Les entreprises perdent en moyenne plusieurs millions de dollars lorsqu’elles subissent une atteinte à la protection des données, révèle IBM dans une nouvelle publication détaillée, Rapport 2025 sur le coût d’une violation de données : Les lacunes de contrôle de l’IA. Le recours à de l’intelligence artificielle fantôme, c’est-à-dire une IA utilisée sans l’approbation ni la supervision de l’employeur, fait grimper le coût moyen d’une atteinte de 308 000 $ (en dollars canadiens – CA$). 

« Les entreprises canadiennes perdent en moyenne 6,98 millions CA$ en raison de violations de données, avec des répercussions directes sur les consommateurs », indique IBM dans un communiqué annonçant la publication du rapport. Ce montant représente une hausse de 10,4 % par rapport aux données de 2024. 

Les organisations qui investissent dans l’IA et l’automatisation s’en tirent mieux : « L'adoption de l'IA de sécurité et de l'automatisation a considérablement réduit les coûts liés aux violations, qui sont passés à 5,19 millions CA$ contre 8,53 millions CA$ pour les organisations qui n'utilisent pas ces technologies », affirme IBM. 

L’automatisation en sécurité permet également d’accélérer les délais d’intervention et d’atténuer les conséquences des incidents. Les organisations dotées de ces outils ont déclaré un délai moyen d’identification de 118 jours, contre 162 jours pour celles qui ne les utilisent pas. 

L’intelligence artificielle fantôme 

Le rapport s’attarde particulièrement à l’utilisation d’IA fantôme par les employés. Il peut s’agir de simples plateformes employant l’IA générative ou de grands systèmes de langage (LLM) pour effectuer des tâches quotidiennes : écriture de codes, rédaction ou traduction de rapports, création de graphiques ou d’images, etc. 

Cette utilisation non autorisée de l’IA accroît pourtant les risques et alourdit les coûts en cas de brèche. « Souvent introduite par des employés utilisant des systèmes d’IA non approuvés, l’IA fantôme crée des vulnérabilités et des enjeux de conformité pour les entreprises », résume IBM. 

« Les organisations qui misent sur l'IA et l'automatisation économisent des millions et détectent les brèches beaucoup plus rapidement, mais les lacunes dans la sécurité et la gouvernance de l'IA, comme l'utilisation de l'IA fantôme, exposent les entreprises à des risques inutiles. » 

Les recommandations 

Le rapport recommande aux entreprises d’investir dans des outils d’IA, de mettre en place des politiques claires, de gouverner et de sécuriser leurs systèmes d’IA, de connecter leurs systèmes de sécurité et de gouvernance pour repérer automatiquement les cas d’IA fantôme, et d’élargir la formation des employés. 

L’étude révèle aussi qu’une entreprise canadienne sur trois n’a pas mis en place de contrôles d’accès sur ses systèmes d’IA, « les positionnant ainsi comme des cibles faciles ». Les attaques par hameçonnage sont restées la principale porte d’entrée. Ces attaques ont coûté en moyenne 7,91 millions de dollars par incident aux organisations canadiennes, soit une hausse de 24 % par rapport aux 6,38 millions en 2024. 

Le secteur financier affiche les coûts d’atteinte les plus élevés, avec une moyenne de 9,97 millions de dollars par incident ; une augmentation de 7,4 % par rapport aux 9,28 millions enregistrés en 2024. 

« Les résultats observés sont inquiétants », relève le rapport. « Les entreprises semblent faire l’impasse sur la sécurité et la gouvernance de l’IA au profit d’une adoption immédiate. Non gouvernés, ces systèmes sont plus susceptibles de subir des violations, augmentant leurs coûts en cas d’attaque avérée. »