L’IA, nouvelle « menace interne »… dans des entreprises qui ne savent pas toujours où sont leurs données

Lors de la présentation du Thales Data and Cloud Threat Report 2026, un constat s’impose : cloud et hybridation généralisés, API omniprésentes, tandis que l’IA et le quantique rehaussent encore le niveau de risque. Et au milieu de cette course, un chiffre dérange : seules 34 % des organisations interrogées disent savoir précisément où sont stockées leurs données.

Tout part d’un constat que Romain Deslorieux, VP Sales division Cloud Security chez Thales, assume comme une photographie de terrain : les entreprises modernisent leurs systèmes, adoptent des architectures plus ouvertes, basculent vers des modèles plus agiles, et vivent en même temps un retour du débat sur le contrôle — souvent rangé sous le mot « souveraineté ». Dans cette dynamique, explique-t-il, « il y a deux grandes ruptures technologiques » qui s’imposent à tous : « l’IA » et « le quantique ». Elles ne se contentent pas d’ajouter des menaces : elles changent la manière même de gérer le risque. Et, côté Europe, le décor se durcit aussi : « Le problème, c’est que le cloud n’est plus seulement un produit que l’on compare. C’est un système de dépendances. »

Le rapport met d’ailleurs en évidence que la sécurité de l’IA est d’abord un problème de cadence. 70 % des répondants citent la vitesse d’évolution des écosystèmes IA comme leur premier risque, et 61 % déclarent que leurs applications IA sont déjà ciblées par des attaquants. Romain Deslorieux résume la situation différemment : malgré un budget souvent « constant », le responsable de la sécurité des systèmes d’information (RSSI) doit faire face à de nouveaux défis sans certitude que les mesures actuelles resteront efficaces à l’avenir. Cette logique de preuve, de méthode, de traçabilité n’est d’ailleurs plus seulement un sujet d’outillage : « On ne se contentera plus d’expliquer la cybersécurité, il faudra la démontrer ».

C’est là que la lecture « data-centric » prend tout son sens. Pour expliquer pourquoi la donnée devient le point focal, l’orateur se sert d’une analogie de banque : l’édifice, les guichets, les vigiles, les portes… et, au sous-sol, « un coffre-fort ». Dans le monde numérique, dit-il, la « porte blindée » s’appelle chiffrement. Sauf que la métaphore se complique avec l’IA : on ne parle plus seulement d’utilisateurs, mais d’agents à qui l’on délègue des actions. L’agent, rappelle-t-il, c’est de la « délégation » : et comme dans n’importe quelle organisation humaine, délégation implique contrôle. Le rapport reprend cette idée en filigrane : l’IA ressemble de plus en plus à un « insider » qu’il faut encadrer, tracer, limiter. Et quand on parle de “contrôle”, la discussion finit forcément au Comex : comment mesurer, comparer, arbitrer. C’est l’ambition de l’Indice de résilience numérique (IRN), lancé à Bercy comme un outil « Comex-compatible » pour « rendre mesurables — et donc arbitrables — les dépendances technologiques ».

66 % sans vision complète : la dette « data » des entreprises

Mais l’enseignement le plus dérangeant du rapport tient moins à la sophistication des attaques qu’à l’ignorance du patrimoine. Le chiffre circule dans la salle, revient dans les questions, finit par structurer tout le débat : seules 34 % des organisations interrogées disent avoir une connaissance complète de l’endroit où leurs données sont stockées. Difficile, dès lors, d’industrialiser l’IA — ou même de parler sérieusement de contrôle — si l’on n’a pas commencé par localiser et qualifier la matière première. Romain Deslorieux assume ce point comme une marche de maturité : « la première étape », dit-il, c’est « la cartographie des données » et leur « classification », parce que toutes les données ne portent pas les mêmes enjeux de confidentialité, d’intégrité ou de disponibilité. Ce paradoxe fait écho à un autre baromètre « terrain » : « Les cyberattaques “significatives” réussies reculent (40 % en 2025), mais quand elles passent, elles pèsent toujours aussi lourd (81 % d’impact business) ».

Le rapport ajoute une tension très concrète pour les DSI : dans le cloud, la proportion moyenne de données sensibles chiffrées est indiquée à 47 %. Autrement dit, la donnée migre, l’IA réclame des accès plus larges, mais le socle de protection ne suit pas toujours — et l’écart devient une surface d’exposition. Or, quand l’exposition se matérialise, la temporalité se renverse : l’entreprise se retrouve à gérer « la crise » alors même qu’elle « n’a pas fini de comprendre l’incident ».

7 outils en moyenne : la sécurité se noie dans ses consoles

À cette faiblesse structurelle s’ajoute une autre difficulté, plus opérationnelle : la complexité. Romain Deslorieux revient sur ce que le rapport présente comme un trait commun des grandes organisations : l’empilement d’outils. Sur la seule sécurité des données, l’étude évoque une moyenne de 7 outils, et 77 % des organisations qui en ont cinq ou plus. Dans la présentation, la conséquence est immédiate : sept outils, c’est sept compétences, sept consoles, sept façons de corréler des alertes — et donc plus de frictions, plus d’angles morts, plus de fatigue. Le rapport pousse même le paradoxe jusqu’au bout : 83 % des répondants expliquent résister à la consolidation faute de compatibilité ou de capacité… alors que 39 % seulement se disent très confiants dans leur compréhension des outils de sécurité des données. Dit autrement, la dépendance est « partout, mais rarement dans un tableau de bord ».

La discussion sur la « souveraineté » vient ensuite illustrer le flou des mots. Dans la salle, le terme est contesté comme trop politique, trop marketing, au profit d’une lecture en dépendances. Romain Deslorieux, lui, ramène le sujet à une notion qu’il juge plus opérable : le « contrôle » — avec, derrière, des moyens techniques, organisationnels et contractuels. Le rapport reflète cette diversité d’approches avec un chiffre qui a beaucoup fait réagir : 36 % estiment que les protections cryptographiques (chiffrement / gestion de clés) suffisent à « assurer » la souveraineté des données.

La menace sophistiquée cohabite avec la faute bête

Enfin, le rapport et la présentation convergent sur un dernier point, moins spectaculaire mais plus constant : l’humain. Dans l’échange, Romain Deslorieux le formule sans détour : « le vecteur humain reste très important » parce qu’il est « non déterministe ». Le rapport le chiffre : l’erreur humaine est citée comme première cause des violations déclarées (28 %). Et dans un monde où le cloud reste la cible dominante — cloud storage (35%), applications cloud (34%), infrastructure de management cloud (32%) —, cette imprévisibilité humaine s’additionne à la complexité technique.

Au final, la photographie 2026 est moins une histoire de « nouvelle menace IA » qu’un révélateur : l’IA accélère la valeur, mais elle accélère aussi l’exposition. Et elle oblige les organisations à revenir à des fondamentaux qu’elles pensaient déjà traités : savoir où est la donnée, qui y accède, comment elle est chiffrée, comment l’activité est surveillée, et comment réduire la complexité d’un empilement d’outils devenu lui-même un facteur de risque.

À LIRE AUSSI :

Secu

11e baromètre CESIN : moins d’attaques mais des impacts plus lourds

Thierry Derouet

26 Jan

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !