Découvrez pourquoi Netskope a été classé parmi les leaders de l'édition 2024 du Gartner® Magic Quadrant™️ pour le Secure Access Service Edge à fournisseur unique.

Recevoir le rapport

Découvrez comment des clients innovants naviguent avec succès dans le paysage évolutif de la mise en réseau et de la sécurité d’aujourd’hui grâce à la plateforme Netskope One.

Obtenir l'EBook

Coup de projecteur sur les idées novatrices de nos clients

En savoir plus sur les partenaires de Netskope

Groupe de jeunes professionnels diversifiés souriant

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), et Private Access for ZTNA intégrés nativement dans une solution unique pour aider chaque entreprise dans son cheminement vers l'architecture Secure Access Service Edge (SASE).

Présentation des produits

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook

Découvrez NewEdge

Autoroute éclairée traversant des lacets à flanc de montagne

Découvrez comment nous sécurisons l'utilisation de l'IA générative

Autorisez ChatGPT et l’IA générative en toute sécurité

En savoir plus sur la confiance zéro

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud

Ressources
Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.
Blog
Découvrez comment Netskope permet la transformation de la sécurité et de la mise en réseau grâce à l'accès sécurisé à la périphérie des services (SASE).
Événements et ateliers
Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.
Définition de la sécurité
Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

L'industrie de la défense aux prises avec les réglementations mondiales
Dans cet épisode du podcast Security Visionaries, l'animateur Bailey Harmon s'entretient avec Dan Whittingham, architecte de la sécurité d'entreprise pour le cyber-outil chez Rolls-Royce.

Écouter le podcast Parcourir tous les podcasts

Découvrez comment Netskope peut faciliter le parcours Zero Trust et SASE grâce à des capacités d'accès sécurisé à la périphérie des services (SASE).

Lire le blog

Apprenez à naviguer dans les dernières avancées en matière de SASE et de confiance zéro et découvrez comment ces cadres s'adaptent pour répondre aux défis de la cybersécurité et de l'infrastructure.

Explorer les sessions

Découvrez la future convergence des outils réseau et sécurité dans le modèle économique actuel, dominé par le cloud.

En savoir plus sur SASE

Entreprise
Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.
Carrières
Rejoignez les 3 000 membres de l'équipe de Netskope qui construisent la première plateforme de sécurité cloud-native du secteur.
Solutions pour les clients
Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.
Formation et accréditations
Avec Netskope, devenez un expert de la sécurité du cloud.

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

Soutenir le développement durable grâce à la sécurité des données

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Rejoignez l’équipe

Aller à Solutions clients

En savoir plus sur les formations et les certifications

Groupe de jeunes professionnels travaillant

Rapport sur le cloud et les menaces :
IA générative 2025

Ce rapport détaille l'essor de l'adoption de l'IA générative (GenAI), notant une augmentation significative de l'utilisation et du volume de données au cours de l'année écoulée. Si la GenAI offre de nombreux avantages, elle introduit également des risques pour la sécurité des données, principalement par le biais de l'informatique parallèle et de la fuite d'informations sensibles. Toutefois, les organisations peuvent atténuer ces risques en mettant en œuvre des contrôles solides, tels que le blocage, la prévention des pertes de données (DLP) et l'accompagnement des utilisateurs en temps réel.

Rapport sur l'informatique dématérialisée et les menaces
IA générative 2025

Introduction Risques liés aux données de l'IA générative L'IA générative partout L'IA générative en plein essor

Volume de données Nombre d'utilisateurs Nombre d'applications

L'informatique de l'ombre/l'IA de l'ombre DeepSeek : Une étude de cas sur l'adoption précoce de l'IA générative Adoption locale de l'IA générative Réduction des risques par l'IA générative

Blocage Coaching utilisateurs en temps réel Prévention des pertes de données

Le point de vue du RSSI Netskope Threat Labs À propos de ce rapport

19 minutes de lecture

Introduction

Le rapport 2025 Generative AI Cloud and Threat Report met en lumière l'adoption croissante de la genAI, le risque croissant qu'elle représente et les stratégies adoptées par les organisations pour réduire ce risque. Lorsque nous avons publié pour la première fois un Generative AI Cloud and Threat Report en 2023, la genAI était encore une technologie naissante pratiquement synonyme de ChatGPT. Bard (aujourd'hui Gemini), récemment lancé par Google, a rapidement augmenté le nombre d'utilisateurs, mais était loin de remettre en cause la position dominante de ChatGPT. Seul 1 utilisateur d'entreprise sur 100 utilisait des applications de genAI. Avance rapide jusqu'en 2025 : près d'un utilisateur d'entreprise sur 20 utilise des applications de genAI, et un nombre encore plus important utilise indirectement la genAI ou fournit des données pour l'entraînement des modèles d'IA. Netskope suit actuellement l'utilisation de 317 applications genAI distinctes dans notre base de plus de 3 500 clients.

Ce rapport vise à fournir un compte-rendu fondé sur des données des principales tendances de la genAI, en mettant l'accent sur l'adoption, le risque et la réduction du risque. Il commence par examiner l'omniprésence de la genAI, met en évidence les risques liés aux données qui entourent son adoption et analyse les différents types de contrôles utilisés par les organisations pour réduire les risques. Étant donné le moment où ce rapport a été rédigé - quelques mois à peine après que la publication de DeepSeek-V3 ait fait des vagues en raison de son coût et de son efficacité -, il comprend également une étude de cas concernant DeepSeek. L'étude de cas illustre ce qui se passe lorsqu'un nouvel outil de genAI intrigant est publié et met en évidence les meilleures pratiques pour réduire les risques associés.

Le reste de ce rapport approfondit les points suivants :

La GenAI représente un risque croissant pour la sécurité des données : La quantité de données envoyées aux applications GenAI dans les invites et les téléchargements a été multipliée par plus de 30 au cours de l'année écoulée, augmentant ainsi les volumes d'exposition aux données sensibles, en particulier le code source, les données réglementées, la propriété intellectuelle et les secrets.
La GenAI est omniprésente : Si la plupart des organisations (90%) utilisent des applications de genAI, elles sont encore plus nombreuses (98%) à utiliser des applications qui intègrent des fonctions de genAI. Bien que les applications genAI soient utilisées par une population relativement restreinte (4,9% des utilisateurs), la majorité utilise des applications intégrant des fonctions genAI (75% des utilisateurs).
L'IA générique est de l'informatique parallèle : La majeure partie de l'utilisation de l'IA générique dans les entreprises (72%) relève de l'informatique parallèle, les individus utilisant des comptes personnels pour accéder aux applications de l'IA générique.
Il est possible de réduire les risques liés à la GenAI : Le blocage, la prévention des pertes de données (DLP) et l'accompagnement des utilisateurs en temps réel sont parmi les contrôles les plus populaires pour réduire les risques liés à la GenAI.

test answer

Risques liés aux données de l'IA générative

La sécurité des données est le principal risque auquel les organisations sont confrontées lorsque leurs utilisateurs adoptent des applications de genAI. Ce risque découle de deux des cas d'utilisation les plus populaires de la genAI dans l'entreprise :

Résumés : Les applications de GenAI excellent dans la synthèse de documents volumineux, de grands ensembles de données et de codes sources, d'où le risque que des personnes envoient des données sensibles aux applications de GenAI pour qu'elles les synthétisent.
Génération : Les apps de genAI excellent dans la génération de texte, d'images, de vidéos et de code source, d'où le risque que des personnes travaillant sur des projets sensibles transmettent des données sensibles à des apps de genAI pour générer ou améliorer du contenu.

La source principale des risques liés aux données qui entourent leur utilisation est que les cas d'utilisation de la synthèse et de la génération exigent que l'utilisateur envoie des données aux apps de genAI pour leur apporter de la valeur. Ces risques sont aggravés par d'autres facteurs, tels que le nombre d'applications sur le marché et la prolifération des applications de genAI en tant qu'informatique parallèle au sein de l'entreprise, que nous aborderons plus en détail dans la suite de ce rapport. Les organisations qui utilisent Netskope pour protéger leurs données sensibles sont généralement concernées par quatre types différents de données sensibles qui circulent dans les applications genAI :

Propriété intellectuelle : La propriété intellectuelle fait l'objet de fuites dans les applications de genAI lorsque les utilisateurs cherchent à analyser des listes de clients, des contrats et d'autres documents contenant des secrets commerciaux ou des données confidentielles qu'une organisation souhaite protéger.
Mots de passe et clés : Les mots de passe et les clés sont souvent divulgués aux applications de genAI lorsqu'ils sont intégrés dans des extraits de code.
Les données réglementées : Les données réglementées comprennent des données personnelles, médicales et financières très sensibles et sont le plus souvent divulguées aux applications de genAI dans les secteurs qui travaillent avec de telles données, en particulier les soins de santé et les services financiers.
Code source : Les applications de genAI sont souvent utilisées pour résumer, générer ou modifier le code source, ce qui peut conduire les utilisateurs à divulguer par inadvertance du code source sensible à des applications non approuvées.

La figure suivante montre la fréquence à laquelle ces cinq types de données sont envoyés aux apps de genAI en violation des politiques de l'organisation, le code source représentant près de la moitié de toutes les violations, suivi des données réglementées, de la propriété intellectuelle, et des mots de passe et clés. Le reste de ce rapport s'adresse aux responsables de la sécurité dans les organisations concernées par ces données sensibles. Comment une organisation peut-elle protéger ses données les plus sensibles contre une exposition indésirable tout en permettant à ses utilisateurs de tirer parti des apps de genAI ?

Cloud and Threat Report - Generative AI 2025 - Type de violations des politiques de données pour les apps de genAI.

L'IA générative partout

L'IA générative est partout. En 2022, la principale question des organisations était de savoir si les avantages de l'autorisation du ChatGPT l'emportaient sur les risques. Aujourd'hui, Netskope suit 317 apps genAI, chacune suscitant une série de questions légèrement plus nuancées : Quelles apps devrions-nous autoriser, et quels contrôles devrions-nous mettre en place pour atténuer les risques de sécurité des données pour ces apps ? La figure suivante présente le pourcentage d'organisations utilisant chacune des dix principales applications de genAI, soulignant que la plupart des organisations ont décidé d'autoriser plusieurs applications de genAI.

Cloud and Threat Report - Generative AI 2025 - Les applications de genAI les plus populaires en fonction du pourcentage d'organisations utilisant ces applications.

La figure suivante présente la popularité des dix mêmes applications au cours de l'année écoulée, illustrant l'évolution rapide du paysage de l'IA et le nombre d'organisations qui prennent activement de telles décisions. Même des applications généralement considérées comme omniprésentes, telles que ChatGPT, sont introduites pour la première fois dans certaines organisations. Les nouveaux venus comme Microsoft 365 Copilot sont actuellement dans une phase d'adoption rapide, similaire à celle de Microsoft Copilot au début de 2024. D'autres, comme Google Gemini, Anthropic Claude, GitHub Copilot et Gamma, sont progressivement introduits dans de nouvelles organisations. Google Gemini comble peu à peu l'écart avec ChatGPT.

Cloud and Threat Report - Generative AI 2025 - Les applications les plus populaires par pourcentage d'organisations

Outre les décisions que les organisations doivent prendre concernant des centaines d'applications genAI, elles doivent également prendre en compte les centaines d'applications supplémentaires qui offrent désormais des fonctions alimentées par la genAI. Voici quelques exemples de ces applications :

Gladly : Une plateforme d'expérience client qui utilise l'IA pour rationaliser la communication avec les clients.
Insider : Une plateforme de gestion de la croissance qui utilise l'IA pour analyser les données des clients et optimiser les messages granulaires.
Lattice : Logiciel RH qui utilise l'IA pour résumer les données des employés, offrir une aide à la rédaction et créer des vidéos d'accueil personnalisées pour les nouveaux embauchés.
LinkedIn : Un réseau social qui utilise la genAI pour aider ses utilisateurs dans la création de contenu (posts, profils, descriptions de postes, etc.) et qui exploite les données des utilisateurs pour former de nouveaux modèles.
Moveworks : Plate-forme d'assistance informatique qui utilise l'IA pour l'automatisation des tâches, la recherche d'informations, l'assistance multilingue et l'optimisation pilotée par l'IA de workflow dans l'ensemble des systèmes d'entreprise.

La figure suivante montre que la plupart des organisations utilisent aujourd'hui la genAI d'une manière ou d'une autre.

90% des organisations ont des utilisateurs qui accèdent directement à des applications de genAI telles que ChatGPT, Google Gemini et GitHub Copilot.
98% des organisations ont des utilisateurs qui accèdent à des applications offrant des fonctions alimentées par la genAI, comme Gladly, Insider, Lattice, LinkedIn et Moveworks.

Cloud and Threat Report - Generative AI 2025 - Pourcentage d'organisations

Au niveau de l'utilisateur, ces différences sont encore plus prononcées. Bien que la plupart des organisations utilisent directement des applications de genAI, la population d'utilisateurs au sein de ces organisations est encore relativement faible (4,9% des utilisateurs). En revanche, les applications qui intègrent des fonctions alimentées par la genAI sont beaucoup plus courantes (75% des utilisateurs).

Cloud and Threat Report - Generative AI 2025 - Pourcentage moyen d'utilisateurs

L'objectif des deux figures précédentes est de souligner que l'utilisation de l'IA générique dans les entreprises est encore plus répandue qu'il n'y paraît à première vue. Les applications qui intègrent indirectement des fonctions de l'IA générique comportent les mêmes risques que les applications de l'IA générique. Pour aider à fournir une visibilité complète sur les risques liés à l'IA générative, Netskope fournit le Cloud Confidence Index, qui suit ces attributs et bien d'autres pour plus de 82 000 applications cloud.

L'IA générative en plein essor

L'adoption de l'IA générative augmente dans les entreprises selon de nombreuses mesures différentes. Cependant, aucun n'est aussi important du point de vue de la sécurité des données que la quantité de données envoyées aux applications de genAI : chaque publication ou téléchargement est une occasion d'exposer des données. Cette section souligne que la quantité de données envoyées aux applications de genAI a été multipliée par plus de 30 au cours de l'année écoulée. Cela représente 30 fois plus de messages et de téléchargements et 30 fois plus de possibilités d'exposition à des données sensibles qu'il y a un an. En outre, nous prévoyons que le volume de données qui alimente les applications de genAI continuera d'augmenter à un rythme similaire tout au long de 2025.

La croissance de la quantité de données envoyées aux applications de genAI dépasse de loin l'augmentation du nombre d'utilisateurs de genAI et du nombre d'applications de genAI. Alors que la base d'utilisateurs des applications de l'IA générique restera relativement petite dans un avenir prévisible, les risques liés aux données augmenteront considérablement à mesure que le nombre d'utilisations de l'IA générique augmentera au sein de cette population. Le reste de cette section donne un aperçu plus détaillé de l'augmentation du volume de données, du nombre d'utilisateurs et du nombre d'applications que nous avons observée au cours de l'année écoulée.

Volume de données

Bien que la population des utilisateurs de genAI soit relativement petite par rapport à la population totale des entreprises, la quantité de données que ces utilisateurs envoient aux applications de genAI augmente rapidement. Au cours de l'année écoulée, la quantité moyenne de données envoyées chaque mois aux applications de genAI (principalement sous forme d'invites et de téléchargements) a été multipliée par plus de 30, passant d'à peine 250 Mo par mois à 7,7 Go. Les 25 premières% organisations ont connu une augmentation similaire, passant de plus de 790 Mo par mois à plus de 20 Go par mois. L'augmentation rapide du volume de données envoyées aux applications de genAI accroît considérablement le risque pour la sécurité des données. Plus de données signifie plus de risques que des informations sensibles soient exposées ou mal gérées par ces applications. Nous nous attendons à ce que plus de 15 Go soient envoyés aux applications de genAI en moyenne chaque mois d'ici à la fin de l'année 2025.

Cloud and Threat Report - Generative AI 2025 - données envoyées aux apps de genAI par org volume médian de données avec une zone ombrée montrant les 1er et 3ème quartiles.

Nombre d'utilisateurs

Alors que la plupart des organisations utilisent la genAI, un petit pourcentage d'utilisateurs, qui ne cesse de croître, utilise activement les apps genAI. Le nombre de personnes utilisant des apps genAI dans les entreprises a presque doublé au cours de l'année écoulée, avec une moyenne de 4,9% de personnes dans chaque organisation utilisant des apps genAI, comme le montre la figure ci-dessous. Dans le contexte de la genAI, l'utilisation active consiste à envoyer des messages aux chatbots ou à interagir de manière significative avec l'application. Les 25 premières organisations% ont au moins 17% de leur population d'utilisateurs qui utilisent activement des apps genAI, tandis que les 10 premières% ont plus d'un tiers (35%) de leurs utilisateurs qui utilisent activement des apps genAI. Nous nous attendons à ce que cette tendance se poursuive tout au long de l'année 2025.

Cloud and Threat Report - Generative AI 2025 - Pourcentage médian d'utilisateurs de GenAI par mois, la zone ombrée indiquant les 1er et 3e quartiles.

Nombre d'applications

Le nombre d'apps genAI utilisées par chaque organisation continue d'augmenter progressivement, et il y a maintenant près de six apps genAI différentes utilisées en moyenne. Les 25 premières% des organisations utilisent au moins 13 applications, et les 1 premières% (non illustrées) en utilisent au moins 40. Étant donné que Netskope suit 317 applications d'IA distinctes au total et que les investissements agressifs dans les startups d'IA se poursuivent, nous nous attendons à ce que le nombre d'applications utilisées par chaque organisation continue d'augmenter tout au long de l'année 2025. L'augmentation du nombre d'applications souligne l'importance de mettre en place des contrôles pour limiter les risques liés aux nouvelles applications. Plus loin dans ce rapport, nous présentons une étude de cas détaillée de DeepSeek-R1 pour montrer comment diverses organisations ont réagi lors de l'adoption rapide du nouveau chatbot.

Cloud and Threat Report - Generative AI 2025 - Médiane des applications GenAI par organisation, la zone ombrée indiquant les 1er et 3e quartiles.

L'informatique de l'ombre/l'IA de l'ombre

L'adoption de l'application GenAI dans l'entreprise a suivi le schéma typique des nouveaux services en nuage : les utilisateurs individuels utilisent des comptes personnels pour accéder à l'application. Il en résulte que la majorité des applications genAI utilisées dans les entreprises peuvent être classées dans la catégorie "shadow IT", un terme utilisé pour décrire les solutions utilisées à l'insu ou sans l'approbation du département des technologies de l'information. Un terme plus récent, l'IA fantôme, a été inventé spécifiquement pour le cas particulier des solutions d'IA. Le terme "shadow" dans shadow IT et shadow AI est censé évoquer l'idée que les applications sont cachées, non officielles et fonctionnent en dehors des processus standard. Même aujourd'hui, plus de deux ans après le lancement de ChatGPT, la majorité (72%) des utilisateurs de genAI utilisent encore des comptes personnels pour accéder à ChatGPT, Google Gemini, Grammarly et à d'autres applications populaires de genAI au travail.

La figure suivante montre combien de personnes ont utilisé des comptes genAI personnels au travail au cours de l'année écoulée. Ce nombre a progressivement diminué, passant de 82% il y a un an à 72% aujourd'hui. Bien que cette tendance soit encourageante, il reste encore un long chemin à parcourir avant que la plupart des utilisateurs ne passent à des comptes gérés par leur organisation. Au rythme actuel, la plupart des utilisateurs continueront à utiliser des comptes personnels jusqu'en 2026. Une petite partie des utilisateurs (5,4%) utilise une combinaison de comptes personnels et de comptes gérés par l'organisation, ce qui indique que même dans les organisations où il existe des applications gérées par l'entreprise, de nombreux utilisateurs utilisent encore des comptes personnels.

Cloud and Threat Report - Generative AI 2025 - Utilisation de la GenAI - répartition des comptes personnels et des comptes d'organisations

Étant donné que la plupart des utilisateurs de genAI utilisent des comptes personnels, la répartition des violations de la politique des données pour les comptes personnels n'est pas substantiellement différente de la répartition générale. La figure suivante montre la répartition, les violations du code source étant les plus fréquentes, suivies par les données réglementées, la propriété intellectuelle, les mots de passe et les clés.

Cloud and Threat Report - Generative AI 2025 - Type de violations des politiques de données pour les apps genAI personnelles.

DeepSeek : Une étude de cas sur l'adoption précoce de l'IA générative

Le 20 janvier 2025, la société chinoise DeepSeek a lancé son premier chatbot basé sur son modèle DeepSeek-R1. DeepSeek affirme avoir formé le modèle à un coût nettement inférieur à celui d'OpenAI-o1 et avec une puissance de calcul nettement inférieure à celle de Llama-3.1. Ces allégations soulevaient des questions sur l'existence d'une barrière à l'entrée plus faible dans le domaine de la genAI, sur le fait de savoir si DeepSeek-R1 accélérerait l'innovation dans le domaine de la genAI et si DeepSeek-R1 perturberait le paysage concurrentiel. Ces questions ont donné lieu à une couverture médiatique importante et ont suscité l'intérêt des amateurs de genAI dans le monde entier.

La figure suivante montre le pourcentage d'organisations où des personnes ont utilisé ou tenté d'utiliser DeepSeek dans les semaines qui ont suivi la publication de DeepSeek-R1. À son apogée, 91% des organisations du monde entier avaient des utilisateurs qui tentaient d'accéder à DeepSeek, 75% bloquant tout accès, 8% utilisant des politiques de contrôle d'accès granulaires et 8% autorisant tout accès. Ces 75% d'organisations bloquant l'accès avaient des politiques de préemption pour bloquer les applications genAI que l'organisation de sécurité n'avait pas approuvées. Les politiques de blocage préemptif ont permis d'atténuer les risques pour la sécurité des données des nouveaux utilisateurs qui s'essayent à DeepSeek. Dans les semaines qui ont suivi, l'intérêt est retombé et le pourcentage d'organisations utilisant DeepSeek a diminué d'une semaine à l'autre.

Cloud and Threat Report - Generative AI 2025 - Pourcentage d'organisations ayant des utilisateurs DeepSeek par semaine

La figure suivante montre une vue encore plus granulaire, en examinant le nombre quotidien d'utilisateurs sur la plateforme et en décomposant qui a été bloqué et autorisé. Au plus fort de la crise, 0,16% des utilisateurs d'une organisation moyenne ont tenté d'utiliser DeepSeek et ont été bloqués, tandis que 0,002% des utilisateurs ont été autorisés. Après le pic initial, le nombre d'utilisateurs essayant d'utiliser DeepSeek a diminué à mesure que l'intérêt diminuait et que les utilisateurs modifiaient leur comportement en réponse aux blocages.

Le graphique montre également que si 91% des organisations ont des utilisateurs qui tentent d'utiliser DeepSeek, le nombre total d'utilisateurs est assez faible. L'adoption précoce limitée est typique des nouvelles technologies. Le faible nombre d'utilisateurs précoces signifie que les risques liés à la mise en place de politiques de blocage préventif auront peu d'impact négatif sur l'entreprise.

Cloud and Threat Report - Generative AI 2025 - Pourcentage médian de personnes utilisant DeepSeek

Cette étude de cas de DeepSeek présente des leçons essentielles pour les organisations qui cherchent à réduire les risques de sécurité des données liés aux nouvelles applications d'IA :

Les utilisateurs précoces des nouvelles applications de genAI sont présents dans presque toutes les organisations (91%). Les utilisateurs précoces présentent un risque de sécurité considérable lorsqu'ils envoient des données sensibles à ces applications.
La plupart des organisations ont adopté une politique consistant à "bloquer d'abord et à poser des questions ensuite" pour les nouvelles applications de genAI. Au lieu de jouer au chat et à la souris en bloquant les nouvelles applications que leurs utilisateurs pourraient essayer, ils autorisent explicitement certaines applications et en bloquent d'autres. Ce type de politique est excellent pour la réduction des risques, car il permet à l'organisation de savoir qui essaie l'application et lui donne le temps de procéder à un examen approprié. Étant donné que la population d'utilisateurs précoces est minuscule, les effets négatifs potentiels sur l'entreprise sont limités.

Adoption locale de l'IA générative

Une façon de gérer les risques liés aux données créés par les applications genAI basées sur le cloud est d'exécuter l'infrastructure genAI localement. L'exécution locale devient plus accessible, grâce à des organisations telles que DeepSeek et Meta qui ont mis leurs modèles à disposition pour le téléchargement, grâce à des outils tels qu'Ollama et LM Studio qui permettent d'exécuter des modèles localement, et grâce à des communautés telles que Hugging Face qui facilitent le partage des modèles et des données. Certaines organisations forment même leurs propres modèles, utilisent la génération augmentée par la recherche (RAG) pour combiner la genAI et la recherche d'informations, ou construisent leurs propres outils autour des modèles existants.

Au cours de l'année écoulée, le nombre d'organisations exploitant localement l'infrastructure de genAI a augmenté de façon spectaculaire, passant de moins de 1% à 54%. L'essentiel de la croissance a eu lieu au cours du premier semestre 2024 et s'est stabilisée depuis. Nous nous attendons à ce que cette tendance se poursuive et à ce qu'il n'y ait que des gains modestes au cours de l'année à venir. Comme prévu, la population d'utilisateurs utilisant l'infrastructure locale de genAI est assez réduite, avec moins de 0,1% d'utilisateurs en moyenne. Parmi cette population d'utilisateurs, Ollama est l'outil le plus populaire pour permettre l'exécution de modèles localement, et Hugging Face est l'endroit le plus populaire pour télécharger des modèles, des outils et d'autres ressources.

Cloud and Threat Report - Generative AI 2025 - Organisations utilisant localement la genAI

Le passage de l'utilisation d'applications de genAI à des modèles locaux de genAI modifie le paysage des risques, en introduisant plusieurs risques supplémentaires. Le Top 10 de l'OWASP pour les grandes applications de modélisation linguistique fournit un cadre de réflexion sur ces risques :

Chaîne d'approvisionnement : Pouvez-vous faire confiance à tous les outils et modèles que vous utilisez ?
les fuites de données : Votre système expose-t-il des informations sensibles provenant de formations, de sources de données connectées ou d'autres utilisateurs ?
Manipulation incorrecte des sorties : Les systèmes qui traitent les sorties de la genAI le font-ils en toute sécurité ?

Mitre Atlas est un autre cadre permettant de prendre en compte les risques liés à l'IA. Il fournit une vue granulaire des attaques contre les systèmes d'intelligence artificielle. Ceux qui gèrent des systèmes genAI autogérés doivent également tenir compte de ces attaques, qui incluent

Injection d'invites : Les adversaires peuvent-ils créer des invites pour amener le modèle à fournir des résultats non désirés ?
Jailbreaks : Les adversaires peuvent-ils contourner les contrôles, les restrictions et les garde-fous ?
Extraction de méta-informations : Les adversaires peuvent-ils révéler des détails sur le fonctionnement interne du système ?

En d'autres termes, le passage d'applications genAI basées sur le cloud à des modèles genAI hébergés localement réduit le risque d'exposition de données non désirées à un tiers, mais introduit de multiples risques supplémentaires. La formation de vos propres modèles ou l'utilisation de RAG augmentent encore ces risques. Toutefois, ce que nous observons jusqu'à présent n'est pas une tendance à l'abandon de l'utilisation des services en nuage. Comme nous l'avons souligné plus haut dans ce rapport, le nombre de personnes utilisant les applications cloud de la genAI, le nombre d'applications utilisées et la quantité de données envoyées à ces applications sont tous en augmentation. Au lieu de cela, nous assistons à l'ajout d'une infrastructure genAI hébergée localement en plus des applications genAI basées sur le cloud déjà utilisées. L'hébergement local des modèles genAI représente un risque additif.

Réduction des risques par l'IA générative

Plus de 99% des organisations appliquent des politiques visant à réduire les risques associés aux applications de genAI. Ces politiques comprennent le blocage de toutes ou de la plupart des applications genAI pour tous les utilisateurs, le contrôle des populations d'utilisateurs spécifiques qui peuvent utiliser les applications genAI, et le contrôle des données autorisées dans les applications genAI. Les sections suivantes présentent les politiques les plus populaires.

Blocage

Le blocage est la stratégie la plus simple pour réduire les risques et, par conséquent, la plus populaire. Le problème du blocage est double. Tout d'abord, le blocage peut avoir un impact sur l'entreprise en limitant la productivité des utilisateurs. Deuxièmement, le blocage peut inciter les utilisateurs à faire preuve de créativité, par exemple en utilisant leur périphérique personnel ou leur réseau mobile personnel pour contourner les blocages. Alors que 83% des organisations utilisent des politiques de blocage pour certaines applications, la portée de ces politiques est ciblée. La figure suivante montre que le nombre d'applications activement bloquées (ce qui signifie qu'il existe une politique de blocage de l'application, mais que les utilisateurs tentent quand même de l'utiliser) dans l'ensemble de l'organisation (ce qui signifie que personne dans l'organisation n'est autorisé à l'utiliser) augmente progressivement, avec quatre applications bloquées en moyenne aujourd'hui. Les 25 premières% des organisations bloquent au moins 20 applications, tandis que les 1 premières% (non illustrées) bloquent plus de 100 applications.

Cloud and Threat Report - Generative AI 2025 - Nombre d'applications bloquées par organisation (médiane), les zones ombrées représentant les 1er et 3e quartiles.

La répartition des 10 applications les plus couramment bloquées dans la figure ci-dessous donne un aperçu des stratégies de blocage à l'échelle de l'entreprise. Les applications les plus populaires (ChatGPT, Gemini, Copilot) ne figurent pas dans cette liste, et celles qui y figurent ont de nombreuses alternatives sur le marché. Lorsqu'il existe de nombreuses alternatives, les entreprises utilisent des politiques de blocage pour orienter leurs utilisateurs vers des applications approuvées spécifiques et les éloigner des applications non approuvées. Dans certains cas, comme celui de Stable Diffusion (un générateur d'images), l'application peut ne pas avoir d'objectif commercial légitime.

Cloud and Threat Report - Generative AI 2025 - Apps d'IA les plus bloquées par pourcentage d'organisations ayant décrété une interdiction générale de l'app.

Coaching utilisateurs en temps réel

La section précédente a mentionné cette notion de détournement des utilisateurs de certaines applications au profit d'autres à l'aide de politiques de blocage. L'accompagnement des utilisateurs en temps réel offre une alternative plus nuancée à la politique de blocage, qui peut rappeler aux utilisateurs qu'une application spécifique n'est pas approuvée pour le traitement de données sensibles, tout en permettant à l'utilisateur final de décider de l'utiliser ou non. L'accompagnement des utilisateurs en temps réel est efficace car il permet à l'utilisateur de prendre la bonne décision sur le moment. Il contribue également à façonner le comportement de l'utilisateur en lui fournissant un retour d'information et des conseils immédiats.

Le coaching, une politique plus nuancée que le blocage, est moins répandu mais continue de se développer. 35% des organisations utilisent le coaching en temps réel pour réduire les risques liés à la genAI. Nous prévoyons que ce pourcentage passera à plus de 40% au cours de l'année à venir. Les organisations associent souvent le coaching à d'autres politiques, telles que les politiques de prévention des pertes de données.

Cloud and Threat Report - Generative AI 2025 - Pourcentage d'organisations utilisant l'accompagnement des utilisateurs en temps réel pour contrôler l'accès aux apps genAI.

Prévention des pertes de données

La prévention des pertes de données (DLP) réduit les risques associés aux apps genAI en inspectant en temps réel les invites et les données envoyées aux apps genAI. DLP (Prévention des pertes de données) peut décider d'autoriser ou de bloquer le contenu en fonction des règles configurées par les administrateurs. La propriété intellectuelle, les secrets, les données réglementées et le code source sont les quatre types de données les plus courants que les organisations empêchent de partager avec les applications de genAI. Ci-dessous, les politiques de DLP (Prévention des pertes de données) pour la genAI ont gagné en popularité au début de l'année 2025 et se sont récemment stabilisées, avec 47% des organisations utilisant la DLP (Prévention des pertes de données) pour contrôler l'accès aux applications genAI.

Cloud and Threat Report - Generative AI 2025 - Pourcentage d'organisations utilisant le DLP (Prévention des pertes de données) pour contrôler l'accès aux apps de genAI.

Le point de vue du RSSI

Les RSSI et les responsables de la sécurité qui lisent ces lignes devraient être profondément préoccupés par les risques de sécurité des données associés à l'utilisation de plus en plus fréquente des technologies de l'IA générique. Les applications genAI basées sur le cloud et les modèles genAI hébergés localement présentent un risque croissant d'exposition de données non désirées et un nouvel ensemble de vulnérabilités en matière de sécurité.

Les organisations doivent prendre des mesures immédiates pour gérer efficacement ces risques. J'encourage les dirigeants à examiner le cadre de gestion des risques de l'IA du NIST, qui fournit une feuille de route précieuse aux organisations pour gouverner, cartographier, mesurer et gérer les risques de l'IA générique.

Les mesures spécifiques que les organisations peuvent prendre sont les suivantes :

Évaluez votre paysage genAI : Comprenez quelles applications genAI et quelle infrastructure genAI hébergée localement vous utilisez, qui les utilise et comment elles sont utilisées.
Renforcez vos contrôles d'applications genAI : Examinez régulièrement vos contrôles et comparez-les aux meilleures pratiques, par exemple en autorisant uniquement les apps approuvées, en bloquant les apps non approuvées, en utilisant la prévention des pertes de données (DLP) pour empêcher que des données sensibles ne soient partagées avec des apps non autorisées, et en tirant parti de l'accompagnement des utilisateurs en temps réel.
Faites l'inventaire de vos contrôles locaux : Si vous exécutez une infrastructure genAI localement, passez en revue les cadres pertinents tels que le Top 10 de l'OWASP pour les applications à grand modèle de langage, le cadre de gestion des risques de l'IA du NIST et le Mitre Atlas afin de garantir une protection adéquate des données, des utilisateurs et des réseaux.
Il est essentiel de surveiller en permanence l'utilisation de la genAI au sein de votre organisation et de rester informé des nouveaux développements en matière d'éthique de l'IA, des changements réglementaires et des attaques adverses.

Tous les responsables des cyber-risques devraient donner la priorité à la gouvernance de l'IA et aux programmes de risque pour faire face à l'évolution des défis posés par les technologies de la genAI et leur adoption par des pratiques d'IA fantôme. En prenant des mesures proactives pour gérer ces risques, nous pouvons garantir l'adoption et l'utilisation sûres et responsables de l'IA générique au profit de votre organisation.

Netskope Threat Labs

Composé des meilleurs chercheurs du secteur en matière de menaces et de logiciels malveillants, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces qui pèsent sur les entreprises. Nos chercheurs présentent régulièrement des exposés et participent bénévolement aux principales conférences sur la sécurité, notamment DefCon, BlackHat et RSA.

À propos de ce rapport

Netskope fournit une protection contre les menaces à des millions d'utilisateurs dans le monde entier. Les informations présentées dans ce rapport sont basées sur des données d'utilisation anonymes collectées par la plateforme Netskope One concernant un sous-ensemble de clients de Netskope ayant reçu une autorisation préalable.

Ce rapport contient des informations sur les détections effectuées par la passerelle Web sécurisée de nouvelle génération (SWG) de Netskope, sans tenir compte de l'importance de l'impact de chaque menace individuelle. Les statistiques de ce rapport sont basées sur la période allant du 1er février 2024 au 28 février 2025. Les statistiques reflètent les tactiques des attaquants, le comportement des utilisateurs et la politique de l'organisation.

Rapports sur l'informatique en nuage et les menaces

Le rapport cloud et menaces de Netskope vous fournit des renseignements uniques sur l'adoption des applications cloud, les évolutions du paysage des menaces liées au cloud et les risques qui pèsent sur les données des entreprises.

Parcourir les rapports

Accélérez votre programme de sécurité des nuages, des données et des réseaux avec un SASE Leader

Commencez

Rapport sur le cloud et les menaces : IA générative 2025

Rapport sur l'informatique dématérialisée et les menacesIA générative 2025