Les outils d’IA sont des vecteurs importants de perte de données

Nous sommes arrivés à un point où l’IA est intégrée dans presque tout ce que nous faisons. Des outils tels que ChatGPT et Microsoft Copilot permettent déjà des gains de productivité considérables. des gains de productivité massifs. Ils génèrent rapidement du contenu, aident à coder et traitent les tâches à une échelle difficilement comparable à celle des systèmes exclusivement humains. Mais il y a un compromis. Ces mêmes outils sont devenus des points d’entrée majeurs pour la perte involontaire de données.

Le vrai problème, c’est que la plupart des utilisateurs ne réfléchissent pas à ce qu’ils introduisent dans ces plateformes. Lorsque quelqu’un partage un document ou tape un problème contenant des données confidentielles, comme des dossiers clients ou des numéros de sécurité sociale, ces données sont souvent traitées et stockées à l’extérieur. Et bien que les fournisseurs d’IA aient amélioré la transparence, dans de nombreux cas, les données ne restent pas dans votre environnement ou ne sont pas séparées des autres modèles. C’est un problème, surtout à grande échelle.

Les entreprises doivent le voir clairement : la plupart des IA sont conçues en fonction de l’échelle et de l’accessibilité, et pas nécessairement de la sécurité. À l’heure actuelle, l’IA est source d’efficacité. Mais elle introduit également des angles morts que les méthodes traditionnelles de protection des données n’ont pas encore totalement pris en compte. Les dirigeants doivent donner la priorité aux cadres de gouvernance qui traitent spécifiquement de l’ingestion du contenu de l’IA, des autorisations d’interface et de la visibilité au niveau de l’audit.

Si vous suivez les chiffres, ils ne sont pas subtils. Selon le rapport 2025 Zscaler ThreatLabz Data Risk Report, des millions d’incidents de perte de données se sont produits en 2024 par le seul biais d’outils d’IA. Un nombre inquiétant d’entre eux impliquent des informations personnelles identifiables.

Cela signifie que vous devez rendre l’IA plus sûre. Cela commence par des politiques qui déterminent quelles données peuvent être utilisées, des protections techniques qui surveillent en temps réel et des déploiements spécifiques à l’entreprise qui localisent l’entraînement et la sortie des modèles. Ces étapes vous aident à faire évoluer l’IA dans des limites sécurisées. Il ne s’agit pas seulement d’éviter les erreurs, mais de maintenir la confiance tout en innovant. Et c’est ce qui compte.

Escalade des incidents de perte de données par le biais d’applications SaaS

La croissance de l’adoption du SaaS ne ralentit pas. Ce qui n’était au départ qu’une commodité est devenu une infrastructure de base pour la plupart des entreprises modernes. Les entreprises s’appuient désormais sur des milliers d’applications SaaS pour tout gérer, de la gestion de la relation client aux ressources humaines en passant par les finances et les opérations. Les avantages sont évidents : une exécution plus rapide, une meilleure collaboration et des coûts d’infrastructure réduits. Mais il y a un inconvénient de plus en plus important : les angles morts en matière de sécurité se multiplient.

Les environnements SaaS sont dynamiques et distribués. Chaque plateforme s’accompagne de ses propres politiques de données, de ses paramètres de partage et de ses autorisations d’utilisation. Multipliez cela par des centaines ou des milliers d’applications au sein d’une organisation, et vous obtenez un périmètre de sécurité fragmenté, presque impossible à gérer sans les bons outils.

Ce qui se passe actuellement, c’est que les données se déplacent rapidement, plus rapidement que la plupart des équipes de sécurité ne peuvent le suivre. Les fichiers sont téléchargés, partagés avec l’extérieur, modifiés dans l’application ou intégrés. Sans surveillance centralisée, des informations sensibles peuvent être divulguées dans le cadre d’une utilisation courante, sans que personne ne s’en aperçoive avant qu’il ne soit trop tard. Les attaquants le savent. Ils exploitent les mauvaises configurations et les chemins d’authentification faibles dans ces applications pour se déplacer au sein d’une organisation sans être détectés.

Voici des données qui valent la peine d’être notées : Le rapport 2025 Zscaler ThreatLabz Data Risk Report a recensé plus de 872 millions de violations de pertes de données sur plus de 3 000 applications SaaS pour la seule année 2024. Cette échelle devrait inquiéter tous les dirigeants ayant des actifs numériques dans le cloud, en particulier ceux qui utilisent des environnements SaaS profondément intégrés.

La sécurité doit évoluer avec l’usage. Cela signifie qu’il faut mettre en œuvre des modèles de confiance zéro sur les plateformes SaaS, consolider la visibilité grâce à des tableaux de bord unifiés et automatiser l’application des politiques de manière cohérente dans tous les environnements. Les dirigeants doivent également veiller à ce que les équipes de sécurité collaborent plus étroitement avec les responsables informatiques et les chefs d’entreprise afin de s’aligner sur les modalités d’accès, de partage et de conservation des données.

Il ne s’agit pas de ralentir l’adoption. Il s’agit de garder le contrôle à mesure que l’échelle augmente. Le SaaS est essentiel pour l’innovation, mais les startups comme les entreprises doivent le traiter comme un domaine de sécurité hautement prioritaire. Cela signifie plus d’automatisation, de meilleurs outils de découverte et une intégration plus étroite avec les systèmes de gouvernance d’entreprise.

Risque persistant de perte de données par courrier électronique

Le courrier électronique existe depuis des décennies et reste l’un des outils professionnels les plus utilisés au monde. Malgré l’essor de nouvelles plateformes, les cadres et les équipes continuent de s’appuyer fortement sur le courrier électronique pour les communications essentielles. Cette constance est aussi sa faiblesse, car elle est tellement ancrée qu’elle est rarement remise en question. Mais les risques liés au courrier électronique sont restés persistants et, dans de nombreuses organisations, ils s’aggravent.

Le problème n’est pas seulement le phishing ou le spam. Il s’agit d’habitudes internes. Des fichiers sensibles sont envoyés sans cryptage. Les courriels sont transférés sans vérification des destinataires. Des données confidentielles sont jointes ou copiées sans autorisation appropriée. Il ne s’agit pas de failles au niveau du système, mais de failles humaines. Et elles se produisent des millions de fois par jour.

Cette question devrait figurer en bonne place dans les préoccupations des dirigeants. Les brèches les plus importantes ne proviennent pas toujours d’attaques externes, mais de canaux négligés. Le courrier électronique est transparent par défaut. Il n’applique pas la classification des données et ne vérifie pas si le destinataire est censé voir ce qu’il contient. En l’absence de contrôles, ce canal devient une fenêtre ouverte.

L’ampleur est réelle. Le rapport 2025 de Zscaler sur les risques liés aux données montre que 104 millions de transactions par courrier électronique ont donné lieu à des milliards d’incidents liés à l’exposition de données sensibles. Cela suggère que le problème n’est pas limité à la gouvernance informatique, mais qu’il s’agit désormais d’un risque interfonctionnel affectant les services juridiques, la conformité, les finances et les relations avec les investisseurs.

Les dirigeants ne doivent pas se contenter de déployer des filtres anti-spam. Il s’agit de de donner aux équipes de sécurité le soutien nécessaire d’installer le chiffrement obligatoire, d’automatiser les règles de prévention des pertes de données et de mettre en place des formations spécifiques à chaque domaine. Ici, la prévention ne nécessite pas de complexité, mais de la cohérence. Chaque utilisateur, chaque niveau, chaque appareil.

Il est également temps d’intégrer le courrier électronique dans le débat plus large sur la transformation numérique. Intégrez-le à vos systèmes d’identité. Connectez-le aux moteurs DLP. Surveillez les flux à l’aide de cadres normalisés déjà en place sur d’autres plateformes de collaboration. Moins votre approche de la sécurité du courrier électronique est fragmentée, plus vous maîtrisez votre surface de risque.

Les applications de partage de fichiers, source récurrente d’exposition des données

Les outils de partage de fichiers sont aujourd’hui au cœur du fonctionnement des entreprises. Qu’il s’agisse de partager des documents, de collaborer avec des partenaires ou de stocker des données de projet, ces plateformes sont profondément ancrées dans les flux de travail quotidiens. Le problème est de savoir comment elles sont gérées. La plupart des entreprises permettent à de multiples outils de coexister, souvent avec des contrôles et une surveillance incohérents. C’est là que les risques commencent.

Le risque réside dans la manière dont les utilisateurs interagissent avec eux. Les fichiers sont fréquemment partagés à l’aide de liens publics. Les autorisations sont souvent réglées sur des niveaux d’accès larges sans examen. Une fois que les données quittent l’environnement interne, il est difficile de savoir qui les consulte, les télécharge ou les transmet. Sans une gestion stricte de la configuration, ces plateformes deviennent des canaux actifs de fuite de matériel sensible, intentionnellement ou non.

Le rapport 2025 de Zscaler sur les risques liés aux données montre que 212 millions de transactions impliquant des applications de partage de fichiers ont déclenché des pertes de données. Ce volume confirme ce que les équipes de sécurité constatent déjà sur le terrain : la collaboration augmente, mais la surface d’attaque et l’exposition involontaire aussi.

Les dirigeants doivent renforcer cette partie de la pile. La classification des données doit suivre les fichiers où qu’ils aillent. Les autorisations doivent expirer automatiquement ou déclencher des alertes lorsqu’elles sont partagées avec des personnes non autorisées. Les administrateurs doivent disposer de capacités d’audit claires sur les activités des fichiers, indépendamment de la plateforme ou de l’emplacement. Enfin, les employés doivent être régulièrement informés des politiques, de ce qui est autorisé et de ce qui ne l’est pas, et du point de départ de la surveillance.

La direction doit également traiter le partage de fichiers comme un domaine de sécurité à part entière. Cela signifie qu’il faut appliquer des règles DLP directement dans ces environnements, étendre les protections des points d’extrémité et aligner les intégrations tierces sur les modèles internes de gouvernance des données. L’objectif n’est pas de ralentir la collaboration, mais de s’assurer que la sécurité évolue avec elle. Cette responsabilité incombe au sommet de la hiérarchie.

Principaux enseignements pour les décideurs

  • Les outils d’IA font fuir rapidement des données sensibles : Les applications d’IA générative telles que ChatGPT et Copilot ont été impliquées dans des millions d’incidents de perte de données en 2024, y compris l’exposition de numéros de sécurité sociale. Les dirigeants doivent établir des politiques d’utilisation strictes et déployer des contrôles DLP spécifiques à l’IA pour protéger les données sensibles.
  • Les écosystèmes SaaS créent des angles morts : Plus de 872 millions de violations de pertes de données ont été enregistrées sur plus de 3 000 applications SaaS, en raison de contrôles incohérents et d’une surveillance fragmentée. Les dirigeants devraient investir dans une visibilité unifiée et des cadres de sécurité qui s’étendent à toutes les plateformes.
  • Le courrier électronique reste une faille majeure dans la sécurité : Près de 104 millions de transactions par courrier électronique ont exposé des milliards de données sensibles l’année dernière. Les dirigeants doivent mettre en œuvre un chiffrement de bout en bout, des politiques DLP renforcées automatiquement et une formation des utilisateurs afin de réduire la mauvaise manipulation des données internes.
  • Les plateformes de partage de fichiers sont de plus en plus risquées : 212 millions de pertes de données ont été causées par des outils de partage de fichiers largement utilisés, en raison d’un accès mal configuré et d’une distribution incontrôlée. Les chefs d’entreprise doivent imposer l’expiration des accès, l’audit et la classification au niveau des fichiers pour maintenir le contrôle sur les données partagées.

Alexander Procter

août 26, 2025

10 Min