83 % utilisent l'IA ; seulement 13 % ont de la visibilité, selon le rapport de Cyera sur l'état de la sécurité des données liées à l'IA en 2025

Research Labs
September 29, 2025

CyberSecurity Insiders, en partenariat avec Cyera Research Labs, la branche de recherche de Cyera en matière de sécurité des données et de l'IA, a interrogé plus de 900 responsables informatiques afin de fournir les preuves que les clients ne cessaient de demander.

Principaux points à retenir :

  • 83 % des entreprises utilisent déjà l'IA, mais 13 % seulement font état d'une forte visibilité sur la manière dont elle touche leurs données.
  • 76 % affirment que les agents d'IA autonomes sont les plus difficiles à sécuriser, et seuls 9 % surveillent l'activité de l'IA en temps réel.
  • Contrôles les incidents liés à la latence : 66 % ont détecté que l'IA accédait de manière excessive à des données sensibles, tandis que 11 % seulement sont en mesure de bloquer automatiquement les activités risquées.

La première alerte ne provenait pas d'un SIEM. Un directeur des ventes a demandé pourquoi un copilote doté d'une intelligence artificielle pouvait « comme par magie » trouver une offre de prix qu'il ne devrait pas connaître. Aucun exploit. Pas de jour zéro. Juste un accès par défaut, des garde-corps manquants et personne ne surveille la couche d'invite.

Cette histoire est apparue à maintes reprises dans le rapport sur l'état de la sécurité des données liées à l'IA en 2025 : l'IA est déjà intégrée au travail quotidien, mais les contrôles qui garantissent la sécurité des données n'ont pas rattrapé leur retard. Il en résulte un écart de préparation : l'utilisation est élevée, la surveillance est faible et il s'élargit exactement aux limites que les agresseurs et les accidents adorent.

Des questions aux preuves : pourquoi (et comment) nous avons mené l'enquête

Les clients n'arrêtaient pas de se poser les mêmes questions : où en sommes-nous par rapport à nos pairs ? Quels garde-corps sont réellement standard ? Comment mesure-t-on l'état de préparation ? Il n'y avait pas de base de référence intersectorielle neutre. Ainsi, en partenariat avec Initiés en cybersécurité, nous avons mené une enquête structurée à choix multiples auprès de 921 Des professionnels de l'informatique et de la sécurité de tous les secteurs et de toutes tailles (RSSI, responsables de la sécurité, architectes, responsables SOC, rôles de gouvernance des données). Les résultats sont statistiquement robustes (± 3,2 % pour un IC à 95 %). Nous nous sommes concentrés sur l'adoption et la maturité, la visibilité et la surveillance, les contrôles à la périphérie des agents, l'identité et l'accès pour l'IA, ainsi que la gouvernance et la préparation alignées sur Top 10 de l'OWASP pour les applications LLM.

Ce que nous avons demandé (et pourquoi)

Nous voulions savoir si l'IA était régie avec la même rigueur que celle que nous appliquons aux utilisateurs, aux systèmes et aux données. Nous avons donc posé des questions sur :

  • Où vit l'IA (outils, modèles et flux de travail)
  • Quelle visibilité existe (journaux, signaux en temps réel, auditabilité)
  • Quelles commandes sont actives (filtres rapides, rédaction des résultats, blocage automatique)
  • Comment l'accès est accordé (L'IA en tant qu'identité de première classe ou « juste un autre utilisateur »)
  • À qui appartient la gouvernance (et si la politique s'y prête)

Voici ce que disent les données

L'adoption dépasse le contrôle. L'IA est courante-83 % utilisez-le dans le cadre de votre travail quotidien, mais uniquement 13 % affirment avoir une forte visibilité sur la manière dont cela touche les données de l'entreprise. La plupart des équipes sont toujours en lice pilotes ou »émergent» maturité, mais l'utilisation couvre déjà le travail sur le contenu/les connaissances et la collaboration. C'est ainsi que les angles morts évoluent.

Les risques se concentrent sur les bords. La confiance est maximale lorsque l'IA est enterrée dans un SaaS familier. Il s'effondre lorsque l'autonomie ou les incitations publiques entrent en jeu. 76 % dire agents autonomes sont les plus difficiles à sécuriser ; 70 % drapeau invites externes aux LLM publics. Près d'un quart (23 %) ont non commandes rapides ou de sortie. Il ne s'agit pas d'un échec de modèle, mais d'un échec de politique à l'interface.

L'IA est une nouvelle identité, traitée comme une ancienne. Uniquement 16 % traiter l'IA comme sa propre classe d'identité avec des politiques dédiées. 21 % accorder un accès étendu aux données par défaut. 66 % ont déjà découvert que l'IA accédait à des informations de manière excessive (souvent, mais pas rarement). Et bien que le moindre privilège doive être lié à classification des données en temps réel, uniquement 9 % affirment que leurs contrôles de sécurité des données et d'identité sont véritablement intégrés à l'IA.

Gouvernance de l'IA est en retard par rapport à la réalité. Simplement 7 % disposent d'un comité de gouvernance dédié à l'IA, et uniquement 11 % se sentir parfaitement préparé à la nouvelle réglementation de l'IA. Les journaux sont trop fréquents après l'incident des artefacts ; blocage automatique n'existe que dans 11 % de programmes. En d'autres termes : nous observons après coup et nous appliquons manuellement.

Points à retenir pour les RSSI, les architectes et les responsables des données

Si vous considérez l'IA comme une application, vous passerez à côté du risque réel. Si vous le traitez comme un être humain, vous l'autoriserez trop. Si vous ignorez la couche d'invite et de sortie, vous ne verrez jamais la fuite.

Voici la voie pragmatique à suivre :

  1. Instrument du premier pilote
     Allumer découverte d'outils/modèles d'IA, centralisés journalisation des commandes et des sorties, et en temps réel signaux d'anomalie (tentatives d'exfil, jailbreaks, surconsommation). Ne créez pas de dette de gouvernance que vous paierez plus tard.
  2. Renforcez l'interface
     Par défaut, filtrage des entrées et rédaction de sortie aux passerelles. Gardez champs d'application des agents restreindre, exiger des approbations pour garantir l'autonomie et appliquer limites de taux et interrupteurs d'arrêt. Visez blocage automatique où les schémas de risque sont clairs.
  3. Faites de l'IA une identité de premier ordre
     Fournissez à l'IA son propre type d'identité et son propre cycle de vie. Faire appliquer le moindre privilège lié à la classification des données et au contexte, en continu, et non pas tous les trimestres. Passez en revue et faites expirer les scopes comme vous le feriez pour les jetons de production.
  4. Ancrer la gouvernance dans les preuves
     Nommez le responsable de la gouvernance de l'IA. Associez la politique aux journaux, aux décisions et aux résultats que vous pouvez réellement afficher (DPIAS/TRA, le cas échéant). Suivez les indicateurs au niveau du tableau : couverture, taux de blocage automatique, taux de suraccès et temps nécessaire pour détecter/contenir les incidents de niveau rapide.

Présentation de Cyera Research Labs (et quelles sont les prochaines étapes)

Ce billet inaugure Laboratoires de recherche Cyera-notre branche de recherche dédiée à des conseils clairs et basés sur des données à l'intersection de IA et sécurité des données. Attendez-vous à des briefs concis, à des analyses rapides lorsque le paysage change et à des guides pratiques que vous pourrez intégrer à la production. Si vous voulez le prochain rapport, dites-le-nous et nous partagerons des repères et des modèles de garde-corps que vous pourrez utiliser lundi.

Dernier mot : L'IA n'attend pas que la gouvernance rattrape son retard. Les leaders qui gagneront ne seront pas les plus bruyants, ce seront eux qui le pourront prouver visibilité, maîtrise et moindre privilège pour les acteurs non humains, dès maintenant.

Lisez le Rapport sur l'état de la sécurité des données liées à l'IA en 2025.

Download Report

Research Type

Research Blog

Share

83 % utilisent l'IA ; seulement 13 % ont de la visibilité, selon le rapport de Cyera sur l'état de la sécurité des données liées à l'IA en 2025

Research Labs
September 29, 2025

CyberSecurity Insiders, en partenariat avec Cyera Research Labs, la branche de recherche de Cyera en matière de sécurité des données et de l'IA, a interrogé plus de 900 responsables informatiques afin de fournir les preuves que les clients ne cessaient de demander.

Principaux points à retenir :

  • 83 % des entreprises utilisent déjà l'IA, mais 13 % seulement font état d'une forte visibilité sur la manière dont elle touche leurs données.
  • 76 % affirment que les agents d'IA autonomes sont les plus difficiles à sécuriser, et seuls 9 % surveillent l'activité de l'IA en temps réel.
  • Contrôles les incidents liés à la latence : 66 % ont détecté que l'IA accédait de manière excessive à des données sensibles, tandis que 11 % seulement sont en mesure de bloquer automatiquement les activités risquées.

La première alerte ne provenait pas d'un SIEM. Un directeur des ventes a demandé pourquoi un copilote doté d'une intelligence artificielle pouvait « comme par magie » trouver une offre de prix qu'il ne devrait pas connaître. Aucun exploit. Pas de jour zéro. Juste un accès par défaut, des garde-corps manquants et personne ne surveille la couche d'invite.

Cette histoire est apparue à maintes reprises dans le rapport sur l'état de la sécurité des données liées à l'IA en 2025 : l'IA est déjà intégrée au travail quotidien, mais les contrôles qui garantissent la sécurité des données n'ont pas rattrapé leur retard. Il en résulte un écart de préparation : l'utilisation est élevée, la surveillance est faible et il s'élargit exactement aux limites que les agresseurs et les accidents adorent.

Des questions aux preuves : pourquoi (et comment) nous avons mené l'enquête

Les clients n'arrêtaient pas de se poser les mêmes questions : où en sommes-nous par rapport à nos pairs ? Quels garde-corps sont réellement standard ? Comment mesure-t-on l'état de préparation ? Il n'y avait pas de base de référence intersectorielle neutre. Ainsi, en partenariat avec Initiés en cybersécurité, nous avons mené une enquête structurée à choix multiples auprès de 921 Des professionnels de l'informatique et de la sécurité de tous les secteurs et de toutes tailles (RSSI, responsables de la sécurité, architectes, responsables SOC, rôles de gouvernance des données). Les résultats sont statistiquement robustes (± 3,2 % pour un IC à 95 %). Nous nous sommes concentrés sur l'adoption et la maturité, la visibilité et la surveillance, les contrôles à la périphérie des agents, l'identité et l'accès pour l'IA, ainsi que la gouvernance et la préparation alignées sur Top 10 de l'OWASP pour les applications LLM.

Ce que nous avons demandé (et pourquoi)

Nous voulions savoir si l'IA était régie avec la même rigueur que celle que nous appliquons aux utilisateurs, aux systèmes et aux données. Nous avons donc posé des questions sur :

  • Où vit l'IA (outils, modèles et flux de travail)
  • Quelle visibilité existe (journaux, signaux en temps réel, auditabilité)
  • Quelles commandes sont actives (filtres rapides, rédaction des résultats, blocage automatique)
  • Comment l'accès est accordé (L'IA en tant qu'identité de première classe ou « juste un autre utilisateur »)
  • À qui appartient la gouvernance (et si la politique s'y prête)

Voici ce que disent les données

L'adoption dépasse le contrôle. L'IA est courante-83 % utilisez-le dans le cadre de votre travail quotidien, mais uniquement 13 % affirment avoir une forte visibilité sur la manière dont cela touche les données de l'entreprise. La plupart des équipes sont toujours en lice pilotes ou »émergent» maturité, mais l'utilisation couvre déjà le travail sur le contenu/les connaissances et la collaboration. C'est ainsi que les angles morts évoluent.

Les risques se concentrent sur les bords. La confiance est maximale lorsque l'IA est enterrée dans un SaaS familier. Il s'effondre lorsque l'autonomie ou les incitations publiques entrent en jeu. 76 % dire agents autonomes sont les plus difficiles à sécuriser ; 70 % drapeau invites externes aux LLM publics. Près d'un quart (23 %) ont non commandes rapides ou de sortie. Il ne s'agit pas d'un échec de modèle, mais d'un échec de politique à l'interface.

L'IA est une nouvelle identité, traitée comme une ancienne. Uniquement 16 % traiter l'IA comme sa propre classe d'identité avec des politiques dédiées. 21 % accorder un accès étendu aux données par défaut. 66 % ont déjà découvert que l'IA accédait à des informations de manière excessive (souvent, mais pas rarement). Et bien que le moindre privilège doive être lié à classification des données en temps réel, uniquement 9 % affirment que leurs contrôles de sécurité des données et d'identité sont véritablement intégrés à l'IA.

Gouvernance de l'IA est en retard par rapport à la réalité. Simplement 7 % disposent d'un comité de gouvernance dédié à l'IA, et uniquement 11 % se sentir parfaitement préparé à la nouvelle réglementation de l'IA. Les journaux sont trop fréquents après l'incident des artefacts ; blocage automatique n'existe que dans 11 % de programmes. En d'autres termes : nous observons après coup et nous appliquons manuellement.

Points à retenir pour les RSSI, les architectes et les responsables des données

Si vous considérez l'IA comme une application, vous passerez à côté du risque réel. Si vous le traitez comme un être humain, vous l'autoriserez trop. Si vous ignorez la couche d'invite et de sortie, vous ne verrez jamais la fuite.

Voici la voie pragmatique à suivre :

  1. Instrument du premier pilote
     Allumer découverte d'outils/modèles d'IA, centralisés journalisation des commandes et des sorties, et en temps réel signaux d'anomalie (tentatives d'exfil, jailbreaks, surconsommation). Ne créez pas de dette de gouvernance que vous paierez plus tard.
  2. Renforcez l'interface
     Par défaut, filtrage des entrées et rédaction de sortie aux passerelles. Gardez champs d'application des agents restreindre, exiger des approbations pour garantir l'autonomie et appliquer limites de taux et interrupteurs d'arrêt. Visez blocage automatique où les schémas de risque sont clairs.
  3. Faites de l'IA une identité de premier ordre
     Fournissez à l'IA son propre type d'identité et son propre cycle de vie. Faire appliquer le moindre privilège lié à la classification des données et au contexte, en continu, et non pas tous les trimestres. Passez en revue et faites expirer les scopes comme vous le feriez pour les jetons de production.
  4. Ancrer la gouvernance dans les preuves
     Nommez le responsable de la gouvernance de l'IA. Associez la politique aux journaux, aux décisions et aux résultats que vous pouvez réellement afficher (DPIAS/TRA, le cas échéant). Suivez les indicateurs au niveau du tableau : couverture, taux de blocage automatique, taux de suraccès et temps nécessaire pour détecter/contenir les incidents de niveau rapide.

Présentation de Cyera Research Labs (et quelles sont les prochaines étapes)

Ce billet inaugure Laboratoires de recherche Cyera-notre branche de recherche dédiée à des conseils clairs et basés sur des données à l'intersection de IA et sécurité des données. Attendez-vous à des briefs concis, à des analyses rapides lorsque le paysage change et à des guides pratiques que vous pourrez intégrer à la production. Si vous voulez le prochain rapport, dites-le-nous et nous partagerons des repères et des modèles de garde-corps que vous pourrez utiliser lundi.

Dernier mot : L'IA n'attend pas que la gouvernance rattrape son retard. Les leaders qui gagneront ne seront pas les plus bruyants, ce seront eux qui le pourront prouver visibilité, maîtrise et moindre privilège pour les acteurs non humains, dès maintenant.

Lisez le Rapport sur l'état de la sécurité des données liées à l'IA en 2025.

Download Report

Research Type

Research Blog

Share

Related Resources

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Why DSPM Has Moved From Buzzword to Board‑Level Mandate - and How Our New Guide Can Help

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Assessing the Top Data Security Risks in AWS Environments

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

The One Account That Breaks Everything: How Identity Outliers Create Explosive Risk

Experience Cyera

To protect your dataverse, you first need to discover what’s in it. Let us help.

Get a demo  →
Decorative
Livre Cyera DSPM pour les nuls

CYERA US INC.

1375 Broadway, 11e étage
New York, New York 10018


BUREAU DE TÉLÉVISION À ÉCRAN PLAT

Tour Landmark
Rue Arania Osvaldo 24
Tel-Aviv-Jaffa, Israël

Obtenir une démonstration
Plateforme
Aperçu de la plateformeDernières innovations

Modules

DSPMGardien de l'IAPrévention des pertes de donnéesAccès à l'identitéIdentitéDemandes des personnes concernéesConfidentialité

Des services

Évaluation des risques liés aux donnéesData WatcherAI Security Readiness Assessment
Des solutions

Cas d'utilisation

Vue d'ensemble des cas d'utilisationPréparation à la conformitéFusions-acquisitions et cessionsActiver l'IA en sécuritéÉvaluer les risques liés aux donnéesAttaque M365Assistance sur siteVisibilité des donnéesMinimisation des donnéesProlifération des donnéesExposition publiqueAssainissementDémocratiser la sécurité des données

Secteurs

FinancesTechnologieFabrication industrielleCommerce et voyagesSanté
Pourquoi Cyera
Pourquoi choisir Cyera
Entreprise
À propos de nousCarrièresPartenariats et intégrationsÉquipe CSOActualitésCentre de confianceContacter
Ressources
Centre de ressourcesBlogueÉvénementsWebinairesDivulgation des vulnérabilitésGuides DSPMLaboratoires de rechercheÉvaluation de la sécurité des données de l'IAPortail DataSecaiDataWatcher Avatar
Carrières chez Cyera : nous recrutons
Nous recrutons
Plus d'informations

Copyright © 2025 Cyera. Tous droits réservés.

Politique de confidentialitéPolitique relative aux cookies
Decorative