L'IA est passée du statut de jouet expérimental à celui d'outil incontournable du monde du travail en moins de trois ans. Nous le savions tous. Personne n'avait anticipé la rapidité avec laquelle elle allait surpasser les catégories SaaS traditionnelles, non seulement en termes d'adoption, mais aussi en termes de risque.

Notre nouveau Rapport 2025 sur la sécurité des données de l'IA d'entreprise et du SaaS, basée sur la télémétrie de navigation réelle des entreprises clientes de LayerX, révèle un fait surprenant : l'IA n'est plus une technologie « émergente ». Elle constitue désormais le principal angle mort en matière d'exfiltration de données dans l'entreprise moderne.

Et contrairement au courrier électronique ou au partage de fichiers, où les équipes de sécurité ont mis en place une gouvernance depuis des années, la majorité de l’utilisation de l’IA se fait dans l’ombre ; en dehors du SSO, de la visibilité extérieure et du contrôle de l’entreprise.

Adoption de l'IA à une vitesse vertigineuse

Commençons par le titre : 45 % des employés d'entreprise utilisent déjà des outils d'IA générative. Cela représente près de la moitié des effectifs, en moins de trois ans depuis l'apparition de ces outils. À titre de comparaison, il a fallu plus de dix ans à des catégories SaaS comme le partage de fichiers ou la visioconférence pour atteindre une pénétration similaire.

Plus frappant encore : 92 % de l’utilisation de l’IA en entreprise est concentrée sur un seul outil : ChatGPT. Il s’agit donc non seulement de la catégorie à la croissance la plus rapide, mais aussi de la plus concentrée. Une plateforme unique, destinée aux consommateurs, est devenue la norme de facto en matière d’IA en entreprise.

En soi, l'adoption à cette échelle n'est pas une surprise. Le choc survient lorsqu'on observe how les employés l'utilisent.

Le chemin de données surprenant : copier/coller, pas télécharger

La plupart des RSSI s'inquiètent du téléchargement de fichiers. Et pour cause : 40 % des fichiers téléchargés sur les outils GenAI contiennent des données PII ou PCI sensibles. Cela représente presque la moitié de tous les téléchargements.

Mais le véritable choc est ailleurs. Nos données montrent que la majorité des données sensibles ne quittent pas l'entreprise par téléchargement. Elles transitent par copier / coller.

  • 77 % des employés collent des données dans les invites GenAI
  • 82% de ces pâtes proviennent de comptes personnels
  • En moyenne, les employés effectuent 14 collages par jour sur des comptes non professionnels, et au moins 3 de ces activités de collage contiennent des données sensibles.

Cela transforme le simple presse-papiers, canal sans fichier et non structuré souvent négligé, en principal vecteur d'exfiltration de données sensibles. Les outils GenAI représentent à eux seuls 32 % de tous les transferts de données d'entreprise vers les données personnelles.

Les outils DLP traditionnels, conçus pour une surveillance centrée sur les fichiers, n'enregistrent même pas cette activité. Cela signifie que les entreprises ne sont pas seulement en retard en matière de gouvernance de l'IA : elles sont aveugles.

Les comptes personnels mènent la danse

Les entreprises ont investi des millions dans la sécurité des identités, la fédération et l'authentification unique (SSO). Pourtant, selon nos données, ces contrôles ne concernent pratiquement pas l'IA.

  • 67 % de l'utilisation de l'IA se fait via des comptes personnels non gérés
  • 71 % des connexions CRM et 83 % des connexions ERP ne sont pas fédérées
  • Même les comptes « d’entreprise » sont souvent uniquement protégés par un mot de passe, ce qui les rend fonctionnellement impossibles à distinguer des identifiants personnels.

Le point à retenir ? Entreprise ≠ sécurité. Les systèmes hébergeant les données clients et financières les plus sensibles, comme les CRM, les ERP et maintenant l'IA, sont consultés comme s'il s'agissait d'applications grand public. Des contrôles d'identité existent, mais les employés les contournent.

Gouvernance : introuvable

Le résultat le plus contre-intuitif de nos recherches est le suivant : plus l’IA est intégrée dans les flux de travail des entreprises, moins il existe de gouvernance autour d’elle.

Les employés insèrent des données sensibles dans des messages d'invite. Ils téléchargent des fichiers sur des comptes grand public. Ils se connectent avec des identités non gérées. Et tout cela se déroule en dehors de toute surveillance autorisée.

Comparez cela avec le courrier électronique, où des décennies de DLP, d'archivage et de fédération ont permis d'établir au moins une certaine forme de protection. L'IA, en comparaison, est un peu le Far West.

Et pourtant, l'IA n'est plus « émergente ». Elle représente déjà 11 % de l'activité totale des entreprises, des catégories concurrentes qui définissent la productivité des entreprises depuis des décennies. Les entreprises s'en sortent à l'aveuglette dans leur catégorie à la croissance la plus rapide.

Ce que les RSSI devraient faire ensuite

Sur la base de ces données, voici les trois priorités les plus urgentes :

  1. Considérez l’IA comme une catégorie d’entreprise de premier ordre.

    GenAI n'est plus une expérimentation. ChatGPT atteint à lui seul un taux de pénétration de 43 % en entreprise, égalant ainsi l'adoption de Zoom en une fraction de seconde. Avec 45 % des employés utilisant activement des outils d'IA et 11 % de l'activité de navigation en entreprise, GenAI doit désormais être géré avec la même rigueur que les systèmes de messagerie et de partage de fichiers. La phase expérimentale est terminée. Il mérite la même gouvernance et les mêmes contrôles que les systèmes de messagerie ou de stockage de fichiers, avec une surveillance des téléchargements et des actions sans fichier comme le copier/coller.
  2. Considérez les connexions d'entreprise non fédérées comme du Shadow IT actif

    L'étude révèle que même lorsque les employés utilisent les identifiants d'entreprise pour des applications critiques comme l'ERP (83 % sans SSO) et le CRM (71 % sans SSO), l'absence de fédération SSO rend ces connexions fonctionnellement identiques aux comptes personnels non gérés. Ainsi, au lieu de simplement donner la priorité au SSO pour les nouvelles applications SaaS, reclasser immédiatement tous les comptes non fédérés dans les systèmes critiques comme des systèmes informatiques fantômes non gérésVotre action immédiate devrait consister à réaliser un audit spécifiquement axé sur vos systèmes ERP et CRM afin d'identifier tous les points d'accès non fédérés. Traitez la correction de ces failles avec la même urgence que la correction d'un serveur publiquement exposé, car elles représentent une voie invisible et incontrôlée d'accès et d'exfiltration de données.
  3. Mettre en œuvre des politiques tenant compte des données au lieu de bloquer l'accès aux comptes personnels

    Une part importante des téléchargements et collages vers les outils GenAI (67 % de comptes personnels) et de messagerie instantanée (87 % de comptes personnels) s'effectue via des comptes non professionnels. Bloquer l'accès à ces services est souvent peu pratique et conduit à une informatique fantôme. Il est donc préférable de passer d'une stratégie binaire « bloquer/autoriser » à une approche plus globale. politique contextuelle et centrée sur les données. Autorisez les employés à accéder aux instances personnelles de ChatGPT, Google Drive ou WhatsApp Web, mais déployez des contrôles au niveau du navigateur qui empêcher que des données d'entreprise sensibles (identifiées par des classificateurs) y soient collées ou téléchargéesCette approche reconnaît la réalité des flux de travail modernes tout en créant une limite de sécurité cruciale autour des données elles-mêmes, et non de l’application.
  4. Déplacer les budgets DLP de l'analyse réseau/fichier vers le contrôle du collage au niveau du navigateur :Les résultats montrent que Le copier/coller a dépassé le téléchargement de fichiers comme principal canal d'exfiltration de données77 % des employés copient des données dans des outils GenAI et 62 % dans des applications de messagerie instantanée contenant des informations personnelles identifiables (IPI/PCI). Les solutions DLP traditionnelles basées sur le réseau ignorent ce transfert de données sans fichier. Par conséquent, les organisations doivent réorienter leur stratégie de protection des données et leur budget vers une surveillance centrée sur les fichiers. Donner la priorité au déploiement de solutions de sécurité natives du navigateur ou des navigateurs d'entreprise sécurisés qui peuvent inspecter, classer et bloquer les données sensibles dans les événements copier/coller avant Elles sont soumises à un formulaire web, une invite d'IA ou une fenêtre de chat. L'essentiel est de contrôler les données au point d'action (le navigateur), et pas seulement celles en transit.

Pourquoi les données LayerX sont différentes

Alors que d'autres rapports sur l'adoption de l'IA s'appuient sur des enquêtes ou des données autodéclarées, le nôtre s'appuie sur télémétrie directe du navigateur des utilisateurs de l'entreprise eux-mêmes. Cela signifie qu'il n'y a pas de conjectures, juste une visibilité sur l'activité du monde réel à travers les applications autorisées, non autorisées et fantômes.

Ce point de vue unique révèle ce que les enquêtes ne peuvent pas révéler : que le copier/coller, et non les téléchargements, est le principal canal d'exfiltration ; que les comptes personnels dominent même les flux de travail critiques pour l'entreprise ; et que l'IA n'est pas seulement un risque à l'horizon, c'est le risque qui se produit en ce moment.

En résumé

Les RSSI ont passé des années à mettre en place une gouvernance autour de la messagerie électronique, du stockage de fichiers et des SaaS approuvés. Parallèlement, l'IA est devenue le secteur d'activité connaissant la croissance la plus rapide, près de la moitié des employés l'utilisant quotidiennement. Et presque rien n'est sécurisé.

C’est le paradoxe que révèlent nos données : plus l’IA devient indispensable, moins elle est surveillée.

Le presse-papiers est désormais la nouvelle frontière des fuites de données d'entreprise. ChatGPT est devenu la norme d'IA de facto en entreprise. Et les comptes non gérés réécrivent discrètement les règles de l'identité.

Le défi pour les responsables de la sécurité n'est pas de savoir s'il faut gouverner l'IA, mais plutôt de savoir avec quelle rapidité ils peuvent la maîtriser, avant que le filet invisible de fuite de données ne se transforme en véritable inondation.

Télécharger le rapport complet pour découvrir l’ampleur réelle des risques liés aux données de l’IA et du SaaS.