État de la sécurité de l’IA : Les entreprises se préparent aux incidents liés à l’IA
La sécurité de l’IA dans les entreprises est mal gouvernée et fragmentée, laissant les risques les plus critiques non gérés et les incidents liés à l’IA considérés comme inévitables, selon le rapport sur l’état de la sécurité de l’IA de 2025.
“L’IA change la nature même du risque, obligeant les dirigeants à faire face à des incidents qu’ils admettent ne pas être prêts à gérer,” déclare un expert du domaine. “Ce rapport leur fournit les preuves et les références nécessaires pour prioriser la gouvernance de l’IA et la sécurité en temps réel dès maintenant.”
Points clés à retenir :
Le rapport révèle que 50% des répondants s’attendent à une perte de données via des outils d’IA générative au cours de l’année prochaine, 49% anticipent des incidents liés à l’IA fantôme, et 41% sont préoccupés par les menaces internes alimentées par l’IA. En même temps, 70% admettent qu’ils manquent de gouvernance optimisée en matière d’IA. Les résultats montrent que des incidents de sécurité majeurs sont attendus, et que la gouvernance de l’IA ainsi que l’application en temps réel demeurent insuffisantes pour les contenir.
Le rapport constate également que la sécurité de l’IA s’écarte des modèles de propriété typiques. Les CIO dirigent dans 29% des entreprises, suivis des directeurs des données (17%) et des équipes d’infrastructure (15%), tandis que les CISO se classent au quatrième rang avec 14,5%. Cela marque un départ par rapport à d’autres domaines de sécurité, où le CISO est généralement responsable principal.
Budget et priorités d’investissement :
En ce qui concerne le budget, la sécurité de la chaîne d’approvisionnement de l’IA est la priorité d’investissement principale, 31% des organisations la sélectionnant comme focus principal pour les 12 prochains mois. Cela reflète la reconnaissance que le risque s’étend à l’ensemble de l’écosystème de l’IA, et pas seulement à un composant.
70% des répondants rapportent qu’ils n’ont pas atteint une gouvernance optimisée en matière d’IA, ce qui inclurait la surveillance au niveau du conseil d’administration, le suivi automatisé et des politiques régulièrement mises à jour. De plus, 39% n’ont pas de gouvernance gérée ou optimisée.
Incidents prévisibles et vulnérabilités :
La majorité, 50%, s’attend à une fuite de données via des outils d’IA générative dans les 12 mois, mettant en évidence l’exposition des données comme l’impact le plus probable de l’adoption de l’IA. De plus, 49% s’attendent à un incident d’IA fantôme au cours de la même période, et 23% déclarent qu’il s’agit d’un domaine où ils sont le moins préparés. Les principales préoccupations incluent l’utilisation d’outils d’IA générative autonomes sans approbation informatique (21%) et les fonctionnalités d’IA intégrées dans des applications SaaS (18%).
31% classent la sécurité de la chaîne d’approvisionnement de l’IA comme leur principale priorité d’investissement au cours de l’année prochaine, devant toutes les autres catégories. Les répondants citent le plus souvent les risques liés aux ensembles de données, aux API et aux fonctionnalités d’IA intégrées, soulignant la préoccupation concernant les expositions qui se produisent en temps réel.
Les CIO se classent premiers en matière de propriété de la sécurité de l’IA avec 29%, devant les directeurs des données (17%) et les équipes d’infrastructure (15%). Les CISO se retrouvent au quatrième rang avec 14,5%, ce qui représente un net changement par rapport à d’autres domaines de sécurité où la direction de la sécurité détient généralement la responsabilité principale.
Phases les plus vulnérables :
La phase de fonctionnement est classée comme la plus vulnérable (38%) et la moins préparée (27%). Les problèmes de pré-déploiement, tels que l’intégrité des ensembles de données (13%) et la provenance des modèles (12%), sont classés bien plus bas, soulignant que les approches traditionnelles de sécurité “shift-left” ne correspondent pas à l’endroit où les risques liés à l’IA sont concentrés.
