Pourquoi les entreprises dépensent-elles toujours plus pour la sécurité mais chiffrent-elles moins de données ?

Les taux de chiffrement du cloud au niveau mondial diminuent malgré l’augmentation des investissements en matière de sécurité.

Le chiffrement du cloud devrait être un défi résolu aujourd’hui. Pourtant, il recule. Le rapport 2026 Thales Data Threat Report, basé sur les observations de plus de 3 000 professionnels de l’informatique et de la sécurité, montre que seulement 47 % des données cloud sensibles sont cryptées. Ce chiffre est en baisse par rapport aux 51 % de l’année précédente. Ce déclin se produit alors même que les entreprises dépensent davantage pour la cybersécurité et transfèrent davantage de charges de travail critiques vers le cloud.

Pour les dirigeants, il s’agit d’une question de stratégie et d’alignement. De nombreuses entreprises ont concentré leurs budgets sur de nouvelles plateformes et solutions sans être sûres que ces investissements offrent une protection mesurable. La couverture de chiffrement diminue à un moment où les volumes de données et les points d’exposition augmentent dans les systèmes distribués et pilotés par l’IA. C’est une mauvaise équation pour la résilience à long terme.

Le moment est venu pour les équipes dirigeantes de réévaluer ce que signifient réellement les « dépenses de sécurité ». Il est facile d’acheter de la technologie, mais pas de la coordonner efficacement. Les dirigeants doivent se demander si leurs organisations comprennent vraiment où résident leurs données les plus sensibles, comment elles sont sécurisées et qui les gouverne. Les prochaines années récompenseront les entreprises qui achèteront davantage d’outils et les déploieront de manière à obtenir une couverture de chiffrement mesurable dans tous les environnements cloud.

La fragmentation des outils de sécurité crée des lacunes en matière de visibilité et de responsabilité

La pile de sécurité typique d’une entreprise est devenue trop lourde. Selon Thales, 77 % des entreprises utilisent aujourd’hui au moins cinq outils de protection des données, tandis que près de la moitié d’entre elles jonglent avec au moins cinq systèmes distincts de gestion des clés. Ces chiffres ne sont pas le signe d’une négligence, mais d’une complexité excessive. Chaque système supplémentaire alourdit les opérations, augmente la charge de maintenance et dilue la responsabilité.

La fragmentation est dangereuse car elle cache des lacunes. Avec des données réparties sur de nombreuses plateformes et gérées selon des politiques différentes, les entreprises ne savent plus très bien ce qui est crypté et ce qui ne l’est pas. La mauvaise configuration, citée comme la principale cause des brèches dans le cloud (28 %), est un sous-produit naturel de cette confusion. Lorsque les équipes ne peuvent pas facilement voir quels contrôles s’appliquent où, les petits oublis deviennent des incidents coûteux.

Pour les dirigeants, il s’agit d’une question d’exécution. Les responsables de la sécurité doivent simplifier et consolider. Une gouvernance centralisée et une visibilité unique sont désormais des conditions essentielles pour un contrôle efficace du chiffrement. Cela signifie moins d’outils, des flux de travail intégrés et une responsabilité totale en ce qui concerne les normes de chiffrement. La fragmentation gaspille le potentiel de sécurité. L’intégration renforce la puissance de la sécurité.

Les dirigeants doivent prendre eux-mêmes l’initiative de ce changement. C’est une nécessité stratégique pour protéger les actifs numériques à l’échelle de l’entreprise.

PARLONS-EN !

Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.

Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.

Planifier un appel

Veuillez saisir une adresse email professionnelle valide.

L’essor de l’IA amplifie les risques liés à la faiblesse du chiffrement et des contrôles d’accès.

L’intelligence artificielle a modifié l’échelle des opérations des entreprises. Elle a également modifié l’échelle des risques. Selon le rapport de Thales, 61 % des organisations affirment que leurs applications d’intelligence artificielle ont déjà été ciblées par des attaquants qui s’intéressent aux données sensibles. Ces systèmes se voient accorder un accès automatisé à de vastes référentiels de données cloud, souvent avec moins de supervision et une surveillance plus faible que les utilisateurs humains. Lorsque ces connexions ne sont pas correctement gouvernées, l’exposition peut se multiplier rapidement.

Les dirigeants doivent reconnaître que l’IA n’est plus une préoccupation secondaire en matière de sécurité, mais qu’elle est désormais au cœur de celle-ci. L’intégration élargie de l’IA signifie que les effets d’une seule faiblesse, comme une politique d’accès défectueuse ou un processus de cryptage manquant, peuvent se propager automatiquement à des environnements entiers. Les attaquants l’ont bien compris. Ils ne s’attaquent plus seulement aux informations d’identification humaines, mais aussi aux identités des machines qui alimentent l’automatisation.

Sébastien Cano, vice-président senior des produits de cybersécurité chez Thales, résume clairement le défi : « Le risque d’initié n’est plus seulement une question de personnes. Lorsque la gouvernance des identités, les politiques d’accès ou le cryptage sont faibles, l’IA peut amplifier ces faiblesses dans les environnements bien plus rapidement qu’aucun humain ne pourrait le faire. » Les équipes dirigeantes doivent agir en conséquence. La sécurisation des flux de travail de l’IA implique l’application de normes de chiffrement strictes, la mise en place de contrôles d’accès spécifiques à l’IA et l’intégration d’une surveillance continue à chaque étape de l’interaction avec les données.

La solution n’est pas de ralentir l’adoption de l’IA, mais de faire évoluer les modèles de sécurité pour qu’ils s’adaptent à sa vitesse. Les dirigeants doivent s’assurer que la gouvernance, et pas seulement la technologie, évolue parallèlement aux déploiements de l’IA. C’est de là que viendra la véritable résilience.

Le vol d’identifiants est la principale méthode d’intrusion dans le cloud, ce qui modifie les priorités en matière de sécurité.

Le vol d’identifiants est désormais le principal moyen utilisé par les attaquants pour s’introduire dans les systèmes cloud. Le rapport de Thales montre que 67 % des organisations subissant des attaques sur le cloud ont identifié le vol d’identifiants comme la principale technique utilisée contre l’infrastructure de gestion. Cette évolution reflète l’essor des services automatisés et des communications de machine à machine. Au lieu de cibler les mots de passe humains, les acteurs de la menace se concentrent sur les jetons, les clés API et d’autres informations d’identification qui contrôlent l’accès aux données à grande échelle.

Pour les chefs d’entreprise, cela signifie que la sécurité de l’identité est devenue le nouveau fondement de la défense du cloud. Il ne suffit plus de s’appuyer sur des mots de passe forts ou des contrôles d’accès de base. Les organisations ont besoin de cadres robustes de gestion des identités et des accès (IAM) qui surveillent, authentifient et vérifient chaque identité numérique, humaine ou machine. Comme le note Thales, les compétences en matière d’IAM ont désormais dépassé à la fois la sécurité du cloud et des applications en tant que priorité absolue pour les équipes de sécurité à l’échelle mondiale.

Les dirigeants devraient considérer cela comme un changement opérationnel plus large. Lorsque des attaquants percent les identifiants d’une machine, ils accèdent souvent sans restriction à des données non cryptées avant qu’une détection ne soit possible. Le renforcement de la protection de l’identité limite directement ce risque. Donner la priorité aux investissements dans la gestion des identités et des accès, automatiser la gestion du cycle de vie des informations d’identification et éliminer les jetons d’accès inutilisés ou faibles doit devenir une pratique de gouvernance standard.

La voie à suivre est claire : l’identité est désormais le point de contrôle qui définit la sécurité de l’entreprise. Les C-suites qui agissent de manière décisive sur cette réalité positionneront leurs organisations pour résister aux menaces actuelles et émergentes à travers des écosystèmes de cloud de plus en plus complexes.

L’informatique quantique présente des risques à long terme pour les méthodes de cryptage actuelles

L’informatique quantique passe de la promesse théorique à la capacité pratique, et ce progrès a des conséquences sur la sécurité des données. Le rapport Thales sur les menaces pesant sur les données montre que 61 % des organisations considèrent que « récolter maintenant, décrypter plus tard » est leur principale préoccupation liée à l’informatique quantique. Les adversaires collectent déjà des données cryptées aujourd’hui, anticipant la capacité future de les décrypter une fois que le traitement quantique aura atteint une maturité suffisante.

Cela crée une vulnérabilité à long terme à laquelle peu d’entreprises s’attaquent pleinement. Alors que 59 % des entreprises testent ou développent déjà des solutions cryptographiques post-quantiques, environ 40 % d’entre elles n’ont pas encore commencé à le faire. Cette lacune expose à un risque futur où les données qui semblent sûres aujourd’hui pourraient être décryptées lorsque l’énergie quantique deviendra économiquement accessible. Pour les dirigeants, le message est clair : le temps ne joue pas en faveur des modèles cryptographiques dépassés.

La préparation post-quantique n’est pas seulement une transition technique, c’est aussi une transition stratégique. Les entreprises qui dépendent de la pérennité des données sur de longues périodes, comme celles des services financiers, de la défense ou de la santé, doivent donner la priorité à la modernisation cryptographique maintenant, et non plus tard. Il s’agit notamment d’auditer les méthodes de chiffrement existantes, d’identifier les archives critiques et de travailler avec des partenaires technologiques qui font progresser les normes de résilience quantique.

Les dirigeants devraient traiter cette question dans le cadre d’une planification de la gouvernance à long terme. Les organisations qui retardent la migration cryptographique risquent d’être contraintes à des transitions réactives et précipitées lorsque la perturbation quantique arrivera. L’opportunité réside dans le fait de commencer tôt, en s’assurant que les données cryptées, actuelles et historiques, restent sécurisées jusqu’à l’avenir quantique.

Principaux enseignements pour les dirigeants

• Baisse du cryptage, augmentation des risques : La couverture de chiffrement des données sensibles du cloud a chuté à 47 %, alors même que les dépenses de sécurité augmentent. Les dirigeants devraient se demander si leurs investissements permettent d’améliorer la protection réelle plutôt que de simplement étendre l’infrastructure de sécurité.
• La surcharge d’outils réduit le contrôle : Soixante-dix-sept pour cent des entreprises utilisent au moins cinq outils de protection des données, ce qui entraîne un contrôle fragmenté et un risque accru de violation. Les dirigeants devraient réduire la prolifération des outils et centraliser la gestion du chiffrement pour améliorer la visibilité et la responsabilité.
• L’exposition induite par l’IA exige une gouvernance plus forte : Avec 61% des systèmes d’IA déjà ciblés par des attaquants, un chiffrement faible et une mauvaise gouvernance des accès amplifient les risques. Les dirigeants doivent mettre en œuvre des contrôles de sécurité spécifiques à l’IA et une surveillance continue pour protéger les données sensibles dans les environnements automatisés.
• Le vol d’informations d’identification prend la tête : Le vol d’informations d’identification est désormais à l’origine de 67 % des attaques contre le cloud, les identités des machines devenant des cibles privilégiées. Les dirigeants devraient donner la priorité à une gestion avancée des identités et des accès afin de sécuriser les informations d’identification des personnes et des machines.
• La préparation à l’informatique quantique prend du retard : Soixante et un pour cent des entreprises craignent que les données cryptées qu’elles ont récoltées soient un jour décryptées par l’informatique quantique, mais 40 % d’entre elles n’ont pas encore commencé à mettre leurs systèmes à l’épreuve de l’informatique quantique. Les dirigeants devraient accélérer l’adoption de la cryptographie post-quantique pour protéger l’intégrité des données à long terme.