IBM publie les
résultats de l’édition 2025 de son rapport annuel "Cost of a Data
Breach" sur les coûts liés à une violation de données.
1/ Les données clés
pour la France
En France, le rapport
2025 sur le coût d'une violation de données est basé sur une analyse
approfondie de violations de données réelles subies par 34 organisations entre
mars 2024 et février 2025. L’étude réalisée par le Ponemon Institute, sponsorisée
et analysée par IBM, a été publiée pendant 16 années consécutives en France.
En 2025, le coût moyen
d'une violation de données en France a atteint 3,59 millions d'euros, soit une
baisse de près de 7% par rapport à l'année précédente.
Secteurs qui ont connu
les coûts de violation de données les plus élevés
1. L’industrie pharmaceutique (coût moyen de 5,11
millions d’€)
2. Les services financiers (coût moyen de 4,65 millions d’€)
3. Le secteur de l’énergie (coût moyen de 4,45 millions d’€)
Coût moyen et la
fréquence des violations de données par vecteur d'attaque initial
1. Vol physique ou problème de sécurité (13 % des
incidents ; coût moyen de 4,81 millions d’€)
2. Erreur interne accidentelle (13 % des incidents ; coût moyen de
3,52 millions d’€)
3. Compromission des fournisseurs tiers et de la
chaîne d'approvisionnement (13 % des incidents ; coût moyen de 3,48 millions
d’€)
4. Attaques par déni de service (13 % des incidents ; coût moyen de
3,11 millions d’€)
Principaux facteurs qui
augmentent le coût total d'une violation de données
1. La violation de la chaîne d'approvisionnement (331 100 €)
2. L’utilisation du shadow AI (321 900 €)
3. L’adoption de solutions d’IA (311 200 €)
Principaux facteurs qui
réduisent le coût total d'une violation de données
1. La gestion des identités et des accès (337 076
€)
2. Les renseignements sur les menaces (293 339 €)
3. Le Machine Learning SecOps (290 245 €)
27% des violations de
données étudiées concernaient des données stockées dans plusieurs
environnements, pour un coût moyen de 4,03 millions d’€.
Cycle de vie des
violations de données : en France, il faut en moyenne 213 jours pour identifier
une violation et 71 jours pour la contenir, soit une baisse de 5 jours dans les
deux cas par rapport à 2024.
L'IA et
l'automatisation de la sécurité : 65 % des entreprises françaises étudiées
déploient désormais l'IA et l'automatisation de la sécurité pour prévenir et
combattre les violations. Une organisation qui a eu largement recours à l'IA et
à l'automatisation de la sécurité a détecté et contenu un incident 88 jours
plus rapidement et a encouru en moyenne 1,39 million d’€ de moins en coûts de
violation, par rapport aux organisations qui n'utilisent pas ces technologies.
En matière d’IA, quelques
tendances dans les organisations françaises
Principales méthodes
des organisations pour atténuer actuellement les risques associés aux attaques
de modèles d'IA
1. Les contrôles d'accès aux systèmes d'IA (39%)
2. Les technologies de gouvernance de l'IA (31%)
3. Les audits réguliers des modèles (28%)
53% des organisations
n’ont pas mis en place et outillé des politiques et processus de gouvernance
pour gérer l'utilisation de l'IA et prévenir le shadow AI. Pour celles qui en
ont implémenté (35%), ces politiques comprennent principalement des processus
d'approbation stricts pour les déploiements d'IA (45%) et l’utilisation d’une
technologie de gouvernance de l'IA (41%).
Enfin, les
organisations évaluent le risque d'attaques par évasion de modèles d'IA
principalement par le biais d’équipes internes d'évaluation des risques (54%).
2/ Les données
mondiales du rapport
Rapport IBM : 13% des
organisations ont signalé des violations de modèles ou d'applications d'IA,
dont 97% ont déclaré ne pas disposer de contrôles d'accès à l'IA appropriés
Les coûts d’une
violation aux États-Unis atteint 10,22 millions de dollars, malgré une baisse
du coût moyen mondial d'une violation à 4,44 millions de dollars. Seules 49%
des organisations victimes d’une violation prévoient d'investir dans la
sécurité.
IBM a publié son
rapport annuel sur le coût d'une violation de données, qui révèle que
l'adoption de l'IA dépasse largement la sécurité et la gouvernance de l'IA.
Bien que le nombre total d'organisations victimes d'une violation liée à l'IA
ne représente qu'une faible partie du panel étudié, c'est la première fois que
la sécurité, la gouvernance et les contrôles d'accès relatifs à l'IA sont
étudiés dans ce rapport, ce qui suggère que les modèles d’IA sont déjà des
cibles de choix.
• 13% des organisations ont signalé des violations de modèles ou d'applications d'IA, tandis que 8% des organisations ont déclaré ne pas savoir si elles avaient été compromises de cette manière.
• Parmi celles compromises, 97% déclarent ne
pas avoir mis en place de contrôles d'accès à l'IA.
• En conséquence, 60% des incidents de sécurité
liés à l'IA ont conduit à la compromission de données et 31% à des
perturbations opérationnelles.
Les résultats de cette
année montrent que les organisations contournent la sécurité et la gouvernance
de l'IA au profit d'une adoption immédiate de celle-ci. Les systèmes non
gouvernés sont plus susceptibles d'être compromis et sont plus coûteux lorsqu'ils
le sont.
« Les données montrent
qu'il existe déjà un fossé entre l'adoption et la surveillance de l'IA et les
attaquants commencent à l'exploiter, a déclaré Suja Viswesan, Vice President,
Security and Runtime Products, IBM. Le rapport a révélé un manque de
contrôles d’accès essentiels aux systèmes d'IA, ce qui expose les données
hautement sensibles et rend les modèles vulnérables aux manipulations. Alors
que l'IA s'intègre de plus en plus aux opérations commerciales, sa sécurité
doit être considérée comme fondamentale. Le coût de l'inaction n'est pas
seulement financier, il se traduit par une perte de confiance, de transparence
et de contrôle. »
Cependant, le rapport a
révélé que les organisations qui utilisent largement l'IA et l'automatisation
dans leurs opérations de sécurité ont économisé en moyenne 1,9 million de
dollars en coûts de violation et ont réduit le cycle de vie de la violation de
80 jours en moyenne.
Le rapport 2025,
réalisé par le Ponemon Institute, sponsorisé et analysé par IBM, est basé sur
les violations de données subies par 600 organisations dans le monde entre mars
2024 et février 2025. Les principales conclusions du rapport concernant la sécurité
de l'IA et les violations, le coût financier d'une violation et les
perturbations opérationnelles sont les suivantes :
Les violations et l'ère
de l'IA
• Politiques de gouvernance de l'IA. 63% des organisations victimes de violations n'ont pas de politique de gouvernance de l'IA ou sont encore en train d'en élaborer une. Parmi les organisations qui ont mis en place des politiques de gouvernance de l'IA, seules 34% effectuent des audits réguliers pour détecter l'IA non autorisée.
• Le coût du shadow AI. Une organisation sur cinq a signalé une violation due au shadow AI et seulement 37% d'entre elles disposent de politiques de gestion de l'IA ou de détection du shadow AI. Les organisations qui ont utilisé des niveaux élevés de shadow AI ont observé un coût moyen de violation supérieur de 670 000 dollars par rapport à celles qui ont un niveau faible ou pas de shadow AI. Les incidents de sécurité impliquant le shadow AI ont entraîné la compromission d'un plus grand nombre d'informations personnelles identifiables (65%) et de propriété intellectuelle (40%) par rapport à la moyenne mondiale (53% et 33% respectivement).
• Des attaques plus intelligentes grâce à l'IA. Dans 16% des
violations étudiées, les attaquants
ont utilisé des outils d'IA, le plus
souvent pour des attaques de phishing ou d'usurpation d'identité
par deepfake.
Le coût financier d'une
violation
• Coûts d’une violation de données. Le coût moyen mondial d'une violation de données est tombé à 4,44 millions de dollars, soit la première baisse en cinq ans, tandis que le coût moyen d'une violation aux États-Unis a atteint le chiffre record de 10,22 millions de dollars.
• Le cycle de vie des violations mondiales atteint un niveau historiquement bas. Le cycle de vie moyen d'une violation au niveau mondial (le temps moyen pour identifier et contenir une violation, incluant la restauration des services) est tombé à 241 jours, soit une réduction de 17 jours par rapport à l'année précédente, car davantage d'organisations étudiées ont détecté la violation en interne. Les organisations qui ont détecté la violation en interne ont également observé une économie de 900 000 dollars sur les coûts de la violation par rapport à celles divulguées par l’attaquant avant d’être détectées.
• Les violations de données dans le secteur de la santé restent les plus coûteuses. Avec une moyenne de 7,42 millions de dollars, les violations dans le secteur de la santé restent les plus coûteuses de tous les secteurs étudiés, même si ce secteur a enregistré une réduction de 2,35 millions de dollars de ses coûts par rapport à 2024. C'est dans ce secteur qu'il faut le plus de temps pour identifier et contenir les violations, soit 279 jours, ce qui représente plus de 5 semaines de plus que la moyenne mondiale de 241 jours.
• Lassitude face aux demandes de rançon. L'année dernière, les entreprises ont résisté aux demandes de rançon et ont été plus nombreuses à refuser de payer (63%) par rapport à l'année précédente (59%). Alors que de plus en plus d'entreprises refusent de payer les rançons, le coût moyen d’une extorsion ou d’un ransomware reste élevé, en particulier lorsque l’attaque a été divulguée par un attaquant (5,08 millions de dollars) avant de pouvoir être détectée.
• Les investissements en sécurité stagnent face
à la hausse des risques liés à l'IA. On observe une réduction significative du
nombre d'organisations ayant déclaré qu'elles prévoyaient d'investir dans la
sécurité à la suite d'une violation, soit 49% en 2025 contre 63% en 2024. Moins
de la moitié de celles qui prévoient d'investir dans la sécurité après une
violation se concentreront sur des solutions ou des services de sécurité basés
sur l'IA.
L’impact à long terme
d'une violation : perturbation opérationnelle
Selon le rapport IBM
2025, la quasi-totalité des organisations étudiées ont subi des perturbations
opérationnelles suite à une violation de données. Ce niveau de perturbation
impacte fortement les délais de reprise. Parmi les organisations qui ont fait état
d'une reprise, la plupart ont mis plus de 100 jours en moyenne pour y parvenir.
Cependant, les conséquences d'une violation continuent de s'étendre après qu’elle ait été contenue. Bien que moins nombreuses que l'année précédente, près de la moitié des organisations ont déclaré qu'elles prévoyaient d'augmenter le prix des biens ou des services en raison de la violation et près d'un tiers d'entre elles ont signalé des augmentations de prix de 15% ou plus.