bilbytech.com

Rapport IBM : IA cachée et mauvaise gestion, liens avec des failles plus coûteuses en 2025.

Rapport IBM : IA cachée et mauvaise gestion, liens avec des failles plus coûteuses en 2025.

News
1 août 2025

Dans leur empressement à déployer l’IA, de nombreuses organisations négligent des mesures essentielles de sécurité et de gouvernance. Le rapport « Cost of a Data Breach 2025 » d’IBM révèle que 13 % des entreprises interrogées ont connu des violations impliquant des modèles d’IA.

Le rapport décrit cette tendance comme une « adoption de l’IA en mode faites vite », où la rapidité est priorisée par rapport à la supervision.

Environ 63 % des organisations touchées par une violation ont déclaré qu’elles manquaient soit de cadres formels de gouvernance de l’IA, soit qu’elles étaient en train d’en développer. Parmi celles qui avaient de telles politiques en place, seulement 34 % effectuaient des audits réguliers pour détecter l’utilisation non autorisée de l’IA.

Le rapport met en garde que les systèmes d’IA déployés sans gouvernance sont plus susceptibles d’être victimes d’incidents de sécurité et entraînent des coûts de violation significativement plus élevés.

Cependant, le rapport note également que les organisations utilisant l’IA et l’automatisation de manière extensive dans leurs opérations de sécurité ont économisé en moyenne 1,9 million de dollars en coûts de violation et réduit le cycle de vie d’une violation de 80 jours en moyenne.

La vitesse et l’innovation sont des priorités avec l’utilisation de l’IA

Bien que les violations liées à l’IA soient encore relativement rares, Vishal Kamat, vice-président de la sécurité des données chez IBM, a déclaré à TechRepublic par e-mail que presque tous les incidents étaient dus à de faibles contrôles d’accès à l’IA.

« C’est un signal clair que les organisations privilégient la vitesse et l’innovation par rapport aux pratiques de sécurité fondamentales, et ce compromis a déjà des conséquences financières », a déclaré Kamat.

Il est tout aussi préoccupant de constater le manque de politiques de gouvernance de l’IA concernant son utilisation, a ajouté Kamat.

« Dans de nombreux cas, les organisations n’avaient pas de responsabilisation claire pour les systèmes d’IA, ni de visibilité sur les lieux et la manière dont l’IA était déployée. Cela crée des angles morts non seulement pour les équipes de sécurité, mais aussi pour la conformité et la gestion des risques », a-t-il expliqué.

Alors que l’adoption de l’IA s’accélère, Kamat insiste sur le fait que la gouvernance et les contrôles d’accès ne peuvent pas être envisagés comme des éléments à ajouter après coup.

« Ils doivent être intégrés dès le départ, comme nous l’avons appris à nos dépens avec le cloud et les autres technologies émergentes du passé. »

L’IA fantôme (Shadow AI) entraîne des coûts de violation plus élevés

Une entreprise sur cinq interrogée a attribué une violation à l’IA fantôme (Shadow AI), et seulement 37 % ont des politiques pour gérer l’IA ou détecter l’IA fantôme, selon le rapport. Il a également révélé que les organisations confrontées à une utilisation généralisée de l’IA fantôme ont encouru en moyenne 670 000 dollars de plus en coûts de violation que celles où l’utilisation de l’IA fantôme était minimale ou inexistante.

Dans les cas impliquant de l’IA fantôme, 65 % ont entraîné une compromission d’informations personnelles identifiables et 40 % ont affecté la propriété intellectuelle, des chiffres significativement plus élevés que les moyennes mondiales de 53 % et 33 % respectivement, selon IBM.

L’IA est également utilisée par les attaquants

Les attaquants exploitent l’IA pour accroître la vitesse, l’ampleur et la sophistication de leurs méthodes, en particulier dans les domaines du phishing et de l’usurpation d’identité par deepfake, a déclaré Kamat. En même temps, les défenseurs commencent à déployer des outils basés sur l’IA pour détecter et répondre à ces menaces plus rapidement et plus efficacement, et ils montrent un ROI significatif, a-t-il ajouté.

« La clé est de reconnaître que l’IA n’est pas seulement un risque, mais aussi un élément critique de la solution », a expliqué Kamat. « Les organisations qui investissent dans la détection et la réponse basées sur l’IA dès maintenant seront mieux positionnées pour rester en avance sur l’évolution du paysage des menaces. »

Le coût d’une violation de données

Le rapport a révélé des nouvelles mitigées concernant le coût d’une violation de données. Le coût mondial moyen d’une violation de données a diminué pour atteindre 4,44 millions de dollars, la première baisse en cinq ans. Cependant, le coût moyen d’une violation aux États-Unis a atteint un record de 10,22 millions de dollars.

Les violations dans le secteur de la santé restent les plus coûteuses de tous les secteurs, avec un coût moyen de 7,42 millions de dollars. Ces violations prennent également le plus de temps à être identifiées et à être maîtrisées, avec un délai moyen de 279 jours.

Presque toutes les organisations ont signalé des perturbations opérationnelles à la suite d’une violation de données, ce qui a prolongé les délais de récupération. Parmi les organisations interrogées qui ont signalé une récupération, la plupart ont mis en moyenne 100 jours pour le faire.

Méthodologie

Le rapport « Cost of a Data Breach 2025 » d’IBM a été mené par le Ponemon Institute et est basé sur des violations de données ayant affecté 600 organisations dans le monde entier, de mars 2024 à février 2025.

Le paysage des cybermenaces évolue plus vite que les défenses ne peuvent suivre. **Découvrez ce que les nouvelles données de Check Point révèlent — et ce que les responsables de la sécurité doivent faire ensuite.**

Abonnez-vous à la newsletter Cybersecurity Insider

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières actualités, solutions et meilleures pratiques en matière de cybersécurité. Envoyée tous les lundi, mardi et jeudi.

Adresse électronique

En vous abonnant à notre newsletter, vous acceptez nos Conditions d’utilisation et notre Politique de confidentialité. Vous pouvez vous désabonner à tout moment.

S’abonner

Abonnez-vous à la newsletter Cybersecurity Insider

Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières actualités, solutions et meilleures pratiques en matière de cybersécurité. Envoyée tous les lundi, mardi et jeudi.

Adresse électronique

En vous abonnant à notre newsletter, vous acceptez nos Conditions d’utilisation et notre Politique de confidentialité. Vous pouvez vous désabonner à tout moment.

S’abonner

Auteur
Henri
Rédacteur invité expert tech.

Articles liés

Twitter ajoute des données de sauvegarde à ses métriques publiques de publication (vanity metrics)

Twitter ajoute des données de sauvegarde à ses métriques publiques de publication (vanity metrics)

« `html .stk-0139f79{background-color:#f5f5f5 !important;border-radius:3px !important;overflow:hidden !important;box-shadow:2px 6px 5px -3px rgba(86,14,93,0.9) !important;border-style:solid !important;border-color:var(–stk-global-color-56583,#911d9c) !important;border-top-width:2px !important;border-right-width:2px !important;border-bottom-width:2px !important;border-left-width:2px !important;padding-bottom:0px !important}.stk-0139f79:before{background-color:#f5f5f5 !important}.stk-0139f79 .stk-block-text__text{font-size:17px !important;font-weight:normal !important;font-family:-apple-system,BlinkMacSystemFont, »Segoe UI »,Roboto,Helvetica,Arial,sans-serif, »Apple Color Emoji », »Segoe UI Emoji », »Segoe UI Symbol » !important}@media screen and (max-width:1023px){.stk-0139f79 .stk-block-text__text{font-size:17px !important}} MISE À JOUR du 16/03/2023 : Les comptes de favoris de Twitter sont désormais officiels, comme le confirme l’oiseau bleu lui-même. « Nous […]

News
← Article précédent Article suivant →