauvaise gestion des incidents (68 %) Exposition prolongée aux violations Plus de 10 violations annuelles (28 %)

Quatre défaillances majeures de visibilité prédisent les résultats en matière de sécurité avec une précision remarquable :

Nombre de tiers inconnu : Ces organisations restent en mode réactif permanent, incapables de suivre les flux de données ou d’évaluer les risques de façon systématique. Notre analyse montre que 42 % des entreprises ne savent pas compter précisément leurs relations avec les tiers. Ces mêmes entreprises affichent une corrélation de 42,3 % avec une fréquence de violation inconnue — elles ignorent littéralement si elles ont été compromises. Au quotidien, des fournisseurs oubliés accèdent à des systèmes critiques, créant des failles de shadow IT exploitées par des attaquants de plus en plus sophistiqués.

Utilisation des données IA inconnue : Avec 36 % des organisations utilisant l’IA sans aucune protection de la vie privée, de nombreuses entreprises mènent des expérimentations incontrôlées sur des données sensibles à une échelle inédite. La vitesse d’adoption de l’IA a totalement dépassé les capacités de gouvernance. Les organisations incapables de quantifier la part de données sensibles traitées par l’IA affichent des taux de violation bien plus élevés et des délais de détection plus longs. Elles gèrent en réalité des traitements massifs de données sans aucun contrôle ni supervision.

Heures de conformité inconnues : Entre 20 % et 26 % des professionnels de la sécurité, tous rôles confondus, ne savent pas évaluer le temps consacré à la conformité, ce qui empêche d’optimiser des processus manuels qui consomment des milliers d’heures chaque année. Ce manque de visibilité sur la charge de conformité crée un cercle vicieux — impossible d’améliorer ce qu’on ne mesure pas, ce qui conduit à une inflation du travail manuel et freine l’investissement dans l’automatisation.

Délais de détection inconnus : Plus grave encore, 42 % des organisations ayant une mauvaise visibilité sur leurs tiers ignorent le temps de présence des violations. En sécurité, le temps c’est de l’argent — et les violations non détectées font exploser les coûts. Chaque jour de retard dans la détection augmente en moyenne les coûts de remédiation de 10 000 dollars, sans compter les amendes, les frais de justice et l’atteinte à la réputation.

La « zone de danger » des 1 001 à 5 000 tiers : là où le risque explose

Les données de cette année mettent en évidence une plage de volume fournisseurs créant un risque disproportionné, à rebours des idées reçues sur la taille et la sécurité. Les organisations gérant entre 1 001 et 5 000 partenaires affichent les pires résultats sur tous les indicateurs mesurés :

Tableau 2 : Indicateurs de risque selon le volume de tiers

Nombre de tiers Violations annuelles Délai de détection Risque supply chain Coût moyen d’une violation
<500 42,7 % sans violation 77 % détectent en <7 jours Augmentation de 30 % 45 % à moins de 1 M$
501-1 000 35,6 % subissent 4 à 6 violations Résultats mitigés Augmentation de 32 % Typiquement 1 à 3 M$
1 001-5 000 42 % subissent 7 à 9 violations 42 % mettent 31 à 90 jours Augmentation de 46 % 44 % font face à 3-5 M$
>5 000 27,9 % subissent 10 violations ou plus 31 % mettent plus de 90 jours Augmentation de 43 % 36 % dépassent 5 M$

Cette zone de danger résulte d’une combinaison de pressions contradictoires qui créent des vulnérabilités spécifiques :

Complexité sans capacité : Ces organisations ont dépassé les capacités de gestion manuelle des fournisseurs. Les équipes de sécurité peuvent vérifier personnellement 100 fournisseurs, voire 500 avec d’excellents processus, mais la gestion humaine s’effondre au-delà de 1 000 relations. Pourtant, elles n’ont généralement pas le budget pour des contrôles automatisés de niveau entreprise.

Perte de visibilité : À cette échelle, les tableurs ne suffisent plus, les processus par e-mail s’effondrent, et les solutions ponctuelles créent plus de failles qu’elles n’en comblent. Les organisations utilisent en moyenne 7 à 12 outils différents pour gérer leurs relations fournisseurs, sans réelle intégration. Résultat : une visibilité partielle qui donne un faux sentiment de sécurité tout en laissant de larges angles morts.

Cible idéale pour les attaquants : Les acteurs malveillants ciblent spécifiquement ce segment. Ces organisations sont assez grandes pour détenir des données de valeur et assez complexes pour présenter des failles, mais sans les ressources des grandes entreprises. Nos partenaires en renseignement sur les menaces rapportent que 73 % des attaques supply chain en 2024 ont visé ce segment.

Déséquilibre des ressources : Les organisations de la zone de danger disposent généralement d’équipes sécurité de 5 à 15 personnes pour gérer une complexité de niveau entreprise. Elles font face aux mêmes exigences réglementaires que les Fortune 500, mais avec une fraction des moyens. Cette situation intenable conduit à la surcharge, aux erreurs et à l’épuisement des équipes.

Fait intéressant, les organisations dépassant 5 000 partenaires s’améliorent sur certains indicateurs, car les conseils d’administration finissent par valider des contrôles adaptés à l’échelle. La zone de danger persiste précisément parce qu’elle attire des attaques sophistiquées sans justifier, aux yeux des dirigeants, des investissements défensifs de niveau entreprise.

Adoption de l’IA sans gouvernance : la réalité 2025

Alors que la transformation par l’IA occupe tous les débats technologiques, nos données révèlent un manque de gouvernance qui ouvre la porte à de nouveaux vecteurs d’attaque à une échelle inédite. La vitesse d’adoption de l’IA a totalement dépassé la mise en place de cadres de gouvernance, créant un environnement de type Far West où les données sensibles alimentent les systèmes IA sans supervision, contrôle ni même prise de conscience.

Seules 17 % des organisations ont mis en place des cadres techniques de gouvernance de l’IA — un chiffre alarmant compte tenu des risques encourus. Cela signifie que 83 % des entreprises utilisant l’IA n’ont pas les contrôles nécessaires pour éviter les fuites de données, garantir la conformité ou même savoir quelles données leurs systèmes IA traitent.

La corrélation entre la connaissance de l’IA et les résultats en sécurité est frappante. Les organisations qui mesurent leur contenu généré par l’IA affichent des profils de sécurité radicalement différents :

Niveaux de maturité de la gouvernance IA :

  • Contrôles techniques avec prévention des pertes de données : 17 % d’adoption (efficacité maximale)
  • Usage restreint avec formation et audits : 27 % d’adoption (efficacité modérée)
  • Lignes directrices à la discrétion des employés : 21,2 % d’adoption (efficacité limitée)
  • Messages d’avertissement sans application : 19,6 % d’adoption (impact minimal)
  • Aucune règle spécifique : 10,3 % (opèrent dans le noir complet)

Le constat le plus inquiétant : parmi les organisations ignorant leur usage de l’IA, 36 % n’ont aucune protection de la vie privée. Ces entreprises mènent en réalité des expérimentations incontrôlées sur leurs données les plus sensibles, souvent à leur insu. Les employés utilisent des outils IA grand public pour se faciliter la vie, exposant par inadvertance secrets industriels, données clients et propriété intellectuelle à des systèmes dont la conservation et l’utilisation des données sont floues.

Les organisations dont 16 à 30 % du contenu est généré par l’IA présentent des schémas particulièrement préoccupants — elles mesurent, mais ne contrôlent pas. C’est comme surveiller sa vitesse au volant sans attacher sa ceinture. Elles savent qu’elles prennent des risques, mais n’ont pas pris de mesures concrètes pour se protéger.

Le fossé entre la peur et l’action est particulièrement problématique. Entre 67 % et 75 % des organisations expriment de fortes inquiétudes concernant les fuites de modèles IA et l’exposition des données, mais seules 25 % ont mis en place une gouvernance efficace. Ce décalage entre la conscience du risque et l’action crée une situation dangereuse où les organisations comprennent la menace mais se sentent impuissantes à y répondre.

Schémas de sécurité régionaux : forces et faiblesses critiques

Les différences régionales en matière de réglementation, de culture d’entreprise et de paysage des menaces créent des profils de sécurité distincts, riches d’enseignements pour les organisations mondiales. Chaque région a développé des approches uniques, façonnées par ses contraintes locales, ses réglementations et sa culture :

Amérique du Nord : le modèle dicté par le risque juridique

Avec 23 % d’organisations dépassant 20 000 employés — la plus forte concentration au monde — les entreprises nord-américaines opèrent à une échelle inédite, générant des défis et des opportunités uniques :

Forces : Les organisations nord-américaines sont en tête sur la mise en place de contrôles IA (32 %), principalement par crainte des litiges. Le coût moyen d’une violation de données en Amérique du Nord atteint 4,45 millions de dollars, la législation californienne sur la vie privée accentuant encore l’exposition. Cette peur du contentieux a favorisé l’investissement dans les contrôles techniques et la surveillance automatisée.

Faiblesses : L’accent mis sur la défense bride parfois l’innovation. Les organisations déclarent consacrer 40 % de temps en plus à la documentation de conformité que leurs homologues européennes, souvent au détriment d’améliorations proactives de la sécurité. La priorité donnée à la protection juridique plutôt qu’à la sécurité réelle conduit à des situations où l’entreprise est conforme sur le papier, mais vulnérable en pratique.

Défis spécifiques : Trouver l’équilibre entre innovation et exposition juridique paralyse certaines organisations. Les équipes sécurité subissent la pression d’adopter l’IA pour rester compétitives tout en évitant tout risque d’exposition des données — une mission impossible qui aboutit à des restrictions excessives ou à une permissivité dangereuse.

Europe : la réglementation comme moteur d’excellence

L’entrée en vigueur du RGPD a prouvé qu’une réglementation réfléchie peut améliorer réellement la sécurité, au-delà de la simple conformité :

Forces : Les organisations européennes affichent la plus forte concentration de spécialistes IT (58 %, contre 41 % en Amérique du Nord). Elles sont leaders mondiaux de l’adoption des technologies de protection de la vie privée, 80 % citant un impact positif du RGPD. Cette pression réglementaire a permis de bâtir de vraies compétences, pas seulement de la paperasse.

Faiblesses : La multiplication des cadres — RGPD, NIS 2, DORA, EU Data Act — menace désormais d’annuler les bénéfices. Les organisations passent de plus en plus de temps à interpréter les textes et à faire des correspondances de cadres, au détriment de la mise en œuvre de la sécurité.

Défis spécifiques : L’échéance de septembre 2025 pour l’EU Data Act approche, et seules 23 % des organisations sont prêtes. La complexité des exigences de portabilité et d’interopérabilité des données crée des défis techniques largement sous-estimés.

Asie-Pacifique : les champions du chiffrement

Les organisations APAC démontrent ce qu’une exécution ciblée permet, même avec des ressources limitées :

Forces : Avec 56 % ayant mis en place le chiffrement sur 76 à 100 % de leurs données sensibles — record mondial — les entreprises APAC prouvent que les contrôles fondamentaux peuvent être déployés efficacement, quelle que soit la taille ou les moyens. Cette priorité sur les protections de base donne de meilleurs résultats que des stratégies plus complexes mais mal appliquées.

Faiblesses : Pourtant, 35 % déclarent « ne pas savoir » pour les risques IA, signe que l’innovation dépasse systématiquement la gouvernance. L’adoption rapide de nouvelles technologies sans cadre de gouvernance associé crée des vulnérabilités de plus en plus exploitées par les attaquants sophistiqués.

Défis spécifiques : Trouver l’équilibre entre croissance rapide et maturité sécurité est difficile. Les entreprises APAC passent souvent du statut de start-up à celui d’entreprise en quelques mois, créant des situations où l’infrastructure de sécurité accuse un dangereux retard sur la croissance business.

Moyen-Orient : le facteur humain comme différenciateur

Les organisations du Moyen-Orient montrent que la technologie seule ne fait pas la sécurité :

Forces : Avec 51 % organisant des formations régulières à la conformité (record mondial) et 36 % exigeant des certifications sécurité, ces organisations prouvent que l’investissement dans l’humain paie. L’accent mis sur la sensibilisation et le développement professionnel crée des cultures où la sécurité est l’affaire de tous.

Faiblesses : La mise en œuvre de contrôles techniques reste en retard, avec une adoption plus faible des systèmes automatisés de surveillance et de réponse. Cela oblige des équipes bien formées à compenser le manque d’outils, ce qui conduit à l’épuisement et à l’erreur humaine.

Défis spécifiques : La digitalisation rapide de secteurs historiquement papier crée des vulnérabilités uniques. Les organisations doivent bâtir simultanément leur infrastructure numérique et leurs capacités de sécurité, souvent sans bonnes pratiques ni expertise régionale sur lesquelles s’appuyer.

Technologies de protection de la vie privée : la fracture de maturité

Malgré des bénéfices avérés et une disponibilité croissante, l’adoption des technologies de protection de la vie privée (PET) reste désespérément faible dans tous les secteurs et toutes les régions. C’est l’une des plus grandes occasions manquées de la cybersécurité actuelle.

Notre analyse révèle une hiérarchie claire d’adoption, reflet de la complexité technique et de la maturité organisationnelle :

Technologies d’accès (30 à 45 % d’adoption) :

  • Minimisation des données : La PET la plus simple à mettre en œuvre, nécessitant surtout des changements de politique plutôt qu’une infrastructure technique. Les bénéfices sont immédiats en collectant et conservant moins de données.
  • Échange Zero-Trust : Complexité modérée mais fort impact, notamment pour les organisations avec des écosystèmes partenaires complexes.

Technologies intermédiaires (15 à 25 % d’adoption) :

  • Calcul multipartite sécurisé : Permet de partager des données sans exposition, essentiel pour les secteurs devant collaborer tout en préservant la confidentialité.
  • Informatique confidentielle : Protection matérielle très efficace mais nécessitant un investissement en infrastructure.

Technologies avancées (<15 % d’adoption)

  • Chiffrement homomorphe : Permet le calcul sur des données chiffrées, mais exige d’importantes ressources et compétences.
  • Apprentissage fédéré : Permet d’entraîner des modèles IA sans centraliser les données, mais demande une mise en œuvre sophistiquée.

Les organisations qui déploient trois PET ou plus obtiennent des résultats nettement supérieurs sur tous les indicateurs mesurés. Elles détectent les violations 67 % plus vite, réduisent de 81 % les coûts de litige et affichent une confiance client 92 % plus élevée. Pourtant, 14 à 36 % des entreprises n’utilisent aucune PET, laissant ainsi de la valeur sur la table.

La feuille de route d’implémentation révélée par notre étude montre des schémas de réussite clairs. Les organisations devraient commencer par la minimisation des données et l’échange Zero-Trust pour des résultats rapides (30 à 90 jours), puis intégrer le calcul multipartite sécurisé et l’informatique confidentielle à mesure que les capacités mûrissent (90 à 180 jours). Les technologies avancées comme le chiffrement homomorphe doivent être réservées à des cas d’usage spécifiques justifiant leur complexité (180 à 365 jours).

De la contrainte de conformité à l’avantage concurrentiel

Les organisations les plus performantes ont transformé la conformité, passant d’une contrainte subie à un véritable avantage concurrentiel. Alors que la plupart consacrent 1 000 à 1 500 heures par an au reporting de conformité — soit presque un temps plein — la répartition de cet effort révèle des opportunités stratégiques.

Répartition de l’investissement temps en conformité :

  • Moins de 500 heures : 7 % (petites structures ciblées)
  • 500 à 1 000 heures : 13 % (opérations rationalisées et automatisées)
  • 1 001 à 1 500 heures : 25 à 32 % (plage la plus courante)
  • 1 501 à 2 000 heures : 19 % (opérations complexes sous tension)
  • Plus de 2 000 heures : 14 à 20 % (très grandes ou très inefficaces)
  • « Ne sait pas » : 20 à 26 % (la crise de visibilité à l’œuvre)

Les organisations les plus performantes partagent des caractéristiques communes :

Automatisation prioritaire : Elles ont dépassé les processus manuels, automatisant la collecte de preuves, les tests de contrôle et la génération de rapports. Les équipes sécurité peuvent ainsi se concentrer sur l’amélioration stratégique plutôt que sur la paperasse.

Approche intégrée : Plutôt que de traiter chaque réglementation séparément, elles ont bâti des cadres de contrôle unifiés couvrant plusieurs exigences à la fois. Un même contrôle peut répondre au RGPD, à la CCPA et à SOX, réduisant considérablement les doublons.

Proactivité : Elles voient les réglementations comme des seuils minimaux, pas des objectifs maximums. En allant au-delà, elles anticipent les futures exigences et évitent la course contre la montre des organisations réactives.

Le niveau de préparation à l’EU Data Act illustre cette approche stratégique. Les services financiers sont en tête avec 47 % de préparation complète, tirant parti de leur infrastructure existante et d’une approche intégrée. L’éducation est à la traîne avec seulement 14 %, freinée par le manque de ressources et une vision cloisonnée. Plus surprenant, 23 % des cabinets juridiques — censés maîtriser la réglementation — n’ont aucun plan de préparation.

Rompre la spirale des coûts de violation : détection, réponse et résilience

En cybersécurité, le temps c’est vraiment de l’argent. Nos résultats 2025 montrent combien les retards coûtent cher : détecter une violation en quelques heures ou en plusieurs mois fait la différence entre la continuité d’activité et la catastrophe.

La relation entre rapidité de détection et coût final est quasi linéaire :

  • Moins de 24 heures : 67 % limitent les coûts à moins de 1 million
  • 1 à 7 jours : 52 % restent sous le million
  • 8 à 30 jours : Les coûts atteignent typiquement 1 à 3 millions
  • 31 à 90 jours : 44 % font face à 3 à 5 millions de pertes
  • Plus de 90 jours : 36 % dépassent 5 millions d’impact total

Mais la vraie question est : pourquoi certaines organisations détectent-elles rapidement, quand d’autres restent dans l’ombre des mois durant ? Les organisations dotées d’une visibilité totale — connaissant leur nombre de tiers, mesurant l’usage de l’IA, suivant leurs efforts de conformité — détectent les violations 73 % plus vite en moyenne. Ce n’est pas un hasard, c’est une causalité.

L’effet de cascade fonctionne aussi dans l’autre sens pour la détection. Les organisations ayant une visibilité de base solide disposent de meilleurs systèmes de surveillance, de points de référence clairs pour le comportement normal, et de processus de réponse plus rapides. Elles savent ce qui est « normal », donc les anomalies ressortent immédiatement.

La réalité du score de risque : quantifier son exposition

Pour la première fois en quatre ans de recherche, nous avons développé un algorithme propriétaire qui transforme plusieurs indicateurs de sécurité en un score unique et actionnable. Les organisations peuvent ainsi se comparer à leurs pairs et suivre leur progression dans le temps.

Notre méthodologie s’appuie sur trois dimensions fondamentales :

  1. Fréquence des violations (0 à 5 points selon le nombre d’incidents annuels)
  2. Impact financier (0 à 5,5 points selon les coûts de litige)
  3. Vitesse de détection (0 à 5 points selon le délai de découverte)

L’algorithme normalise le tout sur une échelle de 0 à 10 :

  • 7,1 à 10 : Risque critique nécessitant une action immédiate
  • 5,0 à 7,0 : Risque élevé nécessitant des améliorations urgentes
  • 3,5 à 5,0 : Risque moyen avec marge de progression
  • 1,0 à 3,5 : Risque faible grâce à de bonnes pratiques

Les résultats sont sans appel :

  • 15 % des organisations opèrent à un niveau de risque critique
  • 31 % font face à un risque élevé nécessitant une action urgente
  • 29 % se situent dans la zone de risque moyen
  • Seules 25 % atteignent le statut de risque faible

L’organisation médiane obtient un score de 4,84 — dangereusement proche du seuil de risque élevé. Cela signifie que l’entreprise « type » est à la limite d’une vulnérabilité sérieuse.

Les écarts sectoriels sont particulièrement frappants. L’énergie et les services publics arrivent en tête avec un score de 5,51, reflet de leur statut d’infrastructure critique et de la vétusté de leurs systèmes. La technologie, malgré sa sophistication, arrive deuxième à 4,94 — probablement parce qu’elle est une cible privilégiée. Fait surprenant, la pharmacie et les sciences de la vie affichent le risque le plus faible à 3,37, preuve que les secteurs réglementés peuvent obtenir d’excellents résultats avec les bons investissements.

Le point d’inflexion, c’est maintenant

Après quatre ans à suivre des progrès incrémentaux face à une explosion des menaces, 2025 marque un point d’inflexion fondamental pour la sécurité des données. La convergence de l’adoption non gouvernée de l’IA, de l’explosion des écosystèmes de tiers et de l’empilement des exigences de conformité crée un paysage de menaces que les améliorations progressives ne suffisent plus à gérer.

Nos données montrent clairement ce qui fonctionne. Les organisations qui obtiennent une visibilité totale, déploient des technologies de protection de la vie privée en couches et automatisent leurs processus clés surpassent systématiquement leurs pairs sur tous les indicateurs. Les outils existent. Les stratégies sont éprouvées. Le ROI est démontré.

Pourtant, 42 % des organisations ne peuvent toujours pas répondre à des questions élémentaires sur leur posture de sécurité. Elles avancent dans le noir, espérant que la chance les protégera de menaces invisibles. En 2025, cet aveuglement opérationnel n’est plus seulement risqué — il est existentiel.

La différence entre prospérer et survivre dépend de plus en plus d’un facteur : le courage de se transformer avant que la crise n’impose le changement. Les organisations doivent abandonner l’illusion confortable que des améliorations progressives suffiront. Les menaces sont exponentielles. La réponse doit être radicale.

Dans un contexte où une seule réponse « je ne sais pas » augmente de 42 % le taux de violation, où l’IA traite des données sensibles sans contrôle, et où les écosystèmes de tiers dépassent l’entendement humain, les demi-mesures garantissent l’échec. Être « suffisant » ne suffit plus.

La voie à suivre impose une transformation profonde sur cinq axes :

  1. Atteindre une visibilité totale : Passer de l’estimation à la mesure précise
  2. Automatiser ou échouer : Les processus manuels ne tiennent pas la complexité actuelle
  3. Déployer des technologies avancées : Les contrôles de base ne suffisent plus
  4. Construire des cadres proactifs : Anticiper plutôt que réagir
  5. Adopter la résilience continue : Accepter que les violations surviendront et s’y préparer

Les organisations qui prennent conscience de ce point d’inflexion et agissent avec détermination définiront la prochaine ère de la sécurité des données. Celles qui s’accrochent à l’amélioration incrémentale seront submergées par des menaces exponentielles. Le juste milieu a disparu. Le temps de la transformation, c’est maintenant.

Téléchargez le rapport sur les risques liés à la sécurité des données et à la conformité : enquête 2025 pour une analyse détaillée, des tendances sectorielles et des recommandations pour transformer votre sécurité.

Foire aux questions

Selon les données 2025, les organisations gérant entre 1 001 et 5 000 relations avec des tiers sont les plus exposées, 42 % subissant 7 à 9 violations par an et 46 % signalant une hausse des risques supply chain. Cette « zone de danger » s’explique par une complexité de niveau entreprise sans budget pour des contrôles automatisés adaptés, rendant la supervision manuelle impossible.

Seules 17 % des organisations ont mis en place un cadre technique de gouvernance de l’IA en 2025, malgré une adoption rapide de l’IA dans tous les secteurs. Ce manque de gouvernance est d’autant plus préoccupant que 36 % des entreprises ignorant leur usage de l’IA n’ont mis en place aucune technologie de protection de la vie privée, créant des angles morts majeurs en matière de sécurité des données.

Les délais de détection varient fortement selon la taille et la maturité de l’organisation : 43 % des entreprises avec moins de 500 tiers détectent les violations en moins de 7 jours, tandis que 31 % de celles avec plus de 5 000 tiers mettent plus de 90 jours. L’impact financier est directement lié à la rapidité de détection : les organisations réactives limitent leurs coûts à moins d’un million de dollars, alors qu’un retard entraîne souvent des pertes de 3 à 5 millions.

La minimisation des données arrive en tête avec 35,7 à 42,4 % d’adoption selon les rôles, suivie du calcul multipartite sécurisé (19,9 à 24,1 %) et de l’informatique confidentielle (14 à 18 %). Les organisations qui déploient trois PET ou plus obtiennent de bien meilleurs résultats : 81 % limitent leurs coûts de litige à moins d’un million, contre des coûts et des délais de détection bien supérieurs pour celles qui n’utilisent aucune PET.

La préparation varie fortement selon les secteurs : la finance est en tête avec 47 % de préparation complète, tandis que l’éducation est très en retard avec seulement 14 % de préparation. Plus préoccupant, 23 % des cabinets juridiques n’ont aucun plan de préparation malgré l’échéance, et les administrations publiques n’affichent que 19 % de préparation complète alors qu’elles gèrent d’importants volumes de données citoyennes.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks