Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le risque lié à l’IA trouve enfin sa place dans le budget

Le risque lié à l’IA trouve enfin sa place dans le budget

par Patrick Spencer updated mars 12, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Il existe une forme de confiance organisationnelle qui découle de l’ignorance de ce que l’on ne sait pas. En cybersécurité, cette confiance coûte cher. Le Thales Data Threat Report 2026—basé sur une enquête menée auprès de 3 120 répondants dans 20 pays—met en lumière, parfois de façon inconfortable, tout ce qui reste dans l’ombre.

Résumé des points clés

  1. La sécurité de l’IA obtient enfin son propre budget. Selon le Thales Data Threat Report 2026, 30 % des organisations disposent désormais d’un budget dédié à la sécurité de l’IA, contre 20 % l’année précédente. Ce changement est significatif : 59 % de ces mêmes organisations ont subi des attaques par deepfake et 48 % ont vu leur réputation entachée par de la désinformation générée par l’IA. Financer les risques liés à l’IA via le budget de sécurité général prive les organisations des ressources et de la responsabilité nécessaires pour réagir efficacement lors d’incidents spécifiques à l’IA.
  2. Le cloud n’est pas seulement une partie de la surface d’attaque : c’est la surface d’attaque. D’après le rapport Thales, le stockage cloud, les applications cloud et l’infrastructure de gestion cloud occupent les trois premières places des cibles d’attaque signalées, avec respectivement 35 %, 34 % et 32 %. En moyenne, une organisation utilise 2,26 fournisseurs cloud et 89 applications SaaS. Cette empreinte ne cesse de croître, tout comme le nombre d’identifiants, d’intégrations et de points d’accès exploitables par les attaquants.
  3. La couverture du chiffrement va dans le mauvais sens. Le rapport Thales indique que seulement 47 % des données sensibles dans le cloud sont chiffrées en 2026, contre 51 % l’année précédente. À mesure que l’empreinte cloud s’étend, la gouvernance du chiffrement ne suit pas. L’écart entre ce qui est sensible et ce qui est effectivement protégé se creuse—en toute discrétion, jusqu’à ce qu’un incident survienne.
  4. La prolifération des outils nuit à la visibilité. Le rapport Thales révèle que 77 % des organisations utilisent cinq outils de protection des données ou plus. Près de la moitié gèrent cinq systèmes de gestion de clés ou plus. Résultat : une télémétrie fragmentée, une application des règles incohérente et un environnement où la mauvaise configuration—cause principale des violations à 28 %—devient structurellement plus probable. Plus d’outils ne signifie pas plus de sécurité, mais souvent plus de failles sans responsable identifié.
  5. L’horloge quantique tourne déjà. Le rapport Thales indique que 61 % des répondants considèrent le risque « collecter maintenant, déchiffrer plus tard » comme leur principale préoccupation liée au quantique—et ils ont raison. Les adversaires collectent aujourd’hui des données chiffrées dans l’intention de les déchiffrer lorsque les capacités quantiques seront matures. Les organisations qui n’ont pas encore commencé à évaluer les algorithmes cryptographiques post-quantiques sont déjà en retard sur ce problème.

Depuis plusieurs années, la sécurité de l’IA était reléguée au second plan. Les organisations finançaient les initiatives IA via les budgets de sécurité existants, ce qui limitait la gestion des risques aux priorités déjà établies. Cela commence à changer. Trente pour cent des répondants disposent désormais d’un budget dédié à la sécurité de l’IA, contre 20 % l’année précédente. Cette progression de dix points n’est pas anodine : elle montre que les dirigeants commencent à considérer le risque IA comme une discipline à part entière, et non plus comme une simple note de bas de page dans leur programme cyber global.

La pression qui motive ce changement est bien réelle. Cinquante-neuf pour cent des répondants déclarent avoir subi des attaques par deepfake. Près de la moitié—48 %—ont été confrontés à des atteintes à la réputation dues à la désinformation générée par l’IA. Il ne s’agit pas de scénarios théoriques testés lors d’exercices : ces incidents touchent des organisations réelles, avec des conséquences concrètes sur leur réputation et leur exposition juridique.

Les 70 % d’organisations qui financent encore les risques liés à l’IA via le budget de sécurité général partent avec un handicap structurel : en cas d’incident, elles ne disposent ni de ressources dédiées, ni d’un responsable clairement identifié, ni de flexibilité budgétaire. Les organisations qui mettent en place des programmes dédiés à la sécurité de l’IA sont aussi celles qui adoptent une approche structurée de l’intégrité des pipelines de données, du contrôle d’accès aux modèles et des cadres d’authentification qui régissent l’accès à ces systèmes.

Le cloud, surface d’attaque principale : les chiffres sont sans appel

Les discussions sur la sécurité cloud portent souvent sur la mauvaise configuration et la gestion des privilèges. Ces préoccupations sont légitimes. Mais le rapport Thales 2026 les replace dans une réalité plus large : les actifs cloud ne sont pas seulement un vecteur de risque, ils constituent la principale surface d’attaque. Le stockage cloud arrive en tête des cibles signalées avec 35 %. Les applications cloud suivent avec 34 %. L’infrastructure de gestion cloud—le plan de contrôle qui régit tous les accès—atteint 32 %. Ces trois catégories occupent les premières places. L’infrastructure sur site n’apparaît qu’ensuite.

Les techniques d’attaque visant l’infrastructure de gestion cloud sont révélatrices. Le vol ou la compromission d’identifiants—y compris l’appropriation de secrets—est cité par 67 % des répondants comme technique principale. Les vulnérabilités tierces et les failles d’API suivent. Le schéma est clair : les attaquants ne forcent pas l’entrée des environnements cloud, ils y accèdent par des voies légitimes, en utilisant des identifiants mal gérés, surprovisionnés ou jamais renouvelés.

Ce constat est d’autant plus important que l’organisation moyenne utilise 2,26 fournisseurs cloud et 89 applications SaaS. Chaque application représente une surface d’identité. Chaque intégration est un point d’exposition potentiel. La surface d’attaque n’est plus un périmètre unique à défendre, mais un maillage distribué et en expansion constante d’interfaces, d’identifiants et de flux de données, qui exige une visibilité et une gouvernance continues.

Vient ensuite la question du chiffrement. Quarante-sept pour cent des données sensibles dans le cloud sont chiffrées en 2026, contre 51 % en 2025. Cette baisse de quatre points n’est pas spectaculaire en soi, mais la tendance est préoccupante. À mesure que l’empreinte cloud s’élargit et que les données sensibles migrent vers de nouveaux environnements, la couverture du chiffrement régresse. L’écart entre ce qui est sensible et ce qui est protégé se creuse, au lieu de se réduire.

Trop d’outils, pas assez de visibilité

Certains programmes de protection des données semblent matures de l’extérieur : plateformes multiples, contrôles superposés, liste de fournisseurs de sécurité. Le rapport Thales 2026 examine ce tableau de plus près et révèle une réalité moins rassurante. Soixante-dix-sept pour cent des répondants utilisent cinq outils de protection des données ou plus. Près de la moitié gèrent cinq systèmes de gestion de clés ou plus. Ces chiffres ne témoignent pas d’une posture de sécurité solide, mais d’une accumulation de solutions ponctuelles—chacune répondant à un problème précis, aucune n’offrant une vue unifiée de l’environnement.

Les conséquences de cette prolifération sont prévisibles. L’application des règles devient incohérente, car chaque outil applique ses propres règles à des environnements différents. La télémétrie est fragmentée, ce qui empêche les équipes de sécurité d’avoir une vision globale de la situation. La réponse aux incidents ralentit, car les analystes doivent corréler des signaux issus de systèmes déconnectés au lieu de s’appuyer sur une source unique de vérité.

Le manque de visibilité sur la localisation des données aggrave le problème. Seuls 34 % des répondants déclarent savoir précisément où sont stockées leurs données. Soixante-six pour cent fonctionnent avec des inventaires partiels, une classification inégale et des lacunes importantes dans leur compréhension de l’emplacement réel des informations sensibles. Impossible de protéger ce que l’on ne voit pas. Impossible de classer ce que l’on n’a pas identifié. Et la mauvaise configuration—cause principale des violations à 28 %—devient structurellement plus probable lorsque la gouvernance est répartie entre des dizaines d’outils déconnectés, chacun avec son propre modèle de configuration et ses contrôles d’accès.

Les dirigeants n’ont pas la même perception des incidents que le reste de l’organisation

Le rapport Thales 2026 met en évidence un écart qui a des conséquences directes sur la façon dont les organisations priorisent leurs investissements et communiquent sur les risques : les dirigeants et le reste des collaborateurs n’ont pas la même perception de l’historique des incidents de sécurité. Soixante-dix-huit pour cent des CEO, présidents et directeurs généraux déclarent n’avoir jamais connu de violation sur site. Parmi l’ensemble des personnes interrogées, ce chiffre tombe à 58 %. Pour les incidents cloud, 62 % des dirigeants n’ont jamais connu d’incident, contre 54 % pour l’ensemble de l’échantillon.

Plusieurs explications sont possibles. Les dirigeants sont peut-être tenus à l’écart des signalements d’incidents—ceux-ci étant gérés au niveau opérationnel sans remonter jusqu’à la direction. Autre hypothèse : les dirigeants ont une définition différente de ce qu’est une violation. Quoi qu’il en soit, la conséquence reste la même : si la direction n’a pas la même perception du paysage des menaces que les équipes en charge de la défense quotidienne, les discussions sur les investissements, la tolérance au risque et l’autorité en matière de réponse aux incidents seront désalignées. Ce désalignement a des conséquences—sur les cycles budgétaires, les délais de réponse et l’autorité dont disposent les équipes de sécurité lors d’un incident.

Pour combler cet écart, il ne suffit pas d’améliorer le reporting. Il faut un langage commun du risque—capable de traduire l’exposition technique en conséquences business, et de donner aux dirigeants le contexte nécessaire pour prendre des décisions adaptées à la réalité des menaces auxquelles leur organisation est confrontée.

Souveraineté et horloge quantique

La souveraineté des données n’est plus une abstraction réglementaire. C’est une contrainte architecturale qui redéfinit la façon dont les organisations pensent la localisation de leurs données, qui les contrôle et comment elles réagissent aux évolutions réglementaires. Quarante-cinq pour cent des répondants citent la portabilité comme principal moteur de leurs initiatives de souveraineté. Trente-quatre pour cent souhaitent un contrôle total sur les logiciels et les données. Et 49 % indiquent que la localisation physique de l’infrastructure cloud est déterminante pour tout ou partie de leurs charges de travail. Il ne s’agit pas de cocher une case de conformité, mais d’une pression stratégique réelle pour garder la main sur les données à mesure que le contexte réglementaire évolue et que les considérations géopolitiques influencent les choix technologiques.

En parallèle, le risque quantique passe d’une préoccupation théorique à une planification active. Soixante et un pour cent des répondants considèrent « collecter maintenant, déchiffrer plus tard » comme leur principale inquiétude liée au quantique. Ce n’est pas une menace future, mais bien présente. Les adversaires collectent aujourd’hui des données chiffrées pour les déchiffrer dès que la puissance de calcul quantique le permettra. Les données capturées aujourd’hui peuvent rester sensibles pendant des années. Les organisations qui gèrent des données réglementées, à longue durée de vie ou stratégiques ne peuvent pas traiter cela comme un problème à venir.

Cinquante-neuf pour cent des répondants déclarent tester ou évaluer des algorithmes cryptographiques post-quantiques. Ce chiffre est encourageant, mais il signifie aussi qu’environ 40 % des organisations n’ont pas encore commencé à évaluer ce que nécessiterait une transition cryptographique. La fenêtre pour une migration ordonnée est limitée. L’agilité cryptographique—la capacité à mettre à jour les mécanismes de chiffrement sans remplacer toute l’infrastructure—devient centrale dans la façon dont les programmes de sécurité matures abordent ce défi. Les organisations qui intègrent cette agilité dès maintenant disposeront d’options que celles qui attendent n’auront pas.

Ce que cela implique pour votre programme

Le Thales Data Threat Report 2026 ne décrit pas un nouvel environnement de menaces. Il décrit le même environnement—prolifération du cloud, abus d’identifiants, fragmentation des outils, pression réglementaire—mais à un stade de complexité plus avancé. Les organisations en difficulté ne sont pas celles qui n’ont pas de programme de sécurité, mais celles dont le programme n’a pas suivi le rythme de l’expansion de leur infrastructure.

L’écart entre la perception de la gestion des données et la réalité ne se réduit pas spontanément. Il faut agir : mieux classer les données, renforcer la gouvernance des identités, rationaliser les outils et donner à la direction une visibilité sur la réalité des incidents. Il faut aussi traiter la planification cryptographique comme un projet à mener dès maintenant, et non comme une réflexion pour plus tard. Enfin, il faut évaluer honnêtement la couverture réelle du chiffrement sur les données sensibles.

Les organisations qui combleront cet écart en 2026 seront non seulement plus sûres, mais aussi mieux armées pour évoluer dans des environnements réglementaires, architectures cloud et conditions de menace qui façonneront la sécurité des entreprises dans les prochaines années. Celles qui ne le feront pas continueront à découvrir leurs failles à leurs dépens—incident après incident.

Foire aux questions

Les organisations qui financent les risques liés à l’IA via le budget de sécurité général manquent de ressources dédiées et d’un responsable clairement identifié en cas d’incident spécifique à l’IA. Le Thales Data Threat Report 2026 montre que la part d’organisations dotées d’un budget dédié à la sécurité de l’IA est passée de 20 % à 30 % en un an—sous l’effet de 59 % d’attaques par deepfake et de 48 % de dommages réputationnels liés à la désinformation générée par l’IA. Sans budget dédié, ces incidents se retrouvent en concurrence avec d’autres priorités déjà financées.

Selon le Thales Data Threat Report 2026, le stockage cloud (35 %), les applications cloud (34 %) et l’infrastructure de gestion cloud (32 %) sont les trois principales cibles d’attaque. Soixante-sept pour cent des attaques contre l’infrastructure de gestion cloud impliquent le vol ou la compromission d’identifiants. Avec en moyenne 2,26 fournisseurs cloud et 89 applications SaaS par organisation, la gouvernance des identités sur chaque point d’accès est la défense la plus efficace.

La prolifération des outils—qui touche 77 % des organisations utilisant cinq outils de protection des données ou plus selon le rapport Thales—fragmente la visibilité, rend l’application des règles incohérente et ralentit la réponse aux incidents. Le rapport relie directement ce phénomène à la mauvaise configuration, première cause des violations de données (28 %). Quand la gouvernance est répartie entre des solutions ponctuelles déconnectées, chacune avec son propre modèle de configuration, le risque de failles de contrôle ne diminue pas—il se multiplie.

Le manque de visibilité des dirigeants est réel et impacte directement les investissements en sécurité. Le rapport Thales indique que 78 % des membres du comité de direction déclarent n’avoir jamais connu de violation sur site, contre 58 % pour l’ensemble des collaborateurs. Lorsque la perception des menaces diverge entre dirigeants et opérationnels, les décisions budgétaires, la tolérance au risque et l’autorité en matière de réponse aux incidents sont désalignées—ce qui prive souvent les équipes sécurité du soutien organisationnel nécessaire pour agir efficacement lors d’un incident.

Il faut commencer dès maintenant. Le rapport Thales indique que 61 % des organisations citent « collecter maintenant, déchiffrer plus tard » comme leur principale préoccupation liée au quantique—autrement dit, les adversaires collectent déjà des données chiffrées pour les déchiffrer dès que les capacités quantiques seront matures. Les données que vous produisez aujourd’hui resteront peut-être sensibles pendant des années. Avec 59 % des organisations déjà en phase de test d’algorithmes post-quantiques, les 40 % qui n’ont pas commencé sont déjà en retard dans leur planification.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks