Rapport sur la sécurité des données IA : 83 % des organisations n’appliquent pas les contrôles de base Rapport sur la sécurité des données IA : 83 % des organisations n’appliquent pas les contrôles de base

Une nouvelle étude sectorielle menée par Kiteworks révèle un écart critique entre la perception et la réalité de la préparation des organisations à la sécurité de l’IA. Cette recherche, réalisée auprès de 461 professionnels de l’IT et de la cybersécurité, montre que seuls 17 % des entreprises disposent de contrôles techniques automatisés pour empêcher les collaborateurs de télécharger des données sensibles sur des outils d’IA comme ChatGPT. Les 83 % restants s’appuient sur des mesures humaines inefficaces telles que des sessions de formation, des e-mails d’avertissement ou des consignes écrites — 13 % n’ayant même aucune règle en place. Ce déficit de sécurité s’aggrave avec un dangereux excès de confiance : 33 % des dirigeants affirment assurer un suivi total de l’usage de l’IA, alors que des études indépendantes révèlent que seuls 9 % disposent de systèmes de gouvernance réellement opérationnels.

L’ampleur de l’exposition des données est alarmante : 27 % des organisations reconnaissent que plus de 30 % des informations transmises aux outils d’IA contiennent des données privées telles que des numéros de sécurité sociale, dossiers médicaux, données de carte bancaire ou secrets commerciaux. Par ailleurs, 17 % n’ont aucune visibilité sur ce que leurs employés partagent avec les plateformes d’IA. La prolifération de l’« IA fantôme » — des outils non autorisés téléchargés par les collaborateurs — crée des milliers de points de fuite invisibles. Avec 86 % des organisations aveugles aux flux de données liés à l’IA et une moyenne de 1 200 applications non officielles par entreprise, les informations sensibles alimentent régulièrement les systèmes d’IA où elles restent intégrées de façon permanente dans les modèles d’entraînement, potentiellement accessibles à des concurrents ou acteurs malveillants.

La conformité réglementaire représente un autre défi majeur, alors que l’application des règles s’accélère. Les agences américaines ont publié 59 réglementations sur l’IA en 2024, soit plus du double de l’année précédente, mais seules 12 % des entreprises placent les violations de conformité parmi leurs principales préoccupations liées à l’IA. Les pratiques actuelles enfreignent quotidiennement certaines dispositions du RGPD, du CCPA, de la HIPAA et des réglementations SOX. Sans visibilité sur les interactions avec l’IA, il est impossible de répondre aux demandes de suppression de données, de conserver les journaux d’audit requis ou de prouver la conformité lors des contrôles réglementaires. Le délai médian de remédiation pour des identifiants exposés atteint 94 jours, laissant aux attaquants plusieurs mois pour exploiter les accès divulgués.

Le rapport identifie quatre mesures urgentes à mettre en œuvre : réaliser des audits honnêtes de l’usage réel de l’IA pour combler l’écart de confiance de 300 % ; déployer des contrôles techniques automatisés, car les mesures humaines échouent systématiquement ; instaurer des centres de commandement unifiés pour la gouvernance des données afin de suivre tous les mouvements de données liés à l’IA ; et appliquer une gestion des risques avec surveillance en temps réel sur toutes les plateformes. La convergence entre l’adoption massive de l’IA, la hausse des incidents de sécurité et l’accélération de la réglementation réduit rapidement la marge de manœuvre. Les organisations qui ne sécurisent pas dès maintenant leurs usages de l’IA s’exposent à de lourdes sanctions réglementaires, à une atteinte à la réputation et à un désavantage concurrentiel, car les données sensibles partagées aujourd’hui resteront intégrées de façon permanente dans les systèmes d’IA.

Ressources complémentaires

Article de blog Zero Trust Architecture : Ne jamais faire confiance, toujours vérifier

Article de blog Rapport : La protection des communications de contenu sensible n’a jamais été aussi cruciale

Article de blog Ce que signifie étendre le Zero Trust à la couche contenu

Article de blog Protéger les données sensibles à l’ère de l’IA générative : risques, défis et solutions

Article de blog Zero Trust et confidentialité des données : une approche pratique pour la conformité et la protection

Lancez-vous.