L’IA s’impose dans les organisations à une vitesse sans précédent, mais la sécurité reste à la traîne. Selon un rapport du cabinet Zscaler, 100 % des systèmes IA d’entreprise testés contenaient des failles critiques, exploitables en 16 minutes en moyenne. Un fossé critique s’est creusé entre adoption hyperbolique et capacités réelles de contrôle.
- L’adoption de l’IA/ML a bondi de 91 % en un an, couvrant plus de 3 400 applications différentes
- 100 % des systèmes IA testés contenaient des vulnérabilités critiques
- Temps médian de compromission : 16 minutes ; 90 % des systèmes entièrement compromis en moins de 90 minutes
- 410 millions de violations détectées liées à des partages de données sensibles vers ChatGPT
- 18 033 téraoctets de données ont transité vers des applications IA externes en 2025
L'adoption de l'IA bondit de 91 % en un an
Zscaler a analysé 989,3 milliards de transactions liées à l’IA et au machine learning au cours de l’année 2025, couvrant environ 9 000 organisations. Le constat frappe d’emblée : l’activité IA/ML a bondi de 91 % en un an, englobant plus de 3 400 applications différentes.
Cette croissance n’est pas uniforme. Certains secteurs surpassent largement la moyenne.
Secteurs en première ligne :
- Technologie : +202 % annuels
- Éducation : +184 % annuels
- Finance et assurance : 23 % du trafic global
Les applications autonomes de type ChatGPT dominent le paysage, générant 115 milliards de transactions chez Zscaler en 2025. Mais derrière ces géants se cachent des milliers d’outils plus discrets : Codeium, Grammarly, GitHub Copilot, ou les fonctionnalités IA intégrées à Jira et Confluence.
Aucune gouvernance : données sensibles en fuite
Malgré cette vague d’adoption, la majorité des organisations manquent de visibilité élémentaire sur leurs systèmes IA actifs. Beaucoup n’ont aucun inventaire centralisé des modèles en production, aucune cartographie des données qui y transitent, aucun contrôle sur qui y accède.
410 millions de violations détectées
Ce vide de gouvernance se traduit concrètement. Zscaler a enregistré 410 millions de violations liées à des tentatives de partage de données sensibles vers ChatGPT seul.
Types de données interceptées :
- Numéros de sécurité sociale
- Code source d’applications critiques
- Dossiers médicaux
- Données classifiées
Les fonctionnalités IA intégrées aggravent le problème
Beaucoup sont activées par défaut, contournant les mécanismes de prévention des fuites de données hérités. Les utilisateurs qui copient du texte dans Confluence ou Jira ne réalisent souvent pas que ces données transitent immédiatement par les serveurs d’Atlassian, puis potentiellement vers des modèles IA externes.
18 033 téraoctets : la concentration du risque
En 2025, les transferts de données vers des applications IA ont atteint 18 033 téraoctets, soit l’équivalent d’environ 3,6 milliards de photographies numériques. Cela représente une augmentation de 93 % par rapport à l’année précédente.
Destination des données :
- ChatGPT : 2 021 téraoctets
- Grammarly : 3 615 téraoctets
- Autres applications IA : reste du volume
Ces chiffres illustrent une concentration du risque : une poignée de plateformes gratuites ou freemium accumulent des volumes massifs de données d’entreprise, souvent sensibles. Aucun contrôle légal n’empêche ces services d’utiliser ces données pour entraîner ou affiner des modèles futurs.
Le test du feu : 100 % des systèmes échouent
Le rapport s’appuie sur des tests de « red team », des scénarios d’attaque contrôlés menés par les chercheurs de Zscaler. Les résultats sont sans équivoque.
Résultats des tests de sécurité
| Métrique | Résultat |
|---|---|
| Systèmes avec vulnérabilités critiques | 100 % |
| Temps médian avant première défaillance | 16 minutes |
| Systèmes compromis en moins de 90 minutes | 90 % |
| Cas extrême d’effondrement | < 1 seconde |
Pourquoi les défenses traditionnelles échouent
Les contrôles hérités (firewall, VPN, détection d’intrusion réseau) sont conçus pour bloquer des attaquants humains. Ils ne ralentissent pas les automates. Une intelligence artificielle hostile qui détecte une faille peut la traverser à la vitesse machine, bien avant que les équipes de sécurité n’aient le temps de réagir.
La question centrale : où va notre IA ?
L’ampleur du vide de gouvernance devient évidente en l’articulant avec les chiffres de croissance. Des milliers d’applications IA se multiplient dans les organisations, chacune capturant des morceaux de données sensibles. Résultat : la majorité des entreprises n’a aucune visibilité centralisée sur ce qui se produit.
Deepens Desai, vice-président exécutif de la cybersécurité chez Zscaler, formule le diagnostic :
« L’IA n’est plus seulement un outil de productivité, mais un vecteur d’attaques autonomes à la vitesse machine, menées par les pirates comme par les États. À l’ère de l’IA autonome, une intrusion peut passer de la découverte au mouvement latéral au vol de données en minutes, rendant les défenses traditionnelles obsolètes. »
Cette observation pose une question vertigineuse : si les chercheurs de Zscaler ont pu compromettre 100 % des systèmes testés en 16 minutes, combien de fois cela s’est-il déjà produit en silence, dans le monde réel, avant d’être détecté, si jamais cela l’a été ?
L'IA devient un enjeu de conseil d'administration
L’IA a grandi trop vite pour rester longtemps en zone grise. Le rapport Zscaler enregistre un changement structurel : l’IA n’est plus une discussion de département IT.
Les directeurs généraux, les directeurs financiers et les responsables de la conformité posent désormais les questions critiques : Où va notre IA ? Quelles données elle touche ? Qui peut y accéder ?
D’autres recherches, menées par NTT Data, Amplix et EM360Tech, confirment ce diagnostic : l’adoption de l’IA progresse plus vite que la capacité à la gouverner. Pour beaucoup d’organisations, 2026 sera l’année où cette réalité imposera des changements opérationnels forcés.
Par où commencer : quatre actions immédiates
Il n’existe pas de solution miracle, mais le diagnostic suggère des actions immédiates et pragmatiques.
1. Faire l'inventaire
Quels modèles IA sont actifs en production ? Quelles données y transitent ? Qui y accède ? Beaucoup d’organisations découvrent, en creusant, des dizaines d’applications IA qu’elles ne savaient pas avoir. La gouvernance commence par la visibilité.
2. Renforcer le contrôle d'accès aux données
Aucun modèle IA externe (ChatGPT, Grammarly, etc.) ne devrait recevoir par défaut des données classifiées. Les politiques de prévention des fuites de données doivent évoluer pour capturer les flux IA, pas seulement les envois email.
3. Structurer la gouvernance au-delà de l'IT
L’IA touche à la stratégie, à l’éthique, à la conformité, à la sécurité. Une gouvernance efficace exige l’implication du juridique, de la conformité, des métiers et de la sécurité dans une même arène.
4. Architecturer une sécurité native à l'IA
Les pare-feu hérités ne voient pas l’IA. Une défense moderne suppose la vérification continue, des droits minimaux par défaut, et une inspection cryptée du trafic IA en temps réel.
Le compte à rebours
Le fossé entre adoption et gouvernance n’est pas une abstraction statistique. Il se matérialise chaque jour : données qui s’échappent dans des applications externes, modèles IA tiers qui entraînent des brèches silencieuses, systèmes compromis avant d’être découverts. Pour les entreprises, le message est clair : continuer à adopter l’IA sans visibilité et contrôle revient à courir dans le noir avec une cible sur le dos.
Les chiffres de Zscaler montrent que ce noir dure en moyenne 16 minutes avant l’impact.
FAQ
Pourquoi 100 % des systèmes IA d'entreprise sont-ils vulnérables ?
Selon Zscaler, la gouvernance de l’IA reste embryonnaire. La majorité des organisations manquent de visibilité sur leurs modèles IA actifs, leurs données sensibles qui y transitent, et leurs contrôles d’accès. Les défenses traditionnelles (firewall, VPN) ne ralentissent pas les attaques automatisées.
En combien de temps un système IA peut-il être complètement compromis ?
Zscaler a mesuré un temps médian de 16 minutes avant la première défaillance. 90 % des systèmes testés étaient entièrement compromis en moins de 90 minutes. Un cas extrême s’est effondré en moins d’une seconde.
Quelles données sensibles transitent par les applications IA publiques ?
Zscaler a enregistré 410 millions de violations de partage de données sensibles vers ChatGPT seul : numéros de sécurité sociale, code source d’applications critiques, dossiers médicaux. En 2025, 18 033 téraoctets de données ont transité vers des applications IA externes.
Quels secteurs sont les plus affectés par cette croissance incontrôlée ?
Le secteur technologique enregistre 202 % de croissance annuelle des transactions IA, l’éducation 184 %. Ces secteurs adoptent l’IA massivement sans attendre une gouvernance mature, créant un risque systémique.
Par où commencer pour sécuriser l'IA en entreprise ?
Faire l’inventaire des modèles IA actifs, renforcer le contrôle des données sensibles, structurer la gouvernance en dehors de l’IT seul, et explorer une architecture de sécurité native à l’IA.
Sources
- https://www.globenewswire.com/news-release/2026/01/27/3226101/
- https://www.globenewswire.com/news-release/2026/01/27/3226102/
- https://www.helpnetsecurity.com/2026/01/16/ntt-data-enterprise-ai-governance/
- https://amplix.com/insights/2026-will-be-the-year-of-ai-governance-and-theres-no-way-around-it/
- https://em360tech.com/tech-articles/closing-the-ai-governance-gap-2026
Leave a Reply