Le coût réel d’une violation en 2025 : Ce que les chiffres signifient pour les responsables de la sécurité

Le dernier Rapport IBM sur le coût d'une violation de données Il dresse un tableau clair des risques, des facteurs de hausse des coûts et des investissements réellement rentables. Pour les responsables de la sécurité, il s'agit à la fois d'une référence, d'un avertissement et d'un guide pratique, avec des points clés sur les points à privilégier, les correctifs à apporter et les moyens d'éviter de faire la une des journaux.

Les informations personnelles identifiables restent le joyau de la couronne pour les attaquants

Les données personnelles des clients demeurent l'actif le plus ciblé et le plus coûteux en cas de violation. Plus de la moitié des violations sont concernées. informations personnelles du client, et dans les incidents impliquant l'IA fantôme Ce chiffre a grimpé à 65 %. Le coût par enregistrement d'informations personnelles client compromis est de $160 dans le monde, et de $166 dans les incidents d'IA fantôme. Cela signifie qu'une exposition de 50 000 enregistrements peut facilement dépasser $8 millions de pertes directes, avant de prendre en compte les amendes, la perte d'utilisateurs et l'atteinte à la réputation. Pour toute organisation, un seul ensemble de données exposé peut se traduire par des millions de pertes, d'amendes et d'atteinte à la réputation.

La leçon est simple : si vous ne savez pas où se trouvent toutes vos données sensibles, vous ne pouvez pas les sécuriser. C’est là que découverte et classification tenant compte de l'identitéet les contrôles d'accès devenir non négociable.

L’IA fantôme n’est pas seulement un problème de sécurité, c’est un problème de coût

Cette année, une organisation sur cinq a subi une violation liée à l'IA fantôme. Ces incidents ajoutent en moyenne $200 000 au coût des violations, et dans les environnements à forte utilisation, ce chiffre grimpe à $670 000. Leur détection est plus longue, ils impliquent davantage de données personnelles et de propriété intellectuelle, et créent des perturbations opérationnelles en aval.

Dans de nombreux cas, les employés utilisaient des outils d’IA non autorisés qui traitaient des données sensibles à l’insu ou sans l’approbation des équipes de sécurité. 

Les incidents liés à l'IA fantôme présentaient également une fenêtre de détection plus longue et étaient plus susceptibles d'impliquer des données personnelles et de propriété intellectuelle. Traiter l'IA fantôme comme une simple violation des règles ne suffit pas. L'IA fantôme n'est pas un simple casse-tête de conformité. C'est une surface d'attaque non surveillée qui a un coût. Détection, la gouvernance et les contrôles automatisés sont essentiels.

• 20% des organisations ont subi une violation impliquant l'IA fantôme
• + $200K ajouté au coût moyen mondial des violations pour les incidents d'IA fantôme
• + $670K pour les organisations ayant une utilisation élevée de l'IA fantôme
• 65% de violations de l'IA fantôme impliquaient des informations personnelles identifiables (PII) de clients
• 40% impliquait la propriété intellectuelle
• Les délais de détection et de confinement sont une semaine plus longs que la moyenne mondiale

L'adoption de l'IA dépasse la gouvernance de l'IA

Soixante-trois pour cent des organisations victimes d'une violation n'avaient aucune Politique de gouvernance de l'IA en place. Parmi ceux qui en avaient, moins de la moitié disposaient d'un processus d'approbation formel pour les déploiements d'IA, et seulement un tiers effectuaient des audits réguliers pour les IA non autorisées. 97 % Violations liées à l'IA systèmes impliqués sans contrôles d’accès appropriés.

Ce déficit de gouvernance est l'un des risques les plus facilement réparables du rapport. Les équipes de sécurité et de conformité doivent collaborer pour créer un inventaire unifié des systèmes d'IA, appliquer les politiques d'accès et surveiller en permanence les déploiements malveillants.

Les contrôles d'accès de l'IA sont le maillon faible

• 97% des violations liées à l'IA impliquaient des systèmes sans contrôles d'accès à l'IA appropriés

• 31% des incidents de sécurité d'IA autorisés ont entraîné un accès non autorisé à des données sensibles

• 29% a entraîné une perte d'intégrité des données

• 23% causé une perte financière directe

Les modèles d'IA accèdent à des données critiques et réglementées sans aucune protection. Chacun de ces cas représente un coût potentiel en cas de violation.

L'IA dans la sécurité est un moyen éprouvé de réduire les coûts

Les organisations qui utilisent massivement l'IA et l'automatisation tout au long du cycle de sécurité ont réduit leurs coûts liés aux violations de 1,9 million de dollars en moyenne et raccourci leurs délais de réponse aux incidents de 80 jours. Pourtant, seulement 32 % d'entre elles déclarent une utilisation intensive, et les taux d'adoption n'ont guère évolué par rapport à l'année dernière.

L'IA dans le domaine de la sécurité n'est pas seulement un multiplicateur de force pour les équipes débordées, elle permet également de réaliser des économies directes. De la classification automatisée à l'accélération des enquêtes, remédiation, le retour sur investissement est prouvé.

Les violations multi-environnements entraînent des coûts plus élevés

Trente pour cent des violations concernaient des données réparties sur plusieurs environnements. Leur coût moyen s'élevait à 145,05 millions de livres sterling (TP4T) et leur confinement a nécessité 276 jours, soit le temps le plus long pour un type de violation. Sans visibilité et contrôles unifiés, les environnements hybrides deviennent un handicap.

Une visibilité de sécurité limitée à un seul environnement ne suffit plus. Les données modernes résident dans des clouds publics, privés et sur site, et les failles de sécurité franchissent ces frontières sans difficulté. Les contrôles de sécurité et les outils de découverte doivent pouvoir faire de même.

Tendances de l'industrie : là où les enjeux sont les plus élevés

Soins de santé reste le secteur le plus coûteux en termes de violations, avec 7,42 millions de dollars en moyenne. Financier Les organisations industrielles se situent également bien au-dessus de la moyenne mondiale. Pour ces secteurs, la combinaison de l'exposition réglementaire, de la sensibilité des données clients et de la complexité des infrastructures implique des enjeux et des coûts plus élevés.

Ce que les responsables de la sécurité peuvent en tirer

Les données indiquent clairement où se concentrer :

• Recherchez et protégez les informations personnelles identifiables partout où elles se trouventLes informations personnelles identifiables des clients comportent le coût le plus élevé et le risque le plus élevé.
• Prenez le contrôle de l'IA fantômeDétectez-le, gérez-le et fermez-le avant qu'il ne devienne un titre de violation coûteux.
• Intégrez la gouvernance de l'IA à votre programme de sécuritéTraitez les actifs d’IA comme tout autre système de grande valeur.
• Utiliser l’IA et l’automatisation dans le domaine de la sécurité de manière intensive, sans parcimonieLes avantages en termes de coût et de rapidité sont prouvés.
• Sécurisé dans tous les environnements, pas en silosLes violations dépasseront les limites si vos outils ne le peuvent pas.

Les organisations gagnantes seront celles qui combineront visibilité, gouvernance et automatisation sur l’ensemble de leur paysage de données – et qui traiteront l’IA à la fois comme une opportunité commerciale et comme un risque commercial qui exige un contrôle.

Auteur

Sarah Hospelhorn