Sur un an, 80% des entreprises françaises ont connu un incident de sécurité lié à l'IA

46% : c’est la proportion d’organisations françaises ayant été touchées, sur les 12 derniers mois, par au moins une cyberattaque dans leurs systèmes, révèle Cisco dans la troisième édition de son Cybersecurity Readiness Index. C’est 3 points de moins que la moyenne internationale. Cette étude, qui évalue la manière dont les organisations se préparent à se protéger contre les menaces, a été menée auprès de 8 000 dirigeants d’entreprises du secteur privé dont 300 Français, via un questionnaire en ligne.

Une infime minorité de sociétés pleinement mature

Les auteurs du rapport notent une très légère progression dans le niveau de maturité globale des entreprises, qui reste largement insuffisant : seules 4% des organisations sont pleinement matures (2% en France), contre 3% l’année dernière. Pour évaluer ce niveau, Cisco s’est basé sur cinq critères : les mesures sur la gestion des identités, sur la sécurité des réseaux, sur la fiabilité des appareils, sur la sécurité de l’infrastructure cloud et sur la protection des systèmes basés sur l’intelligence artificielle.

Face aux menaces liées à l’IA, les organisations manquent réellement de préparation : au cours des 12 derniers mois, 80% des sociétés françaises interrogées ont dû faire face à un incident de sécurité lié à l’IA, principalement en raison de lacunes dans la sensibilisation des salariés. Ainsi, seuls 4 dirigeants sur 10 estiment que leurs employés saisissent réellement les risques et savent comment des outils d’IA peuvent être détournés par les cybercriminels. Parmi les incidents les plus fréquents se trouvent le vol de modèles et les accès non autorisés (43%), les campagnes d’ingénierie sociale améliorées par IA (42%) et les attaques par empoisonnement, soit l’altération des données d’un modèle (38%).

Près d’un salarié sur 5 utilise des outils d’IA génératives non validés en interne

Paradoxalement, la majorité des sociétés tricolores utilisent des outils d’IA pour mieux comprendre les cybermenaces (86%), les détecter (81%) et y répondre (63%). Alors que la plupart des salariés utilise des solutions tierces d’IA générative approuvées par leur hiérarchie, 17% utilisent des outils publics non validés. Un facteur de vulnérabilité majeur : d’après une étude publiée par CyberArk en décembre, plus d’un tiers des salariés respecte “parfois” ou ne respecte jamais les directives internes relatives au traitement de données sensibles lors de l’utilisation d’un outil d’IA.

Plus de 7 entreprises sur 10 reconnaissent également que le recours à plus de dix solutions de sécurité nuit à l’efficacité et à la rapidité dans la réponse à un incident. Un phénomène aggravé par l’écart entre le budget informatique global et celui alloué à la sécurité : alors que la quasi-totalité (97%) des répondants prévoient d’investir dans la modernisation de leur infrastructure IT, seuls 39% d’entre eux consacrent plus de 10% du budget à la cybersécurité. En conséquence, les entreprises dépensent davantage d’argent pour remédier aux incidents que le budget alloué, comme l’expliquait Kaspersky l’année dernière.

Une entreprise française sur deux déclare au moins 10 postes vacants

Enfin, d’importants défis subsistent quant au recrutement de personnes qualifiées dans la cybersécurité. Plus de la moitié (53%) des dirigeants interrogés signalent plus de 10 postes vacants dans le secteur. D’après un rapport publié par ICS2 en 2023, plus de 4 millions de nouveaux professionnels seraient nécessaires à l’échelle mondiale pour combler l’écart entre l’offre et la demande.